Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheit im Bezug auf IP-Router. (Senden / Empfangen)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    HS/FS Sicherheit im Bezug auf IP-Router. (Senden / Empfangen)

    Sicherheit im Bezug auf IP-Router. (Senden / Empfangen)

    Guten Abend, mein Name ist Tobias und bin neu hier im Forum. Und seit kurzem auch absolut begeistert FAN von Funktion/- und Möglichkeiten des HomeServer von Gira.

    Ich komme mal direkt zur sache.

    Es geht für mich um das allgemeine Verständlich und die Möglichkeit. Nicht um den Sinn wieso man das so realisieren sollte.

    Habe ein reines KNX/EIB Netz im Haus. Jetzt möchte ich mir mit dem IP-Router die KNX/EIB Telegramme ins IP/Ethernet Netz holen damit alle meine Betriebsmittel im Netzwerk mit dem KNX/EIB Netz kommunizieren können. Soweit sollte ja der Grundgedanken richtig aufgestellt sein. Weil der IP-Router ja KNX/EIB Telegramme ins IP/E.-Netz Sendet und Empfangen kann.

    Wenn ich jetzt ein W-Lan Router in meinem Netz habe der mit dem IP/E.-Netz natürlich auch verbundenen ist. Könnten dann Gäste (oder auch ich) die im W-Lan sind mit einfachen mittel (z.B. einer einfache Android APP aus dem AppStore) Telegramme über die App zurück ins KNX/EIB Netz schicken.
    (Vorausgesetzt die kennen die IP-Nummer vom IP-Router und die Richtigen Gruppen Adressen)

    Weil im ETS kann ich ja den IP-Router keine IP Begrenzung oder Sonstigen Filter Parametrieren.

    Vielen Dank schon mal im Vorraus.

    #2
    Ja, können sie.

    Kommentar


      #3
      Super, schnelle und knackige Antwort.

      Dann möchte ich jetzt die Frage auf den Bereich HS/FS ausweiten. Damit nicht jeder der in meinem W-LAN oder IP/E.-Netz ist auch Zugriff auf die KNX/EIB Anlage hat könnte ich ja vom Grundgedanken den IP-Router jetzt entfernen und ein HS/FS aufstellen der mit der KNX/EIB Anlage per USB Verbunden ist. (USB auch wegen Ausfallsicherheit).

      Jetzt könnte ich doch durch die Einstellungen am HS/FS sagen welche Telegramme über den EthernetPort vom HS/FS (der natürlich jetzt im IP/E.-Netz hängt) ins IP/E.-Netz Geschichte werden sollen und sogar Explizit zu welcher IP (Betriebsmittel) oder !?

      Kommentar


        #4
        Zitat von Lecaro Beitrag anzeigen
        der KNX/EIB Anlage per USB Verbunden ist. (USB auch wegen Ausfallsicherheit).
        ?
        IP Router ist auch sehr ausfallsicher :_)

        Kommentar


          #5
          Den IP-Router zu entfernen verlagert das Problem doch nur auf ein anderes Gerät. Und theoretisch ist der HS sogar noch interessanter als der Router da auf dem HS i.d.R. die eigentliche Automation (Prozesse) passiert.

          KNX bzw. der Vorvater EIB wurde nicht unter irgendwelchen Sicherheitsaspekten designt - was nicht ganz unpraktisch ist, besser keine Security und man weiß was man hat als irgendwelche obskuren halblebigen Geschichten die man sich bei anderen Systemen ausgedacht hat. Da mache Ichs selber und weiß ziemlich genau was Sache ist ...

          Wenn Du in Deinem eigenen LAN damit rechnest dass da Leute Schindluder treiben gibt es zwei Optionen:
          • Damit leben
          • Gegenmaßnahmen ergreifen


          Zu den Gegenmaßnahmen gehört im Zweifelsfall auch, sich seine Besucher besser auszusuchen.

          Ansonsten könnte man das machen was man üblicherweise in solchen Situationen macht: Den Laden dicht.

          Bei mir kommen Besucher nicht in mein LAN/WLAN. Für die gibt es ein eigenes WLAN und eine ordentliche Firewall die ich absolut im Griff habe. Und vor allem was IP hat und irgendwie am KNX angeschlossen ist gibt es eine weitere Firewall. Und selbst das rausfinden von Benutzernamen oder WLAN-Zugangsdaten hilft nur eingeschränkt weiter weil man für den Zugriff auf den internen Bereich egal ob im LAN oder im WLAN auch noch Zertifikate braucht die von einer CA ausgestellt werden die nur ich im Zugriff habe.

