OpenWB / Firmennetzwerk absichern

[stefan_o]

Hallo,

ich bin auf der Suche nach guten Ideen/Konfigurationen für folgendes Problem: Die zu installierenden Wallboxen sind auf dem Mitarbeiterparkplatz zugänglich und werden mit dem Firmennetzwerk verbunden.
Daraus ergibt sich direkt ein Sicherheitsproblem: Dort ist einfacher Angriffspunkt an dem sich jemand mit wenig Aufwand Zugang zum Firmennetzwerk verschaffen kann: Entweder Kabel abschneiden und neu verdrahten (für kurzen Angriff in der Nacht) oder ganz perfide die OpenWB aufschrauben und und innen zusätzliches bösartiges Gerät verbauen oder auf den Raspberry Pi zusätzliche bösartige Software installieren (bei Zugang zur SD-Karte kein Problem). Es gibt wohl kaum eine einfachere Möglichkeit in das Firmennetzwerk einzudringen um Daten zu erbeuten.

Erste Lösungsansatz: Die OpenWB an einen Gastzugang hängen der nur Zugang zum Internet hat, Problem dabei: OpenWB kann nur noch über die Cloud gesteuert werden (doppelt unsicher: Ausfall Internet/Cloud->Ladepunkte unbrauchbar, Datenschutz im gewerblichen Bereich sehr kritisch) und gleichzeitig hat die openWB kein Zugang zum Wechselrichter mehr.

Zweiter Lösungsansatz: Einen ungenutzten Ethernet-Port (z.B. eth3) eines Servers als Router konfigurieren, sodass die OpenWB Zugang zum Internet hat, über Port-Forwarding Zugang zum Wechselrichter ermöglichen (eth3-server-ip:502 wird z.B. nach wechselrichter-ip:502 umgeleitet) und gleichzeitig werden interne-server-ip:443X zu openwb-x-ip:443 über eth3 weitergeleitet. Ist das praktikabel und hat damit jemand Erfahrung wie man das am besten macht?

Andere gute Vorschläge?

Viele Dank
Stefan

[openWB]

Zweiter Lösungsansatz: Einen ungenutzten Ethernet-Port (z.B. eth3) eines Servers als Router konfigurieren, sodass die OpenWB Zugang zum Internet hat, über Port-Forwarding Zugang zum Wechselrichter ermöglichen (eth3-server-ip:502 wird z.B. nach wechselrichter-ip:502 umgeleitet) und gleichzeitig werden interne-server-ip:443X zu openwb-x-ip:443 über eth3 weitergeleitet. Ist das praktikabel und hat damit jemand Erfahrung wie man das am besten macht?

Diverse Subnetze sind im Unternehmen eigentlich Standard. Die Firewall kümmert sich dann darum wer aus welchem Subnetz was darf.

[LutzB]

Bei dem Stichwort "Gastzugang" bekomme ich das ungute Gefühl, dass dort eine Fritzbox als Router installiert ist. Nimm bitte etwas ordentliches mit richtiger Firewall!

Wie Kevin schon geschrieben hat, heißt das Stichwort Segmentierung. In der Firewall wird dann dediziert festgelegt, wer was darf. Alles Andere ist bei frei zugänglichen Netzwerkanschlüssen schon fast fahrlässig.

[stefan_o]

Es handelt sich um ein kleines Unternehmen mit ca. 5 Mitarbeitern, da war eine größere Segmentierung bisher nicht notwendig. In der Tat ist dort eine FritzBox als Zugang zum Internet verwendet, einzelne Ports werden an dem "Server" (der Linux-Host mit den Server-Diensten) weitergeleitet, z.B. VPN, der intern verschiedene Dienste bereitstellt. Auf dem Server sind mit ufw nur die Ports freigegeben, die auch benötigt werden. Das FritzBoxen nur sehr oberflächlich konfigurierbar sind und das dort so eine spezielle Konfiguration nicht möglich ist, war mir klar.
Meine Idee war ein ungenutztes Interface des Servers so spezifisch als Router zu konfigurieren, dass dort die Wallboxen genau so erreichbar sind wie oben geschrieben, da ich hier ja nicht zwei vollständig getrennte Subnetze habe, sondern die Wallboxen von intern zugänglich sein sollten, andersherum aber nicht, mit Ausnahme des Wechselrichters (wobei der Wechselrichter auch in das OpenWB-Subnetz verschoben werden könnte).

[Jarry]

Es handelt sich um ein kleines Unternehmen mit ca. 5 Mitarbeitern, da war eine größere Segmentierung bisher nicht notwendig. In der Tat ist dort eine FritzBox als Zugang zum Internet verwendet, einzelne Ports werden an dem "Server" (der Linux-Host mit den Server-Diensten) weitergeleitet, z.B. VPN, der intern verschiedene Dienste bereitstellt. Auf dem Server sind mit ufw nur die Ports freigegeben, die auch benötigt werden. Das FritzBoxen nur sehr oberflächlich konfigurierbar sind und das dort so eine spezielle Konfiguration nicht möglich ist, war mir klar.
Meine Idee war ein ungenutztes Interface des Servers so spezifisch als Router zu konfigurieren, dass dort die Wallboxen genau so erreichbar sind wie oben geschrieben, da ich hier ja nicht zwei vollständig getrennte Subnetze habe, sondern die Wallboxen von intern zugänglich sein sollten, andersherum aber nicht, mit Ausnahme des Wechselrichters (wobei der Wechselrichter auch in das OpenWB-Subnetz verschoben werden könnte).

