Hallo! Ich bastle gerade an einer kleinen Hausautomatisierung mit AVR's am CAN-Bus. Großteils liegen die Komponenten innerhalb des Hauses, aber z.B. Codetastatur u. RFID-Leser für Zutrittskontrolle außerhalb des Hauses. Nun möchte ich nach Möglichkeit verhindern, dass man von außen Schäden, etc. am Ganzen anrichten kann. Idee ist, die Außenteile in ein sabotagegeschütztes Gehäuse zu geben und dass bei Gehäuseöffnung ein Sabotage-Alarm erfolgt und das außen liegende CAN-Netz vom inneren getrennt bzw. abgeschaltet wird. Ich dachte an ein CAN-Gateway (AVR mit 2x CAN) welches Innen- u. Außennetz bei Sabotage-Alarm trennt. Das könnte sogar eine kleine CAN-Firewall beinhalten welche nur die für außen relevanten Nachrichten durchlässt. Aber die Außenteile würden immer noch gemeinsam mit den inneren an der selben Stromversorgung hängen. Was tun wenn jemand von außen einen Kurzschluss macht, dann ist auch das innere Netz bzw. alle inneren Komponenten die an der Stromversorgung hängen betroffen, d.h. aus/kurzgeschlossen bzw. evtl. bei Hochspannung von außen sogar zerstört. Bei getrennter Stromversorgung zw. innen u. außen müsste ich mich verm. um galv. Trennung zwischen Innen-/Außen-CAN kümmern. Also warum nicht ganz ganz einfach CAN und Stromversorgung an ein 4-fach Relais hängen / durchlaufen lassen und bei Sabotage od. Stromausfall geht einfach alles weg vom Innenbereich. Was meint ihr dazu? Wie würdet ihr die Außenteile (CAN-Bus plus Stromversorgung) so vor Sabotage schützen, dass die Innenteile davon unberührt / geschützt bleiben?
Im Auto nimmt man für sowas dann LIN. Das sollte hier auch geeignet sein, zumindest was die Kommunikationsseite betrifft. Stromversorgung sollte natürlich trozdem getrennt sein.
Ein kleiner, aber feiner Hochspannungsimpuls, ist immer schneller, als das schnellste Relais. Also hilft an dieser Stelle nur ein entsprechender Eingangsschutz. Ob jetzt eine Optoisolation oder ähnliches sinnvoll ist, ist eine andere Frage. Übrigens auch im Innern kann ein ordentlicher Eingangsschutz nie schaden. So eine Hausinstallation bewirkt vieles, was nicht im Datenblatt steht. Wenn ich jetzt mal unterstelle, dass kein Super-Profi-Einbrecher an Deine Briefmarkensammlung will, so könnte ein einfacher End-Schalter hinter der üblichen (Regen/Vandalen)-Schutzplatte sehr viel bringen. Der sagt Dir auf einfachste Weise: "Da ist jemand am Eingang". Um den zu umgehen müsstest Du ein schon Schild aufhängen auf dem steht dass er existiert und wo genau er sitzt. Besteht Deine zugehörige Software nicht nur aus Copy And Past(e), plus einem "keine Ahnung, was diese Sequenz so macht", so sollten Versuche auf diesem Wege relativ leicht zu erkennen sein. Lässt Du allerdings in einer Minute 10000 ungültige Versuche bei der Eingangskontrolle zu, ohne die Wiederholpause kräftig zu erhöhen, so würde ich empfehlen: Such Dir was anderes als Beschäftigung.
