Mein Forum
Registrieren
Neu hier?
Baukonstruktionen
Fertighaus
Fenster
Dämmung
Dichtheit
Passivhaus
Schimmel
Energieausweis
Heizung
Pellets
Erdwärme
Warmwasser
Stromsparen
Solaranlagen
Photovoltaik
Lüftungsanlagen
Energiespartipps
Berechnungen
|
|
||
|
Ich schreib nix über KNX, weil ich mich da nicht auskenne. Ich kann aber bestätigen, daß für eine funktionierende Loxone Steuerung diese nicht im Internet hängen muss und folglich auch keine Updates benötigt. Man kann die Loxone direkt mit Patchkabel verbinden und nach dem Programmieren trennen, wenn man will. Daß der Miniserver ins Internet geht ist eindeutig "nur" eine Komfortfunktion und wird sogar auf der Homepage so beworben. Der "Hack" mit Loxone Anlagen 2016 funktionierte übrigens nur mit Miniserver, welche sträflicherweise das Standardpasswort "admin" für "Admin" gelassen haben - wenn man sowas als IBN Techniker zulässt, ist es besser, man lässt das mit dem Internet. Hast du da nähere Informationen dazu? Das entging mir wohl... |
||
|
||
|
(Und wenn ich mich schon auf die untere Schublade des unqualifizierten Bashings begeben sollte, dann hoffe ich mal, daß bei sämtlichen KNX Installationen der Bus niemals (auch nicht über BWM) das Haus verlässt. Der ist nämlich im Gegensatz zum Loxone Tree Bus unverschlüsselt*, was natürlich in Punkto Sicherheit einem offenen Scheunentor gleich kommt. * Info aus Wikipedia) |
||
|
||
|
https://vuldb.com/de/?id.167830 https://iot-lab-fh-ooe.github.io/loxone_clouddns_vulnerability/ Gilt für den Miniserver v1 bei Steuerung übers Internet. Der Angriff lässt sich relativ leicht umsetzen. Für den Zugriff auf den Miniserver wird als Teil der URL von Loxone die MAC-Adresse verwendet. Wenn diese bekannt ist, kann man auf den Miniserver zugreifen. Der Miniserver sendet die IP-Adresse im Minutentakt an Loxone, wenn ein Angreifer in diesem Zeitfenster eine andere IP an Loxone sendet, kann er den Datenverkehr umleiten. Nachdem der v1 Miniserver nur unverschlüsselt mit http kommuniziert, sind die Zugriffspasswörter dann auch kein Thema. Ein Update behebt das Problem. |
||
|
||
|
Vielen Dank für die Info, das wusste ich tatsächlich noch nicht! Natürlich bringt das wieder die Tatsache auf, daß man Komfort sehr oft gegen Sicherheit austauscht. Und jegliche HW, die am Internet hängt, ist grundsätzlich gefährdet - dies gilt für meine Heizungspumpe genauso. Aus dem Grund werde ich zumindest meine Haustür nicht auf die Steuerung hängen... |
||
|
||
|
Aber das einer einen Bewegungsmelder.demontiert, ein knx kabel findet und dann schafft damit was anzurichten, die Möglichkeiten sind gering..ausserdem kommt bei mir so was, wenn gewünscht auf eine Aussenlinie die abgekoppelt und mit Ü-Schutz versehen ist. Dann kommt da keiner rein. Da ist jeder Server, der mit den Netzwerk verbunden ist, leichter zu hacken und zu manipulieren. Hackt sich ja auch keiner in den Tree Bus. Also kein Knx Bashing machen 😅. Ausserdem kommen gerade lauter Knx Ip und Tp Secure Komponenten raus und die sind alle verschlüsselt und da is nix mit abhören oder steuern |
||
|
||
|
Ich habe von einem Fall gehört, wo jemand sich in den KNX-Bus vom Hotel gehängt hat und dort alles lahm gelegt hat. Aber wie gesagt, ich habe das von jemandem gehört und kann ich bestätigen, ob das auch so der Fall war |
||
|
||
|
DAS wäre allerdings in der Tat nicht sonderlich schwierig. Mit Werkzeug und viel Zeit... |
||
|
||
|
Ja das kann jeder mit einer knx schnittstelle, der sich ein bisschen auskennt.. nur in Zukunft mit Knx Secure nicht mehr möglich. Aber in Österreich sind ja net lauter Oceans 11 Verbrecher. Auch der Miniserver wird gleich gehackt sein von solchen leuten und zu 90% in einen Netzwerk mit Wlan und die sind meist noch unsicherer, weil kein Vlan und kein sicheres Wlan Passwort usw Was ich damit meine will, ich denke das die wenigsten Hacker oder Kriminellen sich mit Knx befassen.. eher mit Netzwerkprotokollen |
||
|
||
|
