Die Problemstellung
Im Smarthome verbinden sich KNX und IT immer enger miteinander. Dadurch erreicht der Aspekt der Sicherheit vor Angriffen Dritter eine neue Dimension.
Mit der Enertex® Bayern GmbH® ENA wird der sichere und gleichzeitig einfache Zugriff von außerhalb auf das eigene Heimnetzwerk, LAN-basierte Geräte und die KNX Installation sichergestellt.
Oft wird dieser Aspekt vernachlässigt, weil:
- die Sicherheitsfunktionalität den Komfort bei der Bedienung z.B. durch umständliche Passworteingaben erheblich reduziert.
- In der IT-Welt eine andere Begrifflichkeit und Vorgehensweise vorherrscht, die dem Elektro-Installateur nicht geläufig ist.
- Geräte in der KNX Welt den Sicherheitsaspekt bisher nicht weiter berücksichtigen.
Die Lösung
… für den Installateur
Die Konfiguration der ENA ist so gestaltet, dass es dem Installateur auf einfachste Weise möglich ist, die erforderlichen Sicherheitszertifikate zu erstellen: Sämtliche Einstellungen werden über Webbrowser vorgenommen. Für die Konfiguration des iPhone oder Androidsysteme sind keine weiteren Hilfsprogramme wie iTunes etc. notwendig, die Konfiguration ist direkt und in wenigen Minuten per Webbrowser vom Installateur durchzuführen.
… für den Kunden
Die ENA bietet dem Kunden ein Sicherheitspaket für TCP/IP Netzwerke bei vielen alltäglichen Aufgaben, wie z.B. den externen Zugriff von Apps, die eigentlich eine direkte LAN-Verbindung zum einem Endgerät benötigen, wie etwa Überwachungskameras, Webserver von Multimediageräten, etc.
Das „VPN on Demand“-Feature für iOS ist dabei ein weiterer Vorteil der ENA Sicherheitslösung. Befindet sich der Anwender im WAN, also außerhalb seines hauseigenen LAN-Zugangs, wird der Sicherheitskanal (VPN) automatisch gestartet und der Anwender muss sich nicht durch mehrere Apps klicken: Ein einfaches Öffnen, z.B. der Kamera-App genügt und der Sicherheitskanal wird bei Bedarf automatisch geöffnet.
Zudem wird – falls die KNX-Anbindung aktiviert wird – die Fernwartung vom Kunden über KNX einfach schaltbar und auch sichtbar, wenn der Installateur diese gerade nutzt (vgl. Abbildung 4).
Die ENA hat dabei eine Leistungsaufnahme von nur ca. 1,5 Watt, ist für 6TE für die Hutschiene ausgelegt und benötigt lediglich eine Kleinspannung 20..30 VDC.
Ohne externen Server
Kein „Nach-Hause-Telefonieren“ zu Dritten
Wie bereits erwähnt ist die ENA einfach durch das eingebaute Webinterface mit wenigen Klicks einzurichten. Im Internetrouter des Heimnetzwerks muss lediglich noch eine Portweiterleitung für den VPN eingetragen werden.
Damit ist die Einrichtung abgeschlossen. Einfach und direkt, ohne weitere Abhängigkeiten von externen Servern. Der Anwender muss sich also keine Gedanken über die Sicherheitsphilosophie oder Verfügbarkeit externer Dienstleister machen. Alle Daten bleiben in der Hand des Anwenders.
Fernwartung für das KNX System – einfach per KNX-Taster
Eine Fernwartung des Systems ohne Sicherheitsfunktionalität öffnet IT-spezialisierten Kriminellen jegliche Möglichkeit, elektrische Schlösser zu öffnen und Türen zu entriegeln, etc.
Über gezielte Angriffe kann u.U. sogar das IT Netz der gesamten Familie gehackt werden. Mit der ENA kann diese sonst umfangreich zu konfigurierende Sicherheitsfunktion (VPN, Virtual Private Network) dem Anwender einfach über die Visualisierung oder einen KNX Taster schaltbar gemacht werden.
Nur wenn der Anwender dies möchte, wird der gesicherte Fernwartungszugang geöffnet oder ganz abgeschaltet. Und es wird für ihn erkennbar, wann dieser genutzt wird, z.B. an einer Status-LED einfach an den KNX Schaltern.
Der Vorteil liegt auf der Hand: Der Kunde schaltet den VPN-Wartungszugang genau dann frei, wenn er ihn benötigt.
Im Normalfall hat der KNX Installateur keinen Zugriff auf das interne LAN. Nur wenn der Kunden den Zugang über einen Tastsensor frei gibt, sieht er über das Statusobjekt z.B. an einer KNX ansteuerbaren LED eines Tastsensors (vgl. Abbildung 4) genau, ob der Installateur sich tatsächlich eingewählt hat.
Bis zu 16 verschiedenere Benutzer mit jeweils eigenen KNX-Freigabe- und Statusobjekten können über das Webinterface der ENA einfach konfiguriert werden.
Über den VPN-Wartungszugang kann mit der ETS und einer KNXnet/IP Verbindung der KNX Bus programmiert und dem Kunden geholfen werden. Über die KNXnet/IP Verbindung greift zudem die ENA auf den Bus zu, um die Status Objekte auf den Bus zu schicken, bzw. über KNX Schaltobjekte den jeweiligen User freizuschalten. Es empfiehlt sich die Verwendung von KNXnet/IP Schnittstellen mit mehreren Tunneln, z.B. die der Enertex® Bayern GmbH.
Die Konfiguration erfolgt für den auf einfachste Weise: Sämtliche Konfiguration erfolgt über das eingebaute, übersichtlich gehaltene Webinterface – auch über das Smartphone schnell einzurichten.
Sensible Daten und Privatsphäre
Da die ENA ohne externen Server auskommt und auch eine Verbindung der ENA aus dem internen Netz des Anwenders nicht „von alleine“ erfolgt, hat der Anwender die volle Kontrolle. Er weiß daher
- Wer loggt sich
- Wann und
- Wo
- in mein LAN ein?
Zudem müssen nicht Server von Dritten auf Ihre Vertrauenswürdigkeit überprüft werden.
Komfort für den Anwender
Sichere Verbindung nach Hause
Befindet man sich im Heimnetz, so ist die Bedienung einer Visualisierung, die Verwendung von Apps zu LAN-Geräten direkt möglich. Denn hier sind z.B. die Überwachungskamera direkt im gleichen (W)LAN wie das Smartphone eingebunden. Der gleiche Komfort ist ebenso von unterwegs wünschenswert, wobei dann vorher eine sichere IP-Verbindung hergestellt werden muss.
Die Enertex ENA ermöglicht dies mit Hilfe einer „on demand“ Technologie (nur iOS), ohne umständliche Eingabe von Passwörtern. Ein Klick auf die App des IP-Gerätes, den Rest erledigen ENA und iPhone.
Die Einrichtung eines iOS- „on demand“ Zugriffes ist im Normalfall ein mehrstufiger, aufwändiger Prozess, der mit iTunes und iPhone-Konfigurationsprogramm erledigt werden muss. Anders bei der ENA: Ein einfacher Klick genügt. Die ENA gewährleistet den Sicherheitsaspekt, ohne auf den Anwenderkomfort verzichten zu müssen.
Auch bei Android basierten Smartphones wird die Konfiguration sehr einfach gemacht: Mit wenigen Schritten kann ein Widget auf dem Android-Hauptbildschirm erstellt werden, über das der Anwender den VPN Sicherheitstunnel mit einem einfachen Klick über die ENA aufbauen kann.
Gesicherte Internetverbindung beim Surfen im öffentlichen WAN
Mit ENA ist auch die Internetverbindung des Kunden unterwegs sicherer: Wählt man sich über einen öffentlichen Internetzugang in das eigene Hausnetzwerk ein, so leitet die ENA auf Wunsch den ganzen Internetverkehr über den eigenen privaten Anschluss.
Dies kann der Installateur per Klick für jeden User einzeln freischalten (vgl. Abbildung 2), wobei man die Wahl hat, ob ein geöffneter Tunnel sich nach einer Zeit der Inaktivität oder sehr geringen Datenverkehrs sich wieder automatisch schließt.
Sicherheitsserver für weitere LAN Endgeräte
Sicherung von Webservern
Die ENA kann bis zu vier unsichere Webserver („http“) aus dem Heimnetz verschlüsselt („https“, 2048 Bit Schlüssel) ins Internet umleiten. Damit ist es möglich, z.B. von jedem Endgerät mit Webzugang auf das Webinterface eines Festplattenrecorders über eine User/Passwort gesicherte Verbindung zuzugreifen. Dieser sog. Reverse-Proxy erlaubt es, z.B. Geräte ohne einen eigenen geschützten Webserver (z.B. Gira Homeserver oder Jung FAP) mit der Sicherheit auszustatten, wie es z.B. der Online-Handel vorsieht.
Verwaltung von Dynamischen IP Adressen
Wenn von außerhalb auf verschiedene IP Geräte zugegriffen werden soll, so empfiehlt sich die Einrichtung von festen Domainnamen. Dazu gibt verschiedene DNS-Dienste, die zum größten Teil kostenlos sind (z.B. der Dienstanbieter NO-IP.BIZ, GIRADNS.COM).
Die ENA kann verschiedene Dienstleister verwalten, auch solche, die mehrere Domains anbieten. Damit kann der Zugriff auf bis zu vier Domains wie
- HomeserverMeinHaus.NO-IP.BIZ
- SatRecorderMeinHaus.NO-IP.BIZ
- FernseherMeinHaus.NO-IP.BIZ
- KameraMeinHaus.NO-IP.BIZ
mit der ENA verwaltet werden. Dieses sogenannte DynDNS ist ebenfalls einfach über das Webinterface einzurichten.
Technische Daten
Hardware | |
Abmessungen | Hutschiene, 6 TE |
Spannungsversorgung | 20 … 30 V DC |
Leistungsaufnahme | 1,2 – 1,7 W (abhängig von LAN Aktivität) |
Schnittstellen | Ethernet 10/100 Mbit/s |
Software | |
Betriebssystem | Linux |
OpenVPN |
Beliebige Benutzeranzahl 16 Benutzer per KNX überwachbar 2048-Bit RSA Schlüssel Übertragungsverschlüsselung AES-256 Perfect Forward Secrecy |
HTTPS Reverse Proxy |
4 Weiterleitungen 2048-Bit RSA Schlüssel Übertragungsverschlüsselung AES-256 |
Dynamisches DNS | Verwaltung von 4 Domains |
Fazit
Die Enertex® ENA hat zwei wesentliche Zielsetzungen:
- Einfachste Konfiguration von Wartungszugängen mit hoher IP-Sicherheit:
Die ENA bietet dem Installateur ein hohes Maß an Komfort bei der Einrichtung von VPN Clients, Reverseproxys,
KNX schaltbaren VPN Zugängen, Dynamischer DNS Verwaltung - Einfachste Konfiguration für Komfortfunktionen des Endanwenders mit hoher IP-Sicherheit:
VPN (onDemand), Sicheres Surfen, Sicherheitsserver für LAN Geräte
Dabei werden durch die autark arbeitende ENA keine Daten in die Hände Dritter gelegt.