Last Updated on 2014-08-13.
Einer KNX-Installation, vor allem in Kombination mit KNX-IP-Gateway, stehen eine Unzahl an Angriffsmöglichkeiten gegenüber. Der Bus selbst bietet keinerlei Authentifizierungsmechanismen oder sonstige Sicherheitsmechanismen.
Für die meisten Fälle gibt es vernünftige Gegenmaßnahmen, allerdings sollte der Bedienungskomfort nicht allzu sehr darunter leiden. Dazu hier einige Tipps.
Zugriff über das Internet
Diese Zugriffsvariante beinhaltet das mit Abstand größte Gefahrenpotenzial und sollte daher gut durchdacht sein.
Im Normalfall befindet sich im selben Netzwerk, in dem sich der KNX-IP-Gateway und somit auch der Bus befindet, ein Internetrouter. Über Port-Forwardings lässt sich dieser so konfigurieren, dass z.B. interne Webserver oder eine Bus-Visualisierung von außen erreichbar sind.
Auch wenn die Visualisierung selbst Zugangsdaten anfordert, ist dies extrem unsicher. Außerdem kommt es vor, dass solche Software Sicherheitslücken aufweist, die möglicherweise noch nicht behoben sind.
Für solche Dinge daher unbedingt ein VPN verwenden! Im einfachsten Fall lässt sich dieses auf dem Internetrouter oder auf einem internen Windows-/Linux-Betriebssystem einrichten. Der Bedienungskomfort bleibt hier nicht unbedingt auf der Strecke, da so gut wie alle gängigen Smartphones und PC-Betriebssysteme in irgend einer Form VPN-kompatibel sind und es sich bei Bedarf relativ schnell aktivieren lässt.
Diese “2-stufige” Sicherheit ist um ein Vielfaches schwieriger zu umgehen, als wenn der Angreifer bloß Passwörter bei der Visualisierung probieren muss.
Im lokalen Netzwerk: LAN-Ports und WLAN absichern
Ein Angriff ist zwar, verglichen mit der ersten Variante, vor allem in Privathäusern relativ unwahrscheinlich, aber trotzdem nicht unmöglich.
Für den Fall, dass sich verbundene LAN-Ports außerhalb der Gebäudes befinden oder es vorkommen kann, dass Mitbewohner oder Mitarbeiter dubiose Hardware ins Netzwerk bringen, sollten diese besonders geschützt werden.
Möglichkeiten:
- Über den internen (managed) Switch die bestimmten Ports so konfigurieren, dass sie nur einzelne MAC-Adressen zulassen, und zwar die der vertrauenswürdigen Geräte. MAC-Adressen können jedoch bei vielen Endgeräten selbst vergeben bzw. überschrieben werden. Trotzdem macht diese Variante den Zugriff für Angreifer um einiges schwieriger.
- Tagged VLANs konfigurieren. Damit lässt sich genauer bestimmen, welches Gerät im Netzwerk auf welche Ziele zugreifen darf. Die Einrichtung ist jedoch relativ aufwändig und für den Privathaushalt eher vernachlässigbar.
Für das WLAN empfiehlt es sich, möglichst sichere Passwörter zu vergeben, und zwar pro Benutzer – je nach Möglichkeit im Idealfall kombiniert mit WPA2-Enterprise und einem Radius-Server. Gästezugriff grundsätzlich vermeiden oder einen eigenen Gast-Zugang, ev. mit VLAN, einrichten.
KNX-Leitungen im Außenbereich
Soweit möglich, ist für den Außenbereich eine eigene Bus-Linie sinnvoll, d.h. mit eigener Spannungsversorgung und vom internen Busnetz getrennt durch einen Linienkoppler. Falls nun jemand die Leitung von außen kurzschließen sollte (warum auch immer – bringt niemandem etwas), laufen die Geräte auf den anderen Linien weiter. Ein Kurzschluss auf dem Bus zerstört übrigens keine Geräte, sondern bewirkt im Prinzip “nur” einen Reset.
Ob jemand von außen den Bus tatsächlich so manipulieren kann, um z.B. ein Öffnen einer Tür etc. zu bewirken, kommt natürlich darauf an, wie genau dieser über den gesamten Aufbau Bescheid weiß. Ohne jegliche Informationen dauert es wohl in Summe (zu) lange, um eine entsprechende GA zu finden, falls überhaupt vorhanden. Generell fehlen leider sinnvolle / einfache Möglichkeiten, um hier mehr Sicherheit schaffen zu können.
Um unerlaubte Programmierungen zu verhindern, empfiehlt sich das Modul KNXGuard. Möglicherweise wäre etwas Ähnliches auch über den eibd-Server möglich, dazu habe ich aber (noch) keine Informationen.
Im lokalen Netzwerk: Visualisierung, EIB-Server absichern
Sollte es der Angreifer bis ins LAN schaffen, sind jedenfalls sichere Passwörter für die einzelnen Geräte mit IP-basiertem Zugang hilfreich.
Bei Visualisierungen wie openHAB oder Systemen, die solche anbieten (Gira Homeserver), ist das Einrichten einer Authentifizierung normalerweise kein Problem.
Auch beim eibd, der unter Linux läuft, lässt sich auf dem System eine Firewall einrichten – unter Ubuntu z.B. die ufw. Sie ist relativ einfach zu handhaben und man schränkt damit den Zugriff der Geräte, denen der Zugriff auf eibd erlaubt ist, ein wie gewünscht.
Ein großes Sicherheitsproblem stellt jedoch der KNX-IP-Gateway dar. Diese Geräte besitzen meist absolut keine sicherheitstechnischen Funktionen, um den Zugriff einzuschränken. Folgendes ist daher empfehlenswert:
- VLAN, wie oben beschrieben, in dem sich nur vertrauenswürdige Geräte befinden, oder
- Router mit Firewall-Funktion zwischen Gateway und Switch (gibt es relativ günstig). Dabei sollte vor allem der UDP-Port 3671 genau behandelt werden. Oder
- Verwendung der DMZ-Funktion des Routers, falls vorhanden, oder
- Ist ein Hostserver für virtuelle Maschinen vorhanden (z.B. MS Hyper-V), kann eine separate VM mit eigenem virtuellen Switch als Firewall zwischen LAN und KNX-Gateway dienen. Dabei wäre allerdings eine separate Netzwerkkarte pro Gateway notwendig.
Module wie das eibmarkt KNX IP Gateway haben hier noch den kleinen Sicherheits-“Vorteil”, dass zu einem Zeitpunkt nur 1 Verbindung möglich ist. Ist z.B. ein eibd mit dem Gateway verbunden, ist es quasi für weitere Verbindungen gesperrt.
Alle Angaben ohne Gewähr!