Grundsätzlich sollte das zwar funktionieren, ist aber dennoch "schmutzig" und frickelei.
Außerdem kommt ein "Angreifer" damit immernoch an deinen Server. Tu dir einen gefallen und mach das ordentlich.
Hol dir eine RICHTIGE Firewall die das Routing übernimmt. Noch einen (oder mehrere) managbare Switche dazu (falls nötig) und fertig.

Auf die schnelle kann ich da die Fortigates empfehlen. Die kleineren davon, die aber auch schon richtig Durchsatz hinkriegen (inkl. IPS, Threat Protection), kosten nicht die Welt sind aber vom Management durchaus auch fast von einem dressierten Affen zu Meistern
Ansonsten muss man sich halt Hilfe dazu holen.

Fritzboxen sind was für zu Hause. Wobei selbst da gibt es bessere Lösungen. Dieser AIO Ansatz bei den Dingern ist zwar praktisch, aber halt auch sehr einschränkend...

[hhoefling]

Aus genau diesen Gründen ist die openWB hier nicht zugänglich auf der Innenseite der Gebäudewand angebracht.
Nur der Rüssel hängt raus ( oder steckt in seinen Parkplatz)
Somit kein weiterer Hardwarezugang möglich.
Alles weiter wird vom Hausinternen Tablett oder per Wlan mit dem Handy erledigt.

Der/die WR/Wallbox ist im gleichen Netz und hinter der sowieso schon vorhandenen Firewall schon recht gut geschützt.
Aber gegen Angriffe "von innen" hilft das natürlich nicht.

Höhrer Sicherheit mit Sub-Netz und Routing-Regeln jederzeit möglich.

[Jarry]

klar, physischer Zugriffschutz ist natürlich sowieso zu befürworten. Geht halt nicht immer so gut

[stefan_o]

Aus genau diesen Gründen ist die openWB hier nicht zugänglich auf der Innenseite der Gebäudewand angebracht.
Nur der Rüssel hängt raus ( oder steckt in seinen Parkplatz)
Somit kein weiterer Hardwarezugang möglich.
Alles weiter wird vom Hausinternen Tablett oder per Wlan mit dem Handy erledigt.

klar, physischer Zugriffschutz ist natürlich sowieso zu befürworten. Geht halt nicht immer so gut

Auf die Idee bin ich noch gar nicht gekommen, rein praktisch wäre das machbar, ob es auch erlaubt ist weiß ich nicht: Die openWB im Gebäude installieren, zum Ladepunkt dann 5x6mm² Kabel und eine Steuerleitung in der Erde führen und dort dann nur einen kleiner Verteilerkasten hinsetzen lassen, der die beiden Kabel wieder auf das Ladekabel zusammenführt. Ich habe zwei Threads hier dazu gefunden leider ohne wirkliche Antwort: viewtopic.php?f=8&t=1601 und viewtopic.php?f=8&t=3841

Auf die schnelle kann ich da die Fortigates empfehlen. Die kleineren davon, die aber auch schon richtig Durchsatz hinkriegen (inkl. IPS, Threat Protection), kosten nicht die Welt sind aber vom Management durchaus auch fast von einem dressierten Affen zu Meistern
Ansonsten muss man sich halt Hilfe dazu holen.

Die Geräte der Einstiegsklasse scheinen dort alle das Szenario Internes Netz vs. Internet zu betrachten: Ich habe ja Internes Netz vs. Internes Netz. Die Geräte, die den Durchsatz für das komplette interne Netz bieten sind dann schon erheblich teurer. Was ich mich bei solchen Geräten auch immer frage, wie lange gibt es Updates?

[Jarry]

Die Geräte der Einstiegsklasse scheinen dort alle das Szenario Internes Netz vs. Internet zu betrachten: Ich habe ja Internes Netz vs. Internes Netz. Die Geräte, die den Durchsatz für das komplette interne Netz bieten sind dann schon erheblich teurer. Was ich mich bei solchen Geräten auch immer frage, wie lange gibt es Updates?

Nein, wenn wir mal sone Fortigate 40F als Einstieg nimmt. die macht ca 5GBit Firewalldurchsatz. Klar NGFW, IPS oder Threat protection drosselt das ganze runter, aber wenn du das weglässt (hast du ja jetzt auch nicht) geht da schon einiges.
Und Ja, das gilt auch für rein internen traffic. Also z.B. IoT Schmutznetz zur Wallbox oder wie auch immer.

Man kann damit schon echt ne menge machen. muss sich halt ein wenig damit befassen (oder es halt machen lassen )

[hhoefling]

Also es ist das Orignal Ladekabel weiterhin direkt an der Box angeschlossen.
Nur statt der Zuleitung geht das Ladekabel durch die Wand.