×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Lek in omvormers zonnepanelen te misbruiken bij aanval op stroomvoorziening'

Door , 202 reacties, submitter: BartW

Vele duizenden omvormers van zonnepanelen bevatten kwetsbaarheden die te misbruiken zijn om de panelen op afstand uit te schakelen. Dat beweert een beveiligingsonderzoeker. Het ministerie van Economische Zaken onderzoekt de claims.

Onderzoeker Willem Westerhof van het Haarlemse beveiligingsbedrijf ITsec onderzocht omvormers van marktleider SMA en ontdekte een reeks beveiligingsproblemen. Onder andere wijst hij tegenover De Volkskrant op het risico van het gebruik van standaard wachtwoorden.

In een document van SMA staat dat het wachtwoord voor 'gebruikers' standaard op '0000' staat en voor 'installateurs' is dat '1111'. Gebruikers kunnen informatie uitlezen en basisinstellingen aanpassen, installateurs kunnen ook installatieparameters wijzigen. Volgens Westerhof wordt de gebruiker niet gevraagd zijn wachtwoord aan te passen. In het installatiedocument staan wel aanbevelingen over het wijzigen van wachtwoorden.

Volgens Westerhof kunnen kwaadwillenden hoe dan ook een bruteforce-aanval uitvoeren om achter het wachtwoord te komen; de omvormers zouden hier niet tegen beschermd zijn. Verder spreekt hij over een 'superwachtwoord' waarmee toegang tot elk apparaat verkregen zou kunnen worden. Mogelijk doelt hij op de SMA Grid Guard-code die toegang geeft tot het verdeelstation in de omvormer en die elektriciens op verzoek kunnen ontvangen.

Volgens de onderzoeker is het mogelijk malware te installeren en zo in een klap grote hoeveelheden omvormers uit te schakelen. Dit zou in theorie een grote impact op de stabiliteit van het elektriciteitsnetwerk kunnen hebben. Hij heeft de kwetsbaarheden eind vorig jaar met SMA besproken, maar die zouden sindsdien nauwelijks iets gedaan hebben.

Het ministerie van Economische Zaken is in overleg met Tennet en het Nationaal Cyber Security Centrum over de bevindingen. Het ministerie stelt 'maatregelen te nemen als blijkt dat dit noodzakelijk is'. SMA spreekt van 'enkele zeer geïsoleerde producten' en het uitvoeren van 'technische correcties'. Het bedrijf heeft de kwetsbaarheden gemeld bij de Common Vulnerabilities and Exposures Authority, die deze vrijdag publiceert.

Door Olaf van Miltenburg

Nieuwscoördinator

04-08-2017 • 08:39

202 Linkedin Google+

Submitter: BartW

Reacties (202)

Wijzig sortering
Er zijn veel meer dingen mis met panelen. Ik was binnen een paar minuten iemands netwerk binnen:
- Systeem heeft zelf een management WLAN
- Dat WLAN is niet secure en bevat een http inlogpagina
- standaard combinatie admin/admin werkt
- Het systeem bevat vervolgens plain text een wlan key van het gebruikersnetwerk thuis (want het systeem wil graag een internetverbinding hebben)

Uiteraard is het niet goed dat een installateur (of gebruiker) de admin/admin inlog niet aanpast, maar ook al gebeurt het wel: het is erg simpel om die inlog een keer te achterhalen omdat niets werkt met een secure verbinding.

[Reactie gewijzigd door Korvaag op 4 augustus 2017 08:56]

niet alleen de admin/admin zou moeten worden aangepast, maar ook de standaard pincodes. Al loop je dan het risico dat de installateur natuurlijk een wachtwoord als 1234 instelt of overal waar hij komt dezelfde installateurswachtwoord gebruikt.

De software zou moeten vereisen dat het admin wachtwoord en de default pincodes worden aangepast bij eerste gebruik of na een reset naar default.
Dit soort spul moet gewoon niet met een management interface aan een (publiek) netwerk kunnen hangen. Draadje erin en daar heb je je admin interface. Voor verzenden van verbruiksgegevens heb je de admin interface niet nodig.

Overigens weet ik niet of de persoon bij wie ik bovenstaand 'truukje' heb uitgehaald een SMA omvormer had, maar dat is ook niet zo heel relevant voor de essentie van het bericht :)
De klant zou op beide accounts een sterk wachtwoord moeten zetten en dus beide wachtwoorden moeten hebben. Stel je installateur zet er een sterk wachtwoord op. En je wil onderhoud laten doen door een andere partij, kan die niet in het systeem. Maar zo te horen is dat gehele systeem lek als een mandje en heb je aan sterk wachtwoord ook niet veel.
Even een stomme vraag...
Waarom moet een zonnepaneel in hemelsnaam verbonden zijn met internet?
Hij hoeft toch alleen verbonden te zijn met je elektriciteitsmeter?

Dat hij verbonden kan zijn met internet, ok...kan een keus zijn van de gebruiker om dat te doen (zodat die via apps opbrengst enz kan controleren), maar zoals het hierboven staat, lijkt het dat hij verbonden moet zijn?? (klopt dat??)
er is geen enkele reden om een omvormer (niet het paneel, daar zit niks hackbaars in.) te moeten verbinden met het internet.

de enige reden die er is, is voor het loggen van de opbrengst.
(loggen van de opbrengst is zeker niet onbelangrijk, in de gaten houden of het systeem werkt is vaak wel verstandig, maar hoeft echt niet perse met het internet te gebeuren.)
Grote commerciële zonne-energie systemen hebben zware onderhoudscontracten met hoge boetes wanneer de gegarandeerde opbrengst niet gehaald wordt. Deze systemen worden dagelijks gemonitord. Het is niet realistisch om iemand iedere dag alle systemen af te laten rijden om handmatig te monitoren.. Uiteraard verloopt dit via internet.
Je hoeft de opbrengst niet eens via de omvormer te monitoren. Een slimme meter doet dat ook!
Nee slimme meter doet dat niet.
Ik heb een zonne systeem. Die moet verbonden zijn met internet.als ik de target niet haal betalen ze mij de minder opgewekte kwh terug.

Slimme meter meet alleen wat je terug levert. Daar je eigen gebruik al afgehaald is. Dit is dus niet wat je zonnepanelen daadwerkelijk opwekken.
een slimme meter heeft een speciaal terug telwerk, dat klopt.

maar in Nederland moet je de panelen aansluiten achter de meter.
dus als de ijskast(of elk ander apparaat) stroom trekt, dan gaat de stroom rechtstreeks van de zonne panelen naar dat apparaat.
en komt dan niet langs de meter en word dus ook niet gemeten.

grofweg komt het neer op dat een slimme meter dan 20% te weinig telt.
dus helaas slimme meter is niet bruikbaar daar voor. ;)
Een andere gebruikte optie bij software is een combinatiewachtwoord. Het wachtwoord bestaat dan uit 2 componenten:
- een deel dat bij de gebruiker bekend is
- een deel dat bij de installateur bekend is

Je hebt de combinatie nodig om in de admin interface te komen.
Het kan beter: de installateursinterface alleen bedraad te benaderen maken, met een apart wachtwoord. De gebruiker kan draadloos alleen zijn password ingeven en gegevens uitlezen, zonder mogelijkheid tot uploaden van andere data dan het password. Om te configureren moet je het draadje gebruiken.

Hoeveel kost een usb aansluiting nou?
Dat zou betekenen dat de installateur altijd fysiek langs moet komen en dat is nou net niet de bedoeling bij zo'n op afstand benaderbare omvormer.

