Ankündigung

Einklappen
Keine Ankündigung bisher.

"Firewall" für externen Bus

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    "Firewall" für externen Bus

    Hallo zusammen!

    Ich bin langsam in dem Status mit meinen Außenanlagen (incl. Garage) KNX-technisch anzufangen.

    Nun möchte ich gerne alles "außen" als extra Linie realisieren - schlicht um eine physikalische Trennung zu erreichen - und damit auch nur rein kommt was rein darf.

    Nach der "reinen Lehre" bräuchte ich dazu zusätzlich 2 Linienkoppler und 2 Netzteile.

    Nun, das wäre dann zwar von der Topologie her schön, aber meiner Meinung nach ein bischen viel (vorallem auch von den Kosten).
    Wie realisiere ich das denn mit einem Koppler und einem zusätzlichen Netzteil?

    Ich hab schon ein bischen recherchiert, aber so wirklich bin ich da noch nicht Schlüssig:

    Option 1: Der "interne" Bus wird zur Hauptlinie (OK, ich müsste alle Adressen ändern, aber das wäre verschmerzbar). Der "externe" Bus wäre dann eine zusätzliche Line.

    Option 2: Beide Busse werden eigene Bereiche, die dann mit einem Bereichskoppler verbunden werden.

    Nur, was ist besser?

    Gruß


    Carsten

    #2
    Vom Sicherheitsaspekt her ist es relativ egal ob Du das in Bereiche oder Linien gliederst, technisch ist das alles die gleiche Soße.

    Durch die Aufteilung erreichst Du im Prinzip nur eine galvanische Trennung (ein Kurzschluss der äußeren Busleitung (Sabotage) wirkt sich auf den inneren Bereich nicht aus). Durch penibel gepflegte Filtertabellen in der Kopplern kannst Du verhindern dass z.B. von außen Funktionen innen ausgelöst werden, und Du kannst die innere Struktur etwas verstecken.

    Durch Einstellung der Kopplern kannst Du weiterhin verhindern dass jemand kopplerübergreifend programmiert, und dann gibt es auch noch Geräte die verhindern dass man innerhalb der Linie programmieren kann (Otte ProgLock, alternativ B+B). Dazu kann man dann noch die BCUs mit einem Kennwort schützen - unterstützen aber nicht alle Hersteller und das muss gut dokumentiert werden.

    Du kannst aber nicht verhindern dass sich jemand auf eine Linie hängt, dort z.B. den Traffic mitschneidet oder Telegramme auf den Bus schickt.

    Security ist bislang kein Konzept von KNX (wobei andere Gebäudeautomatisierungssysteme daraufhin nicht besser sind). Die KNX Association arbeitet an Security Extensions für den Standard, bis diese Messe aber gesungen ist und Geräte am Markt sind die das unterstützen werden noch viele viele Häuser gebaut werden ...

    Kommentar


      #3
      Zitat von cds Beitrag anzeigen
      Wie realisiere ich das denn mit einem Koppler und einem zusätzlichen Netzteil?

      Carsten
      Nicht zusätzliche Linie, sondern Linienerweiterung.
      Gugel mal nach Linienverstärker, dann wirst Du fündig.

      Gruß Walter

      Kommentar


        #4
        Habe ich schon gegoogled, aber nach dem was ich bislang so gelesen habe ist im Fall eines Repeaters keine Filterung möglich.

        Kommentar


          #5
          Bei Linienverstärkung ist keine Filterung von Telegrammen möglich.

          Um eine Filterung zu ermöglichen, wird die innere Linien zur Hauptlinie (1.0.x) und die neue Linie für den Außenbereich zur Unterlinie (1.1.x). Damit ist dann eine Filterung im Koppler möglich und es wird ein Linienkoppler samt Spannungsversorgung eingespart. Das ist die effektivste Möglichkeit die Bereiche zu trennen und "schützen".

          Kommentar


            #6
            Zu diesem Thema, zu dieser Anforderung findet sich ein ausgesprochener Fachmann, welchen ich in kürze wieder treffen werde, Herrn Prof. Dr. Pohl.

            Gehe davon aus, das es mir gelingen wird ihn u.a. für einen Vortrag und weiterführende Informationen zu gewinnen.

            Zu Deiner Frage:

            Persönlich würde ich beide Linien bevorzugen, schon allein um die Ausfall- und Störanfälligkeit zu begrenzen.

            Kommentar


              #7
              Vielleicht etwas für den DIY Bereich:

              Wenn man bereits einen IP-Router hat, könnte man doch mit einem RaspberryPI + KNX Anbindung (ROT Extension z.B.) und ein wenig "Software" (eibd?) einen "Firewall-Linienkoppler" mit dem Ethernet als "Rückrat" bauen, oder?

              Kommentar


                #8
                Ich denke die Gefahr das Fremde auf Deine KNX-Anlage zugreifen ist über IP größer als über die TP-Leitung.
                Ich glaube nicht das der Einbrecher ein Notebook inkl. ETS dabei hat...
                Gruß Andree Czybulski

                Kommentar


                  #9
                  Denke auch nicht dass ein Einbrecher sich da andockt. Aber es wäre deuuuuuuuuuutlich günstiger als KNX Guard und Co. und das Gewissen wäre beruhigt.

                  Ein Netzwerkkabel geht bei mir, im Vergleich zum KNX BUs, nicht durch die "Außenhülle" durch. Da muss man schon erst einbrechen. Zugang vom Inet aus... VPN nur mit passendem Zertifikat mit 4096bit ... Have some fun ...

                  Wer das RaspberryPiKNXFirewall Thema weiter diskutieren möchte (will den Thread hier ja nicht hijacken) --> https://knx-user-forum.de/diy-do-you...enkoppler.html

                  Kommentar

                  Lädt...
                  X