Hi,

ich hatte irgendwie mitbekommen, dass man bei MDT-Geräten das BAU-Passwort gar nicht setzen kann bzw. dieses keine Auswirkungen hat. Habe ich das richtig verstanden?

So lange dem Laien hier eine fachgerechte Einschätzung über die Sicherheit der genannten Authorisierungsmöglichkeiten und auch der dahinterstehenden Infrastruktur möglich ist, gebe ich Dir Recht. Ansonsten bleibe ich bei meiner pauschalen Aussage

um's ganz klar zu sagen: Öffentlichkeit heißt hier ich lade die ganze Welt und damit jeden Kriminellen herzlich ein bei mir mal im Netzwerk einen Besuch abzustatten. Und viele werden diese Einladung auch tatsächlich annehmen.

Für den nicht-Netzwerk-Profi finde ich daher die Aussage "Grundsätzlich niemale nie eine Portweiterleitung einrichten" völlig ok.
Für die Ausnahmen, wo das doch mal ok sein kann, muss ich soviel wissen, dass ich dann auch weiß, dass ich von der Regel abweichen darf.

Das ist mir zu Pauschal, auch wenn ich weis wie du das meinst! Die Aussage müsste eher lauten.

Eine Portweiterleitung wird nur für Dienste gemacht, die auch der Öffentlichkeit (z.B. Webseite) zugänglich gemacht werden soll oder durch entsprechende Authorisierungsmöglichkeiten (wie VPN) verfügen. Regelmäßige Updates sind natürlich pflicht!

Die KNX-Installation soll weder der Öffenltichkeit bereitstellt werden, noch verfügt es über eine entsprechende Authorisierungsmöglichkeiten und gehört somit nicht direkt ans Netz angebunden. Auf einem Homeserver bzw. dessen Dienste trifft dies i.d.R. auch zu! Ausnahme z.B. könnte aber der VPN Server sein.

Denkbar könnte zwar die Freigabe mitells KNX Secure sein! Allerdings sollte man immer VPN bevorzugen, da so nur ein Einfallstor exisiert und das Risiko minimiert.

Portweiterleitungen haben im Jahr 2021 nichts mehr zu suchen. Höchstens noch für einen entsprechend gesicherten VPN Server. Von daher gilt das für alles. Zumindest meiner Meinung nach.

morgen,

gilt das auch für den homeserver port oder nur wenn der ip router port offen ist?

Wie gesagt, nur zur Info und auch viele die sich auskennen, wissen von der Aktion von Sophos noch nichts! Und ich zitiere: "Falsch konfiguriert aber leider auch nutzlos..."

Für den Ottonormalverbraucher bin ich ganz bei dir!

Grüße
d

What?

Hallo auch..

nicht jeder aus der KNX Branche ist ein Netzwerks-Sicherheits-Spezialist. Das ist in kommerziellen Projekten ein eigenes Gewerk mit eigener Ausschreibung und entsprechenden Planern.

Wir gehen in den KNX-Schulungen erst seit ein paar Jahren ("CCC-Fall Hotelroom Hack Shenzen 2014") auch auf die Netzwerksicherheit ein, wenn wir in den Unterlagen den Einsatz von KNX-IP-Routern behandeln (Linienstruktur). Es ist aber eben nicht Aufgabe des KNX-Basiskurses Netzwerkkenntnisse zu vermitteln, da das Thema viel zu umfangreich wäre. Und eben ein eigenes Gewerk in kommerziellen Projekten darstellt.

"Die, die sich auskennen" haben sicher heute bereits eine Lösung für ihre Projekte.

Es braucht einfache, weit verbreitete, häufig replizierbare, servicearme und verlässliche Lösungen.
Am besten "ein Gerät", das man ins Projekt einplant, einbaut, nicht viel konfigurieren muss, und einfach läuft- sozusagen "einfach aus dem Regal nimmt". Und die gibt es.

Massnahme:

1. Frage: Habe ich Bestandskunden mit "Port Forewarding".
2. Ausnahmslos alle Ports im Router schliessen und
3. Hardware-VPN einbauen und
4. KNX Secure Hardware ab jetzt verwenden

Ein schneller Schritt in Bestandsanlagen wäre die IP-Router zur Linienkopplung und/oder für die Kommunikation mit Visualisierungen gegen KNX/IP-Secure Router zu wechseln. Dann ist die KNX Datenkommunikation auf der Netzwerkseite verschlüsselt und von aussen unangreifbar.

VPN: Von ISE bis Hooc gibt es wunderbare einfache aber wirksame Sachen. (Vor 20 Jahren aber eben noch nicht in der Form - KNX gabs da aber schon!)

KNX/IP-Secure Router
https://www.apricum.com/de/mecip-sec

Hooc VPN Devices
https://www.knxshop4u.ch/de/hooc

KNX Secure: Lingg&Janke hat als erster Hersteller ein vollständiges Portfolio
https://www.knxshop4u.ch/de/search?p...rds=knx+secure

Gruss Peter
apricum-produkt-slider-MECip-Sec.jpg image_117763.jpg Hooc_Connect_T_LT_S_side.jpg Lingg-Janke_79238SEC.jpg

Nur nebenbei, wer sich etwas auskennt, für den bietet Sophos eine kostenlose Home Variante der XG Serie. Läuft bei mir bspw. auf einem Proxmox und auch bspw. auf günstiger HW. Falsch konfiguriert aber leider auch nutzlos...

https://www.sophos.com/de-de/product...e-edition.aspx

Mein Wunsch wurde erhört: heute E-Mail von der KNX Assoc. erhalten mit folgendem Inhalt: https://www.knx.org/knx-en/for-profe...cyber-attacks/

Mal schauen was das ist .., geht die Woche mal was raus. Für die Community

Lennox Prinzipiell alles was ein Betroffener am Bus hängen hat. So lange überall das gleiche Passwort gesetzt ist, hilft es eine Komponente zu finden - unabhängig von deren Funktion - deren PW man auslesen kann. Idealerweise verschiedene Hersteller. Danke dir!

@Limes: was ist denn für euch interessant? Aktorik oder Sensorik , wir haben eine ganze Kiste voll, da könnte ich sicher was beisteuern.

Hallo liebe KNX-Community,

wir können mittlerweile sagen, dass das Auslesen des Passwortes sehr stark von der KNX-Komponente abhängt und bei den meisten Geräten wohl eher nicht möglich ist (auch nicht durch den Hersteller). Um hierzu eine bessere Aussage treffen zu können, würden wir gerne mehr KNX-Geräte untersuchen.

Deshalb hier ein Aufruf:
Wer kann uns KNX-Komponenten zur Verfügung stellen, die sich für den Produktiveinsatz nicht mehr eignen aber grundsätzlich noch programmierbar sind? ZB auf Grund optischer Mängel, teilweiser Fehlfunktion, ... Wir würden natürlich die Versandkosten übernehmen.
ACHTUNG: Es gibt eine gute Chance, dass die Geräte endgültig zerstört werden. Also bitte nur Komponenten, die nicht mehr zurückgeschickt werden müssen.

Bitte per PM bei mir melden (sollte mittlerweile gehen).

Danke

Hab ich ja auch nicht! Es ging nur darum, die LIste der theoretischen Möglichkeiten zu vervollständigen

Ausserdem habe ich mit meinem Post ja eventuell mit dazu beigetragen, dass Du Dich zu der Thematik geäussert hast, was hier - wie ich denke - von den meisten Usern begrüsst wurde!