Een andere oplossing zou zijn om interactie van de klant te vragen bij problemen. De klant zou dan bijvoorbeeld op een fysieke knop op de omvormer moeten drukken om de toegang van buitenaf tijdelijk open te zetten (met inlog uiteraard). Dit zie je ook vaak bij alarmsystemen middels een aparte code op de keypad, waarna de installateur er 'in kan'.
Ja, maar dan moeten we alsnog de fabrikant vertrouwen dat deze die beveiliging goed implementeert. En daar gaat het juist op fout. Ik zou me nog niet veilig voelen met zo'n oplossing. Dan maar de kleine kans dat je een monteur moet laten komen als het mis gaat.

[Reactie gewijzigd door Origin64 op 4 augustus 2017 10:02]

Maar heeft als voordeel dat ze het aan de voorkant beter moeten regelen.
Langskomen binnen garantie kost enorm veel.
Kan dus wel degelijk positief werken
geen usb maar serial, en dan een windows 3.1 laptop, die de solarpanel beheerd.

beter oude technologie, dan nieuwe, gezien voor zoiets oud beter is dan nieuw,

en serial is daarnaast ook veiliger voor usb.
Leuk dat darknessblade -1 krijg maar ergens heeft hij gelijk.

Persoonlijk en Professioneel heb ik zat apparaten te beheren welke enkel nog-steeds maar met Serial te benaderen zijn. (helaas is het meestal oude bagger).
Hoewel de nieuwkoop dan toch met USB werken heb je hier meer last van. Want elke apparaat wil dat je zijn 'USB' driver gebruikt, en dan nog al die verschillende beheer programmatjes die ze er bij gooien.
Heb er van verveling een apparte laptop voor moeten kopen met windows..
dan moet je maar bedenken hoe erg die smart meters zijn.

90% van alle bestaande kan vlamvatten of geeft foute waardes
(en dan bedoel ik wereld wijd niet alleen in nederland)
(en dan begin ik nog niet eens over de straling van die dingen)

en de leveranciers van de meters weten dan ook nog niet eens het probleem.

als je daar problematische zonnepanelen meerekend die piek, dal piek, dal piek, dal levert, dan gaat de meter zeer snel kapot, wat weer het nadeel is van zo'n hack.
---
het zou zelfs veiliger zijn om nu een windows 98SE pc/laptop te gebruiken voor internet dan een moderne pc met alle lekken.

gezien alle oude malware al is gepatched, en om nieuwe te maken voor oudere systemen, is niet altijd even handig, gezien de windows NT kernel anders is
Sterk wachtwoord met 4 cijfers...
Ben al benieuwd of hij bij x aantal keer verkeerde pincode automatisch locked. Als dat niet gebeurd is hij alsnog met bruteforce binnen enkele minuten te kraken.
Lees niet direct dat 4 tekens ook het max is. Maar dat is inderdaad snel te kraken zijn maar 10.000 mogelijkheden.
Heb zelf een omvormer van een grote Duitse fabrikant, benaderbaar via Bluetooth met 4 cijferige pincode. Zag tijdens het installeren van de software een 2e omvormer van hetzelfde fabrikaat binnen bereik.

Was binnen 10 minuten in dat apparaat (van de buurman 2 huizen verder - met zijn goedvinden) ;)

Pincode kun je oneindig proberen...
Toch niet via Bluetooth neem ik aan dan? Ik ben al blij als ik een kamer verder BL ontvangst heb.
Toch wel, BT van deze omvormer kan ik beneden nog connecten (hangt op 2e verdieping, betonnen vloeren in huis).

Andere omvormer (zelfde fabrikant, ander type) met retrofit BT komt inderdaad een stuk minder ver.
Volgens Westerhof kunnen kwaadwillenden hoe dan een bruteforce-aanval uitvoeren om achter het wachtwoord te komen; de omvormers zouden hier niet tegen beschermd zijn.
De gebruiker is de eigenaar, niet de installateur of de fabrikant. De gebruiker moet dus alle rechten hebben en alleen hij heeft beheersrechten en bepaalt wie in het systeem mag en kan. (Dit geldt overigens m.i ook voor de apparatuur van kabelbedrijven en internetpdoviders..)
Maar dan nog:
Volgens Westerhof kunnen kwaadwillenden hoe dan een bruteforce-aanval uitvoeren om achter het wachtwoord te komen; de omvormers zouden hier niet tegen beschermd zijn.
Het zal dus een kwestie zijn van minuten.

Als de huizen dicht bij elkaar staan dan kunnen ze misschien ook wel via andere netwerken overhoppen naar de buren.

Waarom proberen te blijven investeren/geloven in vaste draadloze verbindingen. Het is gewoon onveiliger dan vaste verbindingen.

[Reactie gewijzigd door FireStarter op 4 augustus 2017 09:18]

Waarom proberen te blijven investeren/geloven in vaste verbindingen. Het is gewoon veiliger.
Wat bedoel je hiermee?
Posten voor koffie is never a good idea :Y)

Dank u :)
Als de huizen dicht bij elkaar staan dan kunnen ze misschien ook wel via andere netwerken overhoppen naar de buren.
It's not a bug, it's a feature!

Het is natuurlijk niet zo bedoeld, maar als iedereen dan toch een accesspoint op z'n dak heeft liggen dan zie ik mogelijkheden voor een leuk mesh-netwerk. De beperkende factor voor dat soort netwerken is nu vaak dat de accesspoints van de schaarse deelnemers elkaar niet kunnen zien. Iedereen heeft dat ding binnen liggen achter dikke muren. Als je dat accesspoint op het dak zet heb je geen last meer van de muren en heb je een goede verbinding met de omliggende huizen.
Zo'n mesh netwerk is nooit zo snel als een mooi stuk glas of koper, maar de beschikbaarheid kan gigantisch zijn. Als de ISP's dan ook nog meedoen en hun modems aansluiten op dat meshnetwerk dan wordt het echt leuk.
Het heeft ook te maken met luigheid van mensen. Men heeft ook een inspanningsverplichting om het aan te passen. Er staat bij elke router en wat voor apparaat dan ook dat men de standaard codes moet aanpassen. Maar men wil het niet omdat het blijkbaar te veel werk is. Ik hoor nu al mensen mopperen dat er eisen worden gesteld met speciale tekens en een hoofdletter. En als men het niet aanpast ondanks advies dan is het plots de schuld van de fabrikant.

Daarnaast is een wachtwoord strikt persoonlijk. Een installateur zou dus nooit mogen weten wat een klant voor een wachtwoord invoert. Je zou dus eigenlijk de klant achter de laptop moeten zetten en zeggen: vul hier maar NU het wachtwoord in... En goed onthouden en niet opschrijven op een briefje... Men wil ook liever het wachtwoord veranderen zonder dat er installateurs en pottekijkers bij zijn...

