OpenWB / Firmennetzwerk absichern

Fragen zur Nutzung, Features, usw..
stefan_o
Beiträge: 70
Registriert: Di Okt 12, 2021 5:18 pm

OpenWB / Firmennetzwerk absichern

Beitrag von stefan_o »

Hallo,

ich bin auf der Suche nach guten Ideen/Konfigurationen für folgendes Problem: Die zu installierenden Wallboxen sind auf dem Mitarbeiterparkplatz zugänglich und werden mit dem Firmennetzwerk verbunden.
Daraus ergibt sich direkt ein Sicherheitsproblem: Dort ist einfacher Angriffspunkt an dem sich jemand mit wenig Aufwand Zugang zum Firmennetzwerk verschaffen kann: Entweder Kabel abschneiden und neu verdrahten (für kurzen Angriff in der Nacht) oder ganz perfide die OpenWB aufschrauben und und innen zusätzliches bösartiges Gerät verbauen oder auf den Raspberry Pi zusätzliche bösartige Software installieren (bei Zugang zur SD-Karte kein Problem). Es gibt wohl kaum eine einfachere Möglichkeit in das Firmennetzwerk einzudringen um Daten zu erbeuten.

Erste Lösungsansatz: Die OpenWB an einen Gastzugang hängen der nur Zugang zum Internet hat, Problem dabei: OpenWB kann nur noch über die Cloud gesteuert werden (doppelt unsicher: Ausfall Internet/Cloud->Ladepunkte unbrauchbar, Datenschutz im gewerblichen Bereich sehr kritisch) und gleichzeitig hat die openWB kein Zugang zum Wechselrichter mehr.

Zweiter Lösungsansatz: Einen ungenutzten Ethernet-Port (z.B. eth3) eines Servers als Router konfigurieren, sodass die OpenWB Zugang zum Internet hat, über Port-Forwarding Zugang zum Wechselrichter ermöglichen (eth3-server-ip:502 wird z.B. nach wechselrichter-ip:502 umgeleitet) und gleichzeitig werden interne-server-ip:443X zu openwb-x-ip:443 über eth3 weitergeleitet. Ist das praktikabel und hat damit jemand Erfahrung wie man das am besten macht?

Andere gute Vorschläge?

Viele Dank
Stefan
openWB
Site Admin
Beiträge: 8517
Registriert: So Okt 07, 2018 1:50 pm
Has thanked: 2 times
Been thanked: 29 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von openWB »

Zweiter Lösungsansatz: Einen ungenutzten Ethernet-Port (z.B. eth3) eines Servers als Router konfigurieren, sodass die OpenWB Zugang zum Internet hat, über Port-Forwarding Zugang zum Wechselrichter ermöglichen (eth3-server-ip:502 wird z.B. nach wechselrichter-ip:502 umgeleitet) und gleichzeitig werden interne-server-ip:443X zu openwb-x-ip:443 über eth3 weitergeleitet. Ist das praktikabel und hat damit jemand Erfahrung wie man das am besten macht?
Diverse Subnetze sind im Unternehmen eigentlich Standard. Die Firewall kümmert sich dann darum wer aus welchem Subnetz was darf.
Supportanfragen bitte NICHT per PN stellen.
Hardwareprobleme bitte über die Funktion Debug Daten senden mitteilen oder per Mail an support@openwb.de
LutzB
Beiträge: 3781
Registriert: Di Feb 25, 2020 9:23 am
Has thanked: 4 times
Been thanked: 25 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von LutzB »

Bei dem Stichwort "Gastzugang" bekomme ich das ungute Gefühl, dass dort eine Fritzbox als Router installiert ist. Nimm bitte etwas ordentliches mit richtiger Firewall!

Wie Kevin schon geschrieben hat, heißt das Stichwort Segmentierung. In der Firewall wird dann dediziert festgelegt, wer was darf. Alles Andere ist bei frei zugänglichen Netzwerkanschlüssen schon fast fahrlässig.
stefan_o
Beiträge: 70
Registriert: Di Okt 12, 2021 5:18 pm

Re: OpenWB / Firmennetzwerk absichern

Beitrag von stefan_o »

