Ankündigung

Einklappen
Keine Ankündigung bisher.

KNX Sicherheitsaspekte

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    KNX Sicherheitsaspekte

    Hallo Forum,

    bei meiner weiteren EFH-Planung habe ich nach einiger Recherche noch folgende Fragen in Bezug auf Security/Topologie:

    1) IP Secure / Data Secure:
    Das neue MDT IP Interface/Router wurde zwar in anderen Threads schon angeschnitten (und ich überlege auch ob es für mich Sinn macht), jedoch nochmal kurz zum Verständnis bzgl. IP Secure / Data Secure...

    - IP-Secure - sicherer Zugang auf das Interface/Router selbst durch setzen von PW
    - DataSecure - verschlüsselte Kommunikation der Geräte untereinander -> Allerdings werden dafür anscheinend extra "Secure"-fähige Geräte (Aktoren, Sensoren, etc.) benötigt

    korrekt soweit?

    Da ich bereits ein IP Interface (Weinzierl 731) zu Testzwecken besitze, stört mich hierbei die Tatsache, dass das Interface "einfach" in meinem Netzwerk angesprochen werden kann bzw. potenziell durch den (vorhandenen) Internetzugang gefährdet ist.

    2) Bei der Topologie reden viele von Innen und Außenlinie. Nun habe ich einen Beitrag gelesen in dem ein User (Name leider nicht mehr bekannt) vorschlägt alle Außen-Sensoren etc. über Binäreingänge anzuschließen. Somit "spart" man sich die 2. Linie inkl. Koppler/SV und der Tatsache, ein Buskabel nach außen geben zu müssen (ist dadurch evtl. auch DataSecure obsolet?).

    Die Frage hierbei bezieht sich auf die Sinnhaftigkeit dieser Variante bzw. in welchen Anwendungsbeispielen würde es mit der Variante Probleme geben?

    Ausgenommen hierbei wäre die Wetterstation auf dem Dach, die ja ebenfalls nach außen dringt, jedoch ist für mich das Szenario "Einbrecher & Co. auf dem Dach" etwas absurd.

    Über ein paar Meinungen aus dem Forum würde ich mich sehr freuen, um entsprechend weiter Verkabelung und Co. planen zu können.

    VG

    btw: der Post ging vorhin etwas verfrüht raus, ich hoffe die Korrektur zeigt seine Wirkung...
    Zuletzt geändert von x2easy; 09.04.2019, 19:45.
    Stichworte: -
    #2
    Ich frage mich bei den Außenlinien, und dem Einbrecher gedanken immer wer
    1.tens einen auf dem Hof sitzenden Einbrecher mit Laptop nicht komisch findet (ich würde einen Unbekannten mit Laptop auf meinem Grundstück doch schon Eigenartig finden.
    2.tens Wieso lässt man kritische Sachen wie Zutrittskontrollen, EMA etc. über KNX laufen?

    Der einzig für mich sinnvolle Grund einer Außenlinie finde ich, das die Außengeräte vielleicht eher mal Kurzschlüsse durch Feuchtigkeit haben, als der Taster im Wohnzimmer.

    Wieso sichert man sein Netzwerk nicht erst und denkt dann an Secure?
    Wer es in das Netzwerk schafft hat mit Sicheheit andere Ziele als Lichtspielerei, ansonsten siehe Oben Punkt 2

    Ich bin da relativ entspannt.. (zumindest im privaten EFH Bereich)
    • Likes 3

    Kommentar

      #3
      Zitat von x2easy Beitrag anzeigen
      Da ich bereits ein IP Interface (Weinzierl 731) zu Testzwecken besitze, stört mich hierbei die Tatsache, dass das Interface "einfach" in meinem Netzwerk angesprochen werden kann bzw. potenziell durch den (vorhandenen) Internetzugang gefährdet ist.
      Dann würd ich mir eher Gedanken machen, denn Internetzugang mal richtig abzusichern - bevor ich mir um eine KNX-IP-Schnittstelle graue Haare wachsen lasse.

      Es ist richtig, dass "normaler" KNX nicht besonders geschützt ist - NUR - der befindet sich, gerade im EFH-Bereich, innerhalb verschlossener Räumlichkeiten ohne jeglichen Zugang von Außen. In grossen u. weiträumigen öffentlichen Liegenschaften sieht das wieder anders aus - aber selbst da hilft zuallererst brain.exe.