Er kan beter gezocht worden naar een ander alternatief... Maar ja wat....
Dat is apart! Mijn schoonvader heeft twee SMA omvormers, en die zijn;

- WPA beveiligd WLAN
- Per device een initiele WPA sleutel in de vorm van het serienummer (je moet dus fysiek toegang hebben tot de omvormer om in te loggen als het gaat om een nieuw device, je buren kunnen er dus niet zomaar op als je dat ding net in je schuur hangt)
- Eenmaal ingelogd op het WLAN van een device, moet je eerst een management user / pass aanmaken waarna ook de WPA2 sleutel automatisch wordt aangepast

Hij heeft deze omvormers al een tijd, het is niet zo dat dit hele nieuwe modellen zijn. Ik vraag me dus af om welke modellen het hier gaat, gezien er tegenwoordig dus al veel beter is nagedacht over de security.
Wilde al zeggen, die management website is zeker ook geen HTTPS .... maar je was me al voor dus.
een kleine opmerking:
Er zijn veel meer dingen mis met panelen.
hoe je het ook draait of keert het paneel zelf is echt niet te hacken.
er zitten 3 diodes in de verbinding-box en dat is echt onhackbaar. }>
(uitgaan de van een "normaal" paneel zonder optimizer of iets dergelijks.)

de omvormer waar de panelen aan hangen, tja dat is wel een ander verhaal, dat zijn vaak aardige computers die niet onhackbaar zijn.
dus ik zou het over omvormers hebben.
(en dan maakt het niet uit of die aan een windmolen/watermolen/zonnepanelen hangen.
in theorie kun je er ook een kleine kerncentrale aan hangen, lol
gewoon een DC bron met de juiste V en het werkt grofweg wel ;) .)

[Reactie gewijzigd door migjes op 4 augustus 2017 12:49]

Lang leve IoT. Zodra mensen die geen verstand van ICT of beveiliging zich gaan bemoeien met internet verbonden apparatuur krijg je dit soort excessen. Net als in de begindagen van 'breedband' internet waar de ISP's destijds doodleuk een hele straat aansluitingen in hetzelfde subnet zetten, zodat iedreen bij iedereen digitaal op de koffie kon. Beveiliging 0,0. Tegenwoordig wordt er veel harder misbruik gemaakt van dit soort fouten. Dit is net zoiets als een slotenverkoper die voor het gemak aan alle klanten een loper meegeeft, want die past bij het slot dat verkocht wordt. 8)7

/aluhoedjes mode: zit het er nu echt aan te komen dat dit soort apparaten ook ransomeware gaan bevatten: maak x bitcoin over op wallet xyz dan geven we uw omvormer/thermostaat/koelkast weer vrij. Zolang u niet betaalt, levert de omvormer geen stroom, wordt de temp op de thermostaat op 45 graden celsius gezet en de koelkast op 20 graden celcius.....

[Reactie gewijzigd door robb_nl op 4 augustus 2017 09:38]

Lang leve IoT. Zodra mensen die geen verstand van ICT of beveiliging zich gaan bemoeien met internet verbonden apparatuur krijg je dit soort excessen.
Ik neem aan dat je hiermee doelt op de bedrijven die dit spul op de markt brengen. Neem sma als voorbeeld, je praat dan over geen klein bedrijf en je mag best verwachten dat ze voor dit soort zaken een specialist inhuren. Dat doen ze dus niet.

Het enige dat jij als klant kan doen is het ding loskoppelen van het internet. Dan kun je natuurlijk geen info meer uploaden, van afstand kijken.

De vraag is op dit soort bedrijven dit met een firmware update kan oplossen ?
Tot ongeveer 1,5 jaar geleden (december 2015) waren omvormers van SolarEdge ook kwetsbaar voor MITM-aanvallen. Via hun internetverbinding zijn allerlei instellingen te veranderen en kan er ook nieuwe firmware geïnstalleerd worden. De enige vorm van beveiliging die er in het communicatieprotocol zat was een CRC op de verzonden commando's; wilde je de omvormer iets laten doen dan hoefde je alleen maar het betreffende commando te sturen met de juiste CRC. De namen en parameters van de verschillende commando's waren (en zijn nog steeds) vrij eenvoudig uit de configuratiesoftware te plukken met een .NET decompiler. Toen de gebruikte CRC eenmaal was gekraakt kon je dus als MITM in principe naar hartenlust je gang gaan...

In 2015 heeft SolarEdge encryptie aan haar protocol toegevoegd, dat in december van dat jaar is geactiveerd. Het betreft AES-128 encryptie dat in principe als onkraakbaar gezien wordt. Echter, nieuw geïnstalleerde omvormers gaan nog steeds eerst onbeveiligd het internet op. Het activeren van de encryptie gebeurt pas enkele uren tot dagen later. En wat gebeurt er vlak voordat de encryptie wordt ingeschakeld? Dan stuurt de omvormer eerst netjes de benodigde sleutel om de versleutelde berichten te kunnen ontcijferen :F

Desalniettemin is dit wel een enorme verbetering in de beveiliging; als je zo'n omvormer wilt overnemen moet je nu dus als hacker zorgen dat je de betreffende omvormer al aan het afluisteren bent vóórdat de encryptie wordt geactiveerd. Eenmaal geactiveerd is er geen speld meer tussen te krijgen. Hoe sneller de encryptie wordt geactiveerd, hoe kleiner de kans dat iemand zich in je omvormer weet te wurmen.

Voor Tweakers is deze kleine tekortkoming in de beveiliging echter een zegen, want een MITM op je eigen omvormer is de makkelijkste manier om je eigen logging database met data per paneel te kunnen opzetten zonder de koppeling met de website van SolarEdge zelf te verliezen.
Ik kreeg desgevraagd deze (standaard)uitleg van mijn SolarEdge leverancier:
Het wachtwoord dat u voor het uitlezen gebruikt heeft niets te maken met het bereikbaar zijn van de omvormer. Het is namelijk alleen geschikt om uw gegevens in te zien op het portal. U en wij kunnen hier geen wijzigingen in de software van de omvormer mee aanbrengen.

Het onderzoek waar de media (ze begrijpen niet geheel wat ze nu eigenlijk schrijven) over bericht gaat over de regel dat omvormers die in Duitsland gekoppeld zijn aan het net en boven een bepaald vermogen (dit verschilt per regio en netbeheerder) terug kunnen leveren op afstand uitgezet moeten kunnen worden door de betreffende netbeheerder. De reden hier voor is om te voorkomen dat er bij heel hoge instraling een te hoge teruglevering naar het net plaats vindt. Deze toegang kan gehackt worden en dan kunnen ze die betreffende omvormers dus uitzetten.

Solar Edge omvormers zijn niet uit te zetten op afstand en dat weten wij omdat we dat al eerder samen met SE (die altijd bij een op internet aangesloten omvormer kan komen) uitgezocht hebben. We wilden namelijk weten of we de omvormer van een wanbetaler op afstand konden uitzetten…

Hiernaast was er een half jaar geleden een onderzoek over omvormers via welke je op het netwerk van klanten kon komen. Dit was een inferieur merk uit China en het was niet van toepassing bij kwaliteits omvormers. Zelfs bij die goedkope variant hebben ze het al afgedekt met een software patch.
Je leverancier heeft op een aantal punten gelijk. Met je Monitoring Portal wachtwoord kunnen ze niets spannends doen en voor zover bekend kun je een SE omvormer ook niet gebruiken om op iemands thuisnetwerk in te breken.

Echter, de verbinding tussen de omvormer en de servers van SolarEdge is wel degelijk gevoelig geweest voor MITM-attacks en het gebruikte protocol bevat wel degelijk commando's waarvan uit de naam kan worden opgemaakt dat daarmee de omvormer kan worden gestopt (of erger, in de verkeerde handen).

