OpenWB Wallboxen offen im internet erreichbar.

sangandi
Beiträge: 8
Registriert: Sa Aug 13, 2022 5:03 pm

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von sangandi »

LutzB hat geschrieben: Mi Sep 18, 2024 5:58 pm Und was ist, wenn der "Bekannte" bei der Einrichtung der Portweiterleitung Port 88 verwendet hat? Oder einen der anderen zigtausenden, die nicht in der Liste stehen? :?
Ist ja nur ein beispiel.
Auf die schnelle bekomm ich das gerade nicht hin mit einem Portbereich von 1-65000.
Benutzeravatar
mrinas
Beiträge: 2149
Registriert: Mi Jan 29, 2020 10:12 pm
Has thanked: 8 times
Been thanked: 8 times

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von mrinas »

Das muss ja keine 100% Sicherheit bieten, sondern dient mehr nur als Hinweis dass so etwas konfiguriert ist falls es erkannt wird. Falls nichts erkannt wird, gibt's keinen Hinweis.
Ggf. Müsste man den check noch dahingehend erweitern ob tatsächlich auf die openwb zugegriffen wird (bekannte Datei anrufen) und ob der Zugriff erfolgreich war.
15,2kWp SMA (SB4000TL-21, SB3.0, STP6.0-SE + BYD HVS, EnergyMeter), openWB Standard+, openWB Pro, Smart #1 (ersetzt den e2008), Tesla Model Y LR.
LutzB
Beiträge: 3781
Registriert: Di Feb 25, 2020 9:23 am
Has thanked: 4 times
Been thanked: 25 times

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von LutzB »

Wenn man mal außen vor lässt, dass man noch irgendwie prüfen muss, ob der entdeckte Port wirklich auf die openWB führt, bietet das Skript eine 0,0076%-ige Sicherheit. Wenn man dann noch bedenkt, dass das Skript bei den Leuten Alarm schlägt, die die Weiterleitung absichtlich eingerichtet haben, halte ich den Nutzen für verdammt nah an 0.

Nochmal: von alleine passiert da nichts. Das muss aktiv eingerichtet werden.
ChristophR
Beiträge: 713
Registriert: So Okt 30, 2022 8:07 am
Has thanked: 13 times
Been thanked: 20 times

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von ChristophR »

Dann vielleicht lieber IP-Filter aktivieren, dass nur Zugriffe aus privaten Adressbereichen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) möglich sind?
Dann sind die Portweiterleitungen wirkungslos.
VPN-Zugriffe werden auch aus privaten Adressen zugreifen, die openWB Cloud ist aus Sicht der openWB vermutlich eine ausgehende Verbindung.
Dumm wäre dann nur, wenn jemand aus Versehen in seinem internen Netzwerk aus Unwissenheit einen "öffentlichen" Adressbereich verwendet. (Schon oft genug gesehen) Es müsste also zusätzlich das lokale Netzwerk freigegeben werden.

Aber eigentlich sollte man halt einfach nicht jeden "Experten" an seine sicherheitsrelevanten Komponenten ran lassen...
Eine solche Portweiterleitung, auch nur temporär, ist einfach grob fahrlässig.
Nicht umsonst gibt es so viele erfolgreiche Cyberangriffe.
openWB Series 2 Standard+, SW-Version 2
SolarEdge SE10K-RWS, BYD LVS 8, 16,8 kWp.
CUPRA Born
Jarry
Beiträge: 1553
Registriert: Sa Nov 10, 2018 6:59 am
Wohnort: Leverkusen
Has thanked: 3 times
Been thanked: 4 times

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von Jarry »

ChristophR hat geschrieben: Mi Sep 18, 2024 6:41 pm Dann vielleicht lieber IP-Filter aktivieren, dass nur Zugriffe aus privaten Adressbereichen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) möglich sind?
Dann sind die Portweiterleitungen wirkungslos.
VPN-Zugriffe werden auch aus privaten Adressen zugreifen, die openWB Cloud ist aus Sicht der openWB vermutlich eine ausgehende Verbindung.
Dumm wäre dann nur, wenn jemand aus Versehen in seinem internen Netzwerk aus Unwissenheit einen "öffentlichen" Adressbereich verwendet. (Schon oft genug gesehen) Es müsste also zusätzlich das lokale Netzwerk freigegeben werden.

Aber eigentlich sollte man halt einfach nicht jeden "Experten" an seine sicherheitsrelevanten Komponenten ran lassen...
Eine solche Portweiterleitung, auch nur temporär, ist einfach grob fahrlässig.
Nicht umsonst gibt es so viele erfolgreiche Cyberangriffe.
VETO

Ich kenne einige Installationen, eine von mir eingeschlossen, die public Adressen verwenden. Ja sogar ganz wissendlich und offiziell...
Denkt bitte nicht immer nur an einfache Consumer Internetanschlüsse.

Aktuelles Setup:
openWB 2.x
2x openWB pro
PV:
SolarEdge SE9K mit SolarLog 380Mod am EVU Punkt (nur noch fürs SE Portal genutzt)
2x MPPT 150/35 mit jeweils 1,2kWp

Speicher:
3x Multiplus 2 5000
Cerbo GX
EM540 (am Cerbo)
28,6kWh DIY Speicher
Benutzeravatar
mrinas
Beiträge: 2149
Registriert: Mi Jan 29, 2020 10:12 pm
Has thanked: 8 times
Been thanked: 8 times

Re: OpenWB Wallboxen offen im internet erreichbar.

Beitrag von mrinas »

Folgendes könnte gehen - wenn es ein Interesse und begründeten Bedarf gibt an der beschriebenen Situation etwas zu verbessern: Der womöglich nicht gewollten, oder zumindest unüberlegten Öffnung der openWB in Richtung öffentliches Internet.

Kategorie 'mal laut gedacht':
* Apache bekommt eine ACL welche Verbindungen nur aus dem lokalen Netzwerk zulässt
* lokales Netzwerk definiert sich über die tatsächliche IP Konfiguration (lokales Subnetz) des Netzwerkadapters, diese wird z.b. beim Start des openWB service ausgelesen und die Konfig ggf. aktualisiert. So oder so ähnlich.
* Zusätzlich gibts einen Konfigurationsschalter 'Zugriff aus allen Netzen erlauben' welchen man im Vollbesitz seiner geistigen Kräfte aktivieren kann, dann wird die ACL nicht mehr gesetzt und eine bereits konfigurierte wieder entfernt.
* ggf. brauchts etwas ähnliches noch für MQTT
15,2kWp SMA (SB4000TL-21, SB3.0, STP6.0-SE + BYD HVS, EnergyMeter), openWB Standard+, openWB Pro, Smart #1 (ersetzt den e2008), Tesla Model Y LR.
Antworten