Sebastian S. schrieb: > Ein kleiner, aber feiner Hochspannungsimpuls, ist immer schneller, als > das schnellste Relais. Ja, aber vorher muss er/sie das Gehäuse öffnen und dann gibt's Sabotage-Alarm und Relais schaltet. Da müsste der Täter schneller sein als das Relais, nicht die Spannung schneller als das Relais. So die Idee. > Übrigens auch im Innern kann ein ordentlicher Eingangsschutz nie > schaden. So eine Hausinstallation bewirkt vieles, was nicht im > Datenblatt steht. Hast du da einen Tipp? Wäre super. Reicht da an einer Stelle des Busses, oder vor jedem µC? > Wenn ich jetzt mal unterstelle, dass kein Super-Profi-Einbrecher an > Deine Briefmarkensammlung will, so könnte ein einfacher End-Schalter > hinter der üblichen (Regen/Vandalen)-Schutzplatte sehr viel bringen. Der > sagt Dir auf einfachste Weise: "Da ist jemand am Eingang". Um den zu > umgehen müsstest Du ein schon Schild aufhängen auf dem steht dass er > existiert und wo genau er sitzt. Mit "End-Schalter" meinst du Sabotage-Kontakt im Gehäuse? Ja, ist genau so geplant. > Besteht Deine zugehörige Software nicht nur aus Copy And Past(e), plus > einem "keine Ahnung, was diese Sequenz so macht", so sollten Versuche > auf diesem Wege relativ leicht zu erkennen sein. > Lässt Du allerdings in einer Minute 10000 ungültige Versuche bei der > Eingangskontrolle zu, ohne die Wiederholpause kräftig zu erhöhen, so > würde ich empfehlen: Such Dir was anderes als Beschäftigung. Ja, so gedacht beim CAN-Gateway/Firewall. Aber ich finde die einfache Relais-Alles-weg-bei-Sabotage-Lösung besser.
Ich habe mir CAN-Gateways aus einem Atmega328 + 2x MCP2515 +2x MCP2551 gebastelt. Zwar mehr aus topologischen Gründen aber mich würde auch interessieren wie störsicher die Angelegenheit ist. Bietet der Can-Transceiver (MCP2551) nicht ausreichend Schutz? Im Datenblatt steht ja immerhin: Protection against damage due to short-circuit conditions (positive or negative battery voltage) Protection against high-voltage transients
Möglichkeit 1: Nach außen keinen CAN, sondern RS232 (RS485) Punkt-zu-Punkt Verbindung, optoentkoppelt auf einen Deiner CAN-Bus-Knoten. Stromversorgung der externen Komponenten durch Extra Netzteil. Möglichkeit 2: Nach außen zweiten CAN-Bus, der optoentkoppelte Transceiver (gibt es glaube ich integriert von Maxim) an einem Deiner internen CAN-Bus-Knoten besitzt Dieser muss dann 2 CAN-Schnittstellen besitzen, 1* intern, 1* extern. Stromversorgung der externen Komponenten durch Extra Netzteil. Den internen CAN nach außen zu legen ist aus Sicherheitssicht problematisch, weil dann der CAN einfach kurzgeschlossen werden kann und im gesamten Haus nichts mehr geht. Gruß, Stefan
Wenn du eh einen Sabotagekontakt einbauen willst, dann lass einfach im Haus ein Relais alle leitungen nach draußen trennen wenn der Taster auslöst. Kannst natürlich auch übertreiben und d gesamte Innenseite des Gehäuses mit einem feinen Gitter auskleiden, dass bei Beschädigung Meldung macht. Musst du halt wissen wo die Grenze ist.
Wenn der CAN-Knoten außen nicht mehr funkt ist die Sabotage doch erkannt.
Stefan K. schrieb: > Nach außen zweiten CAN-Bus, der optoentkoppelte Transceiver (gibt es > glaube ich integriert von Maxim) an einem Deiner internen CAN-Bus-Knoten > besitzt Dieser muss dann 2 CAN-Schnittstellen besitzen, 1* intern, 1* > extern. Stromversorgung der externen Komponenten durch Extra Netzteil. Cube_S schrieb: > Ich habe mir CAN-Gateways aus einem Atmega328 + 2x MCP2515 +2x MCP2551 > gebastelt. Zwar mehr aus topologischen Gründen aber mich würde auch > interessieren wie störsicher die Angelegenheit ist. Bei solch einer Variante wie von euch, konkret: 1. Außen-Anwendung(en) an Außen-CAN und Außen-Stromversorgung 2. CAN-Gateway (1 Platine mit 1x AVR, 2x MCP2515, 2x MCP2551) an Außen-Stromversorgung 3. Innen-Anwendung(en) an Innen-CAN und Innen-Stromversorgung Muss ich dann im CAN-Gateway zwischen dem Innen-/Außen-CAN unbedingt eine galv. Trennung machen? Alleine aus Schutz-Sicht würde ja verm. die separaten CAN-Controller/-Transceiver genügen, auch wenn auf selber Platine und an selben AVR? Oder galv. Trennung alleine schon wegen der getrennten Innen-/Außen-Stromversorgung notwendig? Und falls galv. Trennung notwendig, wo? Zwischen Innen-CAN-Controller u. Innen-CAN-Transceiver? CAN-Gateway würde verm. an Außen-Stromversorgung hängen.(Der MCP2551 hat keine integr. galv. Trennung.)
