是你的联网太阳能逆变器安全吗?
注意从芬:请大家欢迎威廉Westerhof到SolarQuotes®的博客。威廉是一个黑客,研究员和专家特别著名的世界各地寻找网络安全漏洞在流行太阳能逆变器。
在得到越来越多的电子邮件从澳大利亚人而言一想到自己的太阳能发电系统暴露在互联网上,我邀请威廉写导游解释非喜欢你,我能做些什么让我们的逆变器更安全。交给你威廉:
我们都知道,太阳能是伟大的。它有助于环境,这样既节约钱又对大多数澳大利亚的业主是一个伟大的投资。
但是你知道太阳能逆变器在你的墙上可能构成严重的网络安全风险?不仅对自己的网络和数据,而且对整个电网的稳定性!
大量的研究后,我很担心缺乏网络安全光伏安装后,我联系了几家政府机构和负责任的披露期,创建了一个网站万博体育APP下载何露斯的场景这解释了:
- 一个恶意的黑客可以通过关注目标电网网络连接太阳能逆变器。
- 如果成功,黑客可能会造成大规模停电(全国甚至大陆)。
- 如果这种攻击是真正执行在野外,我期望它数十亿美元的成本和对每个人的生活有直接和严重影响。
这一发现以来,政府机构,太阳能逆变器制造商,能源供应商和一些地方安装程序采取措施改善逆变器的整体网络安全。
现在的问题是:你能做什么来保护你的光伏安装吗?
让我们先说有很多你可以(而且应该)做的。
你应该简单地从网络上断开你的太阳能逆变器?
现在几乎所有的太阳能逆变器通过无线或有线网络连接。这个连接的主要好处是,您可以监控设备从任何地方。不利的一面是,你的逆变器成为黑客攻击的目标。在某些情况下,您的太阳能逆变器将直接作为互联网面临的设备。在其他情况下,黑客将首先需要获得访问你家的网络或wi - fi(或许比你想象的要容易得多,根据我的经验作为一个道德黑客)。
小提示# 1不连接互联网,如果你不需要。
网络安全是从这里开始的第一个技巧:如果你不使用这些应用程序或门户网站和设备不需要互联网连接功能,根本不将它附加到互联网。一些太阳能逆变器提供本地监控通过蓝牙,USB,或简单地利用触摸屏的逆变器。
编辑注:一些逆变器制造商需要联网条件下一个逆变器保修。
作为一种替代方法,您还可以设置监控接口只能从您的本地网络进行访问的(例如,你的工作的wi - fi IP地址)设置适当的防火墙规则。
当你的太阳能逆变器没有连接到互联网,攻击者需要身体接近尝试任何事。黑客的可能性身体来你的房子为了破解你的特定的光伏安装很小。
小提示# 2如果你必须保持联系,按照制造商的安全指导方针
现在让我们假设你想保持逆变器网络连接,同时保持它安全。有几个你可以采取的行动。在本指南的其余部分,我将描述设置网络安全以同样的方式一个国王将确保他的城堡。
任何好的国王需要信任的人的建议。在太阳能这个建议来自制造商的指令!
