GIRA HS und FT1.2 - Probleme ?

[Klaus Gütter]

es gab letztes Jahr mal mehrere Themen, die sich mit der Sicherheit des HS in Bezug auf Hacker beschäftigt haben.

Hallo Michel,

dass ein Angreifer mit dem HS o.ä. die Gebäudetechnik übernehmen könnte, ist die eher geringere Gefahr. Schlimmer ist es, dass ein komprimittierter Server im internen Netz, der von außen zugänglich ist, auf das ganze interne Netz zugreifen kann. Nach einer erfolgreiche Übernahme irgendeines Servers im internen Netz hat der Angreifer damit ungehinderten Zugriff auf das interne Netzwerk.

Mag sein, dass das zur Zeit für den Heimbereich nicht extrem wichtig ist. Ich würde damit aber nicht leichtfertig umgehen.

Darauf zu bauen, dass die Software in HS o.ä. garantiert sicherheitlücken-frei ist, ist bestenfalls blauäugig.

Gruß, Klaus

[Klaus Gütter]

Steht dann ein Elvis Webserver auch in einer DMZ ?
Diese Frage meine ich ernst

Hallo Helmut,

auch den kann man natürlich hinstellen, wo man es für richtig hält. Es geht mir hier nicht um HS vs. Elvis. Das Thema ist ein ganz allgemeines und gilt für jedes vom Internet zugängliche System.

Gruß, Klaus

[EIB-TECH]

Hallo Klaus,

so sehe ich es auch, mich interessiert es einfach ob es genügt, sauberes Port Forwarding zu verwenden oder jedesmal eine DMZ einzurichten.

[AScherff]

Auch das Heimnetz liegt es hinter einer Firewall ist eine DMZ wenn auch eine Pseudo-DMZ.

Insbesondere wenn der "Verkehr" nur in die entsprechende Richtung insbesondere mit den entsprechenden Filter-Regeln angelegt ist.

Eine "echte" (protected DMZ) halte ich beim HS für übertrieben.

[Klaus Gütter]

Eine "echte" (protected DMZ) halte ich beim HS für übertrieben.

Hallo Herr Scherff,

das halte ich für die falsche Argumentationsrichtung. Ob man die Sicherheit einer DMZ braucht oder nicht, hängt davon ab, was zu schützen ist, und das ist primär das interne Netz, nicht der HS.

Gruß, Klaus Gütter

[MarkusS]

mich interessiert es einfach ob es genügt, sauberes Port Forwarding zu verwenden oder jedesmal eine DMZ einzurichten.

Über dieses Thema kann man trefflich bis zum 30. Februar diskutieren.

Ein "sauberes Port Forwarding" ist aus Security-Sicht der - mit Verlaub - zweitgrösste Dreck, kommt unmittelbar hinter einem ganz offenen Router.

Es ist eine der Prämissen der Security dass Systeme die von aussen erreichbar sind niemals in einem LAN stehen - auch nicht hinter einem Port Forwarding und auch nicht hinter einer Firewall in einer Möchtegern-DMZ sondern ganz einfach nie. Solche Systeme gehören in eine DMZ die wiederum auch gegen aussen besonders geschützt ist.

Hintergedanke ist u.a. dass ein eventuell kompromittiertes System nicht zum Angreifer-Sprungbrett im bzw. ins LAN werden darf, zumal Systeme im LAN in aller Regel sicherheitstechnisch einer geringeren Überwachung / Kontrolle unterliegen als Systeme im Internet bzw. in einer DMZ.

Wer Port Forwarding für eine sichere Sache hält hat sich noch nicht wirklich damit auseinander gesetzt was man tatsächlich alles über einen einzelnen Port forwarden kann - ein gutes Beispiel ist Skype welches durch einen einzigen Port (meistens 80/HTTP) Sprache, Video, Conferencing, Chat, Datenübertragung und was weiss ich noch alles quetscht - und sich dabei auch noch Mühe gibt, vorhandene Sicherheitsmechanismen zu unterlaufen. Mit ein Grund warum diese (und vergleichbare) Software in vielen Unternehmensnetzen verboten ist.

Bei der in DE im privaten Umfeld überwiegend üblichen Internetanbindung in Verbindung mit den dort gängigen "Sicherheitsmassnahmen" - totale Sicherheit gibt es für ein paar Euro in gelben Schachteln im Schweinemarkt - und Sohnemanns Rechner auf dem drei Filesharingclients in Verbindung mit zwei Messengern und Skype die Leitung um die Wette glühen lassen brauchen wir uns über derartige Finessen keine Gedanken machen - dort glaubt man offensichtlich auch noch das man ein WLAN mit WEP und RC4 mit 104 Bit auch nur Ansatzweise "schützen" kann.

Dann macht es auch nichts aus, den HS ins LAN zu stellen und per Port Forwarding von aussen erreichbar zu machen.