      Separate Aussenlinie ist durchaus sinnig - Kurzschluss wegen Nässe, Überspannung usw. werden dann von der "inneren" Busstruktur ferngehalten.

      Wer Türöffnung oder dergleichen auf eine Automatisierungslösung aufschaltet, sollte sich immer gewahr sein, dass nicht der böse Bube mit dem Laptop hier aufsperren kann, sondern auch ganz banale Programmierfehler Tür u. Tor unbeabsichtigt öffnen kann - und so sieht es auch schnell mal die Versicherung im FdF.

      Wer also "normales" Zeug automatisiert, der hat, mit Vernunft projektiert, nichts zu befürchten.

      Diese ganze Unsicherheitspanikerei stammt vom dummdämlichen Verständnis, was Smarthome sein soll - aber Du willst ja wohl keinen PR-Gag bauen, sondern dein Eigenheim ernsthaft automatisieren.
      Gruss
      GLT
      • Likes 3

      Kommentar

        #4
        Mich umtreiben aktuell eben genau diese Themen. Der Verteiler wird diesen Monat gebaut und da aktuell gerade viele Hersteller auf KNX Secure fähige IP Schnittstellen umstellen, versuche ich da auch ein solches Gerät verbauen zu lassen. Hauptgrund ist aber erstmal keine alter Version eines Produktes im Verteiler zu haben der 2 Wochen alt ist.
        Funktional wird man dann sehen wie notwendig es wird, andersrum würde sich die Frage aber nicht stellen.

        Zur Außenlinie bin ich auch aus den genannten Punkten Kurzschluss bei angeschlossenen Sensoren oder Feuchtigkeit, Spaten, etc.. ein wenig unentschlossen, da ich ungern mein ganzes Haus deshalb lahmlegen würde.
        Den digitalisierten Einbrecher fürchte ich ebenfalls nicht.

        Kommentar

          #5
          Vielen Dank für die schnellen Antworten.

          Der einzig für mich sinnvolle Grund einer Außenlinie finde ich, das die Außengeräte vielleicht eher mal Kurzschlüsse durch Feuchtigkeit haben, als der Taster im Wohnzimmer.
          Separate Aussenlinie ist durchaus sinnig - Kurzschluss wegen Nässe, Überspannung usw. werden dann von der "inneren" Busstruktur ferngehalten.
          Stimmt, diesen Aspekt hatte ich vergessen zu erwähnen... wird dieses Problem mit der Variante "Aussengeräte" per Binäreingang/Schaltaktor steuern behoben?
          Sprich, wenn es einen Kurzschluss auf einer 230V Leitung nach außen gibt, müsste ja irgendein LS oder der FI im Haus kommen, sind die Geräte dadurch genauso gefährdet wie bei einem Kurzschluss auf einer (Aussen-)Buslinie?

          Wieso sichert man sein Netzwerk nicht erst und denkt dann an Secure?
          Dann würd ich mir eher Gedanken machen, denn Internetzugang mal richtig abzusichern
          Das ist ja auch noch gedacht, evtl. habt ihr an der Stelle in paar Praxistipps? Ich hatte folgende Überlegung...
          Neuer Router (Netgear AC2300; habe leider noch eine alte Fritzbox und möchte iwie weg von AVM), dahinter Switch für die LAN Verkabelung, Trennung von Heim WLAN (inkl. MAC Filter) & Gäste WLAN...
          Ich hatte auch erst überlegt, KNX komplett offline zu betreiben, aber ich würde dann doch zur Not gern mal das ein oder andere mit dem Handy steuern können (allerdings ohne zwei separate (physische) WLAN zu erzeugen bzw. mir vom System u.U. auch gern mal einen Statusbericht senden lassen (deshalb fand ich die Mailfunktion des MDT Interfaces ganz nett).

          Im Endeffekt schwanke ich ja auch zwischen "was soll schon passieren, im Worst-Case werden bei mir (u.a.) Lichter geschaltet und Rollos gefahren" (keine Türen etc.) und in Bezug auf den WAF eine echte Enttäuschung, wenn auf einmal die Haussteuerung verrückt spielt oder komplett lahm liegt (Kurzschluss).
          Zuletzt geändert von x2easy; 10.04.2019, 09:10.

