transparent für Jedermann...

Da ein Passwortschutz des Telnetinterfaces nicht vorgesehen ist.

2013!

Gruss
Nick

Hallo Nick

In der Regel laufen die ja auf ihrem eigenen Automationsnetz (LAN) in Zweckbauten, und Zuhause dürfte dies wohl eher kein Problem darstellen.

Dann müsste man wohl auch den Zugriff auf den Bus verhindern, dort kann weitaus mehr angestellt werden;-)

Gruss,

Martin

Womit mir wieder beim Thema angekommen sind, dass IT Security noch nicht wirklich bei der Automatisierungstechnik angekommen ist...
Allerdings ist unter dem Aspekt auch Telnet ein nogo !

Und bezügl. eigenes Automationsnetz würde ich auch nicht meine Hand ins Feuer legen!

Gruss
Jochen.

Hallo Jochen

Bezweifelst Du eine erhöhte Sicherheit bei gesonderten Netzen oder das gesonderte Netze überhaupt zur Anwendung kommen?

Gruss,

Martin

Ich bezweifle beides...
Insbesondere Automationsnsetze werden von der IT Security sträflich vernachlässigt: "Da hängt ja nur die Heizung dran und nicht das ERP/das PLM..."

Egal was ohne die Möglichkeit eines Passwortschutzes ist sträflich.

Gruß

Christoph

sorry, aber ich komm nicht mehr mit...

Wieso brauche/bräuchte ich Telnet Zugang ? An einem IP Router "EIB"?

Und außerdem: Sicherheitskritische Systeme hängen auch in mehreren detmilitarisierten Zonen....

Hallo Martin,

ich hab' mich in erster Linie auf die Nutzung gesonderter Netze bezogen.
Ich will mir nicht anmaßen pauschal den Sicherheitsfaktor bei Nutzung gesonderter Netze zu beurteilen- das hängt m.E. von den Rahmenbedingungen ab.

@Christoph: Das Problem ist doch, dass die IT zu wenig Ahnung und Einblick von der Automatisierungstechnik hat, um da hinreichend urteilen zu können. Die Automatisierungstechnik macht sich widerum zu wenig Gedanken um die Sicherheit und ist auch nicht in der Lage hinreichende Anforderungen zu definieren.

Gruss
Jochen.

Vielen Dank für Deine Antwort Jochen. Während ihr alle legitime Punkte aufzeigt, würde mich doch mal interessieren ob jemand konkret ein Beispiel eines Angriff, speziell Angriffe aus dem eigenen Netzwerk, kennt? Ich wage mal zu behaupten wenn dies ein Thema wäre, hätte die Industrie schon lange reagiert. Oft begrenzen sich die Risiken wahrscheinlich wirklich auf Schalten von Licht, Stellgrössen von Ventilen und das Fahren von Jalousien.

Nun will ich die Risiken nicht runterspielen, allerdings sollte man diese auch nicht in hypothetische Höhen hochschaukeln. In der Fliegerei wo ein sehr hoher Sicherheitsstandard herrscht, werden auch gewisse vertretbare Restrisiken (reasonable insurance) in Kauf genommen.

Ob der Enertex IP-Router nun einen Passwort geschützten Telnet Zugang zu ihrem Router hat, ändert eigentlich nicht wesentliches an der KNX Sicherheit. Für den Endkunden jedoch, sind die Informationen über die Nutzung der Tunnels und die zusätzlichen Information über Telegramm Routing ein Mehrwert. Ein cooles Device!

Hallo Martin,

zunächst will ich verdeutlichen: Ich habe keinesfalls den Enertex Router kritisiert- ich stimme Dir voll und ganz zu, dass es sich um ein tolles Produkt handelt und auch von mir ein großes Danke an Enertex für das tolle Produkt!

Ich habe mit meinem Post eher den Haken zur Sicherheit der Hausautomation im Allgemeinen schlagen wollen und da ticken die Uhren schon anders als in üblichen Client/Server Umgebungen.

