Ankündigung

Einklappen
Keine Ankündigung bisher.

Haustür mit KNX öffnen - ja oder nein?

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    KNX/EIB Haustür mit KNX öffnen - ja oder nein?

    Hallo,

    ich poste hier im Einsteiger-Forum, da es eher um Basics geht: Wie steht Ihr dazu, dass man die Haustür über KNX öffnen kann?

    Bei Alarmanlagen bekommt man von PeterPan Kopfnüsse, wenn man nur laut darüber nachdenkt sie über KNX zu deaktivieren. Aber wie sieht das bei der Haustür-Öffnung aus?

    Auf der Loxone-Webseite gibts eine Aufstellung über vier Varianten (dabei kann man Loxone durch HS, WireGate, ... ersetzen - und ekey durch einen anderen Fingerscanner, RFID, ...): Dokumentation Kommunikation mit UDP | Loxone

    Dabei kann zB ein Fingerkey-System komplett selbständig öffnen, die Auswertung welcher Nutzer gerade rein will wird read-only auf den Server gegeben. Es gibt - hoffentlich - keinen Ansatzpunkt aus dem Netz heraus die Öffnung auszulösen.

    Das andere Extrem: Man kann auch per App irgendwo auf der Welt die Haustür öffnen, weil der Paketdienst ein Päckchen in den Flur stellen soll oder die Nachbarin rein muss. (Egal ob über KNX oder zB ekey-App.)

    (Dass man einen Schlüssel braucht wenn das ganze mal ausfällt - logisch. Darum geht es mir hier nicht.)

    Klar auch, der 0815-Einbrecher nimmt einen Wackerstein und schlägt ein Fenster ein. In meinem Haus wohnt weder die Kanzlerin noch gibt es größere Schätze zu holen. Aber ich bin in Sicherheitsfragen etwas... naja... sensibilisiert und fände ungebetene Besucher uncool...

    Hier im Forum gibt es offensichtlich einige, bei denen das Haustür-Motorschloss über KNX auslösbar ist - aber ist das "Best Practice"?

    Viele Grüße

    Dirk

    Ps: Auch Hinweise auf alte Threads nehme ich gern!
    Baubeginn: 1676d. Sanierungsbeginn: 6/2010. Einzug: 9/2014. Fertig? Nie ;-)
    Stichworte: -
    #2
    Hi,

    Da ich gerade sowas bei mir konkret umsetze, habe ich mir zu eben diesem Thema auch Gedanken gemacht. Ich setze eine Mobotix und ekey ein. Ich bin zu dem Schluss gekommen, dass ekey reichen muss und es von den möglichen Angriffspunkten das "härteste" Glied in der Kette ist. Wer rein können soll, kriegt den Finger eingescannt. Das sind Familienmitglieder und Mitarbeiter (zwei Türen, zwei Berechtigungen). Wer mal im Urlaub rein muss - da gehört der Postillon gewiss nicht dazu - kriegt einen Schlüssel.

    Im Haupttread läuft ja auch gerade eine Diskussion zur Sicherheit von Smarthomes.

    Kommentar

      #3
      Hallo Bezel,

      das heißt Du setzt auch auf die Variante "der Fingerprint läuft autark" - maximal wird die Info wer grade die Tür öffnet read-only auf den Bus gelegt. Korrekt?

      Viele Grüße

      Dirk
      Baubeginn: 1676d. Sanierungsbeginn: 6/2010. Einzug: 9/2014. Fertig? Nie ;-)

      Kommentar

        #4
        Ja, so sehe ich das. Ich gehe auch über den Keller zum Türöffner und nicht z.B. von der Mobotix, was auch gehen würde. Da der ekey Multi aber ohnehin im Verteiler sitzt, kommt mir das zupass. Mann könnte natürlich auch mit dem ekey UPN einen Angriffsversuch starten. Aber ein Ziegelstein ist ja kein Computer, obwohl man das von manchem Laptop schon behaupten könnte.