> Und falls galv. Trennung notwendig, wo? AW: An sinnvollen Stellen! Böse Menschen würden ein paar Blitze in Deine Elektronik schicken und DU hättest wieder eine Woche zu basteln. Max D. schrieb: > Wenn du eh einen Sabotagekontakt einbauen willst, Ein simpler Kontakt ohne ausreichend Überhub/Federvorspannung ist auch eine Fehlkonstunktion, die bei jedem Windzug zu zahlreichen Fehlalarmen führen kann. Fazit: Deine Entwicklung befindet sich noch in einem frühen Forschungsstadium. Der Besuch einer kriminalpolizeilichen Beratungsstelle wäre nützlich.
oszi40 schrieb: >> Und falls galv. Trennung notwendig, wo? > > AW: An sinnvollen Stellen! Böse Menschen würden ein paar Blitze in Deine > Elektronik schicken und DU hättest wieder eine Woche zu basteln. Okay, d.h. dann CAN-Gateway eher an Innen-Stromversorgung, aber daran Außen-CAN galv. getrennt. Macht man mit digitalem Isolator + DC/DC-Wandler zw. CAN-Controller u. CAN-Trasceiver? Aber auch ohne galv. Trennung des Außen-CAN vom CAN-Gateway, kann bei Sabotage nicnt mehr zerstört werden als das CAN-Gateway? Der Innen-CAN bleibt unbeschädigt, oder? Falls das so ist und ich die Zerstörung des CAN-Gateways in Kauf nehme, müsste ich dann trotzdem die beiden CAN-Busse an einer Stelle galv. trennen? Es gibt ja 2 separate Stromversorgungen für die Außen- u. Innen-Knoten am CAN. Gibt es da Probleme ohne galv. Trennung? Erdschleifen? Also unabh. von Sabotage, muss ich trotzdem galv. trennen?
>> Übrigens auch im Innern kann ein ordentlicher Eingangsschutz nie >> schaden. So eine Hausinstallation bewirkt vieles, was nicht im >> Datenblatt steht. Im Grunde genommen müssen alle Beteiligten gesichert sein. Es nutzt nichts, wenn der Steuerrechner der einzig Überlebende ist. Schon ein einziger Blick auf den Plan Deines Hauses sagt: "Da kommt einiges an Leitungslänge zusammen". Die Idee ist zwar fast zwingend, aber die Realisation - alle Busleitungen getrennt zu verlegen - geht meist in die Hose. Richtig tollen Einschaltstrom haben z.B.: Durchlauferhitzer - oft auch als Hilfsaggregat im Sommerbetrieb damit die Heizung Urlaub machen kann - für die Warmwasserbereitung. Der gute alte E-Herd und seine neumodischen Inkanationen. Die Kaffeemaschine. Der Tauchsieder, Die Waschmaschine. Der zu meinem Leidwesen immer mehr in Mode kommende Trockner. Das PC-Netzteil. Der neue Fernseher. Und wen ich noch vergessen habe. Die alle sorgen, einzeln und zusammen dafür, dass die Datenblattbedingungen nicht eingehalten werden.
> Trennung alleine schon wegen der getrennten Innen-/Außen-Stromversorgung notwendig? Getrennte Stromversorgung habe ich des öfteren auf dem gleichen BUS. Es sollte nur die Masse durchverbunden sein. > Die alle sorgen, einzeln und zusammen dafür, dass die > Datenblattbedingungen nicht eingehalten werden. Das dürfte bei mir im Haus auch so sein. Ich habe aber trotzdem keinerlei Probleme. Allerdings gebe ich mich auch mit 125kBit zufrieden. > Böse Menschen würden ein paar Blitze in Deine > Elektronik schicken und DU hättest wieder eine Woche zu basteln. Was müssten sie denn anstellen um jenseits eines (nicht galvanisch getrennten) Gateways Schaden anzurichten. Ist das ein realistisches Szenario?