Ob ich einen konkreten Angriff auf KNX kenne: Nein, ist mir noch nicht untergekommen. Inwieweit sowas überhaupt publik wird, ist schwer zu sagen. Solange nur Licht, Heizung, Beschattung, etc. damit gesteuert werden (wer weiß das schon) ist's ja auch nicht so interessant. Angriffsvektoren würden mit durchaus einfallen. Ganz anders, wenn Zugangskontrollen o.ä. angebunden sind. Zugegeben, da wär der KNX vermutlich aber auch nicht gleich mein erstes Ziel...

Abschmierende Devices aufgrund von Portscannern oder anderen Aktivitäten im Netz sind da schon eher ein Thema, was zwar nun nichts mit Passwortschutz zu tun hat, aber durchaus auch in die Definition "Sicherheit" fällt...

Hypothetische Höhen? Ja, schon ein bischen - wohl berufsbedingt

Gruss
Jochen.

Das ist leider alzuoft der Weg den man in Sicherheitsfragen geht. Man reagiert nur wenn das Kind im Brunnen liegt. Es ist völlig unwichtig ob es solche Attaken heute gibt, so ein System baut man ja nicht für ein paar Monate auf. Die Bedrohung wächst überall mit der Popularität.

Nun will ich die Risiken nicht runterspielen, allerdings sollte man diese auch nicht in hypothetische Höhen hochschaukeln. In der Fliegerei wo ein sehr hoher Sicherheitsstandard herrscht, werden auch gewisse vertretbare Restrisiken (reasonable insurance) in Kauf genommen.

Aber genau das ist der Punkt. keiner Verlangs dass KNX zum Fort Knox wird, aber "no insurance" ist nie eine "reasonable insurance". Es wurde kläglich versäumt bei der Einführung des IP Stacks eine Sicherheit einzubauen. Da muss nich tder absolut sichere Algorithmus herhalten aber eben ein vernüftiges Konzept.

Was das Separate KNX Netz angeht so habe Ich das auch bei mir privat so. Zwischen Intranet und KNX-Netz hängt ein Router mit Firewall wenngleich ich zugeben muss dass die Firewall z.Zt auf diesem Interface nicht aktiv ist.

Für den Endkunden jedoch, sind die Informationen über die Nutzung der Tunnels und die zusätzlichen Information über Telegramm Routing ein Mehrwert. Ein cooles Device!

Jeder das seine. Den datenlogger vom Gira Router finde Ich persönlich da viel sinnvoller. Auch die Idee mit dem SNTP server sehe Ich eher negativ. Positiv ist dass er klar als SNTP server gekennzeicnet ist. Allerdinsg ist für die meisten Endkunden NTP ein Buch mit 7 Siegeln wo es dann mit schnell zu unerklärlichen Problemen führt dass sich Clients nicht synchronisieren. Die werden dann u.U dem Router zugeordnet werden.

Bin gerade wieder mal dabei bei einem Kunden genau so ein NTP Verhalten zu diagnostizieren bei der einige Server sich synchronisieren andere nicht. Und Schuld ist die falsche Konfiguration, die aber nach aussen richtig aussieht. NTP hat eben die trügerische Eigenschaft so auszusehen als wäre es sehr einfach.

Aber das ist ein anderes Thema

Gruss,
Gaston

Tut mir leid, aber ich finde das gelinde ausgedrückt Unsinn.

Das KNX-LAN Protokoll läuft ungesichert über das LAN. Es ist also für jeden möglichen Angreifer oder Saboteur ein Leichtes, im LAN über die ETS auf einen im System befindlichen KNX Router zuzugreifen. Da kann er schalten, Aktoren umprogrammieren, alles was man sich so vorstellen mag.