Ich weiß, is nun "off-topic", aber kann mir mal einer erklären wie das funktionieren soll, dass jemand einen KNX Teilnehmer abmontiert und dann mit diesem zweipoligen Drähten die aus der Wand kommen in den KNX "BUS" kommen soll? Es ist ja kein Programm das gehackt oder ausgelesen werden kann. Denn schlussendlich werden die Teilnehmer im KNX BUS "parametriert" und nicht "programmiert". Die Parametrierung is auch nicht am BUS abgespeichert, sondern auf einer externen nicht angeschlossenen Quelle (USB Speicher, Festplatte, etc.). "Reinkommen" in den BUS kann man ja auch nur über das KNX-Interface/Schnittstelle anfahren, oder net? Nur mit Kabel möglich: https://www.voltus.de/?cl=details&anid=a22b9129381e2ddf9bf1e78484a1052e LAN möglich: https://www.voltus.de/weinzierl-731-knx-ip-interface-schnittstelle-zwischen-lan-und-knx-bus.html Wenn man nun eine reine Kabelschnittstelle hat, wie soll man dann auf den BUS kommen? Woher will der Hacker auch die Hersteller meines BUS kennen? Für jeden braucht man ein eigenes Protokoll aus der Bibliothek das vor der Parametrierung heruntergeladen werden muss. Ich schnall es net... Bei LOXONE wiederum ist meines Wissens nach die Parametrierung auf dem BUS gespeichert und auslesbar. Das ist meines Wissens nach der absolut größte Unterschied zwischen KNX und Loxone. Das programieren/parametrieren is quasi (mehr oder weniger) gleich. Is halt wie der Unterschied zwischen CATIA, Unigraphics, SolidWorks und AutoCAD... Auf allen kannst "zeichnen", nur halt anders... |
||
|
||
|
Also bei knx kannst du den Traffic mitlesen per Knx-Usb Schnittstelle. Du weisst zwar nicht was zb die Gruppenadresse 1/1/1 steuert aber du kannst was damit steuern oder auslesen was gerade verschickt wird aber weisst nicht was. Aber wenn man einen Koppler für die Aussenlinie nimmt, dann geht auch nur das durch, was durch soll, und das sind scho gar keine Tür Auf Befehle(so was sollte man nicht so einbinden). Ausserdem kann man alle Geräte überwachen und wenn eines abgeklemmt wird, dann kann man den Alarm auslösen und so daschlagt man des Problem. Über Wireshark kann man auch das Wlan so mitschneiden und unverschlüsselte Knx Telegramme einer Ip schnittstelle lesen. Geht bei Ip Secure nicht mehr ohne Key. Und auch bei TP Secure braucht man den Key zum mitschneiden mit der ETS am grünen Kabel. Also das wichtigste ist, das keiner eine Netzwerkschnittstelle aussen frei gepatcht hat bzw das wlan sicher ist und ev mit vlan abgeriegelt ist und vl auch radius in verwendung ist. |
||
|
||
|
Nein. Die Programmierung ist auf der SD Karte im Miniserver gespeichert. Aber der Tree BUS selbst ist bei Loxone verschlüsselt, also kann man nicht einfach mitschnüffeln oder eigene Befehle ausführen. |
||
|
||
|
Ich habe selber Loxone. Loxone hat viele Vorteile, es gibt aber auch einen großen Nachteil, der mMn wenigen bekannt ist: Die fertigen Bausteine sind praktisch, enthalten aber durchaus Fehler. Diese Fehler als solche zu identifizieren, kann sehr mühsam sein, weil sich Loxone über die genaue Funktionsweise der Bausteine ausschweigt. Die Dokumentationen sind ebenfalls gerne mal fehlerhaft, unvollständig und/oder nicht auf aktuellem Stand. Hinzu kommt - und das ist wirklich der Hammer, - dass man bei Loxone z. T. selber nicht mehr weiß, wie was genau funktioniert! Das ist das Ergebnis von (zu) schnellem Wachstum, Personalwechsel, fehlender Qualitätskontrolle bei Änderungen an der Programmierung u. a. Loxone davon zu überzeugen, dass es Fehler gibt, ist sehr mühsam und mündet nicht zwangsläufig in der Behebung. Ich spreche aus leidvoller eigener Erfahrung. Bei der Entscheidung für oder gegen ein Haustechnik-Steuerungssystem kann ich nur empfehlen genau hinzusehen, was man selber an Kompetenz und Zeit hierfür mitbringen kann und will, und sich nicht davon blenden zu lassen, dass andere dieses oder jenes als „ganz einfach/schnell/günstig/etc.“ darstellen, die aber selber entweder vom Fach sind oder in einer sehr ähnlichen Branche arbeiten. Für wen das nicht zutrifft, für den schaut die Angelegenheit ganz anders aus.
|
||
|
||
|
Mir kommt Loxone vs KNX immer ein wenig vor wie iOS vs Android Ja, der Miniserver hatte hier Probleme, wenn er direkt im Internet erreichbar war. Der MS muss aber nicht mit dem Internet verbunden werden. Wenn man also unter gleichen Voraussetzungen vergleicht (KNX ist ja normalerweise nicht mit dem Internet verbunden), gibt es hier keinen Unterschied. Übrigens … wenn man nach "Gira" und "KNX" und "Hacken" sucht kommt gleich ein Artikel mit dem gleichen Problem. Eine Firma aus Deutschland konnte sich in den Gira Smart Home Server hacken. Der Hack war auch über die Seriennummer. Prinzipiell würde ich ein Smarthome System auch nur über VPN zugänglich machen und wenn möglich auch Haus intern auf ein eigenes VLAN hängen.
