openWB Forum

Hallo zusammen,

ich habe eine Frage zur Update-Strategie bei einer fertigen openWB, die wie empfohlen per Ethernet im LAN betrieben wird.

Ich habe kein Interesse an Cloud-Funktionalität. Wie ich einem Beitrag zur Cyber-Sicherheit entnehme, besteht technisch grundsätzlich die Möglichkeit, aus dem Internet einen Zugang zur openWB zur erhalten. Da ich damit nicht einverstanden bin und das so gut es geht erschweren möchte, besteht in meinem Fall keine dauerhafte Verbindung zwischen Wallbox und Internet.

Nun gibt es ja hin und wieder kritische Sicherheitslücken in den zu Grunde liegenden Software-Komponenten (z.B. CVE-2021-3156: lokale Nutzer können Root-Rechte erlangen). Diese machen es aus meiner Sicht unumgänglich, mindestens mal das Betriebssystem regelmäßig zu aktualisieren und dabei das Security-Repository zu berücksichtigen.

Meine Frage: wie kann ich das gewährleisten? Nach meinem Kenntnisstand finde ich unter Einstellungen / System-Info zwar die Versionen des Linux-Kernels und der openWB, aber nicht des darunterliegenden Betriebssystems. Mir fehlt nun
a) die Dokumentation darüber, welche Internet-Adressen von der openWB aus erreichbar sein müssen (Firewall-Regeln), um Betriebssystem-Aktualisierungen durchzuführen,
b) eine Information oder Einstellung dazu, wie regelmäßig die Updates durchgeführt werden,
c) die Möglichkeit, den aktuellen Stand des Betriebssystems einzusehen.

Ich würde mich freuen, wenn dazu jemand Stellung beziehen oder weiterhelfen könnte.

Schöne Grüße
Christian

Da ich damit nicht einverstanden bin und das so gut es geht erschweren möchte, besteht in meinem Fall keine dauerhafte Verbindung zwischen Wallbox und Internet.

Das brauchst du nicht „erschweren“. Lösche die Cloud Anbindung und ein Zugriff ist nicht mehr möglich. Egal ob die openWB Internetverbindung hat oder nicht. Sie funktioniert aber auch ohne Internetverbindung.

Meine Frage: wie kann ich das gewährleisten? Nach meinem Kenntnisstand finde ich unter Einstellungen / System-Info zwar die Versionen des Linux-Kernels und der openWB, aber nicht des darunterliegenden Betriebssystems. Mir fehlt nun

Das nächste größere Update im Unterbau erfolgt mit openWB 2.0
Wenn du sehr sensibel bist macht es Sinn Wechselrichter (hier besteht die größere Gefahr), openWB und co in ein separates Netz zu packen.

Danke für die schnelle Antwort. Dann warte ich gespannt auf die Update-bezogenen Änderungen der Version 2.0.
Die Wechselrichter sind in meinem Fall übrigens nicht über IP, sondern nur über RS485 erreichbar.

openwb-user hat geschrieben: ↑So Apr 25, 2021 8:06 am Die Wechselrichter sind in meinem Fall übrigens nicht über IP, sondern nur über RS485 erreichbar.

Und wie kommen deren Daten ins LAN (, damit oWB darauf zugreifen kann)?

Diese Aufgabe übernimmt SolarView.

ich habe auch noch eine Frage zum Update auf Version 2.x (wenn sie denn kommt): Kann man eine saubere Neuinstallation bekommen also Kauf-Nutzer ? Ich konfiguriere gerne noch mal alles neu.

Ein Update von Stretch auf Buster möchte ich eigentlich nicht.

Auf meinen anderen RPi mache ich grundsätzlich eine saubere Neuinstallation, z.B. als es von Strech auf Buster ging.

Habe keine guten Erfahrungen gemacht mit Updates von Releasen.

Sicher, dass da auch auf Buster hochgezogen wird. Ich dachte, es geht zunächst um ein oWB-update.

openwb-user hat geschrieben: ↑So Apr 25, 2021 2:19 pm Diese Aufgabe übernimmt SolarView.

yup, also letztlich auch über LAN erreichbar und damit genauso angreifbar, wie ein RPi. Registerschubsen im WR sollte damit gehen .

Nein, das sehe ich anders. SolarView bietet über das LAN keine Schnittstelle zum Senden von Daten an die Wechselrichter, sondern ausschließlich lesenden Zugriff. Deshalb ist aus dem LAN keine Manipulation der Wechselrichter möglich.

openwb-user hat geschrieben: ↑Mo Apr 26, 2021 4:17 am Nein, das sehe ich anders. SolarView bietet über das LAN keine Schnittstelle zum Senden von Daten an die Wechselrichter, sondern ausschließlich lesenden Zugriff. Deshalb ist aus dem LAN keine Manipulation der Wechselrichter möglich.

Wenn eine Steuerung aus dem Netz nicht möglich wäre, wie sollte dann eine Weboberfläche funktionieren?
Ich denke, auf dem Niveau, auf dem Du hier Angriffe verhindern willst, ist SSL kein Hindernis.

Und dann läuft ja auch auf dem WR ein BS, über dass Du noch weniger weißt, als über das BS der OWB...

bye
TW