(Blubb gekürzt)
Ganz ehrlich, ich kann das wischi-waschi-halbwissen-verbreiten nicht mehr hören!

Also, klicke auf die Googlemap, bist herzlich eingeladen und hiermit straffrei gestellt (sonst wäre es eine Straftat): bei mir liegt KNX und 2x Eth aussen. zzgl. 2 APs, 433&868MHz FB. Sicherheitslücke Garagentor inkl.
Motorschloss für die Haustür am KNX, eine Option wäre noch den Bluetooth-Zutritt zu hacken (dabei auf die Trittmatte, sonst gehts ned auf)
KNX-BWM, Mobotix am Eingang, Abends (SU+30m) bunte LEDs, nicht zu übersehen.
Die Warnung wenn eine falsche Mac am Switchport kommt, ignoriere ich für Dich. Ebenso wenn die zwei Nachbarstöchter mir zu 300% erzählen, dass da seit Tagen ein komischer Typ rumschleicht..
Wenn Du in unter 2 Wochen mehr als das Eingangs- oder Garagenlicht geschaltet bekommt, liegt als Preis in der Garage oder im Keller, rein links die Treppe runter, auch immer ein Fass für Dich bereit. Geradeaus in der Küche gibts das auch frisch&gekühlt aus der Zapfanlage, Gläser stehen im Schrank links unten.

Wenn nicht, präventiv: bitte verschone mich und uns mit Halbweisheiten aus der Trollecke und wir lassen die Kirche bitte im Dorf.. Ich kann vielleicht auch so einiges knacken, mache das aber nicht weil es a) eine Straftat ist und es b) für solches Wissen lukrativere und weniger illegale Einsatzfelder, als den Einbruch in EFH gibt.
Da würde ich - sollte ich sowas vorhaben - ein Brecheisen nehmen, keinen Laptop.

Makki

P.S.: Das die Sicherheitslage in dem ganzen HA/GA-Bereich desaströs ist, da stimme ich zu, nur ist das halt kaum praxisrelevant..

Edit: P.P.S: Wenn ich auf die letzten Postings hier und in einem anderen Thread im Detail eingehen würde - wozu ich keine Lust habe - müsste ich mich noch mehr aufregen, meinem Blutdruck zuliebe lasse ich das..

(Blubb geküzt)...

Also was willst du mir erzählen? Dass ich die richtige MAC bräuchte, um durch deinen switch zu kommen. LOL: Ich würde einfach deine MAC benutzen, um die Pakete zu adressieren. Oder glaubst du immer noch an das Märchen von unberührbarkeit einer MAC addresse?

Oder das du deine Türöffnung einem Bluetooth anschluss anvertraust? Bluetooth??? Neben WLAN ist Bluetooth das Lieblingsbetätigungsfeld aller geltungssüchtiger Hackerkids...


Was sonst? Nur Anmerkungen von denen keiner weiss, was sie mit dem Thema zu tun haben (Nachbarstöchter, Zapfanlagen, ....).

Gekrönt von dem tollen hinweis, dass es "für solches Wissen lukrativere und weniger illegale Einsatzfelder, als den Einbruch in EFH gibt". Sag das mal den typen in der ukraine, die mit immensem know how umgehungen für fahrzeug(modell)spezifische elektronische wegfahrsperren konstruiert haben. und das nur für eine popelige e-klasse. oder einen golf diesel.

Und zum schluss: Natürlich verwendet ein Einbrecher grobe Gewalt, um in ein Haus zu gelangen (und auch einen Kleintransporter, um die Sachen wegzutransportieren, der Sack über der Schulter ist Legende...). Deshalb sind gute Türen und Fenster immer noch das allerwichtigste. Aber eine gute voraufklärung, verbunden mit dem abschalten aller deiner Melder, der Telefonanlage etc. macht die arbeit risikolos.

Ansonsten kann ich nur nochmals auf den Artikel der Firma Mobotix zu diesem Thema verweisen...


gruss

Na wenigstens habt ihr die Bedrohung erkannt, und nicht einfach nur ignoriert. Aber wie ihr die IP Leitung abschalten wollt, würde mich interessieren. Ein Zusatzkästchen vor dem switch? Wie sicher ist diese Abschaltung gegen Fehlauslösung (wär ja dumm, wenn sich die Leitung immer dann abschaltet, wenn spielende Kinder einen Ball dagegenwerfen...)? Hat sie Sinn, wenn man statt Edelstahl nur Kunststoff an der Türstation hat?

Dein Ansatz läuft darauf hinaus, die Türstation etwa so sicher zu machen wie das Haus selber (Einbruchschutz, Zugriffsschutz, Alarmierung). Das Ganze natürlich in Beton und Edelstahl (wenn das Haus ähnlich sicher ist). Das kann man machen, und macht auch Sinn. Dann kann man durchaus auch alle Leitungen in die Türstation legen (natürlich aufbuddelsicher, Leitungen am besten in Beton vergossen), die es auch im Haus gibt.