|
||
|
||
|
Muss sagen, das kann bei allen Clouds passieren aber ich glaub die haben das unter Kontrolle und ich fühl mich sicher derzeit. Klar übrr vpn ist besser. Ich selber zaus hab noch eine Hooc Cloud mit 256bit Verschlüsselung als vpn. Ansonsten guter Vergleich aber Loxone ist eher mit einer Wago Sps mit Modbus Tastern Vergleichbar und funktioniert auch so. Knx läuft anders. Da musst du bei Logiken anders denken. Wenn da einmal eine 1 kommt, dann steht die an. Bei Spsn musst du den Kontakt mit einen RS-Flip Flop zb halten. Bastel auch mit Wago spsn und lass die mit knx geisseln. Nicht alles läuft da gleich leicht. |
||
|
||
|
Und dann noch 802.1x dazu, und alles wird gut😉. Ich denke die Masse der Anbieter wird das nicht unter Kontrolle haben, am ehesten vielleicht noch die SPS diverser Hersteller, da hier die Schäden halt massiv höher sind. Wago wäre z.B. nach ISO 27001 zertifiziert, trotzdem hat es in den aktuellen PFC eine Schwachstelle gegeben. Und wenn man interessant genug ist, bist du nicht mal mit offline SPSn, in diesem Beispiel von Siemens, gefeit. Zumindest ist es den Iraner mit ihren Uranzentrifugen so ergangen 😜. |
||
|
||
|
Da hast du recht berhan. Wenn die was hacken, dan können sie alles. Da ist nichtmal siemens geschützt. Wago bringt ständig updates raus. Das die das gehackt haben, hab ich noch nicht gehört aber kann ja alles leicht sein. Da ist ja auch linux drauf. |
||
|
||
|
Hier Mal die Zero day exploits für Wago https://www.cvedetails.com/vulnerability-list/vendor_id-12264/Wago.html Ja für die Wago gibt es laufend Updates, ich habe ja auch eine PFC am laufen. |
||
|
||
|
Um es noch mehr offtopic zu machen ... Deswegen ist mein 'smarthome' komplett self-made, kein KNX, kein Loxone ... ein paar Raspberries mit aktueller Debian distro, kein Außenzugang (außer VPN über einen Ubuntu-Server). Zero day exploits werden da selten älter als wenige Stunden ... https://ubuntu.com/blog/how-canonical-battles-zero-day%E2%80%8B-threats Dazu ein Safety-Konzept, das die Anbindung (connection level) einzelner unterschiedlich essentieller Baugruppen (very critical, critical, nuissance, cosmetic, intrinsically safe) definiert, Duplizierung von hardware: Raspberry und sogar meine UVR1611 hat inzwischen ein double. Einzelne Taster oder auch mal einen Relaisaktor z.B. über 1-wire an den nächsten Raspberry. Open source und security by obscurity sind nicht die schlechtesten Partner in dieser Welt von gelangweilten Informatik-Stundenten und überbezahlten Geheimdiensten |
||
|
||
|
Das ist für Spielereien durchaus ok, aber wichtige Funktionen würde ich so nicht im EFH abbilden. Da kennt sich keiner ausser dir aus...das ist sicher gut für Security, aber im Fehlerfall kann diese keiner ausser dir mit vertretbarem (finanziellen und zeitlichen) Aufwand lösen. |
||
|
||
|
Ja stimmt. Mein Schwiegersohn und mein Bruder sind ähnlich gepolt, von daher halbwegs ok. Wie wartbar eine Loxone-Installation in 10 Jahren ist, wenn die in 2 Jahren Konkurs gehen, bleibt die andere Frage, KNX ist da sicher transparenter. Meine Installation ist dazu wirklich gut dokumentiert (aus genau dem Grund) und alle HW-Komponenten sind dupliziert, d.h. einfach tauschbar. |
||
|
||
|
Meine Worte. KNX für die Grundfunktionen, Loxone für Visu oder irgendwelche Spielerein. Das gleiche gilt für 1 Wire oder andere Raspi Basteleien. d.h. das Haus funktioniert autark mit KNX, der Rest ist verzichtbar und Frau ist happy, wenn du mal nicht da bist und ein Raspi das zeitliche segnet oder sich aufhängt oder nach einem Stromausfall nicht automatisch mit allem drum und dran korrekt bootet. Ich bin da mittlerweile ein gebranntes Kind, weil justament dann die Basteleien ausfallen, wenn ich mal ein paar Tage nicht zuhause bin. |
Beitrag schreiben oder Werbung ausblenden?
Einloggen
Kostenlos registrieren [Mehr Infos]
