Ja, können sie.

Super, schnelle und knackige Antwort.

Dann möchte ich jetzt die Frage auf den Bereich HS/FS ausweiten. Damit nicht jeder der in meinem W-LAN oder IP/E.-Netz ist auch Zugriff auf die KNX/EIB Anlage hat könnte ich ja vom Grundgedanken den IP-Router jetzt entfernen und ein HS/FS aufstellen der mit der KNX/EIB Anlage per USB Verbunden ist. (USB auch wegen Ausfallsicherheit).

Jetzt könnte ich doch durch die Einstellungen am HS/FS sagen welche Telegramme über den EthernetPort vom HS/FS (der natürlich jetzt im IP/E.-Netz hängt) ins IP/E.-Netz Geschichte werden sollen und sogar Explizit zu welcher IP (Betriebsmittel) oder !?

IP Router ist auch sehr ausfallsicher :_)

Den IP-Router zu entfernen verlagert das Problem doch nur auf ein anderes Gerät. Und theoretisch ist der HS sogar noch interessanter als der Router da auf dem HS i.d.R. die eigentliche Automation (Prozesse) passiert.

KNX bzw. der Vorvater EIB wurde nicht unter irgendwelchen Sicherheitsaspekten designt - was nicht ganz unpraktisch ist, besser keine Security und man weiß was man hat als irgendwelche obskuren halblebigen Geschichten die man sich bei anderen Systemen ausgedacht hat. Da mache Ichs selber und weiß ziemlich genau was Sache ist ...

Wenn Du in Deinem eigenen LAN damit rechnest dass da Leute Schindluder treiben gibt es zwei Optionen:

• Damit leben
• Gegenmaßnahmen ergreifen

Zu den Gegenmaßnahmen gehört im Zweifelsfall auch, sich seine Besucher besser auszusuchen.

Ansonsten könnte man das machen was man üblicherweise in solchen Situationen macht: Den Laden dicht.

Bei mir kommen Besucher nicht in mein LAN/WLAN. Für die gibt es ein eigenes WLAN und eine ordentliche Firewall die ich absolut im Griff habe. Und vor allem was IP hat und irgendwie am KNX angeschlossen ist gibt es eine weitere Firewall. Und selbst das rausfinden von Benutzernamen oder WLAN-Zugangsdaten hilft nur eingeschränkt weiter weil man für den Zugriff auf den internen Bereich egal ob im LAN oder im WLAN auch noch Zertifikate braucht die von einer CA ausgestellt werden die nur ich im Zugriff habe.

Wenn man weiß wie das alles geht und bereit ist, den Aufwand zu treiben kann man das machen, kostet garnicht mal viele Euros an Komponenten, mit dem Gegenwert von einem IP-Router kommt man da schon gut hin. Die Zeit das alles einzurichten muss man aber unter Hobby verbuchen, sonst wird's ätzend.

Für Fußgänger tut es vielleicht auch das Gäste-WLAN der Fritzbox.

Vielen Dank für die ausführliche Antwort,

worauf ich eigentlich aus bin ist zu verstehen ob ich rein Technisch mit dem HomeServer die Kommunikation zwischen KNX und IP Bewusst begrenzen und steuern kann. Wenn der HS per USB am KNX verbunden ist und über Ethernet im IP Netz.

Und würde es Funktionieren alle Telegramme vom KNX ins IP Netz durchzulassen (also ohne Begrenzung) und somit einen IP-Router zu ersetzten also jetzt rein Technisch.

PS. Meine Besucher sind sehr angenehme Personen und würden nicht auf die Idee kommen meine Anlage in irgendwelcher weise zu manipulieren.

Ich glaube, das ist auch beim Matthias so. Aber wer weiß schon, welche Schadsoftware sich da gerade auf des Besuchers System befindet, ob sein Rechner zufällig die gleiche IP fest hat, wie der HS oder der Router usw.

Mit derartigen Fragen eröffnet sich wieder ein unerschöpfliches Thema mit allen Eventualitäten, welche im täglichen Leben nahezu nie vorkommen. Jedoch von der Fantasie getrieben werden.
Vor Jahrzehnten hielt ich für derartige Zwecke eine Disk bereit, auf welcher ein Virus sich befand. Ein einmaliges einlegen in einen Computer und die Folgeaktivität, das Signal vom Scanner, schuf Bereitschaft auf jeglicher Ebene.

Spass beiseite. Bei derartigen Diskussionen sollte man von einem sauber konfiguriertem und gesichertem Netzwerk ausgehen. Hierbei kann man in den Außenbereich verlaufende Netzwerkverbindungen über einen eigenen Switch ansprechen. Dieser schaltet bei Missbrauch dann ggf. ab. Oder für KNX ein eigenes Netzwerk erstellen bzw. eine Hardware Firewall einbauen.
Den Investitionen zur Gestaltung seines privaten Umfelds sind keine Grenzen gesetzt.

Die Industrie setzt auf IP und die damit verbundenen Vorteile. Es spricht natürlich nichts dagegen das eigene, persönliche Sicherheitsbedürfnis gesichert zu wissen und einen anderen Weg z.B. USB zu wählen.