著名的太阳能逆变器制造商应该提供详细的指导方针,正确设置他们的设备。你可能要打猎来找到他们,但在这些文件通常有伟大的技巧。下面给出了一些示例的链接:
- Fronius 首先使用说明书39页展示如何锁定逆变器保护它免受恶意的变化:
- SMA 一个安全的光伏系统通信指南任何人都应该读联网SMA逆变器。
- Enphase 特使安装和操作手册41页。默认的用户名和密码应该尽快改变:
像上面这样的制造商的指南向您展示如何让系统工作,可选地,使系统更加安全。
Fronius指南显示几种方法可以使你的太阳能逆变器更安全。例如:
- 您可以实现一个关键锁代码在逆变器上,要求可以进行任何更改之前的物理访问。
- 你可以获得你的数据通过一个u盘,不允许逆变器接入互联网。
- 你可以收到一个短信当你的太阳能逆变器显示具体的错误,意思你会知道什么时候是错误的,或者当有人攻击你的逆变器。
试着遵循制造商的指导方针,最好的你的努力。也可以简单地与服务台联系,请他们帮助设置你的设备使用正确的安万博体育APP下载全设置。
如果你得到了一个新系统安装,有安装程序并确保他们通过任何可选的安全设置。
小提示# 3:太阳能逆变器能够访问限制你。
一些设备只是比其他人有更多的特权。这是正常的。你的笔记本电脑需要完全访问任何可用性,但你的逆变器不需要访问Youtube, Netflix或你的Xbox。
如果你很好的与电脑和网络可以建立一个不同的网络专门为你的逆变器。从这个网络,您可以让网络流量和太阳能逆变器制造商的服务器和阻止一切。任何攻击者试图达成你的逆变器永远不会达到它,因为他的网络流量不是发送到设备。你甚至可以使用这个网络其它联网设备。这样就可以确保这些设备和光伏安装只在你所希望的方式来交流,同时确保你仍然可以使用笔记本电脑浏览、玩游戏和流视频到你的心的内容。本文向您展示了如何做到这一点。
小提示# 4:得到一个路由器用一个合适的防火墙并配置它
一个设备或一个网络的设备只是健壮如链中最薄弱的一环。让我们先建立一个强有力的外周边,你可以考虑你的城堡的“墙”。
建立一个强大的路由器用一个合适的防火墙并配置它。大多数中间层路由器支持这种类型的开箱即用的功能。这个防火墙确保只有你想要的服务,接触到互联网。免费的防火墙软件,以及廉价的消费函数作为防火墙的硬件存在。大量的指南是网上。这里有一个很好的“假人”设置无线路由器安全指南。这是一个指南设置路由器的防火墙。
你的另一部分“墙”是wi - fi。确保你的wi - fi设备本身是最新的,最新的。最近的布莱恩的攻击显示安全漏洞仍然存在在许多调制解调器和路由器和安装安全补丁是至关重要的。也确保您的无线网络使用一个安全的通信协议和一个漫长而复杂的密码保持任何攻击者在你的wi - fi网络。指南设置无线路由器连接到上面,确保你的wi - fi。
冰山# 5:确保逆变器没有“后门”——安全在你的网络的每台设备都。
像之前所说的,任何链条的强度最薄弱的环节。受感染的设备形成直接威胁到任何设备在同一网络。每隔一段时间,攻击者可能仍然偷偷在你网络尽管强大的防火墙和周边需要你设置为每小提示# 4。
例如你可以点击一个狡猾的电子邮件或插入一个朋友的感染的u盘。现在感染的设备可以用于目标网络中的任何设备,包括你的太阳能逆变器。
为了防止感染扩散,需要设置适当的安全所有你的个人设备。确保你运行定期更新每一个互联网连接的设备在你的房子里。启用和设置您的个人电脑的防火墙,安装防病毒/防病毒软件不要安装任何“可疑”的软件。尽可能设置更新自动运行,做手工占用很多的时间和精力。
太阳能逆变器具体来说,这通常意味着他们连接到互联网,设置了接收自动更新,从制造商和后适当的安全指导方针。在大多数情况下,(例如大多数新SMA逆变器)设置设备接收更新,是一个简单的设置更改为:“自动更新”,配置防火墙允许的流量设备和SMA更新服务器。