Zum Eintritt im Haus: sogar in diesem Forum werden vermehrt immer wieder Lösungen vorgestellt, die eine elektronische Öffnung des Hauses zum Ziel haben. Ist sehr bequem. Nicht nur für den Eigentümer...


gruss

Du bist mir ja nen pfiffigen ... aber mal ganz ehrlich, mich langweilt das auch und ich geb dem Makki völlig recht...

Nein glaubt er nicht er würde ja nur für dich ignorierern wenn du mit ner anderen MAC ankämst, also kannst du dir das ändern der MAC sparen. Du kämst von da nur nicht wirklich weiter weil sich in dem für diesem Switchport sichtbaren Bereich warscheinlich nix befindet

Das das sicher nicht die 08/15 Netzwerk installation ist wird dir doch wohl klar sein. Da wird das knacken eines ereichbaren Servers über das Internet sicher einfacher als das über die VLAN Schiene einer sicher dahinterliegenden Cisco zu machen. Das du die überwindest ist stark zu bezweifeln.

EDIT: noch vergessen, warscheinlich fehlt noch die zertikatsbasierte 802.1x Authentifizerung

So nun lasst uns aber mal ein Schlußstrich unter die Netzwerksicherheit ziehen denn das ist das KNX-User-Forum.

Fazit:
Netzwerke können sicher sein. Wobei da ein Server im Internet sicher mehr Angriffsfläche gibt, als ein Netzwerkkabel im Aussenbereich (wenn es abgesichert ist).

Wenn es so wäre, dann ist ja gut. Die Wahrscheinlichkeit (und alles, was mitschreiber bisher haben verlauten lassen) ist aber, dass dahinter der hausswitch sitzt, mit vollem Zugriff auf alles. Ansonsten: Ich würde einfach meine MAC FÄLSCHEN. Und mich als dein Gerät ausgeben. VLAN ist so sicher wie eine MAC Adresse. Und die kann ich auslesen.

Cisco ist eine gute Firma. Werden Cisco Router standardmässig mitinstalliert? Bekommt man die als Goodie geschenkt?

Wie du jetzt schon richtig sagst: wenn man eine IP vor die Tür legt, sind erhebliche finanzielle, organisatorische und wartungstechnische Massnahmen nötig. Da sind wir uns einig. Nix anderes habe ich je gesagt. Und dass es besser, billiger und sicherer ist, darauf zu verzichten und alternativen zu wählen.

Ohne diese Massnahmen ist es unglaublich viel leichter, einfach durch die aussenliegende IP in das hausnetz (und damit übrigens auch an alle angeschlossenen Rechner und Server) zu kommen, als einen Trojaner durch einen Norton (oder sonstwas) zu schmuggeln.

So wie ich das sehe ist die KNX Welt immer mehr mit IP Verknüpft. Damit wird KNX auch zwangsläufig ein Ziel werden. Insbesonderen, wenn Türöffner, Alarmanlagen, Telefonanlagen oder BWM daran hängen.

Richtig. Nur die Absicherung ist teuer und aufwendig. Wer denkt schon daran? Wer kauft es? Wer wartet es? Wer weiss es?

gruss

bezog sich auf makki, der wie du vielleicht weißt/oder auch nicht eine Netzwerkfirma hat die VPN's zur verfügung stellt (Gemanagte Netzwerk Sicherheit, Standortvernetzung, Firewall) (hoffe makki killt mich nicht für das posten des Links in so einem zusammenhang die Tante wirds nicht finden *duckundwech* )

Ich weis nix von niemandem. Und mache auch keine Annahmen. Ich sehe nur, wer was schreibt. Und nur darauf kann ich antworten...

Hier mal eine kurze Leseprobe für alle, die noch an die unverletzlichkeit von VLANs glauben:

"Einige Hacker verwenden Werkzeuge, die Pakete mit vielen tausend unterschiedlichen MAC-Adressen generieren. Der Adressenspeicher vieler Switches ist jedoch begrenzt. Die Folge: Die Tabelle „läuft über“ und der Switch kann sich nicht mehr merken, welche MAC-Adresse zu welchem Port gehört. Viele Geräte schalten dann zurück in die Betriebsart „Hub“ und leiten einfach alle Pakete an alle Ports weiter. Der Angreifer kann nun auch Daten abfangen, die eigentlich nicht für ihn zugänglich sein sollten. Deswegen sollten Administratoren diese „Fallback“-Automatik im Switch auf jeden Fall deaktivieren."