Zijn vindingrijkheid siert je leverancier wel >:) Maar ik kan goed begrijpen dat SolarEdge niet meewerkt om een door hun geproduceerde omvormer moedwillig onklaar te maken. Het zou me ook niks verbazen als de benodigde knoppen ook niet zomaar in de interface van de helpdeskmedewerkers zitten ;)


Maar om een voorbeeld te geven van een reëel gevaar van het SolarEdge systeem. Om de omvormer te koppelen met de optimizers onder de panelen, is er een functie die 'pairing' genoemd wordt. Dit proces duurt een paar minuten en in die tijd wordt er geen energie geproduceerd. Pairing kan ook op afstand (door de installateur, of door iemand van SolarEdge zelf) worden gestart. Als iemand ongemerkt in het systeem van SolarEdge inbreekt zou die vrij eenvoudig alle SolarEdge omvormers wereldwijd (of daar waar het licht is dan) tegelijkertijd kunnen laten pairen... En als diezelfde persoon tegelijkertijd zo'n zelfde trucje uithaalt met alle SMA-omvormers wereldwijd gaat er toch al een behoorlijk grote productiecapaciteit in één klap offline.
De doelstelling van de overheid was dat meer mensen leren programmeren, maar met deze ontwikkelingen met al die IOT apparaten is iedereen over 10 jaar systeembeheerder, omdat je in je eigen huis je eigen mini server park hebt :P

Je mag nu al af vragen of je telefoon, tablet, slimme meter, omvormer, lampen, camera's veilig zijn.
Ik ben benieuwd welke producten er nog meer in huis kunnen komen waar je zorgen over kunt maken....
Er is een simpele oplossing voor, die al heel lang bestaat: je hebt 1 server, je computer, en daar hang je die andere apparaten aan.

Maarja, desktops zijn niet hip meer.
Bij oudere SMA omvormers heb je een Bluetooth module extra nodig om enige verbinding te kunnen maken met een computer.

De latere varianten hebben de Bluetooth module ingebouwd en kan dan via de Sunny Explorer worden benaderd.

De laatse modellen, Sunny Boy v1 tot v5 hebben enkel wifi mogelijkheden en deze zullen dan ook kwetsbaar zijn voor bruteforce aanvallen. Deze modellen hebben bij eerste login de mogelijkheid je eigen password te kiezen.
Idem voor de Zeversolar devices van SMA. Daar zit ook geen standaard web-interface wachtwoord op, wel een WiFi wachtwoord (wat je kunt wijzigen, maar je kunt WiFi niet uitschakelen).

Heb ik afgelopen maand met ze over gecommuniceerd en om opheldering gevraagd. Initieel antwoord was "verwijder hardware matig de WiFi module". Na doorvragen geen antwoord meer.

Ik snap het niet: SMA is een Duits bedrijf en in Duitsland zijn ze normaliter heel erg bewust van security zaken (ook gezien de historie van de tweede wereld oorloog en voormalig Oost Duitsland).

<<
We got new PV panels with a new inverter: a Zeverlution 3680.

Even though the inverter is connected by wired ethernet to the network router (and has a successful connection), the WiFi access point is still up: it lists itself as ZEVERSOLAR-####.

How can I disable the WiFi access point?
(I know I can change the password from the default `zeversolar` using the web-interface at http://192.168.111.111/wireless.html, but I really want to disable WiFi completely)

On a related subject: the web-interface is not password protected.
How can I make it password protected?

This having a password imposes a problem when the device is in the local LAN.
In the current situation everyone can go to http://192.168.111.111/advanced.html and reset the device, update the firmware, change WiFi or network settings, view registration/key and via http://192.168.111.111/home.html power down the device.

From a security perspective, this is not a wise idea, especially not for "home" users.

Given my background, I could put it in a different network segment and cage it to make it a solitary device but that kind of defeats a "just plug and play" behaviour most users expect.
>>

[Reactie gewijzigd door wiert.tweakers op 4 augustus 2017 10:56]

Ik heb geen zonnepanelen en ben niet bekend met hoe die omvormers bereikbaar zijn, maar ik mag hopen alleen via lokale wifi, of het liefst helemaal niet of alleen bedraad?

Als het om lokale wifi gaat, heb je als aanvaller wel een hoop werk te doen door alle huizen langs te gaan en je toegang te verschaffen tot het wifi netwerk?

EDIT: Ik zie dat er een hoop posts zijn gepost tijdens het typen van mijn post :)

[Reactie gewijzigd door Opperpanter2 op 4 augustus 2017 08:51]

Mijn omvormer (ginlong solis) heeft een eigen access point en geen mogelijkheid om bedraad aan te sluiten. Contact met de thuisbasis is niet uit te schakelen (je kunt wel 2 additionele servers erbij zetten). De gegevens worden iedere 5 minuten onversleuteld verstuurd over een niet-beveiligde verbinding. Wil ik m'n gegevens op de site van de fabrikant inzien, mag ik inloggen op een http-pagina. Top.
Is Ginlong niet hetzelfde als Omnik?
Bij de Omnik kan je de gateway optie gewoon uitzetten. Dan maakt de omvormer nog wel verbinding met internet om je meterstanden door te geven, maar is die niet meer direct benaderbaar via het eigen WiFi AP. Dan kun je enkel nog intern, via het ip-adres bij je omvormer.

Een heel stuk veiliger....

EDIT: nog even gecheckt:
Voor alle Wifi na de 601 series kan je het AP NIET uitzetten. Er kan wel een username en password op, dus op zich hoeft het niet onveiliger te zijn dan elke router in je huis. Maar standaard staat dit NIET aan. Het AP is standaard unprotected!

Met de Omnik is het wel relatief simpel om ook zelf te loggen. Ik heb logging op PVoutput, Domoticz en EmonCMS. Je kunt namelijk via een http-command gewoon de info opvragen. Dit kan zelfs elke 10 seconden, al kreeg ik na een paar dagen dan wel wat problemen... maar dat kan aan mijn script gelegen hebben.

Linkje voor Data loggen naar PVoutput icm een script:
https://infi.nl/nieuws/ho...epanelen-meten-doe-je-zo/

[Reactie gewijzigd door waah op 4 augustus 2017 13:54]

Ik heb een autarco, is hetzelfde als de ginlong. Ook aparte wifi stick. Onbeveiligd stuurt hij de gegevens door. Kan ook meerdere servers toevoegen.
Mijn omvormer (ginlong solis) heeft een eigen access point en geen mogelijkheid om bedraad aan te sluiten. Contact met de thuisbasis is niet uit te schakelen (je kunt wel 2 additionele servers erbij zetten). De gegevens worden iedere 5 minuten onversleuteld verstuurd over een niet-beveiligde verbinding. Wil ik m'n gegevens op de site van de fabrikant inzien, mag ik inloggen op een http-pagina. Top.
De omvormer zal op zichzelf een uitgaande verbinding willen, die lever jij met je router.
Er zal best ergens een blacklist zijn, die je kan aanmaken, de adressen uitlezen, en blokkeren als 'NO!"
Mijn netwerk laat bepaalde content ook niet door naar bepaalde adresgroepen.
Eenvoudig blacklists aanmaken en klaar
Dan kun je alleen nog het access point uitzetten en dan kun je alleen nog in je meterkast verbruik/opbrengst inzien. Leuk.
. Contact met de thuisbasis is niet uit te schakelen (je kunt wel 2 additionele servers erbij zetten)
Je kan ook bedraad de omvormer monitoren en ik kan de wifi module er gewoon af halen.
Wil ik m'n gegevens op de site van de fabrikant inzien, mag ik inloggen op een http-pagina. Top.
Ik kan ook op de https pagina van Ginlong Solis inloggen en jij dus ook.

Ik draai ook een tweede server op de omvormer die de gegevens doorgeeft aan een lokaal python script waarmee ik de opbrengsten log op PVoutput.org en die site gebruik ook https

[Reactie gewijzigd door TWyk op 4 augustus 2017 12:31]

Mijn Ginlong Solis is anders wel gewoon bedraad aangesloten (UTP).
Ik kon kiezen tussen een UTP of Wifi module voor de logging bij aankoop.

Kan ook met https aanloggen op hun website.

Wel gebeurt het aanloggen met een paswoord van de installateur (en is dus hetzelfde bij alle 10000en mensen van die groepsaankopen)
Wel gebeurt het aanloggen met een paswoord van de installateur (en is dus hetzelfde bij alle 10000en mensen van die groepsaankopen)
Je kunt op https://www.ginlongmonitoring.com/ gewoon onder "Account" je wachtwoord wijzigen.
Exact wat ik voorstelde aan de installateur, die vervolgens me zei dat ik dat niet mocht doen
Raar, ik gebruik gewoon een eigen emailadres/wachtwoord combo voor inloggen op de monitoring site hoor.
De omvormer gebruikt misschien een standaard wachtwoord of ID om gegevens aan de site door te geven maar jijzelf kunt gewoon met je eigen gegevens inloggen op de site.
Die van ons zitten op het lokale wifi idd, maar zonder password (niet in te stellen) en via de webinterface kan ik omvormers aan en uit zetten. Dus met een slecht/default wachtwoord op de wifi zou je er bij ons al zijn.
Onze SMA SunnyBoy is alleen te benaderen via bluetooth middels SMA Sunny Explorer. Voor wifi en/of lan had ik een losse SMA "webconnect"module erbij moeten kopen. Dat is dan weer een geluk dat ik dat niet heb gedaan. :P

Het inloggen gaat wel standaard met de inlogcodes die in het artikel beschreven staan. Het scheelt dat het bluetooth-bereik (zenden/ontvangen) vanaf de omvormer heel slecht is. Als ik <<5 m verderop met mn laptop zit gebeurt er al niets meer. Dus iemand kan met een gewone laptop vanaf de straat niet bij dat ding inloggen, je moet er vlak voor staan.

Al met al vond ik het altijd al vrij slecht dat er zulke algemene codes worden gebruikt. Liever had ik gewoon een 12 cijferige code gehad (is de max. bij SMA) die specifiek bij die omvormer hoort en er fysiek op staat. Zeg maar zo'n voorbeeld als je WPA key op de router. Zo vaak heb je het niet nodig, dus als je er dan wat moeite voor moet doen is het niet erg.
De beveiliging is zwak...... dat is niet goed.... maar aan de andere kant. Het enige waar je bijbaan komen zijn gebruiksgegevens zoals bijgehouden teruglevering gegevens. Die ook nog eens los staan van de werkelijke gegevens waar je energie leverancier naar kijkt (kwH meter in meterkast)

Een PV omvormer laat zich dus niet uitzetten door deze slordige beveiliging.....

Netjes is het dus niet, maar laten we van een mug geen olifant maken..... op gebruiksersparameters na is er niets aan de hand
Nee, maar als het een onbeveiligde ingang is naar je (wifi-)netwerk ... zo'n webservertje hoeft maar één exploit te hebben ('remote code execution' bijvoorbeeld!) en iedereen kan van buiten via je omvormer naar binnen komen. Je omvormer zal ineens een leuke packetsniffer gaan draaien. Klaar ben je.
Het is geen webserver, Tis niets anders dan een datalogger die per periode zijn gegevens upload naar een statis pagina die de fabrikant host.

Nogmaals.... de zwakke beveiliging is niet goed. Maar ik herhaal.... laten we van een mug geen olifant maken.... i het NOS artikel wordt al gesproken over het gevaar van op afstand aan het afschakelen. Iets wat in Nederland helemaal niet kan.
Klein voorbeeldje. Ik heb een Philips TV staan. Met smart-functionaliteit.

Nu heb ik onlangs via m'n Raspberry Pi een tooltje geïnstalleerd om devices via Homekit van Apple aan te kunnen sturen. Zo heb ik ook een JSON plugin voor m'n Philips TV gevonden. Het maakt gebruik van een ingebouwd webservertje (waar ik uberhaupt geen benul van had totdat ik die plugin vond!). Je doet een POST van een bep. commando naar dat IP adres en die poort, en voila - je TV gaat aan! Of uit!

Dus wie garandeert dat dat niet kan? Veroorzaak eens een buffer overflow in die omvormer, wat gebeurd er dan?
Totdat deze software elders in gebruik komt.

De pin software was ongetwijfeld ook ooit ontwikkeld als babyslot, maar is nu ook in gebruik op de pin pas: -link werkt niet- (met NFC betalingen werkt iedere random pin code als je maar 5 of 6 cijfers gebruikt).

Het gevaar van slechte beveiliging is niet zozeer de huidige toepassing, maar de toekomstige toepassingen. Net als dat je op je tentamen mag doorrekenen op een eerder gemaakte fout, terwijl we allemaal weten dat dat juist verkeerd is.

[Reactie gewijzigd door Trommelrem op 4 augustus 2017 09:12]

Hmmm, als ik me goed herinner kan ik in mijn omvormer het max. vermogen begrenzen via Bluetooth. Als ik die nu eens op 1 W zet, staat hij effectief uit...
Eigenlijk is dit de hele essentie van de huidige energietransitie. Grillen in vraag en aanbod op het energienet.

Slechte beveiliging is tegenwoordig natuurlijk niet meer goed te praten, maar de impact van dit lek vind ik ook wel wat overtrokken.
Zolang een trip van een conventionele energiecentrale van enkele honderden Megawatts niet direct voor grote problemen zorgt (ivm voldoende reserve capaciteit), zie ik zelfs een massale uitval van Zonnepanelen door dit specifieke lek niet direct tot een enorm issue.
Daarnaast zijn Zonnepanelen door de grillige productie van zichzelf al een probleem in de balanshandhaving.

Wellicht in lokale energienetten waar veel zonneproductie is, kan het potentieel tot een dipje leiden. Maar ook hier zijn energieproducenten en netbeheerders druk met ontwikkeling balanshandhaving tot op niveau van huishoudens (Smart Grids).

[Reactie gewijzigd door Carloz op 4 augustus 2017 08:57]

Maarja, die smart grids vormen juist het potentiele risico als de beveiliging niet op orde is. Dan kun je niet alleen de PV omvormer aansturen, maar ook de accu, warmtepomp en elektrische auto. In dat geval kun je nog veel grotere pieken creëren. Dat terwijl het smart grid juist een oplossing moet zijn om het net te balanceren met minder van de door jouw genoemde (centrale) reserve capaciteit....
Klopt, daarom zie ik een lek van een specifieke fabrikant niet direct als een groot risico.
Het balanceringssysteem moet helemaal in orde zijn, absoluut mee eens. Daar ligt voor een netbeheerder ook veel meer de prioriteit dan bij enkele decentrale issues in de productie capaciteit.
Mijn inziens niet. Veel kleine productie (en consumptie) eenheden vormen samen een hele grote. Uiteindelijk geloof ik neit dat de netbeheerder hier zelf veel aan kan doen als de fabrikanten zelf hun zaken niet op orde hebben. Des te belangrijker is om dit soort zaken nu, nu ze nog "relatief klein" |:( zijn, flink aan te pakken. Doen we nu niks/te weinig, dan zitten we over een aantal jaar met een "smart grid" wat zo sterk is als de zwakste schakel... Welke dan waarschijnlijk zo lek als een mandje is...