Gruss
Markus

[EIB-TECH]

Hi Markus,

danke für diese Info, dann hab ich bisher immer aus Sicherheitstechnischer Sichtweise "bullshit" fabriziert, aber ich denke mal da bin ich nicht alleine

Wie sieht eine wirklich saubere Lösung deiner Meinung nach aus ???????

[AScherff]

Hallo Herr Scherff,

das halte ich für die falsche Argumentationsrichtung. Ob man die Sicherheit einer DMZ braucht oder nicht, hängt davon ab, was zu schützen ist, und das ist primär das interne Netz, nicht der HS.

Gruß, Klaus Gütter

Hallo Herr Gütter,

Aus Gründen der Sicherheit bin ich bei Ihnen. Bedeutet das jedoch das sich jeder eine Firewall als "Enterprise"-System zulegen muss, der einen HS "sicher" betreiben will.

Übrigens empfehle ich (als Beispiel) http://astaro.de in solchen Fällen - die für den "Home-User" übrigens kostenfrei ist.

Nur über solche Syteme kann eine echte (protected) DMZ aufgebaut werden in dem man dem HS eine eigens NIC und damit ein entsprechendes Segment zuordet (ordendliche Konfiguration der Firewall vorausgesetzt).

Bedeutet dies jedoch auch, einen weitern Rechner 24*7 zu betreiben.

Für den "Otto-Normalverbraucher" ist das aber nicht unbedingt machbar. Und dann kommt das, was MarkusS zuvor geschrieben hat - der "normale" DSL Router mit integrierter "FIREWALL" kommt da keinesfalls mit.

Und dieser HS-Anwender oder auch ein SI ist mit einem "ordendlichen Firewallsystem" ggf. überfordert.

Mit dieser Quintessenz dürfte ich aber keinen HS Betreiben, der in einem Netz hängt, das von außen zugänglich ist, sei es über einfaches "Port-Forwarding".

Das ist also das Dilemma. HS soll von "außen" erreichbar sein, also eine DMZ aufbauen... oder doch Port-Forwarding !?

noch was vergessen:

ich kenne Systeme in großen Firmen, die den Internetzugang erlauben - allerdings über Citrix-System, bei dennen das WW nur auf einem externen System spielt- der Anwender übermittelt nur Maus und Tastatur und bekommt lediglich die "Bildschirmseiten" übermittelt - ist also selber gar nicht im "Netz" - sowas könnte mal auch für paranoia halten

[MarkusS]

IT-Security ist leider kein standardisiertes Produkt - genausowenig wie es das standardisierte Smart-Home gibt.

Einer der wichtigsten Punkte wurde bereits von Klaus Gütter beiläufig erwähnt: Was soll geschützt werden? Genau genommen wäre die Frage: Was soll aus welchem Grund vor wem oder was geschützt werden? Für Unternehmenskunden erstellt meine Firma Sicherheitskonzepte die bei Bedarf auch mal mehrere 100 Seiten dick werden ...

Ein weiteres Problem bei der Sicherheit ist der User: Der muss mit dem was wir uns ausdenken nachher arbeiten - und je "sicherer" man ein System macht desto "unbenutzbarer" wird es aus Sicht des Benutzers - und dann entwickeln die Benutzer eine ungeahnte Kreativität um die Systemrestriktionen zu umgehen. Das gipfelt dann darin das sich ein User Skype installiert um Daten via Skype-Dateitransfer aus dem Unternehmen zu kriegen weil das Email-System (beabsichtigt) verhindert das diese Daten an externe Adressaten versendet werden und an den Clients die Nutzung von USB-Sticks und sonstigen externen Massenspeichern geblockt ist.

Das Problem des aus dem Internet mehr oder weniger ungehindert erreichbaren Homeservers gehört wohl weniger ins Unternehmensumfeld sondern viel mehr in den Bereich privater Bauten. Wir haben einige gewerbliche Kunden mit GLT aber keiner davon hatte bislang den Wunsch, die Visu ins Internet zu stellen.

Wenn man den HS quasi offen ins Internet stellt bleibt als einziger Schutz noch der User-Account fürs Login - und die Hoffnung dass Dacom einen guten Job bei der Absicherung der Plattform gemacht hat - aber wie Klaus Gütter schon erwähnte: Letzteres zählt nicht. Security basiert auf Wissen und Gewissheit, nicht auf Hoffnung.

Eine "richtige" Security-Implementierung wiederum erfordert ein gewisses Budget und eine Menge Fachwissen und Erfahrung. Ein sehr guter SI im GLT-Umfeld ist nicht automatisch auch ein guter SI im Security-Umfeld - und umgekehrt.

Ich werde mir mal ein paar Gedanken darüber machen wie man den HS in einem "typischen" Smart-Home einigermassen sicher am Internet betreiben kann und meine Ergebnisse hier im Forum zur Diskussion stellen. Wird aber noch ein paar Tage dauern, ich bin zur Zeit beruflich sehr eingespannt.