          Wenn man weiß wie das alles geht und bereit ist, den Aufwand zu treiben kann man das machen, kostet garnicht mal viele Euros an Komponenten, mit dem Gegenwert von einem IP-Router kommt man da schon gut hin. Die Zeit das alles einzurichten muss man aber unter Hobby verbuchen, sonst wird's ätzend.

          Für Fußgänger tut es vielleicht auch das Gäste-WLAN der Fritzbox.

          Kommentar


            #6
            Vielen Dank für die ausführliche Antwort,

            worauf ich eigentlich aus bin ist zu verstehen ob ich rein Technisch mit dem HomeServer die Kommunikation zwischen KNX und IP Bewusst begrenzen und steuern kann. Wenn der HS per USB am KNX verbunden ist und über Ethernet im IP Netz.

            Und würde es Funktionieren alle Telegramme vom KNX ins IP Netz durchzulassen (also ohne Begrenzung) und somit einen IP-Router zu ersetzten also jetzt rein Technisch.

            PS. Meine Besucher sind sehr angenehme Personen und würden nicht auf die Idee kommen meine Anlage in irgendwelcher weise zu manipulieren.

            Kommentar


              #7
              Zitat von Lecaro Beitrag anzeigen
              PS. Meine Besucher sind sehr angenehme Personen und würden nicht auf die Idee kommen meine Anlage in irgendwelcher weise zu manipulieren.
              Ich glaube, das ist auch beim Matthias so. Aber wer weiß schon, welche Schadsoftware sich da gerade auf des Besuchers System befindet, ob sein Rechner zufällig die gleiche IP fest hat, wie der HS oder der Router usw.
              offizielles Supportforum für den Enertex® EibPC: https://knx-user-forum.de/eibpc/
              Enertex Produkte kaufen

              Kommentar


                #8
                Mit derartigen Fragen eröffnet sich wieder ein unerschöpfliches Thema mit allen Eventualitäten, welche im täglichen Leben nahezu nie vorkommen. Jedoch von der Fantasie getrieben werden.
                Vor Jahrzehnten hielt ich für derartige Zwecke eine Disk bereit, auf welcher ein Virus sich befand. Ein einmaliges einlegen in einen Computer und die Folgeaktivität, das Signal vom Scanner, schuf Bereitschaft auf jeglicher Ebene.

                Spass beiseite. Bei derartigen Diskussionen sollte man von einem sauber konfiguriertem und gesichertem Netzwerk ausgehen. Hierbei kann man in den Außenbereich verlaufende Netzwerkverbindungen über einen eigenen Switch ansprechen. Dieser schaltet bei Missbrauch dann ggf. ab. Oder für KNX ein eigenes Netzwerk erstellen bzw. eine Hardware Firewall einbauen.
                Den Investitionen zur Gestaltung seines privaten Umfelds sind keine Grenzen gesetzt.

                Die Industrie setzt auf IP und die damit verbundenen Vorteile. Es spricht natürlich nichts dagegen das eigene, persönliche Sicherheitsbedürfnis gesichert zu wissen und einen anderen Weg z.B. USB zu wählen.

                Bezüglich Besucher kommt bei mir keiner ans Netz und wenn überhaupt dann ausgesucht nur an einen Gastzugang. Letzterer ermöglicht den Weg ins Internet, jedoch nicht ins eigene Netzwerk.

                Kommentar


                  #9
                  Zitat von redstar Beitrag anzeigen

                  Bezüglich Besucher kommt bei mir keiner ans Netz und wenn überhaupt dann ausgesucht nur an einen Gastzugang. Letzterer ermöglicht den Weg ins Internet, jedoch nicht ins eigene Netzwerk.
                  Das ist IMHO der einfachste/billigste Weg zur Sicherung deines Netzwerkes.
                  Bei fast allen aktuellen Fritzen ist dies ohne Probleme möglich ein Gast WLAN freizugeben, welches IP technisch "abgeschottet" ist gegenüber deinem normalen Netz. Somit nur Zugriff auf Inet.
                  Geniale Menschen sind selten ordentlich, ordentliche selten genial. (Albert Einstein)

                  Kommentar


                    #10
                    also ich rechne auch nicht damit, daß meine Besucher bzw. Netzwerkgäste die das Passwort haben bei mir irgendwelche krummen Dinger drehen. Dennoch, an einer grundsätzlichen Sicherheit solltest du nicht sparen.

