síťová bezpečnost solárních zařízení

[dako]

Po takovém menším "síťovém auditu" nejen ve své síti, jsem narazil na potencialní rizika, které mohou představovat různé solarní měniče, hybridy a střídače, které odesílají data do cloudu nebo lze dokonce přes API rozhraní z cloudu/portálu výrobce zařízení konfigurovat. Riziko není jen možnost znefunkčnit příp. zničit solární zařízení, ale také přes něj provést útok do LAN sítě. K celému zamyšlení, mě přijmul i tento článek

https://www.solarninovinky.cz/6-zpusobu ... lektrarny/

a taky zkušenosti jednoho uživatele z fora e-bastlirna, kde došlo právě k útoku ze solárního střídače do místní LAN instalací ransomware do NAS v lokální síti.
Určité řešení je striktní segmentování sítě LAN a oddělení tak střídače od LAN, a samozřejmě použití silných hesel především na API rozhraních a přístupech do "cloud" portálů svých dat. Případně uplně zamezit např. možnost online upgrade firmware, nebo uplně vypnout komunikaci do cloudu, ale to by asi někteří nejspíš težko nesli.

[Mex]

2 stránky canců, jen proto, aby mohlo zaznít to hlavní:

Baterie vyrobené v České republice nebo v Evropě mají významnou výhodu v tom, že přestože některé komponenty, například články, jsou vyrobené v Číně, tak architektura baterie a zejména software používají vlastní. Díky tomu nemá čínský výrobce použitých součástek, který nedokáže zaručit plnou bezpečnost, vzdálený přístup do baterie a data jsou uložená v EU.

Ten "nezávislý" názor je od prodejce baterek, který potřebuje podpořit prodej svých předražených produktů.

[dako]

Aha, tak jinak. Jako ano, jsou tam bláboly ohledně těch bateriových uložišť, ale já se spíš zaměřil na nosné téma a to je bezpečnost solarních systémů. Zkrátka, zde jde o to, se zamyslet, že mít připojen střídač trvale do domací wifi sítě nebo jednotné LAN nebude to pravé. A, ruku na srdce, kdo to tak (ne)ma? Bláboly neřešme.

[pave69]

Tak určitě to je reálné riziko. Těch případů, kdy se to stalo, bylo už víc:
- zničené satelitní modemy před útokem na Ukrajinu
- znefunkčněné FV střídače dovezené (tuším někam do Ameriky) bez svolení výrobce
Jediné reálné zabezpečení je nepustit FV na internet - nedat mu gateway adresu nebo tak něco. Ale člověk přijde o cloud, nicméně třeba HA by nebyl dotčený.
Pokud by se třeba mezinárodní situace vůči Číně začala horšit, tak vřele doporučuji nějaký takový krok. Kdyby se to stalo bez vědomí výrobce, tak by to snad šlo nějak spravit (přeflashnout), i když ty satelitní modemy to nesplňují.

[dako]

Co jsem se dívál, tak "online" režimy většinou vypnout jdou s tím problém není. Menší komplikace může nastat pokud někdo využívá komunikaci ModbusTCP třeba přes wifi. Já to třeba mám vyřešené přes RTU RS485, dá se přes to klidně i konfigurovat ochrany a celé nastavení, je to ale komplikované. Nicméně invertory jsou někdy samoosobě wifi AP, a tak je možné je pak pohodlně přes aplikaci přímým připojením konfigurovat (mimo cloud), to jsou ale věci, které se většinou dělají jednou za čas. Problém spíš nastává, pokud to má v pazourech nějaká instalační firma. Ti většinou jedou "one vendor" politiku (Solax, Goodwee ) a ti si vyhradí vzdálenou správu a nebudou se mrcasit lokalním přístupem.
Vhodné řešení je virtuální wifi síť přístupnou pouze do Internetu a tu izolovat od zbytku LAN, ať si člověk ochrání aspoň svojí produkční LAN.

[Mex]

Tak určitě to je reálné riziko.
...
Pokud by se třeba mezinárodní situace vůči Číně začala horšit, tak vřele doporučuji nějaký takový krok.

Jojo, to tvrdí ten oot Koudelka kudy chodí. Že Čína je pro nás šílené nebezpečí, jejím hlavním cílem je nám škodit a hrozí, že nás sežerou i s botama.