Gruss
Markus

[be1001]

Hallo,

Sicherheit hin, Sicherheit her, mein Problem ist ja, ich kann den HS nicht so betreiben wie ich es gerne hätte. Da ich aus dem Netzwerkbereich komme, hätte ich den HS gerne in der DMZ.
Bis dato habe ich es jedoch nicht geschafft den HS in die DMZ und den IP Router in das LAN zu bekommen. Beide Geräte müssen im selben Subnetz hängen.
Bei dieser Problematik komme ich mir von der GiraHotline ziemlich verlassen vor. Die Aussage ich solle ein Testzenario auf den Tisch nachbauen, finde ich nicht so toll, vor allen nachdem die Zywall 35 ja nicht gerade ein Lowcost Router ist. Auch die Aussage größere Betriebe hätten ein Gebäudeleitnetzwerk finde ich nicht so toll. Auch meine Frage welches Multicastprotokoll ich im Router einstellen soll, konnte nicht beantwortet werden. (IGMP-v1 oder IGMP-v2).
Bei meinen bisherigen Testversuchen konnte ich nur feststellen, das der HS nur Telegramme lesen kann.
Vielleicht weiss jemand noch einen Rat, vielleicht muss ich noch einen zusätzlichen Port freigeben, bisher habe ich 3671, 50000-50002 zwischen LAN und DMZ freigeschalten.

[MarkusS]

Mangels N146 kann ich das nicht nachstellen. Ich habe den HS zwar in einer (echten) DMZ stehen, auf der anderen Seite hat der aber eine FT1.2.

Ich würde mir den N146 und den HS mal auf einen Switch legen und - in einem funktionierenden Setup - die Kommunikation mal mitschneiden (z.B. mit Wireshark an einem SPAN-Port) um eine Referenz zu kriegen.

Das dann mit der Kommunikation im Firewall-DMZ-Setup (auf beiden Seiten der Firewall) vergleichen - irgend was muss da anders laufen.

Zeitintensiv, aber wenn es von Gira keine brauchbaren Aussagen gibt ...

Eine Alternative wäre noch die Siemens-Hotline - oder eine Mail an Peter Pan, der trifft die Entwickler vom N146 wahrscheinlich regelmässig zum Tee

Gruss
Markus

[Klaus Gütter]

vielleicht muss ich noch einen zusätzlichen Port freigeben, bisher habe ich 3671, 50000-50002 zwischen LAN und DMZ freigeschalten.

50000-50002 sind für KNXnetIP/Routing nicht nötig, die werden nur für das alte iETS ("Eiblib/IP")-Protokoll benutzt. 3671 müsste reichen.

[PeterH]

Hallo be1001,

zu deinen Fragen:

1) Es muss nur der im Experten eingestellte Port (Default=3671) freigegeben werden.
2) Der HS verwendet IGMP-v2.
Welches Protokoll der N146 verwendet ist mir nicht bekannt.
Dies dürfte aber auch egal sein, da IGMP-v2 rückwärtskompatibel zu IGMP-v1 ist.

Da die Kombination HS/N146 nach deinen Aussagen im gleichen Subnetz funktioniert, kann der Fehler nicht in den Parametern für den HS oder den N146 liegen.
Insofern kann ich verstehen, das die Gira-Hotline hier nicht weiterhelfen kann.
Es ist und kann nicht die Aufgabe der Hotline sein sämtliche Router und Netzwerkgeräte auf dem Markt zu kennen.
Da du ja aus dem Netzwerkbereich kommst, sollte sich das Problem mit einem Netzwerksniffer leicht eingrenzen lassen.


Ganz abgesehen davon:

Warum soll der N146 nicht in der DMZ liegen.
Ich sehe darin kein zusätzliches Sicherheitsproblem.

[be1001]

Hallo Peter

zu 1. Port 3761 ist freigegeben
zu 2. In der Zywall habe ich IGMP-v2 eingestellt.

Der IP Router sollte nicht in der DMZ liegen, da ich noch eine zweite Linie über WLAN aufbauen möchte, und das ist Bestandteil vom LAN.

das komische ist nur, das jetzt ein einseitiger Verkehr möglich ist. d.h. der HS kann die Protokolle sehen, wenn er Telegramme senden will, werden die jedoch nicht abgearbeitet. Liegt das daran, das die Route immer 0 ist????

Sende mir doch mal eine PN dann könne wir direkt miteinander reden, ich bin im Büro, oder 0711 6451560

Christian

[Matthias Schmidt]

Zur Ehrenrettung DIESER FT1.2-Schnittstelle:

Es lag nicht an ihr, sondern an der EIB-Spannungsversorgung.

Die war auf "Fehler" gegangen, warum auch immer. (Naja, einen Verdacht hätte ich schon )