                    Wie schon von Redstar ausgeführt, auch bei mir gibt es 3 IP-Kreise. Ein vernünftiger Router kann das problemlos.

                    * Einer für die "lebenswichtigen" Funktionen zwischen EIB und Netzwerk
                    * einer für das eigene PC-Netz
                    * einer für Gäste und meine Söhne.

                    Mit einer geschickt konfigurierten Firewall dürfte damit IMHO 99% erledigt sein, gegen einen professionellen Hacker kannst Du Dich vermutlich nicht schützen.

                    Da ist das größere Risiko, daß einer im Gästezimmer den UP-Sensor rausschraubt und seine USB-Schnittstelle andockt. Aber damit musste eigentlich nicht rechnen.

                    Mich wundert immer wieder, wie die Leute sich endlosen Sicherheitsüberlegungen hingeben und am Ende dann ein grünes EIB-Kabel ausserhalb des Hauses führen oder eine Netzwerkkamera aufhängen, bei welcher jeder geübte Bastler mit wenig Aufwand im Netz ist. Sicherheit fängt beim konstruktiven Schutz an.
                    never fummel a running system...

                    Kommentar


                      #11
                      Habe die letzten Tage bei mir auch hochgerüstet und mit einem cisco sg300 und einem cisco Rv110 mein Netzwerk aufgerüstet.
                      Der Spaß hat mich an die 400€ gekostet und jetzt is erst mal alles sauber.
                      7 vlans und 4 wlans. Damit habe ich auf Layer 2 meine Gäste, Kinder, das KNX Zeugs und meine Daten voneinander getrennt.
                      Das Routing und die Zugriffe regelt eine sophos utm.
                      War ca. 4 Abende Einrichtung und obwohl ich mich eigentlich mit Netzwerken ganz gut auskenne, habe ich noch ne Menge gelernt.
                      Für Zuhause langt das locker, wenn die KNX Installation allerdings ein Museum steuert, sollte man doch zu anderen Komponenten greifen.

                      Jetzt fühle ich mich gegen Angriffe oder Fehlern von mir erst mal wieder sicher. Und die Netzwerk Performance ist gefühlt auch gestiegen.

                      Gruß
                      Mac.
                      Think Different

                      Kommentar


                        #12
                        Jaja, Qualitätsgeräte von der Qualitätsfirma Cisco zum Qualitätsgerätepreis.

                        Ich hoffe, Du hast da die aktuellste Firmware in dem RV110 drin - in den vorherigen Versionen steht praktischerweise der komplette Adminaccount als Plain Text im HTML-Quelltext der Anmeldeseite Cisco-Router mit Passwörtern im Quellcode des Web-Interfaces | heise Security

                        Aber solche Kleinigkeiten fixt der Weltmarktführer glücklicherweise - dauert nur mal 4-6 Monate zwischen Meldung und Fix, da fühlt man sich gleich viel sicherer ...

                        Kommentar


                          #13
                          Na ja, Cisco steht drauf aber drin ist für den Preis halt "nur" Linksys.
                          Ist aber dennoch meiner Meinung nach besser als Dlink, Netgear oder andere die sich in dem Preissegment tummeln.

                          Ja aktuelle FW is natürlich drauf, wobei man ja das vLan zur Administration des Routers angeben muss und da sollte natürlich eh keiner ausser man selbst rein kommen. Alle anderen sehen dann die Oberfläche schon gar nicht.

                          Gruss,
                          Mac.
                          Think Different

                          Kommentar


                            #14
                            Und Linksys war auch einmal, Cisco hat das 2013 an Belkin verscheuert.

                            Bei dieser Geräteklasse kannst Du auch getrost Belkin, Netgear oder DLink kaufen, innen drin steckt oftmals überall die gleiche widerliche Sosse, z.B. von SerComm, die beliefern zig Hersteller im SoHo-Segment mit mehr oder weniger den gleichen Geräten die nur noch herstellerspezifisch gebrandet werden (Gehäuse, Adminoberfläche). Das erklärt dann auch warum ein und dieselbe Backdoor plötzlich bei zig verschiedenen Geräten mehrere Hersteller auftaucht.

                            Sehen und staunen: https://wikidevi.com/wiki/TCP-32764/..._devices_in_DB

                            Ich bleibe bei meinen Mikrotiks, da sind zwar auch gelegentlich mal Bugs drin aber in der Kampfklasse haben die sich bislang nix geleistet - und das was war wurde immer in kürzester Zeit gefixt.

                            Kommentar

                            Lädt...
                            X