然而,一些老的逆变器模型或PV-related硬件不能更新的空气,因为他们太老了有一个互联网连接。对于这些无关的设备,您应该检查每年至少如果有可用的更新,然后手动安装新固件根据供应商的指令。
如果你有联网旧设备不支持(例如SMA阳光网络资讯箱)你永远不会得到更新。一样危险的设备,治疗这些设备可能存在的安全漏洞,永远不会得到解决(旧的windows 2000和XP的设备是一个很好的例子!)。在可能的情况下,我建议更换这些设备,为更好、更安全的选择通常是可用的。如果你不能更换,确保你的设备在一个单独的网段(一种隔离的空间),只允许特定的白名单网络流量。
小提示# 6:改变逆变器的每个配置用户的密码
大多数逆变器都使用默认用户和相应的密码。这些默认的用户和密码应该尽快被你改变了。确保你确定自己的密码所有用户。本地安装程序经常为他们所有的客户有一个密码。这不是很安全,所以确保你改变逆变器的所有用户的密码。SMA太阳能逆变器为例,有一个用户登录(默认密码0000)和安装程序登录(默认密码1111)可以更改你的密码。你,作为设备的所有者,应该是唯一一个能够访问用户密码和安装设备的密码。每当一个安装程序调整设备的设置他可以直接问你的密码。
也一定要使用不同的(不是你个人违约)所有这些帐户密码。太阳能逆变器可以使用非常弱加密密码,允许攻击者窃听解密密码。如果你在逆变器使用相同的密码,你用在你的银行帐户或电子邮件,攻击者谁妥协你的逆变器可能会远远超过“仅仅”你的逆变器密码。
我强烈建议使用密码管理器和建立真正的随机密码16字符+(或尽可能长而复杂,如果设备/服务不允许16 +字符)长度在所有您所使用的服务和设备。这提高了整体安全巨大,和密码保险箱现在非常容易使用。
小提示# 7:两因素身份验证
这一步涉及到使用两因素身份验证。没有太阳能逆变器,我知道现在的支持,但新模型或在线登录门户网站在未来可能会这样做。两因素身份验证通常涉及获得代码从你的手机和使用它作为一个额外的“密码”。
这有效,确保攻击者不仅需要知道你的密码,但是还需要获得您的手机。奇怪的是,攻击者没有这种访问。更好的是,当一个试图登录,你的城堡的守卫通知你,有人想要使用你的密码。然后您可以简单地否认他们访问和更改你的密码现在意识到,别人知道你的密码。
唷!你现在的太阳能逆变器是安全的
一切不仅是你的太阳能逆变器安全,但你所有的设备和账户。与网络安全的,是不会对一个设备(在这种情况下,逆变器)。保持高水平的网络安全需要纪律和努力在你所有的设备上。更糟糕的是,它不仅需要努力和纪律在你身边,但也在安装程序和制造商的一边。你只能设置网络连接太阳能系统尽可能安全,希望其他人会跟随你的例子。
总是有一个机会,一个先进的攻击者的贡献可能仍然在攻击你的设备,但在这样的一座城堡设置,普通的学前脚本或web-bot将没有机会对你的强大的防御。
关于威廉Westerhof
RSS -文章
伟大的文章。从来不知道太阳能逆变器是脆弱的。
Solaredge字符串的逆变器是一个非常受欢迎的选择。建议专门为solaredge逆变器的主人吗?
http://en.sma - sunny.com/files/2017/08/cybersecurity - ti - en - 10. - pdf是一个死链接
谢谢你的发现。现在应该链接到正确的文章。
逆变器安装时确保安装程序连接以太网电缆回墙壁插座接近路由器。这应该不是任何额外的成本。准备好安装程序说“但是它有WiFi,为什么你想要的以太网连接吗?”。你应该仍然能够使用WiFi如果你想如果你有以太网连接安装。
如果你使用以太网连接你可以禁用与逆变器的逆变器无线和交流仅仅通过以太网电缆。
我最大的问题是,默认情况下SMA逆变器泵变频器的WiFi的默认名称(SMAXXXXXXXX)因此,任何一个寻找一个逆变器可以通过开车找到它。你至少可以改变它的名字,让它不太明显的SMA的逆变器!