VLANs in der Praxis

Das ist nur die simpelste aller bekannten Möglichkeiten. Ein Fachmann kennt diese Lücken und kann sie beseitigen. Der Installateur, der eine Mobotix Türstation mit Gira oder Siedle zusammenbindet und installiert auch?

In der Internetwelt machen das Firmen wie Norton oder Kaspersky für den zahlenden Anwender. Mit erheblichem Aufwand.

Aber in der Hausautomationswelt?

gruss

Ja ich glaube an VLAN's aber nur wenn jemand weiß was er tut und nicht solchen Schwachsinn wie Autotrunking ... nutzen. Wenn ich VLAN's zur absicherung nutzen will dann muss ich sie auch sauber installieren.

Das Sicherheitsrisiko dort ist nicht Netzwerk/VLAN/MACADDRESSEn sondern Unwissenheit.

Das Beispiel was du genannt hast, würde zumindest bei mir, zur sofortigen Abschaltung des Ports führen. Das Daten mit doppeltem TAG bis zu einem Trunkport kämen ist auch unwarscheinlich.

Das viele möchtegern-managed Switche das :würgh: implementiert haben macht die Sache nicht wirklich einfacher. Aber das mit der Sicherheit ist immer eine Frage des Preises, wenn du billige Fenster einbaust sind die sicher auch nicht so gut wie hochwertige. Viele kaufen bei sowas dann jedoch billig, was ja nicht zwangsläufig ein problem ist, es hat ja auch nicht jeder bruchsicheres Glas in den Fenstern

Bei einem Switch heißt managed auch nicht zwangläufig sicher.

Wir sollten jetzt aber echt mal Schluß machen, da das Thema ja nicht heißt "Wie kann ich mei Netzwerk schützen" das gleiche könnte man sonst auch noch über KNX-Kabel im Aussenbereich führen, aber danach hat keiner gefragt.

Wenn jemand ernsthaft Bedarf danach hat wie sowas abgesichert wird, dann bitte in einem neuen Thread.

This looks like a good solution and simple to implement with KNX. In my (very limited) view of the facts:

- NC contact in the Videostation housing connected as a sensor to the KNX and to the sabotage contacts of the alarm.

- Separate small switch for the cable to the video station connected to a KNX actor.

If the contact opens, the switch loses power and the alarm sounds. It can be done with relative ease and it should not fail easily (unless a football impact completely destroys the video station, in which case you probably want the alarm to sound anyway).

If you are the one with bad intentions: you approach the video station. At least with Mobotix, only by approaching the camera is started and your image is recorded. You break open the videostation (your action is still being recorded). The alarm sounds and the IP cable stops working. At that point, you can either (i) continue there with the alarm sounding and a non-working cable in your hand trying to play wargames; or (ii) run away (and I still have your image recorded). I guess you do the second, probably taking with you the video station to study it.

Sounds safe enough for a normal house to me, but happy to know other people's opinions


Daniel

As long as you do not approach from behind the camera...

gruss

www.g-homerserver.com

Um mal wieder back to topic zu kommen...

Ich finde die neue Mobotix-Türsprechanlage klasse, habe bei mir allerdings schon die Gira-Anlage (Fingerprint, Lautsprecher-Mikro-Einheit, Klingel) verbaut. Auf die Kamera hatte ich seinerzeit verzichtet, weil ja nicht mit dem HS kombinierbar...die Gegensprechstelle geht dann auf meine ganz normalen Haustelefone

Jetzt würde ich gerne meine Anlage mit der Mobotix erweitern, von der Mobotix aber entweder nur das Bild verwenden oder Bild und Ton, im letzteren Fall würde dann nur die Klingel und der Fingerprint von der Giralösung verbleiben.

Jetzt die Fragen:

• Ton und Klingel über Gira, Bild über Mobotix: meint Ihr, man bekommt das hin, auf VoIP-Geräten dann beides als einen Call zusammenzubringen? Dass dabei die Lippensynchronität verloren geht, kann ich akzeptieren
• nur noch Klingel (und natürlich Fingerprint und Türoffner) über Gira, Bild und Ton über Mobotix: Hier wäre in meinen Augen die Herausforderung, die Audiofunktionalität der Mobotix zu "wecken", wenn es über das Gira-Modul klingelt - hat die Mobotix so etwas wie einen Eingang für eine "externe" Klingel?

Wenn alles nicht geht, würde ich die Mobotix nur als dauerhaft sendende Kamera nutzen, hätte dann aber das Bild auf der Visu und den Ton auf den Haustelefonen - unsmart!

Gruß

Olaf

@Nils: Ich kann dir nur (und das gerne) 100% recht geben.


gruss

...Which in most cases means you are already inside the secured area, and does not solve the alarm/switch off barriers.

The secure area is the house, not the garden, the front entrance or the roof. Or did you lasertag your compound?

gruss