Es handelt sich um ein kleines Unternehmen mit ca. 5 Mitarbeitern, da war eine größere Segmentierung bisher nicht notwendig. In der Tat ist dort eine FritzBox als Zugang zum Internet verwendet, einzelne Ports werden an dem "Server" (der Linux-Host mit den Server-Diensten) weitergeleitet, z.B. VPN, der intern verschiedene Dienste bereitstellt. Auf dem Server sind mit ufw nur die Ports freigegeben, die auch benötigt werden. Das FritzBoxen nur sehr oberflächlich konfigurierbar sind und das dort so eine spezielle Konfiguration nicht möglich ist, war mir klar.
Meine Idee war ein ungenutztes Interface des Servers so spezifisch als Router zu konfigurieren, dass dort die Wallboxen genau so erreichbar sind wie oben geschrieben, da ich hier ja nicht zwei vollständig getrennte Subnetze habe, sondern die Wallboxen von intern zugänglich sein sollten, andersherum aber nicht, mit Ausnahme des Wechselrichters (wobei der Wechselrichter auch in das OpenWB-Subnetz verschoben werden könnte).
Jarry
Beiträge: 1553
Registriert: Sa Nov 10, 2018 6:59 am
Wohnort: Leverkusen
Has thanked: 3 times
Been thanked: 4 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von Jarry »

stefan_o hat geschrieben: Mi Dez 22, 2021 7:02 am Es handelt sich um ein kleines Unternehmen mit ca. 5 Mitarbeitern, da war eine größere Segmentierung bisher nicht notwendig. In der Tat ist dort eine FritzBox als Zugang zum Internet verwendet, einzelne Ports werden an dem "Server" (der Linux-Host mit den Server-Diensten) weitergeleitet, z.B. VPN, der intern verschiedene Dienste bereitstellt. Auf dem Server sind mit ufw nur die Ports freigegeben, die auch benötigt werden. Das FritzBoxen nur sehr oberflächlich konfigurierbar sind und das dort so eine spezielle Konfiguration nicht möglich ist, war mir klar.
Meine Idee war ein ungenutztes Interface des Servers so spezifisch als Router zu konfigurieren, dass dort die Wallboxen genau so erreichbar sind wie oben geschrieben, da ich hier ja nicht zwei vollständig getrennte Subnetze habe, sondern die Wallboxen von intern zugänglich sein sollten, andersherum aber nicht, mit Ausnahme des Wechselrichters (wobei der Wechselrichter auch in das OpenWB-Subnetz verschoben werden könnte).
Grundsätzlich sollte das zwar funktionieren, ist aber dennoch "schmutzig" und frickelei.
Außerdem kommt ein "Angreifer" damit immernoch an deinen Server. Tu dir einen gefallen und mach das ordentlich.
Hol dir eine RICHTIGE Firewall die das Routing übernimmt. Noch einen (oder mehrere) managbare Switche dazu (falls nötig) und fertig.

Auf die schnelle kann ich da die Fortigates empfehlen. Die kleineren davon, die aber auch schon richtig Durchsatz hinkriegen (inkl. IPS, Threat Protection), kosten nicht die Welt sind aber vom Management durchaus auch fast von einem dressierten Affen zu Meistern :)
Ansonsten muss man sich halt Hilfe dazu holen.

Fritzboxen sind was für zu Hause. Wobei selbst da gibt es bessere Lösungen. Dieser AIO Ansatz bei den Dingern ist zwar praktisch, aber halt auch sehr einschränkend...

Aktuelles Setup:
openWB 2.x
2x openWB pro
PV:
SolarEdge SE9K mit SolarLog 380Mod am EVU Punkt (nur noch fürs SE Portal genutzt)
2x MPPT 150/35 mit jeweils 1,2kWp

Speicher:
3x Multiplus 2 5000
Cerbo GX
EM540 (am Cerbo)
28,6kWh DIY Speicher
hhoefling
Beiträge: 667
Registriert: So Jul 25, 2021 2:32 pm
Has thanked: 2 times
Been thanked: 3 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von hhoefling »

Aus genau diesen Gründen ist die openWB hier nicht zugänglich auf der Innenseite der Gebäudewand angebracht.
Nur der Rüssel hängt raus :-) ( oder steckt in seinen Parkplatz)
Somit kein weiterer Hardwarezugang möglich.
Alles weiter wird vom Hausinternen Tablett oder per Wlan mit dem Handy erledigt.

Der/die WR/Wallbox ist im gleichen Netz und hinter der sowieso schon vorhandenen Firewall schon recht gut geschützt.
Aber gegen Angriffe "von innen" hilft das natürlich nicht.

Höhrer Sicherheit mit Sub-Netz und Routing-Regeln jederzeit möglich.
gruss
Heinz

6kWp+7.7kWp PV, RCT Akku, RCT Power DC6+DC8, +Tibber,+Shelly's
Skoda Citigo e-iV, openWB series2 standart+
mit openWB_lite
Github: https://github.com/hhoefling/openWB_lite
https://github.com/hhoefling/MyOwnOWBC
Jarry
Beiträge: 1553
Registriert: Sa Nov 10, 2018 6:59 am
Wohnort: Leverkusen
Has thanked: 3 times
Been thanked: 4 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von Jarry »

klar, physischer Zugriffschutz ist natürlich sowieso zu befürworten. Geht halt nicht immer so gut :)

Aktuelles Setup:
openWB 2.x
2x openWB pro
PV:
SolarEdge SE9K mit SolarLog 380Mod am EVU Punkt (nur noch fürs SE Portal genutzt)
2x MPPT 150/35 mit jeweils 1,2kWp

Speicher:
3x Multiplus 2 5000
Cerbo GX
EM540 (am Cerbo)
28,6kWh DIY Speicher
stefan_o
Beiträge: 70
Registriert: Di Okt 12, 2021 5:18 pm

Re: OpenWB / Firmennetzwerk absichern

Beitrag von stefan_o »

hhoefling hat geschrieben: Do Dez 23, 2021 9:10 am Aus genau diesen Gründen ist die openWB hier nicht zugänglich auf der Innenseite der Gebäudewand angebracht.
Nur der Rüssel hängt raus :-) ( oder steckt in seinen Parkplatz)
Somit kein weiterer Hardwarezugang möglich.
Alles weiter wird vom Hausinternen Tablett oder per Wlan mit dem Handy erledigt.
Jarry hat geschrieben: Do Dez 23, 2021 9:17 am klar, physischer Zugriffschutz ist natürlich sowieso zu befürworten. Geht halt nicht immer so gut
Auf die Idee bin ich noch gar nicht gekommen, rein praktisch wäre das machbar, ob es auch erlaubt ist weiß ich nicht: Die openWB im Gebäude installieren, zum Ladepunkt dann 5x6mm² Kabel und eine Steuerleitung in der Erde führen und dort dann nur einen kleiner Verteilerkasten hinsetzen lassen, der die beiden Kabel wieder auf das Ladekabel zusammenführt. Ich habe zwei Threads hier dazu gefunden leider ohne wirkliche Antwort: viewtopic.php?f=8&t=1601 und viewtopic.php?f=8&t=3841
Jarry hat geschrieben: Do Dez 23, 2021 7:52 am Auf die schnelle kann ich da die Fortigates empfehlen. Die kleineren davon, die aber auch schon richtig Durchsatz hinkriegen (inkl. IPS, Threat Protection), kosten nicht die Welt sind aber vom Management durchaus auch fast von einem dressierten Affen zu Meistern :)
Ansonsten muss man sich halt Hilfe dazu holen.
Die Geräte der Einstiegsklasse scheinen dort alle das Szenario Internes Netz vs. Internet zu betrachten: Ich habe ja Internes Netz vs. Internes Netz. Die Geräte, die den Durchsatz für das komplette interne Netz bieten sind dann schon erheblich teurer. Was ich mich bei solchen Geräten auch immer frage, wie lange gibt es Updates?
Jarry
Beiträge: 1553
Registriert: Sa Nov 10, 2018 6:59 am
Wohnort: Leverkusen
Has thanked: 3 times
Been thanked: 4 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von Jarry »

stefan_o hat geschrieben: Do Dez 23, 2021 10:48 am Die Geräte der Einstiegsklasse scheinen dort alle das Szenario Internes Netz vs. Internet zu betrachten: Ich habe ja Internes Netz vs. Internes Netz. Die Geräte, die den Durchsatz für das komplette interne Netz bieten sind dann schon erheblich teurer. Was ich mich bei solchen Geräten auch immer frage, wie lange gibt es Updates?
Nein, wenn wir mal sone Fortigate 40F als Einstieg nimmt. die macht ca 5GBit Firewalldurchsatz. Klar NGFW, IPS oder Threat protection drosselt das ganze runter, aber wenn du das weglässt (hast du ja jetzt auch nicht) geht da schon einiges.
Und Ja, das gilt auch für rein internen traffic. Also z.B. IoT Schmutznetz zur Wallbox oder wie auch immer.

Man kann damit schon echt ne menge machen. muss sich halt ein wenig damit befassen (oder es halt machen lassen :) )

Aktuelles Setup:
openWB 2.x
2x openWB pro
PV:
SolarEdge SE9K mit SolarLog 380Mod am EVU Punkt (nur noch fürs SE Portal genutzt)
2x MPPT 150/35 mit jeweils 1,2kWp

Speicher:
3x Multiplus 2 5000
Cerbo GX
EM540 (am Cerbo)
28,6kWh DIY Speicher
hhoefling
Beiträge: 667
Registriert: So Jul 25, 2021 2:32 pm
Has thanked: 2 times
Been thanked: 3 times

Re: OpenWB / Firmennetzwerk absichern

Beitrag von hhoefling »

Also es ist das Orignal Ladekabel weiterhin direkt an der Box angeschlossen.
Nur statt der Zuleitung geht das Ladekabel durch die Wand.
gruss
Heinz

6kWp+7.7kWp PV, RCT Akku, RCT Power DC6+DC8, +Tibber,+Shelly's
Skoda Citigo e-iV, openWB series2 standart+
mit openWB_lite
Github: https://github.com/hhoefling/openWB_lite
https://github.com/hhoefling/MyOwnOWBC
Antworten