Neue Loxone KNX Extension ???

Im übrigen liegt das KNX Extension Update file bereits im gleichen Ordner der Beta Version:

Ich habe die folgenden Informationen gefunden und damals entschieden, dass ich es vorziehen um nichts mit KNX zu machen in meinem Haus.
https://www.wired.com/2014/07/hackin...room-controls/

Ich lese hier auch immer wie wichtig die Sicherheit ist (zb. SSL) und darum mijn fragen, was ist der große Vorteil, um überhaupt etwas mit KNX zu machen, sind die angesprochen Sicherheitsproblemen in der Zwischenzeit gelöst, sind die notwendigen Updates für die Komponenten vorhandenen?

Ist es für Loxone nicht gefährlich um die Tür noch weiter zu öffnen nach KNX? Standard hat man bei KNX keine Verschlüsselung und diagnose Funktionen, auch updates für Komponenten kommen nie oder sehr selten.

Deine Loxone Installation ist genauso anfällig für das beschriebene Szenario. Lass mich in dein WLAN und ich übernehme deinen Miniserver.

Für Zugang zum KNX-Bus selbst brauchst du Zugang zu den KNX-Leitungen. Wenn ein Einbrecher physischen Zugang zu deinem KNX-Kabel hat, steht er schon im Haus.

lg, Christian

Bezüglich KNX: Dafür gibt es Linienkoppler. Diese agieren wie eine Firewall: Nur erlaubte Befehle kommen durch. Der Fehler des Hotels liegt nicht an KNX, sondern an unzureichender Netzwerksicherheit (KNX/IP) bzw. fehlenden Linienkopplern pro Hotelzimmer (KNX/Wired).

Dies verstehe ich, aber warum wird hier dann ständig behauptet dass KNX günstiger ist?

Bleibt meine frage welchen vorteil hat Loxone um die Tür noch weiter zu öffnen?

Gemessen an den Aus-und Eingängen einer Installation wird Dir eine Installation mit KNX Komponenten günstiger kommen.
Kannst ja mal gegenüberstellen!
Für mich ebenfalls noch ein Aspekt der mit einfließt, meine MDT Aktoren sind mit 16A belastbar, hier hätte ich bei Loxone noch weitere Koppelrelais mit einrechnen müssen.

Welche Garantie bekomme ich von MDT auf zukünftige Updates?

Also, wenn ich es richtig verstehe, Sicherheit ist nur wichtig wenn es über denn Miniserver geht, aber ist nicht wichtig für KNX?

Soweit ich weiß, hat KNX standard keine Verschlüsselung und auch keine Diagnosefunktionen, also ist dies für mich eine minderwertige Lösung.

Wenn ein KNX komponent ausfalt bekomt man davon keine Meldung und kann die suche nach die problemen starten, mann kann selbst einen Komponent von denn Bus ziehen ohne das dies eine Fehlermeldung Auslost, warum ist dies? Welche melding bekomt man beim Kurzschluss? Ist dies nicht wichtig? Kann man dies nicht erwarten von ein system dass schon 26 Jahr auf denn markt ist?

Bei Loxone krieg ich von alles wichtige, eine Meldung, und dies ohne extra kosten!

Ich sehe die großen Vorteile nicht, nur Nachteile.

Es gibt einige Baugruppen, die pro I/O günstiger kommen als die Komponenten von Loxone. Die Kosten müssen immer gesamtheitlich für ein System gesehen werden. Bei Loxone bleiben bei den Extensions oft I/Os ungenutzt, während man bei KNX die Komponenten in der Ausprägung und Größe kauft, wie man sie braucht. Will ich bei Loxone beispielsweise eine elektrische Verriegelung bei Rolläden, muss ich Koppelrelais dazukaufen. Bei KNX-Jalousieaktoren ist diese Verriegelung fest eingebaut. So kann es zu einem günstigeren Preis kommen.

Zudem gibt es bei KNX Geräte, die es von Loxone nicht gibt. LED-Rückmeldung bei KNX-Tastsensoren, Glastaster 2 mit Display, 16A-Relais, elektrisch verriegelte Jalousieaktoren, Strommessung, usw. Da Loxone zu langsam bzw. teilweise auch unwillig ist, diese Möglichkeiten anzubieten, bleibt einem nur der Griff zu KNX.


Den gibt es nicht. Es geht darum, die Tür überhaupt offen zu halten (und etwas dabei mitzuverdienen). Ich bin ja derjenige, der davon überzeugt ist, dass das die Vorbereitung eines neuen MS ohne KNX ist.

Wenn dein Ziel hier ist, den standardisierten KNX-Bus zu bashen, dann solltest du dir zumindest die Grundlagen beider Systeme anschauen.

Letztendlich muss es ja noch jeder selbst entscheiden welchen Weg er geht... Von daher, war das halt meine Meinung da es sich für mich Preis/Leistungstechnisch angeboten hat.
Die meisten meiner KNX Komponenten sind eh dumm programmiert und werden noch über den MS und dessen Logik gesteuert, aber der Ausgang in Summe der einfach nur 1/0 macht, kam mich einfach billiger als Zig Relay Extensions... Für mich passt es, ich nehme aktuell noch die Einschränkungen z.B. Auto Jalousie in Kauf...
Nachdem ich beim Design und Kauf frei entschieden habe kann ich auch irgendwann entscheiden evtl. zu einem anderen System wie z.B. Edomi zu wechseln... habe aktuell aber keinen Grund dazu, weil die meisten Dinge laufen wie ich es gerne hätte - und für alles andere wurde mir hier im Forum meistens mit einem akzeptablen Workaround geholfen!

Meine Entschuldigung wenn ich einen Fehler gemacht habe, aber bitte kannst du mich sagen welche von meinen annahmen nicht richtig ist?

Die hast du nicht. Aber Gegenfrage: Welche Garantie hast du von Loxone, dass bestehende Funktionen mit den neusten Updates noch funktionieren? KNX kann nach 10 Jahren (keinen Defekt vorausgesetzt) noch immer das, was es von Anfang an konnte. Loxone kann nach 2 Jahren vielleicht kein Modbus/TCP mehr... oder nicht mehr brauchbar. Oder du musst dir alle 2 Jahre ein neues Tablet für den Wandeinbau (im worst case inkl. Wandhalterung) kaufen, weil die neue App Android xy nicht mehr unterstützt.

Nein, Sicherheit - insbesondere IT- und Datensicherheit ist immer wichtig.
Es ist aber auch wichtig darauf hinzuweisen, dass in den wenigsten Fällen das Produkt endgültig für eine Sicherheitslücke zuständig ist, sondern meist derjenige, der die Installation implementiert.
Ja, KNX ist auf dem Bus unverschlüsselt und kann von jedem mitgelesen werden, der Zugriff auf das Kabel hat. Ja, die WiFi-Kommunikation konnte in dem konkreten Fall so abgehört werden, dass man in das System eingreifen konnte. Das sollte man nicht schön reden.
Wie Christian Fenzl aber schon angesprochen hat, haben bei der Installation aber dann entsprechende Maßnahmen gefehlt, um die Installation abzusichern. Dazu gehören Linien- oder Bereichskoppler, ggf. ein Zugriffs-Schutz auf das Bus-Netzwerk und eine entsprechend abgesicherte Kommunikation mit den Tablets in jedem Raum.
Ist eine KNX-Installation sauber installiert - und damit meine ich eine Sorgfalt nach dem aktuell üblichem Stand der Technik - dann ist das KNX-System nicht unsicherer als andere.
Eher im Gegenteil - Loxone bietet an vielen Punkten gar nicht die Sicherheits-Funktionen an, die das modulare KNX anbietet.

Bei Loxone hast du Zugriff auf das gesamte System, sobald du den Miniserver geknackt hast - du kannst die Programmierung auslesen und verändern und durch einen einfachen Kurzschluss das GESAMTE Loxone-System lahmlegen. Mit Linienkopplern sind die einzelnen Linien elektrisch getrennt und werden mit eigenen Netzteilen versorgt - dann läuft eben nur diese eine Linie nicht.
Eine KNX-Projektierung kann aus dem bestehenden System nicht ausgelesen werden - du musst also die Funktionen per reverse engineering herausfinden, wie es der Herr da gemacht hat. Wenn KNX Secure implementiert ist, ist auch das nicht mehr möglich.
Wenn ich den Miniserver per DOS-Attacken über das Internet (Port 80!!) lahmlege, dann geht in meinem Haus kein Licht, kein Rollo, keine Heizung, gar nichts.
Lege ich eine KNX-Visu lahm, geht eben die Visu nicht, zusammen mit den Logiken, die auf der Visu laufen. Das restliche System läuft deshalb noch völlig unbehelligt.

KNX bietet mittlerweile die Verschlüsselung über den KNX-Secure-Standard an, damit ist die Kommunikation verschlüsselt und entsperchend abhörsicher. Wie kommuniziert Loxone zwischen dein einzelnen Komponenten? Ach ja - über einen modifizierten CAN-Bus... das ist sicher derb verschlüsselt.
Diagnosefunktion ist relativ - KNX bietet ein paar Diagnose-Funktionen für die Hardware über die ETS an, ansonsten kann man testweise Aktoren ansprechen etc.
Über die beiden Monitore in der ETS kann ich ALLES, was auf dem KNX passiert, nachverfolgen, jede Kommunikation zwischen zwei Geräten live verfolgen.
Wo sehe ich, wo ein Signal in der Loxone-Programmierung hängen bleibt?
Und bisher hat Loxone es auch immer noch nicht geschafft, eine vollständig lauffähige Simulation in der Config auf die Beine zu stellen - das würde ich mir als saubere Diagnose wünschen!

Bei KNX gibt es bei dem Großteil der Komponenten die Möglichkeit, Fehlermeldungen auf den Bus abzusetzen - entsprechende Datenpunkte sind in der Regel vorbereitet. Sie werden nur selten mit Gruppenadressen belegt und noch viel seltener aktiv genutzt. Vielleicht auch, weil KNX in der Regel sehr ausfallsicher ist??


Will ich bei Loxone eine Heizungssteuerung mit FBH machen, muss ich entweder 10A-Relais nutzen, 16A-Relais (da kann ich mal 500€ für eine Relay einplanen, wenn ich 5 Heizkreise brauche) oder die Tree-Stellantriebe (die mMn völlig outer space sind...). Relais für Heizungsregelung mit einer Pulsweite, die ich nicht bestimmen kann und die im Minutentakt liegt (für FBH!!), ist super, nach ein paar Jahren kann ich den Miniserver oder die Extension austauschen, weil ein Relais im Arsch ist -wenn ich es nicht vorher wegen Klick-klickediklack im Wohnraum angezündet habe.
KNX bietet mir Triac-Heizungsaktoren, die a) völlig geräuschfrei und b) völlig verschleisfrei sind und am Ende sogar eine 230V-Ausfallerkennung für die Spannungsversorgung bieten. Und das bei MDT für einen Preis, bei dem mir kein Gegenargument mehr einfällt...

Außerdem bietet mir Loxone eine fehlende (firmwareseitig garantierte) Verriegelung von 2 Relais für die Jalousiesteuerung - schön, wenn man wegen einem Programmierfehler oder wegen einem Software-Hänger einen Rollo-Motor schießt, weil beide Ausgänge parallel aktiv sind.
Wenn die SD-Karte im Miniserver nach ca. 1-2 Jahren am Ende ihrer Lebensdauer angekommen ist, ist nicht nur meine Statistik futsch, sondern mein ganzes Haus wird wieder in die Steinzeit gebombt, weil der Miniserver nicht mehr weiß, ob er nicht doch ein Donut ist...
Bei KNX können die meisten Aktoren bei einem Ausfall des Bus oder der Logik (manche sogar, wenn der Aktor selbst ausfällt!) manuell bedient werden, dass man nicht in der Kälte oder im Dunkeln sitzt. Wo hat Loxone solche Not-Bedien-Maßnahmen?

Hast du mit Loxone schon mal ein 20-Stöckiges Bürogebäude aufgezogen? Wenn du eine zentrale Bedienung haben willst, müssen alle Miniserver untereinander verknüpft sein, alles läuft über eine zentrale Visu. Versuch mal, die auf Netzwerk-Ebene zu trennen.
Und wenn du lauter eigenständige Loxone-Installationen nutzen willst, wie bindest du in alle gleichzeitig die Wetterstation für die Beschattung und Beleuchtung ein? Oder willst du für jeden Miniserver eine eigene Wetterstation? Alle Büros nutzen ein gebäudeübergreifendes Netzwerk, an dem auch die Visu an einem(!!) Miniserver hängt?
KNX kann das out-of-the-box, wenn man auf separate Linien zurückgreift.

Bitte versteh mich nicht falsch - wir verwenden die Loxone auch äußerst gerne, aber jedes System hat seine Stärken. Und Loxone mit KNX zu vergleichen, geht allerhöchstens auf der EFH-Schiene - aber selbst da sind das Äpfel und Birnen.
Es gibt viele Anwendungen, wo Loxone durch die Einfachheit und vorgefertigten Funktionen wirklich Gold wert ist - und andere, da kannst du in der Praxis quasi nur ein KNX verwenden, wenn du in dem Haus nicht selbst einziehen willst...

Ich würde gleich 2 einbauen, denn die Speicherkarten kosten nicht viel und ich brauche kein schnelles Backup einspielen wenn mal wieder eine abraucht. :-)

Meinst Du denn, dass der Loxone MS sicherer gewesen wäre? Wäre eine Installation für ein Hotel mit 250 Zimmern nach Deiner Meinung mit einem oder mehreren MS überhaupt machbar?

Angriffspunkt war in dem von Dir beschriebenen Fall das WLAN, insbesondere eine App zur Steuerung der Automation, welche auf einem iPad im Hotelzimmer läuft. Wenn ein iPad (oder jedes beliebige mobile Gerät eines anderen Herstellers) physikalisch in die Hand eines Hackers gelangt, dann ist es für diesen sicherlich möglich, alle im Gerät gespeicherten Infos auszulesen. Da der Loxone MS bekanntermaßen nur HTTP und kein SSL unterstützt, könnte man sich die Kommunikation bei bekanntem oder ausgelesenem WLAN Key im Klartext ansehen. Ein Hotel wird sicherlich ein WLAN und damit einen Key für alle Zimmer verwenden, so dass man die gesamte WLAN Kommunikation im Hotel danach abhören und mitlesen kann. Wenn es, wie in der einführenden Beschreibung zur Black Hat Konferenz zu lesen ist, sogar gelingt, ein Trojaner auf dem iPad zu installieren, dann braucht man sich zum Thema Sicherheit keine weiteren Gedanken machen - die gibt es dann nicht mehr!

Gerade beim Thema Sicherheit hebt sich Loxone nach meiner Ansicht wirklich nicht positiv hervor - hierzu gibt es diverse Beiträge im Forum. Da Loxone international betrachtet so ein kleines Licht ist, haben sich bisher noch zu wenige Top-Hacker mit einem MS auseinandergesetzt und es ist keine Sicherheitslücke bekannt geworden. Das heisst aber nicht, dass es keine Lücken gibt, weil z.B. Loxone mehr auf proprietäre eigene Protokolle setzt und diese kaum oder gar nicht dokumentiert (Bsp. Tree).

Sicherheit in einer großen Installation wie einem 250-Zimmer Hotel kann man überhaupt nicht mit einem EFH vergleichen. Ich finde es gut, wenn über solche Themen diskutiert wird und Leute wie Jesus Molina solche Sicherheitslücken aufzeigen. Vielleicht solle man ihm mal eine Nacht in dem Loxone Showroom mit iPad spendieren und auf das Resultat warten? Ich bin überzeugt, dass er danach den Showroom ebenfalls fernsteuern kann.

Ich finde es daher ziemlich abwegig, die im Hotel aufgezeigten Schwachstellen als generellen Nachteil von KNX darzustellen und als Grund dieses Protokoll nicht in einem EFH zu verwenden. Insbesondere hat die aufgezeigte Schwachstelle nichts mit dem KNX-Bus zu tun, sondern nur mit der KNX over IP Kommunikation, die im Standard unverschlüsselt ist. Da die gesamte Kommunikation der Loxone App ebenfalls unverschlüsselt (und bei der App nur die Authentifizierung etwas sicherer) abläuft, ist das KEIN Argument für den MS. Schon mal nachgedacht, wie es mit der Sicherheit der (unverschlüsselten) UDP Kommunikation, z.B. zwischen Türsprechstelle und MS aussieht?

Die Vor- und Nachteile von KNX im Vergleich zu Tree bei einer Loxone Installation mit einem MS wurden hier im Forum ja hinlänglich diskutiert - die Entscheidung muss jeder am Ende selbst treffen. Die Hoffnung, dass Loxone KNX mit einer eigenen Extension in einem neuen MS v2 besser unterstützt, als in der Vergangenheit, glaube ich erst, wenn ich es gesehen habe.

Gruß Jan

Was mir bezüglich Sicherheit und KNX derzeit lediglich gar nicht gefällt ist der MS ansich.

Der MS stellt für sich ja einen IP Linienkoppler dar der, wenn man den MS zusammen mit KNX verwenden möchte, auch permanent vorhanden ist, jedoch keinerlei Filter, Regeln .. bietet.
Mir fehlt sein Anbeginn im MS zumindest die Möglichkeit in der Config die IP zu KNX TP Verbindung (IP Koppler Funktion) abschalten zu können, denn dies stellt meiner Meinung nach die eigentliche Sicherheitslücke dar.
Wenn es jemand schafft sich in mein WLan einzuhacken, dann kann der über den MS direkt bis zur KNX TP Linie durchgreifen.
Weil es hier eben keine Abschaltung gibt, muss man aktuell aufwändig eine Filterung zwischen MS und der KNX TP Linie mit einem entsprechenden zwischengeschalteten Linienkoppler einbauen :-(