V tom výčtu případů jsi zapomněl na docela podstatný, který se týkal nás. Jak morální maják Dědek z Jablotronu vypnul v Rusku zabezpečovačky. Které si oni řádně od jeho firmy koupili.
Od Jablotronu bych si nikdy nekoupil ani roli hajzpapíru. Na rozdíl od prakticky jakékoli čínské firmy.

Pokud se někdy někde znefunkční nějaké výrobky, které se do země dostanou šedým dovozem, tak za jejich případným znefunkčněním prakticky vždy stojí tamní oficiální dovozce/distributor. Který to buď nějak zařídí sám, nebo to udělá výrobce na jeho výslovnou žádost.
Čínský výrobce sám k tomu žádnou motivaci nemá. On chce prodávat, ne si kazit jméno nějakým znefunkčněním.

Pokud někdo má tendenci podobné opičky dělat, tak to jsou spíš morálni majáci a vývozci těch správných demokratických hodnot. Jako ten Dědek.
Číňan chce vyvážet zboží, ne morálku. Na to jsme kadeti my tady v Evropě. Dřív stejně nebo ještě víc i Amerika, ale tam už teď zvolili změnu.

[Kodl69]

to mex: není důležitý, jak toho potenciálního nepřítele na internetu budeš nazývat, důležitý jsou následky. Třeba nedávno to zdravotnictví na slovensku...
Pokud něco málo můžu udělat, tak to udělám. Třeba HA s VPN z internetu, žádný čínský wifi hračky s původním firmwarem a pod. Moc úsilí mě to nestálo, a mám aspoň nějakou šanci, že nebudu postiženej v první vlně, třeba útokem na wifi termostaty při -20°C, nebo na wifi ovládání garážovejch vrat... A schválně nějak nepíšu, kdo za tím útokem může stát, důležitý jsou následky.
Ostatně mypower.cz mi teď hlásí "500 internal server error" že už by něco probíhalo?

[Mex]

Že je internet potenciálně nebezpečné prostředí - proti tomu nic. To je určitě pravda.
Já se ohrazuju jenom proti klišé, že "to dělá ta zlá Čína".

Takové sviňárny dělají na internetu hackerské skupiny z různých zemí, někdy dokonce i mezinárodní. Takže za tím klidně může být i nějaká parta z Číny, ale stejně tak může být třeba z Francie, Německa nebo Ameriky.

Jsem alergický na to, jak se každý takový problém spojuje s Čínou. A to ještě podprahově tak, jako by to byla oficiální akce Číny jako státu.
A že jsou nejčastěji napadena zařízení, vyrobená v Číně? To zas není takový div, když většina všeho je vyrobena v Číně, že.

[redcrown]

pod to se podepisuji. Ještě jen dodám, že je Čína na nás závislá a bez prodeje do západního světa nemůže existovat. Podle toho se chová. Že se někdy něco může stát, to se samozřejmě nedá vyloučit.
Taky ještě dodám, že každý kdo chce zabránit průniku do vnitřní sítě a bojí se Číny, tak ať si spočítá, kolik zařízení s čínským FW mu doma běží. Různé brány, převodníky, routery apod. Až potom bych si dělal starost o střídač.
Já jsem zastánce necloudových přístupů (min. FVE tak mám udělanou), ale z těch mých asi 60 síťových zařízení určitě nějaké ten čínský FW asi má.

[eduard22]

Že je internet potenciálně nebezpečné prostředí - proti tomu nic. To je určitě pravda.
Já se ohrazuju jenom proti klišé, že "to dělá ta zlá Čína".

Takové sviňárny dělají na internetu hackerské skupiny z různých zemí, někdy dokonce i mezinárodní. Takže za tím klidně může být i nějaká parta z Číny, ale stejně tak může být třeba z Francie, Německa nebo Ameriky.

Jsem alergický na to, jak se každý takový problém spojuje s Čínou. A to ještě podprahově tak, jako by to byla oficiální akce Číny jako státu.
A že jsou nejčastěji napadena zařízení, vyrobená v Číně? To zas není takový div, když většina všeho je vyrobena v Číně, že.

Podepisuju! Kadyrovovi vypnul elktromobil Teslu na dálku E.Musk... Né že bych se Kdyrova zastával, ale jde o princip - a to že Kadyrov auto zaplatil! Neukrad!!! A politiku by do obchodu solidní obchodník tahat neměl!!! Aha on je už Musk politik... Tak to jó, to má patent na to koho potrestat i bez soudu...

[brumlaj]

Bezpečnostní zranielnosti SMA, Growatt, Sungrow.