Das ist der Grund warum das eigene wlan als Zero Trust betrachtet werden muss. Ich trenne Gäste zwar dennoch aber ich versuche alle Geräte mit einem verschlüsselten auth zu versehen.

das KNX ip Geräte zumindest aktuelle keine Verschlüsselung haben werde ich diese Geräte später noch in ein vlan auslagern müssen.

der Rest ist weitesgehend Safe.

Wir handhaben das genau so. Gäste (egal wie gut wir sie kennen) kommen ins Gäste-WLAN.
Der QR-Code dafür liegt ausgedruckt im Gästezimmer und im Esszimmer.

Mir kommt das alles etwas suspekt vor.
…..Ich wurde heute Nacht von einem Unbekannten angeschrieben…..
Dann haben ich mit dem Unbekannten zusammen die Nacht durchgearbeitet.
Bitte, wer macht den sowas?
Naja.
Zurück zu der Geschichte.
Egal wer das gewesen sein soll, muss wissen, dass man ein Haus mit KNX hat. Das steht nicht wirklich außen an der Fassade.
Dann muss er wissen, dass man eine ETS benötigt, und diese auch noch einrichten, und sich ins Netzwerk hängen.
Dazu benötigt er das Passwort. Wenn es nicht gerade 1234 ist, muss man es haben, oder man hat so viel Erfahrung, dass man dieses sich erarbeiten kann. Dann nützen einem aber auch keine VLAN‘s usw.. Die Grenze kann dann so jemand auch schnell überwinden.
Also entweder ein Freund/Bekannter, oder der Elektriker, welches alles eingerichtet hat.
Also ich weiß ja nicht. Die Geschichte hört sich schon sehr komisch an.

Ich verbaue daher gerne das Programmierschloss von Lingg und Janke.

Wenn der Router entsprechend... - dann steht es an der virtuellen Fassade entsprechender Suchmaschinen

Geschichten, wie aus dem Paulaner Garten.

Natürlich. Wenn man erst einmal im Netzwerk ist, sieht man das alles.
Aber wer hackt sich denn mal so auf Verdacht in ein Netzwerk ein, und sieht dann, Mensch KNX, cool, lass uns mal Schabernack treiben. Das mache ich doch nicht mal so, sondern gezielt.

Du musst mal richtig lesen. Es gibt Suchmaschinen, da suchst nur nach einer Portnummer für KNX und schwupps hast ne ganze Liste weltweiter offenstehender KNX Anlagen auf dem Schirm. Dauert ein paar Sekunden. Dann noch zwei Klicks in der ETS und schon geht's los mit der Umgestaltung.

Da geht es nicht darum erst irgendwie in ein Netzwerk einzudringen.

Da muss man nicht groß komisch sein, nur mal bissel Langeweile und Spaß an der Freude haben.

gbglace
Wie Göran das ausführlich beschrieb - so einfach kann unsicher sein.

Manche machen Schabernack ganz gezielt.

Man kann froh sein daß es die ETS nicht wie von einigen gewünscht als Webapp usw. gibt. Wenn man sowas hier liest, bekommt man so mit Tablet am Pool echt ein Jucken in den Fingern. 😎

jaja, die Stammtischler

Ganz ehrlich, ich hab halt schnell Mitleid mit Menschen in Notsituationen und er war sehr froh, dass ich helfen konnte Außerdem bin auch recht neugierig und wollte nicht bis zum nächsten Tag warten, um zu sehen, was da los war. An der ETS selbst war ich keine 30min, aber mit hinundher schreiben und telefonieren im Vorfeld waren es dann in Summe eher 2-3h. Jetzt hoffe ich nur, dass die Rechnung auch anstandslos bezahlt wird.

Aber auch mir kommt das alles auch sehr komisch vor. So im Nachhinein betrachtet ist die ganze Geschichte nicht mehr stimmig und daher habe ich auch leider immer noch keine Erklärung dafür, wie der Zugang von außen gemacht wurde. Das fuchst mich schon etwas, aber es könnte durchaus sein, dass mir auch nicht alles ehrlich erzählt wurde.

Vor ca. 2 Wochen wurde in dem Haus ein Glasfaseranschluss installiert. Ich hatte daher den überlegt, dass sich hier der Techniker die Zugangsdaten vom Label auf dem S1 fotografiert hat und diesen dann bei Gira für einen Fernzugriff registriert hat. Aber woher sollte er denn wissen, das der bisher noch nie registriert wurde? Von Gira habe ich heute dann die Auskunft bekommen, dass diese Reg-ID auch tatsächlich noch nie am Geräteportal registriert wurde. Somit fällt diese Möglichkeit auch weg. Ich gebe ja auch zu, dass dies sowieso sehr an den Haaren herbeigezogen war. Aber es hätte zumindest theoretisch so ablaufen können.

Da mir auch versichert wurde, dass es im Router keine Protfreigabe gab, habe ich nach anderen Möglichkeiten gesucht. Aber wer weiß, ob das überhaupt stimmt, oder er mir das nur nicht sagen wollte?

Das WLAN-PW war auch nicht mehr das initiale PW und es wurde in der Vergangenheit auch kaum weitergegeben. In den Protokollen der FRitzBox, haben sich in letzter Zeit scheinbar auch keine unbekannten Geräte angemeldet. Mittlerweile ist das PW natürlich auch geändert worden.

Mir lässt das Thema auch irgendwie keine Ruhe, daher hab ich auch schon überlegt, ob es vielleicht so war, dass der Eigentümer selbst mit der ETS rumgespielt hat und dabei die Geräte verfriemelt hat. Aber falls es so war, dann ändert man doch nur ein paar GA's oder die Paramater! Aber man geht doch nicht hin und gibt allen Aktoren eine neue PA und sperrt in den Parametern auch noch den Handbetrieb!?

Es ist für mich einfach absolut unbefriedigend, dass es hier keine schlüssige Erklärung für das Ganze gibt und daher werde ich mich in Zukunft sehr wahrscheinlich auch nicht nochmal nachts an den Rechner setzen für jemanden den ich nicht mal kenne.

P.S. Die Anlage ist 2 Jahre alt und der S1 wurde bisher wohl nur als Programmierschnittstelle genutzt und einen X1 gibt es nicht. Schon alles sehr, sehr komisch...wer holt sich denn einen S1 und nutzt ihn dann nur als IP-Interface?

Wozu VLAN? Einfach ein Gast Wlan und die Sache ist gegessen

Warum ein Gast-Wlan nicht ausreicht, hab ich genau in dem von Dir zitierten Beitrag beschrieben.

Gruß, Waldemar

P.S.: Aber der Trick mit der MAC-Whitelist ist gut, den versuche ich vorher mal...

Ich denke, dass die Ursache viel näher liegt.

Wenn der Kunde Kinder im Handy fähigen Alter hat, bin ich mir fast sicher, dass sie damit zu tun haben.
Oder der Kunde hat selber Murks gebaut und will das nicht zugeben.

Und die Fritzbox wurde von den Kindern resettet um die WLAN Begrenzung zu umgehen.

Woher ich das weiß?
Hab selbst 2 Kinder.