Bezüglich Besucher kommt bei mir keiner ans Netz und wenn überhaupt dann ausgesucht nur an einen Gastzugang. Letzterer ermöglicht den Weg ins Internet, jedoch nicht ins eigene Netzwerk.

Das ist IMHO der einfachste/billigste Weg zur Sicherung deines Netzwerkes.
Bei fast allen aktuellen Fritzen ist dies ohne Probleme möglich ein Gast WLAN freizugeben, welches IP technisch "abgeschottet" ist gegenüber deinem normalen Netz. Somit nur Zugriff auf Inet.

also ich rechne auch nicht damit, daß meine Besucher bzw. Netzwerkgäste die das Passwort haben bei mir irgendwelche krummen Dinger drehen. Dennoch, an einer grundsätzlichen Sicherheit solltest du nicht sparen.

Wie schon von Redstar ausgeführt, auch bei mir gibt es 3 IP-Kreise. Ein vernünftiger Router kann das problemlos.

* Einer für die "lebenswichtigen" Funktionen zwischen EIB und Netzwerk
* einer für das eigene PC-Netz
* einer für Gäste und meine Söhne.

Mit einer geschickt konfigurierten Firewall dürfte damit IMHO 99% erledigt sein, gegen einen professionellen Hacker kannst Du Dich vermutlich nicht schützen.

Da ist das größere Risiko, daß einer im Gästezimmer den UP-Sensor rausschraubt und seine USB-Schnittstelle andockt. Aber damit musste eigentlich nicht rechnen.

Mich wundert immer wieder, wie die Leute sich endlosen Sicherheitsüberlegungen hingeben und am Ende dann ein grünes EIB-Kabel ausserhalb des Hauses führen oder eine Netzwerkkamera aufhängen, bei welcher jeder geübte Bastler mit wenig Aufwand im Netz ist. Sicherheit fängt beim konstruktiven Schutz an.

Habe die letzten Tage bei mir auch hochgerüstet und mit einem cisco sg300 und einem cisco Rv110 mein Netzwerk aufgerüstet.
Der Spaß hat mich an die 400€ gekostet und jetzt is erst mal alles sauber.
7 vlans und 4 wlans. Damit habe ich auf Layer 2 meine Gäste, Kinder, das KNX Zeugs und meine Daten voneinander getrennt.
Das Routing und die Zugriffe regelt eine sophos utm.
War ca. 4 Abende Einrichtung und obwohl ich mich eigentlich mit Netzwerken ganz gut auskenne, habe ich noch ne Menge gelernt.
Für Zuhause langt das locker, wenn die KNX Installation allerdings ein Museum steuert, sollte man doch zu anderen Komponenten greifen.

Jetzt fühle ich mich gegen Angriffe oder Fehlern von mir erst mal wieder sicher. Und die Netzwerk Performance ist gefühlt auch gestiegen.

Gruß
Mac.

Jaja, Qualitätsgeräte von der Qualitätsfirma Cisco zum Qualitätsgerätepreis.

Ich hoffe, Du hast da die aktuellste Firmware in dem RV110 drin - in den vorherigen Versionen steht praktischerweise der komplette Adminaccount als Plain Text im HTML-Quelltext der Anmeldeseite Cisco-Router mit Passwörtern im Quellcode des Web-Interfaces | heise Security

Aber solche Kleinigkeiten fixt der Weltmarktführer glücklicherweise - dauert nur mal 4-6 Monate zwischen Meldung und Fix, da fühlt man sich gleich viel sicherer ...

Na ja, Cisco steht drauf aber drin ist für den Preis halt "nur" Linksys.
Ist aber dennoch meiner Meinung nach besser als Dlink, Netgear oder andere die sich in dem Preissegment tummeln.

Ja aktuelle FW is natürlich drauf, wobei man ja das vLan zur Administration des Routers angeben muss und da sollte natürlich eh keiner ausser man selbst rein kommen. Alle anderen sehen dann die Oberfläche schon gar nicht.

Gruss,
Mac.

Und Linksys war auch einmal, Cisco hat das 2013 an Belkin verscheuert.

Bei dieser Geräteklasse kannst Du auch getrost Belkin, Netgear oder DLink kaufen, innen drin steckt oftmals überall die gleiche widerliche Sosse, z.B. von SerComm, die beliefern zig Hersteller im SoHo-Segment mit mehr oder weniger den gleichen Geräten die nur noch herstellerspezifisch gebrandet werden (Gehäuse, Adminoberfläche). Das erklärt dann auch warum ein und dieselbe Backdoor plötzlich bei zig verschiedenen Geräten mehrere Hersteller auftaucht.

Sehen und staunen: https://wikidevi.com/wiki/TCP-32764/..._devices_in_DB

Ich bleibe bei meinen Mikrotiks, da sind zwar auch gelegentlich mal Bugs drin aber in der Kampfklasse haben die sich bislang nix geleistet - und das was war wurde immer in kürzester Zeit gefixt.