[Reactie gewijzigd door GENETX op 4 augustus 2017 10:02]

De netbeheerders kunnen hier zeker eisen aan gaan stellen. Dat is nu met de grote producenten en de beheerder van het hoogspanningsnet niet anders.
In de toekomst zal deze markt in zekere zin ook voor de kleinschalige productie gaan gelden
Wacht even hoor, waarom hangen die omvormers uberhaupt aan het internet?
Als extra dienst in geval van storingen:

"Dankzij de geïntegreerde SMA Smart Connected service biedt deze omvormer 100% comfort aan eigenaars en installateurs van zonnestroominstallaties. De automatische omvormer monitoring door SMA, die de werking van de omvormer analyseert, brengt de installateur onmiddellijk op de hoogte van eventuele storingen, om zo een optimale service en maximale beschikbaarheid van de installatie te garanderen."

Link: https://www.sma-benelux.c...unny-boy-30-36-40-50.html
Een vraag stellen en dan vervolgens de antwoorden niet lezen/accepteren... Volgens mij wordt er toch duidelijk gezegd dat dit is voor het geval van storingen. Als je eens iets harder nadenkt ipv te trollen, zou je kunnen verzinnen dat het wel erg prettig is als de installateur in kan loggen op jouw omvormer en instellingen aan kan passen, zodat je bij storingen niet meteen een monteur à 200 euro voorrijkosten hoeft te bellen, waardoor het nog langer zou duren voordat je je, anders dan energie opwekkende, 'nutteloze' installatie hebt terug verdiend.
als die monteur het gewoon goed instelt, dan gaat het gewoon goed. Hier draait al meerdere jaren een 22KW omvormer (die zijn max ook met gemak haalt op zomerdagen) en zonder enig probleem na 1 week testen qua instellingen (erg lange voedingskabel naar de meterkast wat voor onvoorziene problemen zorgde)
Om je stroomverbruik in te zien enzovoort.
Vooral dat enzovoort. Een simpele meter op het apparaat zou toch ook volstaan? Ik ben bewust met wat ik wel en niet met internet verbind. Zeker vanwege het gegeven je heel veel privacy kwijt raakt en het te onduidelijk is wie je gegevens hebben en wat ze ermee doen. Daarnaast zie je maar al te vaak dat hackers data buit maken en verhandelen.

Ik ben me er daarentegen ook van bewust dat het lastig is dit te omzeilen.
Heb je je router ook naar buiten toe compleet dicht staan behalve de poorten die élke applicatie op élk device specifiek nodig heeft? UPnP ook uit?
Een flink deel daarvan doet je ISP al. En de beveiliging op je pc. Als het goed geregeld is hoeft je router niet veel firewall functies te vervullen.
"Een groot deel daarvan doet je ISP al" |:( |:( |:(
Ruim 2000 jaar beschaving, in één zinnetje teniet gedaan.... :X

Dus het is géén probleem wanneer je PC naar elke denkbare SMTP-server uitgaand kan gaan proberen te mailen? (En mocht 'ie toevallig een open relay vinden, wereldwijd spam gaat versturen?).

Dus is het ook geen probleem dat je devices allemaal op zoek gaan naar command-and-control-servers over het hele internet om wormpjes te activeren danwel aan te sturen danwel te verspreiden?

Dus is het ook geen probleem dat er een keylogger op je PC staat die al je toetsaanslagen doorstuurt naar een of andere hackchinees?

Je ISP blokkeert niks hoor. Dan zouden ze namelijk DPI moeten toepassen om exact te kunnen zien wát je doet. Dan zou HTTPS ook geen functie hebben want je ISP ziet toch wel of jij wel écht met een bank communiceert, of met een Russische staatshacker.

Maar het is kennelijk ook geen enkel probleem dat elk device over elke poort die ze willen pakken, naar buiten gaat communiceren - dus dat je feitelijk geen énkel besef of invloed hebt op uitgaande communicatie ... :+
Ik heb een keer bij iemand thuis gezeten die zijn werk-email niet in outlook kon instellen omdat zijn isp de poorten blokkeerde die hun mailserver gebruikte, omdat het leek op een spam server.
Als jij devices binnenhaalt die al geinfecteerd zijn of worms in je pc hebt, helpt ook een heel goed beveiligde router niet, er is verdomd weinig controle op verbindingen die van binnen uit worden gelegd. Noem 1 router die dat wel automatisch goed doet zonder dat jij een whitelist instelt.

Als je dat wil beveiligen, moet je letterlijk handmatig elke in en uitgaande verbinding gaan goedkeuren.

[Reactie gewijzigd door Origin64 op 4 augustus 2017 09:23]

Dan heb je vast zo'n kneuzenclub als KPN getroffen, die willen inderdaad nog wel eens SMTP-servers blokkeren. Maar goed, KPN en provider in één zin noemen is sowieso al onmogelijk..

Overigens, Watchguard doet dat prima. Ja da's voor thuis niet te betalen, snap ik ook wel ;) maar een router wil je niet per definitie van binnen naar buiten open hebben. Inderdaad, het is een takkewerk om dat te doen en bij te houden, maar als je eenmaal de meeste poorten die je gebruikt (NTP, DNS, 80, 443, 25 (of veel liever 587, SMTP via TLS!) opent kom je over het algemeen al een eind. Spotify (TCP 4070) zou je open kunnen zetten, je Playstation wordt wat lastiger, maar die kan je desnoods op een apart Wifi netwerk zetten, ik geloof niet dat die VLANs ondersteunt..

En NAS'jes e.d. hebben hele degelijke, afgeschermde poorten die prima gedocumenteerd zijn over het algemeen. En eenmaal ingesteld blijft het ingesteld.

Ja het kost wat meer werk. Maar denk je echt dat bedrijven standaard alles naar buiten toestaan? De bedrijven die ik ken niet in elk geval. VoIP is dan wel eens een issue, vooral in MKB's waar VLANs niet altijd doorgevoerd zijn.. maar kom op.. je kunt er niet meer van uit gaan dat "je ISP het wel regelt voor je" of dat "een virusscanner op m'n PC wel voldoende is".

Ja; het klopt dat je handmatig uitgaande verbindingen moet checken. Inkomende valt wel mee; meestal alleen een poortje voor een NAS openzetten of iets dergelijks, de rest staat standaard natuurlijk al dicht! Maar geloof me, je zult me dankbaar zijn. Bovendien heb je dan pas écht inzicht en controle in wat er in- en uitgaat.

[Reactie gewijzigd door DigitalExcorcist op 4 augustus 2017 09:39]

Als je alle poorten die je veel gebruikt openzet, ben je volgens mij verder van huis, dan ben je namelijk op die poorten direct benaderbaar door aanvallers.
Euh nee... want het is *outgoing* verkeer, niet *incoming*. Dat is NAT ;) stel dat ik poort 80 incoming open zet, hoe weet m'n router dan waar die naartoe zou moeten? Mm?

Van buiten naar binnen moet je sowieso zo min mogelijk open hebben staan. Ik kan wereldwijd m'n NAS benaderen maar die heeft een soort ingebouwde fail2ban (3x verkeerd inloggen = 2 uur lang IP geblokkeerd). En meer niet.

Outgoing mag ik echter van alles. Surfen, Spotify'en, Playstation'en, Xbox'en, Switch'en, 3DS'en (damn ik heb iets van 26 devices die internet nodig hebben thuis!). Incoming zit m'n firewall behoorlijk dicht.

