Nö, dafür werden Skripte verwendet, die genau das machen. Eine ETS braucht es hierfür nicht. Es lohnt sich wirklich, den anderen Thread zu lesen, auch wenn er etwas lange ist.

Macht es eigentlich Sinn solch ein Passwort selbst zu vergeben um dem ganzen zuvorzukommen und im Falle des Falles gegen den Angreifer geschützt zu sein? So könnte er dann ja keine Änderungen etc. vornehmen?

Es macht Sinn, die Anlage mit einem Programmierschloss von Lingg und Janke zu schützen. Dieses Produkt unterbindet jegliches Programmieren am Bus so lange, bis es mit einer Secure Gruppenadresse freigeschaltet wird. Es gibt momentan kein weiteres securefähiges Produkt am Markt, was das kann.

Wenn du mehrere Linien hast, benötigst du auf jeder Linie so ein Schloss oder reicht die Hauptlinie oder sogar so ein Teil im Backbone.
Gruß Florian

Da stellt sich die Frage wieso man hier die Ports dafür öffnet.
Um das Geld für einen S1 zu sparen?

Ich verstehe eh nicht wieso man einen X1 oder ähnliches verwenden sollte? IP-Interface -> Wireguard auf dem Router laufen lassen, fertig....

Der X1 hat auch einen openvpn Server. Evtl hängen diese deshalb direkt im Web? Zudem kann man auch die Oberfläche via Weiterleitung erreichen. Dies ist auch verschlüsselt, also sooo schlimm ist das nicht.

Na ja, wir reden hier von Port 3671. Den ins Netz zu hängen ist grob fahrlässig.

Es ist mit IT eben so, dass viele denken, dass sie es können und sich damit auskennen. Dadurch entstehen dann solche Konstruktionen. Hinterher ist das Geschrei dann groß. Es gibt ja nicht umsonst den Beruf des Fachinformatikers.

weil's einfach, schnell und effektiv ist. Die "typischen" Leute, die so was machen sind nicht IT-affine. Die haben von sowas wie Shodan noch nie gehört und denken sich wie soll jemand ausgerechnet meine IP erraten.

Das sind eher die "Fachinformatiker". 😏

Das Problem ist doch, dass das Thema KNX viele Fachgebiete schneidet und es kaum einen gibt (zumindest hier in der näheren Umgebung), der komplett durchsieht. Die Elektriker verkabeln Dir hoch virtuos die ganze Bude aber bei KNX heben sie schon die Augenbrauen und dann gibts einen, der kann die Aktoren/Taster verkabeln aber zum Programmieren bräuchte man schon wieder einen externen Experten. Und der kann dann zwar KNX aber was Netzwerk angeht, könnte es da schon dünn werden, da bräuchte man eigentlich wieder einen, der einem den Laden digital abdichtet oder wenigstens nicht so doof ist, die Fritte aufzumachen, damit er es schön von zu Hause aus programmieren kann. Andererseits muss man die Leute auch in Schutz nehmen, denn ab und an gibts ja Menschen, die selbst irgendwie mit gefährlichem Halbwissen Hand anlegen und etwas verkacken, wo dann der KNX Mensch es wieder richten soll und das möglichst billig. Also macht er es von zu Hause...durch die offene Fritte.
Aber ganz ehrlich, auf die Idee zu kommen, dass die KNX Infrastruktur ein Angriffsvektor ist bin ich auch nicht unmittelbar. Weil zu aufwändig und wenig lukrativ für das Geschäftsmodell des Hackers. Daher danke für die Lektion. Again what learned​

grad mal nur ganz kurz geschaut. Weltweit 12.395 offene Ports auf 3671.

Ich kenne die Problematik sehr gut – jetzt nicht unbedingt von mir selbst, ich denke ich bin da relativ breit aufgestellt: KNX, Netzwerktechnik, Sicherheitstechnik, Kameras, Zutritt usw.
Aber das ist auch nichts, was man „nebenbei“ kann. Dafür muss man echtes Interesse haben.

In meiner jetzigen Firma wie auch in der davor gab es immer noch einen zweiten „KNXler“. Der konnte KNX aber meistens nur so weit, wie er es gerade musste. Tieferes Interesse, mal über den eigenen Tellerrand zu schauen, war selten da. Und genau das ist bei smarter Vernetzung das Problem: Das Thema ist einfach extrem vielschichtig.

Visualisierung, Kameras einbinden, Sprachsteuerung, RS485, DMX, DALI – alles unterschiedliche Protokolle und Welten, in die man sich erstmal einlesen muss. Und dann kommt noch das Netzwerk obendrauf.
Ich kenne leider zu viele Objekte, wo alles stumpf auf DHCP läuft. Irgendwann kommt dann der Anruf: „Meine X und Y geht nicht mehr.“
Ja – keine festen IPs vergeben, irgendwas hat sich verschoben, Überraschung.

KNX-Systemintegration ist für mich nicht einfach nur ein Beruf, sondern auch eine gewisse Leidenschaft. Man muss selbst wollen, sich mit neuen Themen beschäftigen, dauerhaft lernen. Tut man das nicht, hängt man zwangsläufig hinterher – oder es passieren genau solche Dinge wie offene Ports, schlecht abgesicherte Zugänge usw.

Und fairerweise: Vor 15–20 Jahren war das teilweise auch noch „normal“. Ich denke da selbst an meine Zeit zurück – zum Zocken schnell in der FritzBox einen Port aufgemacht, Hauptsache es lief. Zugegemacht hat man ihn oft nicht. DHCP lief, der Port gehörte später plötzlich einem ganz anderen Gerät. Heute weiß man es besser – oder sollte es zumindest.

Sorry für den langen Text, aber das Problem wächst genau dadurch:
Wenn man sich nicht weiter mit diesen Themen beschäftigt, bleibt alles stehen. Und ein KNX-System braucht ab und an Pflege – oder wenigstens mal eine zweite Person mit einem anderen Blickwinkel.
Und nicht den 75-jährigen Star-Architekten, der sagt: „Ach, machen wir Port 80 auf, dann könnt ihr das auch aus dem Urlaub steuern.
​

ich glaube aktuell sind das eher Leute die "Spaß" dran haben. Wenn Du da ein großes Büro oder Hotel Gebäude erwischt, könnte das aber auch lukrativ sein.

Sowas nennt man wohl "Lernen durch Schmerz".

Für den TE zwar kein Trost, aber er wird sicherlich nicht der Letzte sein, den so ein Schicksal ereilen wird - man braucht sich ja die Sitation immer mal wieder sporadisch ansehen.

Und das trifft nicht nur für KNX selbst zu - NAS/Storageserver, self-hosted-Dienste etc. laden ein, gehackt zu werden.
Da werden ohne Sachverstand halbseiden YT-Anleitungen umgesetzt, bis man von der Realität eine mitbekommt.

Sagt die Fritzboc beim Port Öffnen den wenigsten "Achtung, das ist saugefählich, was du gerade vor hast! Bist Du Dir sicher, dass Du weißt, was Du tust?"

von einer "Consumer-Box" würde ich mir so eine Warnung wünschen