Bei der Art der Fragestellung und bei den geschilderten Umständen sind die Control 9 eher nicht Euer Problem.

Ich habe die Panels in Betrieb genommen, in den Netzwerkeinstellungen eine festen IP vergeben und ich habe auch einen Standardgateway eingetragen, also die IP der Fritzbox.
Das Panel fragt ja aus dem Internet z.B. die Uhrzeit zur Synchronisierung ab. Das funktioniert ja alles.
Der Administrator von meinem Kunden würde gerne die Panels sperren für den Internetzugang, aber im Panel selber. Er meint, wenn ich die Standardgateway adresse leer lasse, würde das reichen.
Ich hätte in der Fritzbox gesperrt, habe aber keinen Zugriff darauf.

Da auf den Panels ein abgespecktes Windows XP läuft, wäre das Panel ein perfektes Einfallstor für einen Hacker um auf das Netzwerk zugreifen zu können, deshalb soll ich es sperren.

Deshalb meine Frage: Ist das Panel gegen solche Angriffe gesichert oder nicht?
Muß ich es wirklich sperren, oder wäre das sinnlos?

Wie soll ein Hacker auf das Panel den bitte zugreifen, wenn nur die Visu darauf läuft und sonst auf keine Webpage, etc. gesurft wird und auch keine Installation von Software stattfindet?

Gerade weil ein Windows Embedded drauf ist und da auch ein Schreibschutz aktiv ist, bringt das zusätzliche Sicherheit. Display täglich neustarten auch nicht vergessen.

Aber wenn vom Display aus nur die Zeitabfrage erfolgt, kann die Zeitabfrage auch auf die Fritzbox als NTP gelegt werden und der Internetzugriff ansonsten gesperrt im Display. Gateway Adresse ist eine einfache und gute Möglichkeit.

Beim 9" Client kann z.B. das Adminpasswort, im Gegensatz zu den 19", nicht geändert werden.

Also bei solch groben Schnitzern muss man wohl von extrem unsicher ausgehen...

Ansonsten gab es durchaus auch Sicherheitslücken welche von Extern ausgenutzt werden können. Allerdings würde das bedeuten, das schon ein System im Netzwerk verseucht ist und der Schädling überspringt. Das würde sich aber auch durch eine Internetsperre nicht ändern.

Wenn er auf Nummer Sicher gehen will, dann kommen HS und die Panels in ein getrenntes Netzwerk. Dann kann man aber auch nicht mehr per Internet auf den HS (oder gibt es den auch mit 2 Ethernet-Schnittstellen?).

Wenn das Budget dafür vorhanden war, dann sollte wohl auch eine gescheite Netzwerk-Infrastruktur da sein. Andernfalls braucht man das Thema Sicherheit an der Stelle nicht wirklich weiterdiskutierten. Spar dir deine Zeit und lass den Administrator fummeln.

Andernfalls: Lass ein VLAN für die ganzen KNX Komponenten einrichten und ein VLAN für den ganzen Rest. Der Admin sollte wissen, wie das geht. Lass eine gescheite Firewall mit integriertem Router (bspw. Endian, Cisco, Juniper, Netscreen; sollte der Admin wissen/auswählen) anschaffen. Der Admin kann sich dann austoben und an der Firewall dafür sorgen, wer mit dem KNX reden darf und wer nicht bzw. mit wem und worüber die KNX Geräte reden dürfen und mit wem und worüber nicht.

Wenn man ganz auf Nummer sicher gehen will, könnte man auch die Quad Clients nochmal in ein eigens VLAN packen und nur die http/https Kommunikation zum HS erlauben. Auf alle Fälle sollten nur die im KNX VLAN an die IP Schnittstelle rankommen (falls es denn eine gibt).

Die Fritzbox hat da eigentlich nicht wirklich was zu suchen. Die meisten Firewalls bieten Unterstützung für DSL/Kabel Modems (ggf. via eigener Module) und auch WiFi. Zusätzlich gibts auch 3G Backup, falls das DSL mal ausfällt.

Lass die Einstellungen der Clients auf DHCP. Ist einfacher zu warten auf Dauer. Selbst Server lass ich meist auf DHCP und verteile die statischen IPs dann über den DHCP Server. Sowas machen die Firewalls auch noch nebenbei.

-Gunnar