De kans dat ik een worm binnenhaal is er natuurlijk wel. Maar de kans dat die worm via ongedocumenteerde poorten naar buiten kan, is praktisch nihil. Tenzij die gewoon poort 80 gebruikt natuurlijk (maar da's niet ongedocumenteerd).

[Reactie gewijzigd door DigitalExcorcist op 4 augustus 2017 09:45]

het ging toch ook om de router zelf? Als die op allerlei poorten outgoing verkeer doorlaat, dan kan een worm vanaf jouw pc toch via een van die poorten communiceren? Je kunt het niet veilig maken tenzij je elke uitgaande verbinding case to case bekijkt.

[Reactie gewijzigd door Origin64 op 4 augustus 2017 10:04]

Niet als je een IPS, botnet detectie, url filtering en application control in hebt gesteld. Maar goed, dat zit niet op de standaard huis, tuin en keuken routertjes. Wil je dan ook nog op HTTPS wat doen, zal je ook niet ontkomen aan Deep Packet Inspection.
Klinkt als veel werk.
Beveiliging kost altijd meer werk dan geen beveiliging, maar dat lijkt me logisch.
Wat voor soort router zou ik moeten kopen om de dingen die je noemt in te kunnen stellen? En hoeveel werk is de setup, en daarna het onderhoud?

[Reactie gewijzigd door Origin64 op 4 augustus 2017 10:34]

Je hebt een UTM/NextGen firewall nodig om dit soort dingen te kunnen doen. Ik werk zelf met WatchGuard, SonicWall en Barracuda. Als je er bekend mee bent, kan het snel ingesteld staan. Je moet uiteraard nog wel wat tunen als het eenmaal ingesteld is omdat dingen veranderen, maar de basis kan in een paar uutjes gedaan zijn in een kleine omgeving.
Op wat voor hardware draait dat? Lijkt me dat ik dat niet kan doen op mijn provider-geleverde routertje. Werkt het met openwrt?
Er zijn virtuele oplossingen, maar ook gewoon hardware appliances die je kan gebruiken ter vervanging van je huidige router.
Aan wat voor prijs moet ik denken voor zo'n router? Heb je een voorbeeld? Ik kan in de pricewatch bij routers niets vinden over dit soort software
wat is dat watchguard ding, en die sonicwall producten zijn allemaal 300 euro of meer, dat ligt niet in mijn budget voor netwerkhardware
Als router/firewall zou je een UniFi Security Gateway kunnen overwegen. Die kan ook DPI en er wordt gewerkt aan het inbouwen van daadwerkelijk kunne blokkeren van zaken. Als dat eenmaal werkt is dat op consument+ niveau een hele aardige oplossing.

Zeker in combinatie met bijvoorbeeld een CUJO (https://getcujo.com)
Stay Safe Online
CUJO is a smart firewall that keeps your connected home safe. From smartphones to laptops, CUJO secures all devices against hacks and web threats. Plus, CUJO lets you control what your kids access online and keep them safe.
Punt is dat vrijwel niemand wil betalen voor Security. Men snapt het simpelweg niet. en dat is op zich niet heel raar; als de IT wereld al niets 'uit de doos' netjes kan leveren, hoe moet een consument dat dan in godsnaam snappen?

[Reactie gewijzigd door garp op 4 augustus 2017 11:35]

Die gateway is een router met een berg tools voor analytics, zonder wifi antennes? Als ik een router koop wil ik er wel een met redelijk bereik, op de huidige router is de wifi niet om over naar huis te schrijven. En het lijkt alsof je nog een hoop moet kopen of een server moet draaien om het volledig te gebruiken.

Die Cujo stuurt informatie de cloud in. "CUJO analyzes your local network traffic data locally and in real time. It then sends statistics on that data to the cloud for further analysis. For your privacy as well as performance reasons, we don’t send the contents of those packets to the cloud. If a threat or suspicious activity is detected, CUJO will tell the cloud what it has blocked so you can receive a notification on your mobile app to confirm it."

Dat lijkt me niet iets te zijn wat ik zou waarderen. Ik wil geen mobile apps of cloud oplossingen. Ik wil een werkende relatief veilige internetverbinding.

Is er misschien een router die op de unifi lijkt met redelijke wifi? of moet ik naast dat ding nog een router kopen?
Ubiquiti Edgerouter met Unifi Lite AP
Dan ben ik dus al bijna 200 euro kwijt. Gaat een beetje ver voor een thuis opstelling.
@Origin64
Dus je verwacht voor <100 euro zowel een erg uitgebreide businessgrade router met daarnaast een rocksolid AP met een bak aan bereik? Dan moet ik je toch echt uit de droom helpen.

Ik ben sowieso wel een beetje van mening dag een router zich bezig moet houden met routeren en een AP met WiFi.

Alle grote toepassingen van netwerk en WiFi werken met apparatuur dat dit ondersteund. Zonder Ubiquiti ben je een veelvoud voor vergelijkbare of betere functies/performance kwijt. Dus die 200 euro is nog niet eens zo heel veel.

Een Edgerouter X(55 euro) en een Unifi AP Ac Lite(85 euro) kosten samen maar 140 euro trouwens.
Nee, ik weet niet wat ik moet verwachten. Ik vraag uberhaupt niet om een ' business grade' router. Ik probeer alleen maar wat op te steken.
Als wormpjes op die specifieke poorten communiceren wel ja. Nu zullen er niet veel zijn die via 'gewoon' poort 80 communiceren (unencrypted) en die wil je niet site voor site toevoegen. 443 is ook ongebruikelijk. Voor bijv Spotify kun je bepaalde ranges (externe IP adressen bedoel ik) definieren waarmee gecommuniceerd mag worden, VoIP net zo (hoewel wormen op telefoons erg ongebruikelijk zijn). Dan voorkom je dat bijvoorbeeld poort 50000-nogwat ineens met command-and-control.china.cn gaat lopen blèren, maar zich beperkt tot de servers van Spotify of VoIP of wat dan ook via die poorten.

Tuurlijk is het een trade-off tussen veiligheid en bruikbaarheid. Maar geloof me, je bewijst jezelf een dienst als je gaat whitelisten in plaats van blacklisten. En het is écht niet zo dat je per website gaat lopen whitelisten.... ;)

Paar basispoorten die je sowieso wil hebben zijn dus 80, 443, 25(maar veel liever 587 als je provider dat support) of IMAP (poort weet ik niet uit m'n hoofd), DNS, NTP voor je tijdsynchronisatie, desnoods Ping (ICMP) als je dat veel gebruikt, 4070 voor Spotify (wat ik persoonlijk erg veel gebruik :) ) en de rest 'as needed'.

[Reactie gewijzigd door DigitalExcorcist op 4 augustus 2017 10:19]

Sta dns maar niet toe vanaf je lan. Gewoon blokkeren en dns door je router laten doen. Er is redelijk wat malware die dns queries doet naar eigen dns resolvers. En dat is slim van ze.
Hm, misschien nog wel een beter idee ja. Of alleen DNS-verkeer toelaten naar OpenDNS of je ISP of de Google servers (8.8.8.8 en 8.8.4.4). Gezien de historie van Ziggo met DNS-serverstoringen laat ik dat niet altijd aan m'n router over :|

[Reactie gewijzigd door DigitalExcorcist op 4 augustus 2017 12:08]

Je kunt ook een apart VLAN maken met of een apart SSID erop of via een label. Daarin kun je dan filteren wat je maar wil.