默认情况下它们将WiFi的原因是为了方便安装程序委员会逆变器作为大多数只是似乎使用WiFi平板电脑或智能手机。可以使用笔记本或类似于以太网。不知道安装携带这些。
只要确保路由器没有任何港口开放,不是必要的。您可以使用各种网站查看端口是打开你的路由器,即:https://www.grc.com/su-firewalls.htm点击“[1]盾牌!家”坐落在页面的链接。如果你觉得不需要传入端口开放块,通常对于一般人阻止所有传入端口。只允许输入端口如果使用访问特定的服务器在您的网络(我。艾凡:逆变器作为一个网页服务器)
如果你有WiFi操作在你的网络确保你不要使用字典密码,因为它很容易被破解,并确保使用一个加密的协议。确保它不是对所有人开放,不需要密码。
提防任何人问你安装类似TeamViewer以便他们能够访问您的逆变器。
如果你真的想要一个安全的配置那么我建议去大学,获得一个学位,这一切或支付,你信任的人,一个学位,这样他们可以配置你的网络是安全的,我不是指电脑购物,修复病毒感染。
我连接逆变器的贮藏箱,照顾所有的安全对我来说。我有一个网络安全的朋友摇摆在贮藏,他不能找到一个方法。
我认为贮藏会照顾我的系统,因为他们有一个金融股份工作正常。
的一个方面,本文将不讨论api。时发现的东西的过程中购买Fronius逆变器,逆变器上的Web界面是使用用户名和密码安全,Fronius逆变器还提供RESTful API,这虽然是只读,完全是无担保——它不使用任何凭证和没有提供加密。
出于这个原因,你应该小心,谁可以访问你的逆变器在您的网络。任何一个了解API(文档在线免费从Fronius)可以把任何他们喜欢你逆变器的数据。虽然这只是打开你的电力消耗,可以开始给见解是否有人在家。
你好。
1。没有什么是绝对安全的,所有安全只是相对的,,取决于谁寻求突破的决心和能力。
2。无线网络本身,是一个弱点,它不是最好的残疾人,和只使用以太网数据通信?
3所示。本文的建议是;
”
尽可能设置更新自动运行,做手工占用很多的时间和精力。
太阳能逆变器具体来说,这通常意味着他们连接到互联网,设置了接收自动更新,从制造商和后适当的安全指导方针。在大多数情况下,(例如大多数新SMA逆变器)设置设备接收更新,是一个简单的设置更改为:“自动更新”,配置防火墙允许的流量设备和SMA更新服务器。
”
不是,就其本身而言,他没有把门锁上吗?
IP欺骗,任何完成安全违反者显然可以假装任何他们想要的,假装在任何他们想要的IP地址,因此允许传入的访问可以是危险的。一个简单但有效的防火墙规则(从我对计算机安全的理解非常有限),是“接受所有即将离任,否认所有传入”——不确定是否表达正确。
引用”做手动占用很多的时间和精力”——这是“重要组成部分”(试图)计算机安全-就像个人的健康和健身,和个人减肥——他们不是东西,你只需要做一次,和期望的,他们是一个人需要工作,每一天,剩下的一个人的生活,包括在it安全的情况下,订阅证书报告,,跟上他们。
欢迎来到黑暗世界的不安全感,,记住——“仅仅因为你(你需要,为了生存)偏执,并不意味着他们不是让你”。
斯图尔特-“你信任的人,一个学位,这样他们可以配置你的网络是安全的”——拥有一个学位并不意味着一个人关于计算机安全主管,或者,互联网(如果你有足够的知识,你会知道的大部分被称为“互联网”,实际上,“万维网”,互联网上运行的)安全。
人们应该记住,拥有本科学位,就像有一个黑带在武术——它只是表明,人已经表明,他们已经开始学习如何学习。
,“IT学位”是一个通用程度分类,这本身不会显示的理解,或者能力,网络安全。
从内存,一个大学,(或已经)网络安全,专业学位,我有点熟悉的人,我相信,与建立关联程度,我相信他的博士论文在网络安全——他是一个本地Linux“大师”。
没有电脑安全专家。谁能提供绝对的计算机(网络)安全解决方案(除了简单地离开电脑关闭,或者,著名的微软Windows系统的安全解决方案——死亡的蓝色屏幕——“如果它不能被访问,那么它不能突破”)。
所有的存在,就人而言,不同能力的人,,在计算机安全方面,也有运气。
这就是为什么它适用邮件列表,尤其是使用它们,可能是有用的,因为它的用户。
问题是——电脑的主处理器的速度不断提高,和(挖苦地)的方式,不会太过多久我们都需要一个全身扫描,每5分钟更新一次,然后对前面的500年相比,为了发现“异常”,所以你的卑微的家庭网络可以立即关闭“以防”“流氓芬兰人初级”已经决定关闭所有煤炭发电站在整个西半球帮助他爸爸卖出更多的太阳能电池板,所以他可以增加零花钱,甚至简单地关掉白宫供暖系统在暴雪的乐趣。
这将是你可以把你的电脑放在第一位。
现在别误会我,我并不是说计算机安全,还是上面的建议,这我完全建议考虑,因为同样的原则也适用于其他事情我们使用电脑的。在我的情况下我目前有有线以太网连接路由器,我禁用无线接口的选项在计算机本身。我保持我的电脑完全关闭当我不使用它,你没有办法让我使用“云”来存储任何重要的文件,我有非常健壮的密码。
现在我看着引入一个或多个附加sub-routers所以游客可以使用它来与自己的设备访问互联网或通过我的一个“牺牲品”,所有这些都连着sub-router网络。
”作为一种替代方法,您还可以设置监控界面仅能从您的本地网络”
这是内地和施耐德电池逆变器是如何工作的。他们走出门户网站和只允许监测的数据,如果想要的。
他们不需要ISP Offgrid工作,只需要一个本地网络电缆调制解调器。它们能供应所有的图表和图形和设定值的笔记本电脑或平板电脑。
我应该添加(例如)SMA逆变器不需要传入端口连接发送数据的SMA Portel网站。相反,逆变器回portel发起一个外向连接。然后,它可以与门户网站进行通信。这将上传数据到门户,也可以用来自动更新固件。如果你不信任固件在盒子里然后禁用连接回门户可能保修问题,你会发现你收到很多错误消息从门户网站。
允许传入HTTP路由器端口连接到逆变器是应该被避免。首先SMA内置web服务器在逆变器不使用HTTPS协议(使用HTTP)的输入密码可以被看作是它不会被加密。最大的担忧,我认为将是网格代码,如果是不安全的,可以嗅。
@Geoff:我不认为API访问是太多的担心,只要路由器的端口连接被禁用,只要你没有任何木马或病毒软件运行试图访问它。最后一部分是一个很好的原因应该有密码保护,使用一个加密的方法来登录。
不确定当你上次数据库,但是Enphase澳大利亚已经安装Envoy-S连续的特使了好一阵子。
任何想法如何安全Envoy-S对抗这种威胁,我们将不胜感激。这就是我我的系统。
国际海事组织,似乎Enphase几乎锁定了Envoy-S防止修补它的主人。当然,给黑客留下它敞开。
最好的祝愿
克里斯。
我的理解是,太阳系是由谁安装监控…一个太阳能推销通常包括这样的词“如果有一个错误的面板中,我们会知道它和你联系”。万博体育APP下载我想知道我的家庭网络遵循安全规则如上所述,我们知道如何安全的外部监控吗?是外部监控前门进我的家庭网络和太阳能环境?
逆变器公司(我。e: SMA Portel)通常只是接收日志数据从逆变器使输出连接,是很正常的。这是极不可能的系统将允许和传入的连接(通过一个路由器端口阻塞)直接允许安装监控逆变器。
我的安装程序将收到错误的电子邮件从SMA portel网站但他们实际上得到的是他们根据他们配置在portel发送它们。他们可能会忽略这些邮件。你最好确保你也接收故障邮件然后联系安装程序,如果有故障。万博体育APP下载不要依赖别人,但你自己。
我怀疑安装监控太阳能逆变器。什么你可能会想的是一些逆变器制造商提供监测服务,利用逆变器推动服务提供者的web服务。(这是什么Fronius Solarweb门户使用它。)
Fronius逆变器的例子,可以创建一个用户配置推送服务在逆变器上,然后定期将数据发送给服务提供者。它使用HTTP POST或FTP上传服务的提供者。
用一个字符串逆变器我怀疑很容易告诉如果一个小组开发了一个错误——你只能推断出从看电压和电流读数。
如果我再次以Fronius例,Fronius使用推送服务这一事实是一个好的开始。这意味着必须配置主机数据发送给逆变器。这也意味着你不需要打开任何入站连接防火墙规则或者NAT路由器。(这样做是为了简单的配置和安全。)这意味着它将需要一个DNS中毒攻击愚弄你的逆变器发送的数据在其他地方。另外,如果我们把Fronius的例子,有人会破解Fronius得到数据的服务器。
被发送的数据Fronius逆变器推送服务是不加密的。不过需要得到它会攻击者妥协ISP或载波硬件沿途某处的方式许可检查流量。考虑到大量的交通在互联网上,它将实际需要的人与一个国家的资源演员(认为国安局,中央情报局,GCHQ,自闭症等)能够做到这一点。不知何故,在大多数情况下,我不认为自闭症是感兴趣的数据从屋顶太阳能系统。
杰夫-
”
被发送的数据Fronius逆变器推送服务是不加密的。不过需要得到它会攻击者妥协ISP或载波硬件沿途某处的方式许可检查流量。考虑到大量的交通在互联网上,它将实际需要的人与一个国家的资源演员(认为国安局,中央情报局,GCHQ,自闭症等)能够做到这一点。
”
你可能不知道一个澳大利亚ISP,被安全违反了几年前——ClicknGo,这是快速(包括所有的账户)Netregistry接管了。
你也可以意识到从几年前的电影;“战争游戏”——据说发生的场景中,在许多场合,,“黑客”,这部电影和电影“水星”上升,并且,你可能会意识到最近的事件在过去的几年里的亲密照片知名和不知名的人,哪些图像存储在云。有他们所谓的安全,违反了所需要的,是一个或更多的人有足够的能力和决心,而且,有时候,只是运气,或者,运气和(有时)无能的人负责安全(是你所有的密码,原先?)。
事实上- >”…。严重影响到每个人的生活。”
和滑板在高速公路上可能会有一个对你的生存“严重影响”。
问题不是“如何避免卡车撞了?”;问题是WTF你在高速公路上的吗?
主题使两点:1…巨大的产业正在建造的,没有实际原因。
2……这是更好的原因之一给独立!
我真的我屏住呼吸听流行即将安装internet-operated吊门皇家造币厂为了证明另一个层(或6)官僚和实业家竞争产生一种强硬的薄纸。光明正大地! !
伟大的文章。我认为,网络安全问题太低估了。我没有看着家庭太阳能系统,直到现在,我感到震惊与网络安全风险与我在2022年被引用。我没有订单,但包括损失的风险成本/停机由于网络攻击/拒绝(我使用%的5000澳元)基于服务提供者。这包括云应用程序控制器的原产地。
我第一次遇到这篇文章而评估太阳系引号。那时我的精力集中在家庭自动化(我家系统如何读取当前消费),这清楚地表明,一些报价需要云连接作为担保的一部分。后告知我的家从逆变器控制器不能直接读取数据(“本地”或没有云连接)我意识到,在我的情况下,援引云接口是对我没有价值,实际上是一个负担,因为它暴露系统到另一个公司,不需要我的授权。他们甚至可以更新软件/火器o逆变器没有我的授权。现在只相信到目前为止…想象一个冲突…他们可以关闭我的系统并期望更糟。
打我的是这个行业就是遗忘地无知。当我说一些公司“本地”的概念(而不是通过云/互联网)控制是难以理解的。我无法要求我家之外没有人能够允许我的系统被改变了!
我的意图是不接受任何报价系统,允许任何人对我的系统没有进行任何更改我的干预(e。旅客:把一个开关或按下一个按钮)。看看我。
逆变器/在什么。我没有互联网/ wi嗨。逆变器连接到先生。承包商说我需要300美元的特殊逆变器设备。你说威利斯?