Hmmm. Woraus schließt ihr denn, dass VPN grundsätzlich freier von den Schwächen sind, die eine Portweiterleitung auf einen sicheren(!) Dienst hat?

Ich werfe mal SIP in den Raum Und ja sowas gibt es auch ohne Fritzbox also hinter einer Firewall und eben auch im SOHO Bereich Aber wir schweifen ab.

Ich denke die meisten sind eben auch der auffassung das dies wie eine offene Haustüre betrachtet werden kann und man hier in selber schuld ist (Ausnahme jemand anderes hat es eingerichtet)

Ich denke nicht, dass ein VPN weniger Schwächen hat. Du sagst es selbst, Portweiterleitung auf einen "sicheren Dienst". Enduser und das sind mal alle ohne die Infrastruktur- oder Security IT-ler, können keinen "sicheren Dienst" auf Dauer betreiben.

Naja es geht um Risikominimierung. Jeder Dienst der ins Internet exposed ist, ist angreifbar. Selbst dein Webbrowser der nur "rausfunkt". Der Sinn von VPN ist erstmal das diese z.B. in der Fritzbox integriert ist und auch dort mit gepflegt wird. Der nächste Punkt ist, nur weil du VPN hast, bist du normal bzw. im Idealfall noch nicht auf internen Diensten. Somit hast du doppelte Sicherheit.

Außerdem habe ich lieber einen generischen Dienst als viele Dienste im Exposed.

100% Sicherheit gibt es nicht. Aber VPN = Abgeschlossene Haustüre vs Weiterleitung auf KNX Interface = Offene Haustür mit steckendem Schlüssel. (Angreifer tauscht Zylinder und zieht zu )

Also so pauschal zu sagen "nur VPN ist sicher" ist halt schon gelinde gesagt Schwachsinn. "Solange das Weiterleitungsziel entsprechend sicher ist, ..., sind Portweiterleitungen sinnvoll." ist halt faktisch einfach korrekter. Weder ist VPN sicherer als andere entsprechende Systeme. Noch ist vor allem davon auszugehen, dass es gerade in einem Router besonders sicher ist. Denn da ist man auf den Hersteller und dessen Updates angewiesen, um eventuell doch mal auftretende Lücken zu schließen. Genauso ausgehende Verbindung: GIRA und Konsorten *mehr* zu trauen als etwas wie SSH oder Wireguard ist mehr als fragwürdig

Und das hat nichts mit Heimanwender oder Firmenumfeld zu tun, sondern einfach nur mit der Startaussage: Das Ziel muss sicher sein. Klar, das muss von der betreuenden Person sichergestellt werden, aber nicht jeder Privatmensch hat null Ahnung, nur weil es die Mehrheit betrifft.

Wir schweifen ab, ohne Portweiterleitung auf tcp/3671 gäbe es diesen Thread nicht. Und es sollte diesen Thread nicht geben!

und sicherlich gibt es auch unterschiedliche Wege ein Netz einigermaßen sicher zu machen. Wobei es wahrscheinlich mehr Wege gibt ein System unsicher zu machen .
Gruß Florian

Definitiv. Der Weg dahin ebenfalls.

Warum sollte man in der Realität anfangen einen Dienst so sicher zu machen wie einen anständigen VPN-Tunnel, sofern der Nutzerkreis begrenzt ist?
Das ist doch eher eine theoretische Diskussion zumal ich nicht glaube, dass man die Kommunikation zu einem KNX-Gateway / Router überhaupt ernstzunehmend absichern kann.

Von daher ist es doch im konkreten Anwendungsfall und bei besagter Nutzergruppe deutlich zielführender die Empfehlung auszusprechen, Fernzugriff über VPN zu etablieren, idealerweise durch das in einem namhaften Router implementierte Verfahren. Das ganze zerreden des Themas führt doch nur zu irgendwelchen Experimenten, was es am Ende nicht besser macht.

Wenn jemand dann darüber hinaus eine Wissenschaft aus dem Thema machen möchte, kann er das ja gerne tun.
Aktuell gibt es alleine in Deutschland offenbar noch ca. 1500 offene Ports zu KNX-Installationen. Für die wäre jeglicher VPN-Tunnel sicherer, egal wie madig er implementiert wurde!

das ist eigentlich der springende Punkt. Nutzer bekannt => VPN, Nutzer unbekannt => Portweiterleitung
(ohne noch mal erneut zu diskutieren, was man sich mit Portweiterleitung alles so einfangen kann)

Eine Portweiterleitung von z.B. 3671 -> KNX Router: 3671 ist absolut fahrlässig. IP Scanner können binnen kürzester Zeit ganze Netze abscannen um zu schauen ob es da irgendjemand gibt der das macht. Das ist schon einen Scheunentor mit Einladung.

Leider gibt es sehr viele Leute die ihr NAS oder ihre Kamera mit den Standard PW´s betreiben und für die Hackerfreunde ist es ein gefundenes Fressen alles abzuziehen und zu löschen oder zu verschlüsseln. Wobei hier schon jemand am Werk ist der sich im KNX Bereich gut auskennen muss, das dieser Jemand sowas macht ist schon ziemlich abscheulich und dieser jemand sollte dann auch möglichst hart bestraft werden (wenn man ihn denn bekommt). Eine Anzeige sollte in jedem Falle gemacht werden, das ist kein Kavaliersdelikt !

Legt man die Portweiterleitung auf einen anderen Port ist man zwar auch nicht geschützter aber ggf. hat man bis jetzt Glück gehabt das die Hacker nicht die ganzen Ports scannen da dieses mitunter schon je IP etwas an Zeit dauert und nicht alles was sich meldet ist dann KNX.. Aber die Scan Scripte können ja auch in einem zweiten Test prüfen ob es ein KNX Device ist.

Also Leute macht es nicht ! Jedenfalls nicht ohne VPN oder andere Sicherheitsmassnahmen.

Das Netz ist echt mies, mein Server im Internet wird tagtäglich angegriffen und nur durch entsprechende Massnahmen wie APP Firewalls / Paketfilter / Knock Dienste und sogar ganze Netze rausgefiltert halte ich dagegen.


Tomas

Ich kann Weiterleitung auf 3671, ich mache den KNX-IP-Router einfach Secure.

Auch auf einen "Secure"-Router würde ich nur via VPN zugreifen. Es gibt wenige Dienste oder Geräte die man öffentlich ins Netz stellen sollte. KNX-Router gehören definitiv nicht dazu.

Das klingt wie "ich lasse mein abgesperrtes Auto auch nur in der verschlossenen Garage stehen! Ein Auto ohne Garage darüber ist schneller aufgebrochen als ein Auto ohne Garage".

Was spricht jetzt nochmal dagegen einen KNX-IP-Secure Router, verschlüsselt ins Internet zu stellen und darüber den Zugriff auf die Anlage zu gewährleisten? Außer ein "man sollte nicht"?

In erster Linie der offene Weg zu einem Gerät welches obendrein meist keine Sicherheitsupdates erhält. Nur weil die Busdaten verschlüsselt sind, trifft dies beispielsweise nicht auf das meist sehr gruselige Webinterface zu. KNX-Secure wurde nicht dafür entwickelt die Geräte offen ins Netz stellen zu können. Dies bitte nicht verwechseln.

Und ich hoffe, dass du dies bei deinen Kunden nicht so praktizierst.