Overigens hoeft een device niet VLAN aware te zijn om in een VLAN te werken. Mijn PS4 zit gewoon in een eigen VLAN..
Hmmm zal t proberen!
Even tussendoor, ik kon thuis bij ziggo niet eens mijn eigen mail server opzetten. Dit moest perce via de servers van ziggo.
"bewust met wat ik wel en niet met internet verbind."

Dat zou eigenlijk de standaard moeten worden, in plaats van 'hang alles maar aan internet' mentaliteit'.
Daarvoor hoeft het ding nog niet configurable te zijn, voor dat doel zou eenwegverkeer volstaan
Inderdaad, dat vraag ik me ook af. Vind ik zowiezo het gevaar van iot apparaten.

Verbinding met lokale LAN is meer dan voldoende, dan kun je ook je verbruiksgegevens inzien.
Om de statistieken naar SMA te kunnen verzenden. Je kunt dan o.a. huidige opbrengst zien en de geschiedenis daarvan.
Zou dit betekenen, dat je ook heel makkelijk valse waardes kan doorgeven? Waardoor je elke maand teveel geld terug krijgt?
Maar ze geven wel garanties af dat je een bepaalde opbrengst hebt en die kan je manipuleren waardoor je misschien (frauduleus) aanspraak kan maken op geld terug.
Je doelt op de garandeerde opbrengst van de zonnepanelen na 10 en/of 25 jaar? Of het rendement van de omvormer? Beide zijn te testen en lijken mij niet manipuleerbaar.
Uiteraard niet. De energieboer bepaalt het gebruik aan de hand van de elektriciteitsmeter in de meterkast. Daar hebben dit soort cijfers niks mee te maken.
Ze kijken toch niet meer in de meterkast en zolang je niet overdrijft valt het waar schijnlijk niet op. Iets moet het toch doorgeven via internet
Niets meegekregen van de slimme meter? Die hangt dus ook al aan het internet ;).
Slimme meter? Ik heb recent een huis gekocht van pré 1960 daar hangt nog een enkelvoudige meter. Alles was aangesloten op 2 circuits 1 voor de stopcontacten 1 voor de lichten. Heb heel de elektriciteit vernieuwd en zonnepanelen gelegd echter moest ik van de energieleverancier geen nieuwe meter laten hangen. Dat je zonnepanelen hebt betekent dus NIET dat je een slimme meter hebt hangen.
Dat klopt, ik zeg ook niet dat je automatische en slimme meter hebt. Maar vroeg of laat heeft elk huishouden een slimme meter (al is het maar omdat alle nieuwbouw standaard een slimme meter heeft).
Dat "iets" ben jij zelf, of de elektriciteitsmeter zelf: de zogenaamde "slimme meter".
Nee, want dat gaat op basis van je energiemeter. Dit is puur om je opbrengsten mooi weer te geven.
Niet iedereen ververst elke seconde de pagina
Als de reactie op jouw 08:44 opmerking nu om 10:30 gemaakt zou worden .. ja
Maar 2 minuten op posttijd later ... hmmm
Die omvormers hangen aan het internet zodat je als eigenaar kan zien hoeveel je panelen opwekken en dat bijhouden.
zonder internet kunnen wij het anders met >125 panelen anders ook prima bijhouden :+
Bijvoorbeeld om de opbrengst online te kunnen zien.
De koppeling aan internet is soms indirect: via bluetooth naar een computer die de omvormer uitleest. De computer zet de gegevens in bewerkte vorm online.
Ze hangen natuurlijk niet standaard aan het internet. Maar de data uit de omvormers is natuurlijk goed te gebruiken voor inzage in de energieproductie

Edit:blijkbaar de vierde, refresh werkte hier denk ik niet goed

[Reactie gewijzigd door Carloz op 4 augustus 2017 09:00]

Gast, al die reactie komen omdat ze jou wat uit willen leggen, omdat jij een vraag stelt. Ze lezen de tekst, scrollen door de reactie en gaan jouw vraag beantwoorden.

Wees blij dat ze antwoord geven en ga niet bijdehand lopen doen.
tweakers doet aan caching, waardoor antwoorden soms pas na 5 minuten tevoorschijn komen, daarnaast open ik ook vaak een rits artikelen om ze daarna 1 voor 1 te lezen ;)
Als jij bezig bent met intikken van een reactie, kan ondertussen iemand anders een soortgelijke reactie hebben gepost die die jij even niet ziet zonder eerst een refresh van de pagina te hebben gedaan. Dan krijg je een tijdelijke opstapeling van dezelfde reacties. Zie je overal.
Dan moet je je vraag anders stellen. Jij kunt blijkbaar niet verzinnen dat een ander niet eerst gaat uitzoeken wat jij wel en niet weet over omvormers en vervolgens een voor jou wenselijk antwoord gaat posten. 'Waarom hangen die dingen aan het internet' is voor een tweaker uberhaupt een wat simplistische vraag. Het antwoord daarop kun je zelf ook wel verzinnen denk ik en als je dat niet kan, dan geven anderen het antwoord. ;)
Hoe maak je vrienden .....
Nou ik kan je vertellen .... niet op deze manier, dit zorgt er alleen maar voor dat jouw volgende 'echte' vraag niet héél serieus wordt bekeken.

* FreshMaker heeft al zo'n lijstje, en het groeit elke dag :+
Er zijn hier nog 100/1000-den mensen die die postings zien.

Gezien de zeer simpele vraag is het antwoord ook kort. Dat is de reden dat je veel antwoorden in zeer korte tijd krijgt.

En je hoeft niet al je kennis over een onderwerp neer te zetten om een discussie te krijgen.

Als je had aangegeven: "Ik begrijp dat het handig is om online je statistieken uit te lezen, maar waarom moet de configuratie nu ook weer online?"

Dan had je een inhoudelijke discussie gehad.

Zoals je ziet geeft nu je manier van posten veel irritatie.
Nee hoor, het is heel normaal om niet meer te reageren ná de eerste reactie
dat stukje 'discussie' is dan dood, en klaar.
Je had prima op reactie één kunnen aangeven "ah, oké"

Doe ik zo vaak, net als de 'duimpjes' op GoT, je bedankt ook niet iedereen apart
Dat antwoord had je na 2 minuten al gekregen.

Maar die is ondergesneeuwd in jouw irritante tellen van de behulpzame reactie's
Dus die discussie zal je niet meer krijgen, die ontstaat verderop ( onder jouw 6e comment )
Stel die vraag dan en ga niet bijdehand lopen doen. Getuige de hoeveelheid -1 posts die je gescoord hebt, wordt dat niet gewaardeerd.
Uit je initiele vraag blijkt absoluut niet dat je iets in deze richting zoekt:
"Wacht even hoor, waarom hangen die omvormers uberhaupt aan het internet?"
Dat is dus ook exact waar je antwoord op krijgt. Vervolgens zeiken dat het niet het goede antwoord is; en jij veel slimmer bent dan de rest is op zijn zachtst gezegd niet handig.

Voor je vervolgvraag: Volgens mij wordt er in het geheel niets geconfigureerd via het internet op een omvormer.
We kunnen nog steeds een inhoudelijk gesprek voeren over de pros en cons van het verbinden van je omvormer met het internet

pros:
je kunt mensen geile grafiekjes laten zien op je mobiel
bij problemen kan een monteur remote dingen proberen aan te passen

cons:
door brakke beveiliging kan iedereen met genoeg vrije tijd remote dingen aanpassen
beveiliging kost duur dus dit wordt niet zomaar verbeterd door fabrikanten

imo is het het niet waard, als je niet remote configuration kan uitschakelen en alleen telemetry actief houden

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*