        Gruss Björn

        Kommentar

          #5
          Öffnung der Tür mit Motorschloss über Gira App, folgender "Schutz":
          1. Pin in der App, 4 Ziffern
          2. Gira App mit Benutzer und Passwort
          3.1. WLAN WPA2-Verschlüsselung
          3.2. Zugriff von Extern über VPN
          4. KNX-"Alarmzentrale" von User Axel mit Überwachung der Fenster, Türen, PMs

          Ich kann relativ ruhig schlafen.

          Ari

          Kommentar

            #6
            Alternativ könntest du den Ekey mit zwei Relais ausstatten. zwischen dem zweiten Relais und dem Motorschloss hängst du einen Schaltaktor.
            Dann kannst du für das zweite Relais, andere Personen definieren, die du dann per Aktor "freischalten kannst"

            Kommentar

              #7
              Zitat von rel Beitrag anzeigen
              Öffnung der Tür mit Motorschloss über Gira App, folgender "Schutz":
              1. Pin in der App, 4 Ziffern
              2. Gira App mit Benutzer und Passwort
              Da bin ich leider "gebranntes Kind". Ok, Gira ist kein Heizungshersteller und versteht hoffentlich mehr von Sicherheit. Aber auch da arbeiten Menschen - und ich kann auch nicht garantieren, dass ich mein WLAN oder VPN nicht verkonfiguriere und damit große Löcher aufreiße.

              Daher finde ich den Ansatz deutlich charmanter, dass das ekey System seine Arbeit ungestört macht - und ich maximal per UDP herausfinde wer grad heimkommt...
              Baubeginn: 1676d. Sanierungsbeginn: 6/2010. Einzug: 9/2014. Fertig? Nie ;-)

              Kommentar

                #8
                Du hast aber schon auch die Punkte 3-4 gelesen...
                Vor allem müsste der Einbrecher erstmal Zugang auf mein WLAN bekommen...bei WPA2 doch recht schwierig.

                Ari

                Kommentar

                  #9
                  Nicht unbedingt bei WPA2 in Verbindung mit WPS bei so manchem Hersteller. Dann braucht es keine 5 Minuten trotz WPA2...

                  Kommentar

                    #10
                    Zitat von supermaz Beitrag anzeigen
                    Nicht unbedingt bei WPA2 in Verbindung mit WPS bei so manchem Hersteller. Dann braucht es keine 5 Minuten trotz WPA2...
                    Dann sei so gut und erklär das doch ein wenig bevor jetzt 200 Leute über Google versuchen herauszufinden wie der Zusammenhang ist. Danke!

                    Kommentar

                      #11
                      Zwar denke ich für den Moment auch, dass ein Einbrecher eher den Ziegelstein nimmt, als sich in ein Netzwerk einzuhacken, aber man darf nicht nur an heute denken. Vor 20 Jahren wurden Banken auch noch eher mit der Pistole als mit dem Laptop überfallen. Das ist heute aber nicht mehr so. Und ein Haus baut man nicht nur für die nächsten paar Jahre.

                      Gruß
                      Markus

                      Kommentar

                        #12
                        Es gibt einen Hack der es ermöglicht, über WPS in bestimmten Konstellationen an das WPA2-Passwort zu kommen - womit das betreffende WLAN komplett offen ist für den Angreifer.

                        Im Prinzip ist WPS eine Hintertüre ins WLAN, geschaffen von Firmen die möglichst billig möglichst viele WLAN-APs verkaufen wollen und die davon ausgehen dass ihre Kunden zu blöde sind, ein langes WPA2-Passwort zu generieren und bei Bedarf einzugeben. Also hat man vergleichsweise kurze WPS-PINs erfunden. Bei den meisten APs sind die vierstellig, Max. können die achtstellig sein - und das ist ein sehr überschaubarer Adressraum den man leicht durchprobieren kann.

