Ankündigung

Einklappen
Keine Ankündigung bisher.

Umstellung auf KNX Secure

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    Umstellung auf KNX Secure

    Hallo zusammen,
    vorab ich habe über die Suche Nix (eventuell war ich aber auch zu blöd dafür) dazu gefunden.

    Macht es Sinn mein IP Interface und alle anderen Geräte die dies auch können auf Secure umzustellen? Welchen Mehrwert hat man da im Eigenheim?
    Und wenn ja wie bekommen dann nicht Secure Geräte die Kommunikation mit?
    Und wie kann man dies umstellen? Einfach nachträglich aktivieren oder löschen und komplett neu machen? Ich frage da bei MDT nur die Inbetriebnahme mit oder ohne Secure beschrieben ist, aber nicht wie man die nachträglich macht.
    Stichworte: -
    #2
    Hi,

    mit secure kommunizieren die Secure Geräte verschlüsselt untereinander. Jemand mit Zugriff auf das Bus-Kabel aber ohne die Schlüssel kann weder mithören noch etwas senden (das gehört wird).
    Sind nicht-secure Geräte dabei, sind werden die entsprechenden Telegramme unverschlüsselt übertragen.

    Nutzen im Eigenheim bringt das nicht, nur potentielle Probleme. Ich würds lassen.

    Kommentar

      #3
      Tue dir das im Eigenheim nicht an, wirklich nicht erforderlich. Überlege einfach mal, wo ein Zugriff auf den Bus möglich wäre, vermutlich eh nur im Haus…

      Kommentar

        #4
        Hallo Marco,

        was IMO in einem EFH Sinn macht:
        • Der LK für die Außenlinie sollte Secure in Betrieb genommen werden, damit er nicht von außen umprogrammiert werden kann. Die Telegramme, die er weiterleitet, müssen (sollten) aber nicht Secure sein.
        • Falls man eine GA zum Öffnen der Haustür hat, sollte diese möglichst Secure sein, damit keiner, der sich in Dein Netz hackt (z.B. weil Deine Kinder den WLAN-Schlüssel wild weiterverteilen) einfach Deine Tür öffnen kann
        Mehr Fälle fallen mir nicht ein, aber "Sicher" ist ja ein sehr subjektives Ding, da gibt es bestimmt Andere, die es total anders sehen.

        Ferner ist es IMO häufig so, dass je weniger man sich in der Materie auskennt, um so mehr glaubt man, dass das Wörtchen "Secure" wirklich "Sicher" bedeutet. Und je mehr man sich auskennt, desto eher weiß man, dass "Secure" eher "Problem" bedeutet .

        Gruß, Waldemar
        OpenKNX www.openknx.de
        • Likes 3

        Kommentar

          #5
          Beim IP Interface wäre IP Secure sinnvoll, sonst könnte man via IP unverschlüsselt drauf zugreifen.

          Kommentar

            #6
            Falls man eine GA zum Öffnen der Haustür hat, sollte diese möglichst Secure sein, damit keiner, der sich in Dein Netz hackt (z.B. weil Deine Kinder den WLAN-Schlüssel wild weiterverteilen) einfach Deine Tür öffnen kann
            Viele Visus haben keine Authentifizierung. Wenn der Feind im WLAN ist, ist es IMHO eh zu spät.
            Dennoch gebe ich dir Recht.

            Kommentar

              #7
              Wer sich den Aufwand antun möchte, im EFH sein KNX secure zu machen, der kann sich auch den Aufwand antun, und das KNX IF / die Visu in ein eigenes VLAN zu packen. Das WLAN, was bei mir rausgegeben wird, ist ein VLAN das nur ins Internet kommt. Reicht den meisten Besuchern

              Zitat von mumpf Beitrag anzeigen
              Der LK für die Außenlinie sollte Secure in Betrieb genommen werden, damit er nicht von außen umprogrammiert werden kann.
              Geht das tatsächlich, auch wenn z.B. beim LK von MDT "Konfigurieren über Linie (SUB)" auf "Sperren" gesetzt ist?

              Kommentar

                #8
                Ich denke die meisten werden ein Gäste WLAN haben aus der die Visu nicht erreichbar ist.
                Und was macht der Nachwuchs, wenn der Freund zu Besuch ist?
                Eben den QR-Code vom Handy teilen.
                Und da ist nun mal nicht das Gäste WLAN eingestellt, sondern das normale.

                Kommentar

                  #9
                  Meiner Meinung nach muss man erstmal unterscheiden welches Secure.

                  DataSecure, bedeutet das die Telegramme auf dem TP Bus verschlüsselt werden. Dieser Overhead macht in einem EFH keinen Sinn. In einem Hotel wo Gäste böse sein können schon.