Manfred H. schrieb: > Aber auch ohne galv. Trennung des Außen-CAN vom CAN-Gateway, kann bei > Sabotage nicnt mehr zerstört werden als das CAN-Gateway? Der Innen-CAN > bleibt unbeschädigt, oder? Was ist Dein Angriffszenario? * Ein Hacker reisst das Kabel aus Deiner Klingel und klemmt dort sein CANcase an. ---> Kommandos verschlüsseln, Netze trennen (Gateway als Firewall) * Der Blitz schlägt ein oder jemand verbindet die CAN-Leitungen mit Netzspannung. --> galvanische Trennung zur Schadenbegrenzung. * Feuchtigkeit oder eine kaputte Leiterplatte legen immer wieder mal ungültige Signale auf den Bus und stören die Kommunikation. ---> Aufteilen in Teilnetze, die über ein Gateway gekoppelt sind. * ...
Cube_S schrieb: >> Trennung alleine schon wegen der getrennten Innen-/Außen-Stromversorgung > notwendig? > Getrennte Stromversorgung habe ich des öfteren auf dem gleichen BUS. Es > sollte nur die Masse durchverbunden sein. Okay, danke für den Hinweis! Hmm, ist das jetzt eine blöde frage?: Gemeinsame Masse auch an Schutzleiter/Erdung hängen? Da habe ich keine Ahnung. Macht das irgend einen Unterschied? Ich meine jetzt nicht wegen Fehlströmen/FI, ist ja Quatsch, aber gibt es da sonst einen Effekt od. Empfehlung? Völlig egal? Eher od. keinesfalls ja/nein? > Was müssten sie denn anstellen um jenseits eines (nicht galvanisch > getrennten) Gateways Schaden anzurichten. Ich glaube da kann man nichts anstellen. Bei Hochspannung geht doch nur der CAN-Transceiver, dann CAN-Controller, dann viell. auch AVR des Gateways kaputt. Aber mehr passiert doch nicht? Was ist wenn jemand irgend welche starken Hochfrequenz-Störungen reinschickt? Geht das zu einem gewissen Teil bis zum Innen-CAN und kann es diesen dann auch damit stören? Oder ist das eher Science-Fiction? > Was ist Dein Angriffszenario? Jemand mit mehr Fantasie als ich ;-) Aber ich glaube die Szenarien gehen jetzt schon eher ins Theoretische... > * Ein Hacker reisst das Kabel aus Deiner Klingel und klemmt dort sein > CANcase an. ---> Kommandos verschlüsseln, Netze trennen (Gateway als > Firewall) > * Der Blitz schlägt ein oder jemand verbindet die CAN-Leitungen mit > Netzspannung. --> galvanische Trennung zur Schadenbegrenzung. > * Feuchtigkeit oder eine kaputte Leiterplatte legen immer wieder mal > ungültige Signale auf den Bus und stören die Kommunikation. ---> > Aufteilen in Teilnetze, die über ein Gateway gekoppelt sind. > * ... Gut zusammengefasst. Mehr fällt auch mir nicht ein.
Manfred H. schrieb: > Hmm, ist das jetzt eine blöde frage?: Gemeinsame Masse auch an > Schutzleiter/Erdung hängen? Da habe ich keine Ahnung. Überlege selbst was alles finster sein wird wenn Dein FI auslöst.
oszi40 schrieb: > Überlege selbst was alles finster sein wird wenn Dein FI auslöst. Teilweise bekommst du den FI schon ausgelöst, indem Du PE und N verbindest. Das geht wunderbar an der Aussensteckdose im Garten, auch wenn die Phase (L) über einen Trennschalter im Inneren des Hauses unterbrochen wurde. So kann der Einbrecher zwar nicht seine Hilti einstöpseln, aber Haus und Alarmanlage dunkel machen.
Ähm, nein, das mit FI war irreführend, blöd ausgedrückt von mir. FI, Außenleiter, etc. vergessen. Was ich meinte: Ich sollte ja die verschiedenen Massen meiner verschiedenen Teil-CAN-Netze/-Teile miteinander verbinden, falls ich zwar teilweise verschiedene Stromversorgungen verwende, aber die Teile nicht galv. getrennt sind. Und diese gemeinsame Masse über alle CAN's/AVR's, soll diese auch an die Erde gehängt werden? Ja, nein, egal, besser wenn...?
Ich hänge das nicht noch irgendwo dran. Die gemeinsame Masse auch nur weil sich bei verschiedenen Netzteilen ein Potential zwischen den CAN-Transceivern aufbauen kann welches dieselben u.U. schrottet.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.