Climate Solutions Community

1min nach Absetzen meiner Antwort funktionierte es wieder - von mir wahrgenommene Nichtverfügbarkeit: 2h ... Mehr anzeigen

Bei mir funktioniert es auch nicht       ... Mehr anzeigen

Hallo Herr Hentschel,   herzlichen Dank für Ihre Ergänzungen - der Groschen ist nun gefallen.   Weil ich - auch im Interesse der Netzwerksicherheit anderer VIESSMANN-Kunden -  dringend erforderliches Verbesserungspotential für die Dokumentation der VITOCONNECT 100 sehe, fasse ich Ihre Ausführungen und meine Folgerungen nachstehend zusammen: Für die Kommunikation mit dem zentralen VIESSMANN-Server benötigt die VITOCONNECT 100 NUR für ausgehende Verbindungen die Ports 80, 123, 443 und 8883. Es ist daher nicht erforderlich, Ports für eingehende Verbindungen zur VITOCONNECT 100 freizuschalten. Die Angaben zur Portkonfiguration in der auf der VIESSMANN-Website nicht verfügbaren "Bedienungsanleitung für den Anlagenbetreiber" (Ausgabe 4/2019) sind korrekt. Die Angaben zur Portkonfiguration in der auf der VIESSMANN-Website verfügbaren "Montage- und Serviceanleitung für die Fachkraft" (Ausgabe 7/2016) sind nicht vollständig. Der auf der VIESSMANN-Website enthaltene Hinweis für die Firewall-Einstellungen "Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein" ist (5.A) nicht vollständig UND (5.B) IRREFÜHREND, weil die äußerst wichtige EINSCHRÄNKUNG AUF ABGEHENDE VERBINDUNGEN fehlt. Im Interesse der Minimierung der Gefährdung der Netzwerksicherheit auf Endkundenseite ist es somit notwendig, ... (6.1) ... sowohl die Anlagenbetreiber als auch die Fachkräfte in den Installationsbetrieben auf folgendes hinzuweisen (Zitat Hr. Henschel😞 "Eine entsprechende Konfiguration für die FritzBox bzw. für andere Router ist nicht notwendig, da die Werkseinstellungen dieser Router i.d.R. so konfiguriert sind, dass alle Ports für ausgehende Verbindungen dynamisch geöffnet sind - sprich, wenn ein Gerät im Netzwerk über einen der genannten Ports nach außen kommunizieren will, wird der Port für die Zeit der Anfrage geöffnet und anschließend wieder geschlossen. Sofern du die Ports also nicht manuell für ausgehende Verbindungen gesperrt hast, sollte es keine Probleme geben." Dazu sollte dieser Hinweis jeweils eingefügt werden in: (6.1a) "Bedienungsanleitung für Anlagenbetreiber" (6.1b) "Montage- und Serviceanleitung für die Fachkraft" (6.1c) VIESSMANN Website (6.2) ... auf der VIESSMANN-Website den o.g. Hinweis "Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein" vollständig richtig zu stellen. (6.3) Die VIESSMANN-Website um den bisher fehlenden Download-Link für die "Bedienungsanleitung für den Anlagenbetreiber" zu erweitern. Warum dieser Aufwand? Nun, ich bin vor drei Jahren aufgrund der nicht vollständig verfügbaren Informationen auf den o.g. Hinweis "Der Port...geöffnet sein" "hereingefallen" und hatte in gutem Glauben die Ports 443 und 123 für eingehende Kommunikation freigeschaltet. Zufälligerweise hatte dieses dann endlich funktioniert. Trotzdem war ich wegen der widersprüchlichen Angaben verunsichert und hatte als Neukunde meine Anfrage gepostet. Wie sich nun zeigt, war mein Nachbohren vollständig berechtigt. Weil ich damals in diesem Forum keine brauchbaren Hinweise fand, möchte ich meine Erfahrungen allgemein zur Verfügung stellen. Ich würde mich sehr freuen, wenn meine Anregungen von Ihnen aufgenommen werden. Besten Dank im Voraus! Viele Grüße    v/Vikarl ... Mehr anzeigen

Hallo Herr Hentschel, vielen Dank für Ihre Antwort. Die von Ihnen zitierte Bedienungsanleitung war mir bisher nicht bekannt und zugänglich. Sie ist auf der Viessmann-Webseite nicht (mehr?) zu finden. Nach Bemühen von Google bin ich auf ein Exemplar von 2011 gestoßen. Trotzdem muß ich noch einmal nachhaken. Denn ich sehe immer noch einen Widerspruch und damit einen offenen Punkt in den von Ihnen publizierten Konfigurationsempfehlungen; dieser ungeklärte Widerspruch ist m.E. ein IT-Sicherheitsrisiko: Die Viessmann-Dokumentationsseite https://www.viessmann.de/de/viessmann-apps/vitoconnect-opto-ot2.html bietet lediglich die "Montage- und Serviceanleitung für die Fachkraft" an. Dort werden sowohl auf Seite 7 als auch Seite 14 (nur!!!) lediglich die Ports 80 und 443 gennant.   Darübernhinaus finde ich dann auf Ihrer Webseite https://www.viessmann.de/de/viessmann-apps/vitoconnect-opto-ot2.html weit unten den folgenden Hinweis zu den Firewalleinstellungen : " Hinweise Firewall-Einstellungen ●  Der Port 443 (HTTPS) und Port 123 (NTP) müssen geöffnet sein ●  Die MAC-Adresse ist auf dem Etikett des Gerätes abgedruckt "   Mich haben bereits damals (bei meiner ursprünglichen Anfrage) ohne Kenntnis der von Ihnen genannten Bedienungsanleitung die Wiedersprüche der Angaben in der mir zugänglichen Viessmann-Dokumentation irritiert. Ihre ergänzenden Angaben (aus einer unter Umständen veralteten und daher vermutlich zurückgezogenen Dokumentation) irrittieren mich umso, weil jetzt von insgesamt 4 Ports die Rede ist. Die Besorgnis hinter meinen Anfragen rührt u.a. auch daher, daß (nun) beide PDF-Dokumente u.a. den Port 80 als erforderlich ausweisen; Port 80 ist jedoch aus IT-Security-Sicht ein "offenes Scheunentor". Somit liegen mir von Ihrer Seite drei unterschiedliche Konfigurationsempfehlungen vor: (1) Variante 1 (Bedienungsanleitung): Ports 80, 123, 443 und 8883? (2) Variante 2 (Montage & Serviceanltg.): Ports 80 und 443  (3) Variante 3 (Hinweis auf Ihrer Website): Port 443 (HTTPS) und 123 (NTP) Meine konkrete Frage an Sie ist nun: Welche dieser Varianten ist eindeutig korrekt? Bitte bedenken Sie bei der Formulierung Ihrer Antwort, daß ich meinen DSL-Router vor Inbetriebnahme unseres neuen Viesmann-Brenners nach außen immer abgeriegelt hatte. Für Vießmann mußte ich ihn öffnen. Daher erwarte ich von Ihnen eine Konfigurationsempfehlung, die mein Sicherheitsrisiko gegen datentechnische Einbruchsversuche von außen minimiert. Vielen Dank im Voraus! Freundliche Grüße   v/Vikarl   ... Mehr anzeigen

… ich bin doch sehr erstaunt, dass ich auch nach 5 Jahren immer noch keine Antwort erhalten habe - das passt nicht zum Ansehen der Marke Viessmann  😞   ... Mehr anzeigen

Das kann ich aus eigener Erfahrung bestätigen ... Mehr anzeigen