Strategie für Betriebssystem-Updates bei einer fertigen openWB

Fragen zur Nutzung, Features, usw..
openwb-user
Beiträge: 46
Registriert: Di Sep 03, 2019 6:03 am

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von openwb-user »

Welche Weboberfläche ist bitte gemeint? SolarView selbst greift nur lesend auf die Wechselrichter zu. Eine Steuerung der Wechselrichter ist darüber nicht vorgesehen. Die Weboberfläche von openWB greift wiederum nur lesend auf SolarView zu. Hier wäre für einen Angreifer also höchstens das Auslesen von Daten möglich, aber keine Manipulation.

Wieso erwähnst Du jetzt SSL, inwiefern ist das hier relevant? Und welche Rolle das Betriebssystem der Wechselrichter hier spielt, erschließt sich mir auch nicht.
aiole
Beiträge: 7742
Registriert: Mo Okt 08, 2018 4:51 pm
Has thanked: 16 times
Been thanked: 31 times

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von aiole »

Was wir meinen ist, dass Du Dich in einer vermeintlichen Sicherheit wähnst, die real nicht gegeben ist.

Solange Du keine Ports in Deinem Router aufmachst und Deinen PC/Mobilgeräte virentechnisch sauber hältst, hast Du schon viel für die Sicherheit getan. Das OS-update des RPi muss nicht auf neuestem Stand gehalten werden, solange man lokal im LAN bleibt. Dafür ist oWB gemacht.

Geräte Accesspoints, Router, WLAN-Steckdosen u.a. auf dem letzten Stand zu halten, geht m.E. nicht. Die Hersteller liefern häufig keine updates mehr, wenn ein paar Jahre rum sind. D.h. es dann z.B. - abgeschottete Subnetzwerke schaffen.
openwb-user
Beiträge: 46
Registriert: Di Sep 03, 2019 6:03 am

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von openwb-user »

Ich denke, dass Eure - sicher gut gemeinten - Argumentationen an meinem Anliegen vorbei gehen.

Es geht mir um die Kauf-Variante der OpenWB. Die anderen von Euch genannten Geräte (Wechselrichter, PC, Mobilgeräte, Accesspoints, Router, WLAN-Steckdosen) haben nichts damit zu tun, ob ein Angreifer im LAN die Wallbox steuern oder deren Kontrolle übernehmen kann. Sollte ich Fragen zu solchen Geräten haben, würde ich sie mit dem jeweiligen Geräte-Hersteller klären. Meine Frage ist auch nicht, ob es in meinem LAN insgesamt sicher oder unsicher zugeht, sondern welche Auswirkungen der Betrieb der openWB hat.

Im Gegensatz zu vielen IoT-Geräten ist die openWB kein abgespeckter Mikrocontroller, sondern ein vollwertiger Universalrechner, auf dem jede Menge Dienste laufen, die Verbindungen aus dem LAN zulassen, und die Auswirkungen auf die Wallbox selbst und auf Geräte außerhalb der Wallbox haben. Deshalb besteht die Wahrscheinlichkeit, dass im Laufe der Zeit in einem dieser Services eine Sicherheitslücke bekannt wird und ausgenutzt werden kann. Das mag auch auf andere Geräte zutreffen, das werde ich aber nicht im openWB-Forum thematisieren.

Ich bin etwas verwundert, dass ich dieses Thema hier überhaupt so verargumentieren muss, denn schließlich ist es seit vielen Jahrzehnten bekannt und anerkannt, deshalb bieten ja alle verbreiteten Betriebssysteme inkl. Debian auch regelmäßige Sicherheits-Updates an, die man lediglich regelmäßig einspielen muss.

Mir ist bewusst, dass die openWB mit verschiedenen Maßnahmen (z.B. LAN-Segmentierung) von anderen Geräten abgeschottet werden kann. Diese Maßnahmen kann ich auch selbst ergreifen, kein Problem. Aber das Betriebssystem der openWB kann ich bei der Kauf-Variante eben nicht ohne fremde Mithilfe aktualisieren, deshalb dieser Beitrag hier. Meine Fragen stellen sich übrigens nicht für diejenigen, die sich die openWB selbst zusammenstellen - denn in diesem Fall liegen die Betriebssystem-Updates ja in der Hand des Administrators.
Das OS-update des RPi muss nicht auf neuestem Stand gehalten werden, solange man lokal im LAN bleibt.
Ich hoffe, sehr, dass das eine Einzelmeinung ist. In der Regel befinden sich im vermeintlich sicheren LAN regelmäßig jede Menge Clients mit Verbindungen zur Außenwelt. Aus meiner Sicht sollte allein schon deshalb jeder vollwertige Rechner im LAN zumindest regelmäßige Sicherheitsupdates erhalten.
aiole
Beiträge: 7742
Registriert: Mo Okt 08, 2018 4:51 pm
Has thanked: 16 times
Been thanked: 31 times

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von aiole »

Wo trennst Du vollwertig und nicht vollwertig :mrgreen: ?
Bald sind kleine Ladecontroller "richtige Rechner".

Du kannst Dir SSH beim Support besorgen und Deine updates ziehen. Bei der SW-Gewährleistung ist oWB dann logischerweise raus.
Benutzeravatar
mrinas
Beiträge: 2148
Registriert: Mi Jan 29, 2020 10:12 pm
Has thanked: 8 times
Been thanked: 6 times

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von mrinas »

Das Thema OS-Updates wird im Rahmen der openWB 2.0 m.w. auch mit betrachtet, Herausforderung sind sicher die Abhängigkeiten und sicher zu stellen dass weiterhin alles genau so läuft wie man sich das erwartet.

Aber aus Security-Sicht gibt's nur eine einzige Strategie: Updates unmittelbar nach Veröffentlichung installieren. Spätestens mit Verfügbarkeit eines Patches wird herausgefunden wo was gefixt wird um das für potentielle Angriffe zu nutzen. Man kann das Risiko durch die Verringerung der Angriffsfläche reduzieren, diese Strategie wird hier ja verwendet. Also kein Port-Forwarding auf die openWB etc. Dadurch wird das grundsätzliche Problem aber nicht gelöst.
15,2kWp SMA (SB4000TL-21, SB3.0, STP6.0-SE + BYD HVS, EnergyMeter), openWB Standard+, openWB Pro, Smart #1 (ersetzt den e2008), Tesla Model Y LR.
AlSi_8480
Beiträge: 326
Registriert: Mo Feb 22, 2021 2:58 pm
Wohnort: Backnang
Has thanked: 3 times

Re: Strategie für Betriebssystem-Updates bei einer fertigen openWB

Beitrag von AlSi_8480 »

Wie hier viewtopic.php?p=41484#p41484 schon angekündigt will ich das Thema noch einmal hoch holen.
AlSi_8480 hat geschrieben: Mi Aug 11, 2021 10:05 am
Stephan86 hat geschrieben: Mi Aug 11, 2021 9:25 am Wie bereits mehrfach ausgeführt sind vor allem auch Security Themen in die Version 2.0 verschoben worden.
Gibt es eigentlich reelle Gründe sich hier unter V1.9 Gedanken zu machen? Wenn ja würde ich mal ein neues Thema eröffnen bzw. das alte raus kramen.
Ich teile die ursprüngliche Fragestellung von @openwb-user, wie der Unterbau einer Kauf-WB vor allem eben zukunftsbetrachtet sicher bleibt.

Jetzt wo bekannt ist das 1.9 und 2.0 parallel existieren werden viewtopic.php?p=40818#p40818, finde ich diese Frage zwischenzeitlich für alle die bei 1.9 bleiben wieder gerechtfertigt.
Was den Pi betrifft bin ich relativer Laie, daher entschuldigt wenn das ich frage. Dummerweise suggerieren einem die Medien und diverse iOS (ja, ich bin Apple-User) und Windows-Updates, das grundsätzlich jedes OS irgendwann und/oder irgendwie angreifbar sein wird. Um die Software oWB mache ich mir wenig sorgen, das wurde hinlänglich bedacht. Nur die Sicherheit des eigentlichen Pi erschließt sich mir einfach noch nicht.

Ich brauche nur bitte keine Rückmeldungen wie ich mein Netzwerk sicher gestalten kann, eine Antwort auf die eigentliche Frage reicht vollkommen. Selbst wenn diese lautet "können wir nicht gewährleisten" akzeptiere ich das voll und ganz, denn dann weiß ich, das ich selber aktiv werden muss.

Theoretisch könnte ich die Frage auch direkt dem Support stellen, aber ich denke die Antwort dürfte nicht nur für den Themenersteller und mich von Interesse sein.

29,45 kWp an Fronius Symo; V2H mit MG5 + Soyosource Controller (Nulleinspeisung); Smart ED3 + Octavia RS iV als Daily; openWB series2 als Duo, custom & Eigenbau auf V2.x
Antworten