                        Im Prinzip haben diese Profis neben die Tresortüre WPA2 noch eine einfache Zimmertüre gesetzt (WPS) und die nur mit einem Riegel "verschlossen". Die einfache Erkenntnis dass ein Sicherungsmechanismus mit Hintertüre max. so stark ist wie das schwächste Glied ist zu diesen Koryphäen offensichtlich noch nicht durchgedrungen.

                        Und dann gibt es noch einen weiteren Angriff auf WPS der darauf basiert dass auch im Jahr 2010 ff. immer noch zig Hersteller zu doof sind, einen RNG sauber zu implementieren. Betroffene APs senden beim Initiieren einer WPS-Aushandlung Informationen mit aus denen der WPS-PIN einfach errechnet werden kann.

                        Für beide Angriffe gibt es fertige Tools die auch ein geistig Minderbemittelter einfach nutzen kann.

                        Einfache Lösung: WPS abschalten.

                        Kommentar

                          #13
                          Merci!!

                          Kommentar

                            #14
                            Hallo Dirk,

                            nach Deiner Vorrede zum Thema Sicherheit nehme ich nicht an, dass Du Remote die Türöffnung machen möchtest. Damit entfallen schon mal die eine Hälfte der möglichen Nutzungsszenarien.

                            Die andere Hälfte der Nutzungsszenarien beleuchtet die Frage: Brauchst du die Möglichkeit im Haus die Tür zu steuern?

                            Beispiele:
                            • Tagesfallenfunktion.

                            • Du sitzt im 3 Stock und siehst über Video deine Schwiegermutter bei strömenden Regen draußen stehen und möchtest ihr schnellstmöglich die Tür aufmachen.... ;-)

                            • Du möchtest über Logiken den Zugang steuern: Putzfrau nur Dienstags an geraden Tagen und nicht bei Vollmond


                            Dann brauchst Du einen Öffnungsimpuls auf dem Motorschloß bzw. Anschluß der Türsteuereinheit an den Bus um Öffnungs- und/oder Sonderfunktion auszulösen. Da könntest Du einen konventionellen Taster vorsehen (*hüstel*) oder das Relais der Türsprechanlage nutzen oder eben einen KNX Aktor dranhängen.

                            Ich hab Ekey über KNX an Motorschloßsteuereinheit. Ich schalte z.B. die Tagesfalle über KNX und kann auch über KNX öffnen - aber wenn ich ehrlich bin - Öffnungsimpuls im Einfamilienhaus ist bei mir von innen immer noch: Hand auf Türklinke.

                            Du kannst natürlich Ekey parallel zum Schaltaktor an das Türschloß hängen - was aber das Sicherheitsthema KNX steuert Tür nicht löst.

                            Verdrahte die Tür doch direkt mit dem Ekey. Falls Du doch feststellst, eine Öffnung über KNX fehlt Dir, kannst Du immer noch über einen Binäreingang und Schaltaktor gehen.

                            Gruß
                            Stefan
                            EIB/KNX 3 Linien, in Erweiterung...
                            EDV/Multimedia: 24 Port Gigabitswitch, mehrere PCs, 2 Netzdrucker, Freecom Musicpal, QNAP 859, Windows Home Server, 3 Fernseher, 2 Dreambox 8000, Dreambox 800 und 800se

                            Kommentar

                              #15
                              Zitat von MarkusS Beitrag anzeigen
                              Einfache Lösung: WPS abschalten.
                              Danke, war mir neu und werde ich gleich mal kontrollieren. Den letzten Satz aus dem Wikipedia-Eintrag dazu möchte ich noch ergänzen

                              "Bei einigen der betroffenen Access Points ist die WPS-Funktion, obwohl diese in den Einstellungen deaktiviert wurde, weiterhin aktiv."
                              Beste Grüße!
                              "derBert"

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu