OT again

Ich weiß wozu ein VPN da ist, das heißt aber nicht, dass man es nicht auch für andere Zwecke misbrau... äh benutzen kann. Letztlich bietet es (neben der Verschlüsslung) eine Authentifizierung, die man sonst bei einfachen IP Verbindungen nicht hat.

Den eibd kann man so konfigurieren wie man möchte. In Kombination mit iptables kann man also sehr wohl erreichen, dass man keinen Busverkehr im LAN/WLAN hat, *außer* bestimmte Bedingungen werden eingehalten. Anstatt VPN kann man auch auf Source-IP oder Source-MAC filtern, das sind aber beides keine zuverlässigen Kriterien (macht es aber als erste Hürde schonmal sehr viel schwerer).

Meinst du wirklich?

MAC Adresse als Sicherheitsmerkmal ist genauso hinderlich wie die vor Jahren geplanten Stoppschilder. Hindert einem nur so lange wie man braucht um das hier einzutippen:

MAC Sperren sind also total für'n a*sch.

Naja man muss ja erst mal die zugelassene MAC wissen. Sind ja nur 2^48 Möglichkeiten ;-)

Bei regelmäßigem Traffik auf der Leitung ist das mit Wireshark schnell ermittelt.

Hi,

definiere schnell. Wie Lang brauchst du um ein WLAN mit WPA2 zu hacken bei einem 16stelligen random Passwort?

Viele Grüsse
Jürgen

Was habt ihr denn alle für Sicherheitsrelevante Sachen auf dem KNX das irgendjemand den Aufwand betreiben sollte sich in eure Anlage zu hacken?

Wenn sich eine Sicherheitslücke im AccessPoint befindet unter umständen nicht lange.

Mir persönlich wäre es lieber, wenn solche "wichtigen Dinge" nicht über den Äther zu empfangen sind. Verschlüsselung ist gut (wieso nur 16 stellen? Wieso nicht das maximum ausreizen?), aber gegen Sicherheitslücken ist man damit nicht gefeit. Und schwups ist die Verschlüsselung ebenfalls für'n a*sch.

Okay, alles theoretische Spinnereien mit geringer Wahrscheinlichkeit des Eintreffens. Aber der Teufel ist ein Eichhörnchen ... Oder so ähnlich.


@Buba
Es geht nicht nur um Sicherheitsrelevante Dinge. Wenn der Bus (bedingt durch was auch immer) offen steht, kann man u.U. sogar einen Hardware-Schaden anrichten (wurde ja hier irgendwo schon beschrieben). Und nen Verteiler voll neuer KNX Komponenten zu kaufen... tolle Wurst.

Und Aufwand ist relativ. Es gibt ja einfache Möglichkeiten den Bus abzuschotten, ohne sich gleich ein Arm und ein Bein ausreissen zu müssen.

Wieviele WLANs haben "nur" WPA2-AES an? Da sieht man reihenweise WPA/WPA2 mit TKIP -> dann ganz schnell. Dann wäre da noch WPS (da war jetzt jeder Hersteller mal dran) oder halt bei WPA2 eine Weile warten.

Um wieder mal zurück auf die eigentliche Frage zu kommen...

Ich habe auch die Winsta KNX Buchsen von Wago verwendet. Damit ist es ausgeschlossen dass daran jemand seine Lautsprecher anschliesst und ich habe auch einen BUS Zugang für neue TP1 Geräte (da nützt nämlich auch WLAN nix)...

Mir gefällt zwar die Idee, genormte Stecker und Buchsen zu verwenden, die Winsta KNX Stecker und Buchsen finde ich aber lieblos "entwickelt".

Es fehlen die Markierungen für die Aderfarbe (oder sie sind gut versteckt). Dann sind auch die Kontakte sehr offen zugänglich, sowohl am Stecker, als auch an der Buchse. Wenn es schon nicht besser geht, fehlt hier zumindest eine Abdeckung.

Zuletzt fehlt mir der Zugang zu den 2 weiteren Leitungen, z.B. für die Hilfsspannung der Prions (bzw. man braucht einen weiteren Zugang z.B. Grau).

Da ich bisher keinen optimalen Anschluss gefunden habe, verwende ich ISDN-Buchsen (UAE, 2x8).
Auf das Schildchen kommt "KNX" drauf, die Pinbelegung habe ich definiert (und schreibe ich auf dem "Busch-Jäger - 1746-84 - Abdeckung für Kommunikationsgeräte 50 x 50 mm, Klappdeckel" innen drauf).
Das Kabel Crimpe ich direkt auf einen Netzwerk-Stecker (wegen der starren Litze sollte man evtl. welche mit Schraubverbindung verwenden).

So sind bei mir alle KNX-"Anschlüsse" gestaltet, wie z.B. für Taster in oder an Schränken, Nachtkästchen, AP-Aktoren in Wohnzimmer- und Küchenschränken und natürlich der Zugang am Testplatz. Sie lassen sich leicht stecken und lösen und durch die Abdeckung sind sie schön versteckt.

Um das Thema nochmal aufzuwärmen:

Habe mal eine kleine Laubsägearbeit vollbracht und bei mir im Büro zwei GIRA Blindabdeckungen aufgesägt und dort jeweils zwei Winsta-Buchsen reingebaut.

Nun kann man einfach mal schnell eine Demotafel oder Geräte zum programmieren dort dranhängen und es sieht auch noch ganz gut aus wie ich finde.

Schaut gut aus. Werde die Idee wohl kopieren ....

Wow. Sehr schick. Das kommt auf die Winter-Bastel-Liste. Kannst du mir sagen welche Buchsen das sind und welche Stecker dann dazu passen? Am besten mit Artikel-Nummer und evtl Bezugsquelle?

Danke,
Micha

Zu faul zum lesen du bist, oder?
https://knx-user-forum.de/418147-post39.html

Naja, gelesen habe ich es wohl. Das mit dem Verstehen, Danach-Suchen und Sich-Sicher-Sein ist aber nochmal etwas anderes.
Ganz konkret: ich brauche dann also je 1x: WAGO 893-2002 und 893-1002, oder?

Danke,
Micha