          Kommentar

            #6
            Hi,

            Zitat von x2easy Beitrag anzeigen
            Nun habe ich einen Beitrag gelesen in dem ein User (Name leider nicht mehr bekannt) vorschlägt alle Außen-Sensoren etc. über Binäreingänge anzuschließen.
            ich würde das nicht machen. Du verlierst den Vorteil, eine Applikation im Sensor zu haben, verlierst somit eine Menge Intelligenz, die man dann mit Logik nachbauen muss. Bei einem "dummen" PM bekommst Du eben nur die Info, ob Bewegung da ist oder nicht, bei einem KNX-Gerät hast Du mehrere Kanäle, kannst unterschiedliches Verhalten bei Tag/Nacht parametrieren, Lichtabhängig und -unabhängig auswerten, Bewegungsrichtung erkennen, verschiedene Sektoren abfragen etc. (nicht alle Sensoren bieten alle Features). Das ist ein Mehrwert, den ich nicht missen möchte. Abgesehen von dem Aufwand, alle Sensoren auf Binäreingänge zu führen (extra Verkabelung) anstatt sie bequem an eine Busleitung anzuschließen....

            Gruß, Waldemar

            OpenKNX www.openknx.de

            Kommentar

              #7
              Zitat von x2easy Beitrag anzeigen
              in Bezug auf den WAF eine echte Enttäuschung, wenn auf einmal die Haussteuerung verrückt spielt oder komplett lahm liegt (Kurzschluss).
              Was hätte jemand davon? Ich mein, menschliches Handeln ist immer auf ein Ziel ausgerichtet. Einbrecher suchen daher das Weite, wenn ein Zugangsweg länger als 3min braucht... Sich da irgendwo hinzusetzen, sein Laptop aufzuklappen, das gründe Kabel aus der Wand zu fischen, sich aufzuschalten, einzuloggen, hoffentlich eine automatisierte Außentür zu finden, um dann reinzugehen und deine Schätze zu klauen... Macht doch keiner. Fenster aufgehebelt und los gehts.
              Und was hat jemand davon, deine Lichter ein und auszuschalten?
              Lieber in ein schönes Videoüberwachungssystem investieren, dass wenn jemand zur Türe rein kommt, dass man auch die Personen identifizieren kann.

              Kommentar

                #8
                Zitat von Morphi Beitrag anzeigen
                Ich mein, menschliches Handeln ist immer auf ein Ziel ausgerichtet
                ...hmmm, das lasse ich jetzt mal im Raum stehen.

                Vielleicht habe ich mich auch nicht richtig ausgedrückt mit
                Zitat von x2easy Beitrag anzeigen
                Szenario "Einbrecher & Co. auf dem Dach" etwas absurd
                Das gilt für mich auch fürs Gartentor etc.... es geht tatsächliche eher um den Kurzschluss im Außenbereich.

                Ich würde allerdings nicht den ungewollten Zugriff über das Internet unterschätzen. Das muss nicht automatisch ein Einbrecher sein! Es reicht ein gelangweiltes Skript-Kiddi oder automatisierte "Angriffe" (auch wenn Sie per Zufall - Bot- eintreten) möchte ich nicht meine Frau erleben, wenn Abends einfach ungewollt Lichter flackern oder Rollladen fahren // ...zeig mir eine Frau (oder Partner #gender) der bei so etwas Abends auf der Couch cool reagiert und sagt, ach schatz, ist nicht so schlimm, sind ja nur die Lichter

                Mich würde halt interessieren wie es jeder in der Praxis umgesetzt hat oder Tipps zur Umsetzung bzgl. der Themen hat...
                ...und wenn jemand der Meinung ist "...ist mir im Privatbereich alles egal" dann ist es auch für mich auch ok... ich muss niemanden bekehren.