Dagegen kann der normale User über das Telnet-Interface nicht auf den Bus eingereifen und im Router nichts vom KNX Teil direkt verändern. Ein Passwortschutz wäre allenfalls ein Idiotentest - ich bin nun kein Experte im IT Sicherheit, aber einen unverschlüsselten LAN Verkehr kann selbst ich mitloggen und ein mögliches Passwort abfangen. Aber wie gesagt, was macht der böswillige Angreifer mit den Daten des Telnets? Oh, er weiss dann, wieviele Telegramme/s auf den Bus gehen. Toll.
Wie Du schon sagt, ist das Ansichtssache. Nachdem ich die Entwicklung des Routers beeinflussen konnte, sind wir wohl da anderer Meinung.
Argumentativ werde ich da aber nicht weiter drauf eingehen, lassen wir es bei Geschmacksache.
Naja, diejenigen, die das Feature brauchen (z.B. EibPC), dürften damit kein Verständnisproblem haben. Die Idee dahinter ist, dass der Bus eine zentrale Anlaufstelle hat, wo sich am Bus beteiligte Komponenten die Zeit holen können. Wo genau das Problem mit den NTP Server ist, von dem Du sprichst, kann ich nicht sehen. Was ist daran negativ, wenn der einen solchen Dienst bereitstellt?

Echt jetzt ? Enertex promotet seine Geräte indem es unverstandenes als Unsinn abtut, und mit unangebrachtem Sakarsmus. Gut, OK, wenn das Ziel war mich nicht als Kunde zu haben weil zu kritisch, dann habt Ihr das Ziel erreicht.


Im ersten Satz als Unsinn abtun (und das in Fett!) und im 2. Stazt dann gleich einen der Gründe nennen warum man diesen "Unsinn" eigentlich macht. Bemerkenswert

kein Schutz ist absolutsicher, aber "kein Schutz" ist eben abolut kein Schutz. Also Ich würde keinem Administrator raten all seine Passwürter zu deaktivieren nur weil er TELNET verwendet.

Also entweder ist dieser Sakarsmus angebracht und Ihr solltet dann mal eure Handbücher korrigieren, oder Ihr solltet sie mal durch lesen. Da ich kein solches Teil habe, muss Ich von dem ausgehen was Ich dort lese. Das wäre ja auch Kaufeintscheidend.

Dort steht:

"Konfiguration über ETS und Telnet"

Also nicht nur ein paar Statistiken ansehen sondern aktiv Kommandos absetzen.


Echt jetzt ? Also Ich hab das ja eigentlich so geschrieben weil Ich keinem auf die Füsse treten wollte. Man hat sich also echt bewusst gegen ein Datenklogger und lieber für ein Telnet interface und SNTP Srever entschieden ?

Also Ich hatte vor 2 Wochen erst wieder ein Kiunde dessen NTP Server nich tfunktionierte weil er unwissentlich irgendwo einen NTP Server aber nur mit SNTP Güte betrieben hat.

Die Leute die mit NTP keine Verständnoisprobleme haben sind selten sogar bei den Profis.

siehe vorheriger Punkt

Genau wegen dern Verständnisproblemen. ich hatte geschrieben dass Ihr zumindets den server als SNTP auszeichnet. Es wird mit sicherheit leute geben die einen anderen Server (z.B. Linux) mit dem SNTP Server synchronisieren und sich dann wundern dass es nicht funktioniert.

Gruss,
Gaston

Netze schützen....

Ich denke, da draußen laufen soooo viele Idioten rum, die gerne Mist bauen.... Wenn man es schafft, DIE auszusperren, dann ist doch schon viel gewonnen. Diese Script-Kiddies wissen doch oft nicht, was sie da überhaupt machen... Hauptsache irgendwas geht kaputt.... Und wer weiß, ob ein Passwort nicht evtl. Verhindert, dass sich jemand in einen Bereich "verirrt", in dem er Unsinn machen kann

Gruß in die Runde

Claus

Wenn in der echten Welt Dinge so eskalieren würden wie hier in gewissen Forum Threads dann würde ich es mir mit KNX wahrscheinlich zweimal überlegen;-) Spass beiseite, mit 'reasonable insurance' meinte ich natürlich ein gesondertes Netz ohne WAN Zugriff (in Zweckbauten). Allerdings würde ich Zuhause kein gesondertes Netz vorsehen. Auch wenn mir die Brunnenkinder leid tun, Zahlen sagen in der Tat was über Gefahrenpotential aus. Sicher bin ich auch das in sensiblen Anlagen Sicherheit schon lange gross geschrieben wird.


Gruss aus der Schweiz,


Martin