Netzwerk
Netzwerk Sicherheit
Das Gerät kommuniziert über eine Ethernet-Verbindung mit anderen Systemen und externen Diensten. Für den normalen Betrieb in typischen Heimnetzwerken sind keine besonderen Maßnahmen erforderlich.
In Netzwerken mit höheren Sicherheitsanforderungen kann es sinnvoll sein, den Netzwerkzugriff gezielt zu steuern. Die folgenden Informationen dienen zur Übersicht und zur optionalen Anpassung an individuelle Netzwerkumgebungen.
Bereitgestellte Netzwerkdienste
Das Gerät stellt folgende Netzwerkdienste im lokalen Netzwerk zur Verfügung.
Ports, die mit (default) gekennzeichnet sind, können vom Anwender bei Bedarf geändert werden.
| Dienst | Protokoll | Port |
|---|---|---|
| Web (HTTP) | TCP | 80 |
| Web (HTTPS) | TCP | 443 (default) |
| Modbus TCP | TCP | 502 (default) (nur WTR102 / WTR202) |
Die Weboberfläche dient zur Konfiguration und Überwachung des Geräts. Für die Verwendung von HTTPS können Zertifikate eingerichtet werden. Die Bereitstellung von HTTP Port kann in der Konfiguration abgeschaltet werden oder eine Umleitung auf HTTPS aktiviert werden.
Ausgehende Netzwerkverbindungen
Für bestimmte Funktionen baut das Gerät selbstständig ausgehende Netzwerkverbindungen auf.
Auch hier können Ports, die mit (default) gekennzeichnet sind, angepasst werden.
| Dienst | Protokoll | Port | Zweck |
|---|---|---|---|
| DNS | UDP / TCP | 53 | Namensauflösung |
| NTP | UDP | 123 | Zeitsynchronisation |
| Web (HTTPS) | TCP | 443 | Kommunikation mit Serverdiensten |
| MQTT | TCP | 8883 | Diagnose |
| Web (HTTP) | TCP | 80 | optional |
| Mail (SMTP) | TCP | 465 (default) | E-Mail-Versand |
Verwendete Zieladressen
Die ausgehende Kommunikation des Geräts erfolgt zu folgenden Zieladressen:
*.wetterrelais.dede.pool.ntp.org(default)*.accuweather.com*.dwd.de*.openweather.orgoder Andere
Diagnose
Für die Diagnose- und Sicherheitsfunktionen der Geräte ist eine ausgehende Verbindung über MQTT over TLS auf dem standardisierten TCP-Port 8883 erforderlich.
Der Port 8883 ist der von der IANA definierte Standardport für verschlüsseltes MQTT und wird ausschließlich in Verbindung mit TLS verwendet. Eine Kommunikation über unverschlüsselte Ports (z. B. 1883) findet nicht statt.
Die Verbindung ist durch Ende-zu-Ende-Verschlüsselung (TLS) sowie zertifikatsbasierte Authentifizierung (mTLS) abgesichert. Dadurch wird sichergestellt, dass:
- ausschließlich autorisierte Geräte eine Verbindung aufbauen können,
- die Geräte nur mit einem vertrauenswürdigen Broker kommunizieren,
- die übertragenen Daten vor Mitlesen, Manipulation und unautorisiertem Zugriff geschützt sind.
Die Freigabe dieses Ports dient nicht der Fernwartung oder Datensammlung, sondern ausschließlich der Sicherstellung der Betriebs- und IT-Sicherheit der Geräte.
Insbesondere unterstützt diese Maßnahme die Umsetzung von Security-by-Design und Secure Communication gemäß den Anforderungen des EU Cyber Resilience Act (CRA).
Die Freigabe kann auf ausgehende Verbindungen, definierte Zieladresse und den Port 8883/TCP beschränkt werden, wodurch die Angriffsfläche minimal bleibt.
Empfehlungen für den Netzwerkbetrieb
In den meisten Netzwerken kann das Gerät ohne zusätzliche Konfiguration betrieben werden.
Wenn gewünscht, können folgende Maßnahmen die Übersicht und Kontrolle im Netzwerk erhöhen:
- Nutzung einer Firewall mit gezielten Freigaben
- Betrieb in einem separaten Netzwerksegment oder VLAN
- Einschränkung des Zugriffs auf die Weboberfläche auf bekannte Geräte
- Bevorzugte Nutzung von HTTPS
Diese Maßnahmen sind optional und richten sich an Anwender, die ihr Netzwerk bewusst strukturieren oder zusätzliche Sicherheitsanforderungen umsetzen möchten.