                Kommentar

                  #9
                  Zitat von Morphi Beitrag anzeigen
                  Ich mein, menschliches Handeln ist immer auf ein Ziel ausgerichtet. Einbrecher suchen daher das Weite, wenn ein Zugangsweg länger als 3min braucht... Sich da irgendwo hinzusetzen, sein Laptop aufzuklappen, das gründe Kabel aus der Wand zu fischen,
                  Es gibt in Nürnberg ein paar Kirchen, da weiß ich das der KNX Bus leicht zugänglich ist und das die Zeitschaltuhren für das Glockenspiel am KNX Bus hängt..... also ich hätte da schon ein paar Ideen.
                  Dieser Beitrag enthält keine Spuren von Sarkasmus... ich bin einfach so?!
                  • Likes 1

                  Kommentar

                    #10
                    Vielleicht bin ich ja zu kurzsichtig, aber wenn man schon unbedingt von "außen" auf den Bus schauen möchte, warum nicht einfach ausschließlich über eine VPN-Verbindung?
                    Viele Grüße,
                    Stefan

                    DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

                    Kommentar

                      #11
                      Weil eine Portfreigabe doch viel einfacher ist.

                      Kommentar

                        #12
                        VPN ist zB aktuell über Fritzbox eingerichtet...

                        Aber wenn das IP Interface per LAN an der Fritzbox (bzw. über Switch) hängt, ist es doch ein Risiko, da jemand der es über die Fritzbox ins Heimnetz schafft auch "einfachen" Zugriff auf das Interface hat (da dies nicht explizit geschützt ist).. oder sehe ich hier etwas falsch? korrigiert mich wen dem so ist.

                        Ich möchte aber zuhause meine Mobilgeräte (inkl. Internetzugang) nutzen und gleichzeitig KNX steuern können (ohne zB zwei separate WLAN einzurichten)

                        Aktuell sehe ich die einfachste Lösung in der Verwendung eines Layer3 Switch und der Einrichtung von VLANs. Auch hier bin ich für Praxisbeispiele dankbar.

                        Kommentar

                          #13
                          Zitat von x2easy Beitrag anzeigen
                          jemand der es über die Fritzbox ins Heimnetz schafft
                          Dann wäre mir das knx das letzte was mir bauchschmerzen bereiten würde.
                          im gegenteil wenn er mit das Licht ausschschaltet weiss ich wenigstens dass er hier ist, und kann den Stecker ziehen

                          Kommentar

                            #14
                            Das Risiko ist eindeutig die Nutzung von IP nicht die Nutzung von KNX.
                            Da die digitalen Bösewichte viel mehr Geld "verdienen" wenn die sich in dein LAN hacken und sich alles von Deinen Festplatten saugen was man kriegen kann, als erst zu dir zu fahren ne Türe auf zu machen und schwere Kartons rauszutragen, ist Dein Problem schnell beschrieben.
                            Ich will Fritzbox und kein separates WLAN für die interne Kommunikation.

                            Sorge also für eine ordentlich sichere Netzwerkinfrastruktur und gut ist das. Wie sowas geht gibbet hier genügend Threads im Forum für ernsthafte Ansätze. Da es da nicht den einen Weg gibt, macht es auch keinen Sinn das jetzt hier nochmal aufzudröseln. Die Netzwerkwelt ist zwar schnelllebig aber die Threads auch alle noch ausreichend aktuell und vom Grundprinzip her immer noch gültig.
                            ----------------------------------------------------------------------------------
                            "Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten."
                            Albert Einstein

                            Kommentar

                              #15
                              Ok, dann lassen wir mal das Thema IP/Netzwerk außen vor -> eigene Thematik

                              Zitat von mumpf Beitrag anzeigen
                              Du verlierst den Vorteil, eine Applikation im Sensor zu haben, verlierst somit eine Menge Intelligenz
                              Bzgl. der Thematik Außenlinie vs. Binäreingang muss ich mir nochmal den Kommentar von Wolfgang durch den Kopf gehen lassen, welche Szenarien das sein könnten

                              und zu guter Letzt IP Secure / DataSecure: hat aktuell anscheinend keine große Relevanz...
                              IP Secure -> kann auch durch allg. Netzwerksicherheit gewährleistet werden
                              DataSecure -> Wenn kein Zugriff auf den Bus, kann auch nichts mitgelesen/manipuliert werden

                              Vielen Dank für die Antworten
                              VG

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu