Sicherheitshinweise RED EN18031 für Handbuch Controller
Sicherheits-Schnellstart
Dieser Abschnitt bietet Installateuren eine prägnante Checkliste und sicherheitsrelevante Informationen, die erforderlich sind, um einen EKON-basierten Controller (myGEKKO NOVA, MINI, PICO, BASE) SICHER IN BETRIEB ZU NEHMEN.
1. Physische und ökologische Sicherheit
- Installieren Sie den Controller in einem sicheren, zugänglich kontrollierten Bereich wie einem verschlossenen Schrank oder Serverraum.
- Nur autorisiertes Personal darf physischen Zugang haben.
- Stellen Sie eine stabile Stromversorgung und Erdung sicher.
2. Netzwerkvoraussetzungen
2.1 Netzwerkschnittstellen (Werkseinstellungen)
- LAN (eth0) — standardmäßig aktiviert, als DHCP-Client konfiguriert.
- WLAN-Client (wlan0) — Nur bei bestimmten Modellen verfügbar; standardmäßig deaktiviert.
2.2 Erforderliche Firewall-Konfiguration (ausgehend)
Erlauben Sie der Firewall, ausgehende Verbindungen zu:
Zweck | Port | Protokoll |
|---|---|---|
Cloud-Kommunikation (Gerät → Cloud) | 9090, 9091 | TCP |
Cloud-Verbindung für mobile Apps | 9094 | TCP |
Diese sind erforderlich, weil Cloud-Kanäle immer Geräteinitiiert werden; keine eingehenden Firewall-Regeln sind erforderlich.
2.3 Lokale Netzwerksicherheit
- Platzieren Sie das Gerät hinter einer Firewall in einem vertrauenswürdigen LAN; stellen Sie es niemals direkt ins Internet.
- Verwenden Sie segmentierte Netzwerke (VLANs) für die Gebäudeautomatisierung.
- Wenn WLAN aktiviert ist, setze WPA2PSK oder stärker durch.
3. Überblick über Dienste und Ports4. Cloud Connection Architektur
Standardmäßig aktiviert
- DHCP-Client (UDP 68) - Erhält IP aus dem Netzwerk
- SSDP-Entdeckung (1900/UDP) - Zur Auffindung des Controllers in den Apps. Uses Multicast Network 239.255.255.250.
Vorübergehend (Automatisches Verhalten)
- SSH (TCP 22) - Kurz nach dem Neustart 5 Minuten für Notfallunterstützung geöffnet, dann auf Localhost beschränkt; verschlüsselt
Optionale On-Demand-Dienste
(Aktivieren Sie nur, wenn die Installation es verlangt.)
Dienst | Ports | Notizen |
|---|---|---|
HTTP API | 80/TCP | Nur lokal; Basisauthentifizierung; unverschlüsselt. |
MQTT Broker | 1883/TCP | Lokale LAN-Integration; unverschlüsselt. |
KNX Net/IP | 3671/UDP | Lokale KNX-Routing/Tunneling; unverschlüsselt. |
BACnet/IP | 47808/UDP | Lokale BACnet-Integration; unverschlüsselt. |
Modbus | 502, 1500-1520/TCP | Modbus-Slave; unverschlüsselt. |
App Local Viewer | 5001/TCP | Visualisierung innerhalb des LANs; unverschlüsselt. |
Local Net | 5004/UDP | Controller zu Controller Communication; unverschlüsselt |
mDNS/Hello | 5353/UDP | Discovery (nur bei Bedarf z.B. Bosch Buderus, Doorbird, aktiviert); unverschlüsselt. |
Audio-Streaming | 8888/TCP | Audio-Streaming 8888/TCP MP3-Streaming; nur bei Bedarf aktiv; unverschlüsselt |
SIP VoIP | SIP VoIP 5060/UDP+UDP | Bei aktivierter VoiP Funktion für Gegensprechstelle; unverschlüsselt |
NODE | 6001/TCP | Bei aktiver NODE-Funktion (Bereitstellung lokaler serieller Schnittstellen für andere Controller über LAN); unverschlüsselt |
DHCPCD Server | 67/UDP | DHCPCD Server 67/UDP Bei Verwendung von Barix Audiostreamer mit DHCPD oder WLAN Service AP (Bei z.B. Inbetriebnahme myGEKKO MINI, BASE); unverschlüsselt |
EEBUS | 19878/TCP | Bei Verwendung von EEBUS Geräteschnittstellen wie z.B. Vailland Heizkessel; verschlüsselt |
Device Station Websockets | 8500-8600/TCP | Bei Verwendung von DDFs die einen Websocket Listener zur Verfügung stellen; unverschlüsselt |
4. Cloud Connection Architektur
betrifft Gerät zu Cloud und App zu Cloud Verbindung (ab Q1/26):
- Server-Trust: Zertifikate aus eigener ECDSA P384 PKI.
- Protokollwahl: Über Versionsprüfung.
- Schlüsselaustausch: ECDH über Kurve P 521.
- Key-Derivation: HKDF SHA256 mit Kontextdaten.
- Verschlüsselung: AES 256 GCM mit abgeleitetem IV.
- Integrität: GCM Auth Tag.
- Seed Transfer: Erfolgt nach Aufbau des verschlüsselten Kanals.
- Authentifizierung:
- Gerät → Cloud: ECDSA P384 Signatur mit privatem Gerätekey + Server Seed.
- App → Cloud: Passwort Hash + Seed.
- Identitätsbindung:
- Gerät: Gerätespezifisches ECC P384 Schlüsselpaar.
- App: Benutzername + Passwort.
- Compliance: Vollständig EN 18031 und CRA konform.
5. Firmware-Updates
- Updates werden nur manuell gestartet, um unbeabsichtigte Ausfallzeiten zu verhindern.
- Updatequellen:
- USB-Stick
- App-Upload
- Cloud-Download (sofern aktiviert). Alle Methoden erfordern eine ausdrückliche Benutzergenehmigung.
- Alle Pakete sind digital signiert (RSA2048/SHA256); das Gerät installiert nur verifizierte, authentische Software.
6. Werksreset
Ein vollständiger Werksreset kann von einem autorisierten Konfigurator durchgeführt werden, um:
- Entfernt persönliche Daten (Adressbuch, Türschlüssel, Videoaufnahmen, Standort).
- Entfernt gespeicherte Konfigurationen und Netzwerkeinstellungen.
- Deaktiviert zuvor aktivierte Dienste und stelle sichere Standardeinstellungen wieder her.
- Entfernt Benutzerrechte auf dem Gerät.
Dies wird bei der Eigentumsübertragung, der Stilllegung oder Reparatur empfohlen.
7. Checkliste für die Härtung von Installationenreset
- Installation in physisch gesichertem Bereich
- Erlauben Sie ausgehende Ports 9090, 9091, 9094
- Halte ungenutzte Dienste deaktiviert
- Setzen Sie WPA2PSK durch (wenn WLAN verwendet wird)
- Ändere alle Standardpasswörter
- Führen Sie Firmware-Updates nur während geplanter Wartung durch
- Ziehen Sie einen Werksreset vor der Übergabe oder dem Wiederverkauf in Betracht