                  Ip Secure (o.ä.) schützt die IP Linie (Router oder Interface) und verhindert, dass Freunde (wie mumpf schon meinte) über WLAN deine Haustüre öffnen können. Hierw eiche ich etwas von mumpf Meinung ab. Meiner Meinung nach ist das auch im EFH nicht nötigt, wenn die IP Schnittstelle entsprechend geschützt ist. Das kann halt durch Secure sein, oder aber auch durch ein extra VLAN wo keiner drauf kommt. Und ob eine Außenlinie wirklich Secure braucht bin ich mir auch nicht sicher. Hängt etwas vom Setup ab.
                  OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                  Kommentar

                    #10
                    henfri
                    Bei mir ist niemand im Visu / KNX Netzwerk. Gegebenfalls gibt es ein Routing von bestimmten IP Adressen im Nicht-Gäste-Netzwerk zu den entsprechenden Geräten.
                    Klar, da könnte der Nachwuchs sein Netzwerk teilen, und der Freund statt DHCP die IP Adresse auf eine der "erlaubten" ändern.
                    Hätte dann aber Erklärungsbedarf und kommt wahrscheinlich dann nicht mehr oft.

                    Finde es übrigens nett zu zitieren oder mit @ ansprechen, damit die Leute eine Benachrichtigung bekommen und eine Chance zum Antworten haben.

                    Kommentar

                      #11
                      Zitat von henfri Beitrag anzeigen
                      Und was macht der Nachwuchs, wenn der Freund zu Besuch ist?
                      Eben den QR-Code vom Handy teilen.
                      Und da ist nun mal nicht das Gäste WLAN eingestellt, sondern das normale.
                      Um das abzusichern geht man hin und macht ein VLAN in dem nur die Kinder unterwegs sind.

                      Gruß
                      Andreas

                      Kommentar

                        #12
                        Und im welches vlan packst du die ganze multicast Geräte? Selbst mit Proxy hab diverse Geräte Probleme damit.
                        OpenKNX www.openknx.de | OpenKNX-Wiki (Beta)

                        Kommentar

                          #13
                          Zitat von AndreasK Beitrag anzeigen
                          Um das abzusichern geht man hin und macht ein VLAN in dem nur die Kinder unterwegs sind.
                          Und ist die Visu da erreichbar?

                          Kommentar

                            #14
                            Zitat von henfri Beitrag anzeigen

                            Und ist die Visu da erreichbar?
                            Das hängt davon ab, wie du das VLAN absicherst. Das Kinder VLAN muss ja nicht auf alles zugreifen. Du kannst ja z.B. bestimmte IP Adressen, oder Bereiche blocken usw..
                            Wenn Kinder ein Smartphone haben und verstehen, wie Sie per QR das WLAN zu verteilen, verstehen Sie sicherlich auch nicht dieses zu verteilen, sondern sind auch in der Lage Freunden das Gast VLAN zu geben.
                            Bei uns haben wir es so gemacht, dass in der Küche und in den Kinderzimmern die Zugangsdaten des Gast VLAN hängen, und somit die Freunde diese Zugangsdaten nutzen.
                            Man sollte bei diesem Ganzen Thema etwas auf dem Teppich bleiben. Absichern kann man nichts zu 100%. Wer Schaden anrichten will, findet auch einen Weg, und dann geht es in Richtung mutwillig bzw. kriminell. Da kann man noch so viel im Vorhinein absichern.
                            Gruß
                            Andreas

                            Kommentar

                              #15
                              Zitat von AndreasK Beitrag anzeigen
                              Man sollte bei diesem Ganzen Thema etwas auf dem Teppich bleiben. Absichern kann man nichts zu 100%. Wer Schaden anrichten will, findet auch einen Weg, und dann geht es in Richtung mutwillig bzw. kriminell. Da kann man noch so viel im Vorhinein absichern.
                              Da stimme ich dir zu... deswegen kein KNX-Secure im EFH, um man wieder auf de Ursprungsfrage zu kommen.

                              Zitat von traxanos Beitrag anzeigen
                              Hierw eiche ich etwas von mumpf Meinung ab.
                              Eigentlich nicht, Du hast mich nur Missverstanden . Ich hatte nicht vom IP-Interface sondern vom LK gesprochen, und da auch nur von der Device-Security. Also nur von dem Punkt, dass man den LK nur mit einer ETS umprogrammieren kann, die den passenden Schlüssel hat. Dampf hatte vom IP-Interface gesprochen.

                              Zitat von sewi Beitrag anzeigen
                              Geht das tatsächlich, auch wenn z.B. beim LK von MDT "Konfigurieren über Linie (SUB)" auf "Sperren" gesetzt ist?
                              Wahrscheinlich reicht das, ich hab das nicht ausprobiert mangels Hardware, aber das ist eben ein Hersteller, der das anbietet. Die meisten LK sind symmetrisch und können sowohl von der Haupt- wie auch von der Sublinie programmiert werden. Ist das Gerät per Secure geschützt (nur das Gerät, nicht dessen Kommunikation), kannst Du es eben nur mit der "richtigen" ETS umprogrammieren.

                              Gruß, Waldemar
                              OpenKNX www.openknx.de

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu