Thuisnetwerk goed beveiligen tegen 'mensen' van buitenaf

Een firewall?

De meeste modems loggen standaard hun clients, vaak kun je die log ook dagelijks laten doormailen (of als hij vol is). Maar als je een goed WPA2 wachtwoord hebt zou ik me niet zo'n zorgen maken.

Wat Marzman zegt. Als je echt iets te verbergen hebt kun je het ook nog lokaal encrypten.

[ Voor 6% gewijzigd door japie06 op 16-04-2011 11:35 ]

Je zou de 'Shields Up' service van http://www.grc.com/default.htm eens kunnen proberen (=1e item van het SERVICES dropdownlistboxmenuitem). Daarmee kun je diverse testen van evt. openstaande porten op je machine(s) afwerken.

Denk je dat je daar iets mee op gaat schieten dan? Je zult zoveel vage IP adressen langs zien komen als je dat allemaal gaat loggen maar als je alles dicht hebt zitten maakt dat toch niet uit? Het idee is natuurlijk leuk, maar als jij 100 IP's op een dag aan jouw deur hebt kloppen denk ik niet dat jij er nog veel aandacht aan zult besteden.

Een volgende stap zou kunnen zijn dat je op de PC de windows advanced firewall(of soortgelijk produckt) zo instelt dat je ook uitgaande poorten filtert.

Waarom? Stel dat je een programma als logmein (of een virus met de zelfde functionalteit) hebt, dan komen de verbindingen van binnen je netwerk naar buiten, en kan de evil buitenwereld toch invloed hebben op je PC.

Alle verbindingen van binnen naar buiten kunnen in theorie slecht zijn ... wat je toestaat ligt aan je level van paranoia. (en enige paranoia kan goed zijn) .

/edit: Johnkeates hieronder beschrijft een best hoog beveiligings nivo. Vraag die je jezelf moet stellen is: WAAROM wil ik dit nivo. Je bent een organisatei waar veel geld in omgaat? Of je lhebt een conflict met iemand en wil je netwerk net iets meer beveiligen. (Hint: in dat 2e geval moet je alle PC's zodanig instellen zalof ze zich in een publiek netwerk bevinden)

[ Voor 25% gewijzigd door leuk_he op 16-04-2011 13:20 ]

Alle windows en macosx systemen hebben netstat, daar mee kan je gewoon je ip en socket verkeer in de gaten houden.

Het standaard tele2 modem kan een aanval van buiten af niet aan, die crasht dan gewoon. De software is brak en de interface maakt het niet mogelijk de configuratie aan te passen (behalve 802.11 en NAT).

Om dat je een NAT gateway hebt is het zonder portmapping niet mogelijk om van buiten af in je netwerk te komen. Als je van binnen uit naar buiten verbinding maakt met een publiek VPN, dan kunnen mensen van buiten via dat VPN wel naar binnen op de systemen die verbinding hebben met dat VPN.

Uiteindelijk kan je met de hard en software die je nu hebt niet meer doen dan je al doet. Ook met tele2 zal je niet verder komen dan dit.

Leuke consumer/prosumer producten zoals ZoneAlarm, Symantec software, McAfee software, Sophos enz enz is allemaal afhankelijk van je systeem en ernstig eenvoudig uit te schakelen met malware.

Stel dat je alles wil beveiligen, dan moet je een schone WAN link nemen en zelf een losse modem, gateway (met NAT, firewall, deep packet inspection e.d. - pfSense bijvoorbeeld) nemen. Daarna RADUIS gebruiken voor je wifi, zodat je meteen AAA goed geregeld hebt (Wikipedia: AAA protocol).

Uiteindelijk heeft dit TOTAAL geen zin. Als je dit soort dingen gaat doen trek je mensen aan die willen weten wat je dan te verbergen hebt, en dan moet je aan fysieke beveiliging gaan denken. Dus behalve als je al in een bunker woont is het aan te raden om gewoon alles te laten zoals het nu is.

Monitoring van netwerken wordt trouwens vooral met SNMP gedaan, maar dat zal davolink's hardware (tele2 modem) vast niet ondersteunen.

johnkeates schreef op zaterdag 16 april 2011 @ 13:11:
[...]
Uiteindelijk heeft dit TOTAAL geen zin. Als je dit soort dingen gaat doen trek je mensen aan die willen weten wat je dan te verbergen hebt, en dan moet je aan fysieke beveiliging gaan denken. Dus behalve als je al in een bunker woont is het aan te raden om gewoon alles te laten zoals het nu is.

Klopt helemaal. Ik heb al sinds 4 jaar een centrale firewall. Inderdaad al van heel veel terroristen last gehad, mijn huis is meerdere keren middels driveby-attacks beschoten, en heb al heel wat glazenzetters over de vloer gehad. Ook mensen die de voordeur in willen rammen zijn niet mis, daarom heb ik nu 24/7 Politie bewaking.

Even ontopic.
Je hoeft niet bang te zijn voor indringers. Als je op je computers in het netwerk netjes firewalls hebt staan hoef je je niet druk te maken. Het ergste wat je allemaal ziet zijn verdwaalde portscans en basic attacks van hackers om snel te kijken wie de beveiliging niet op orde heeft. Dit word ook wel internetruis genoemd.

Ik vind het echter leuk om dat allemaal te zien, en de centrale firewall/gateway bied mij functies die ik leuk vind, en geen enkele consumentenrouter heeft.

Je hoeft je dus geen zorgen te maken! Ik zou hoogstens naar een andere router kijken, en die met WPA2-Enterprise+RADIUS beveiligt, zoals mijn bovenbuurman zegt. Je hoeft echt geen Linux expert te zijn, er zijn heel makkelijk te gebruiken RADIUS servertjes voor Windows.

Edit: Dan nog niet te vergeten dat het meeste gespuis waar jij over praat niet eens voorbij de NAT komt.

[ Voor 3% gewijzigd door Joseph op 17-04-2011 13:15 ]

Tjah, Tele2 voorziet in je verbinding en verzorgt je modem/router...

Uiteraard hebben ze ingebouwd dat ze kunnen zien wat er aan hangt, dat is voor hen essentieel bij troubleshooting. Zeker de snelheid waarmee je download is bekend bij hen. Je neemt ten slotte die dienst bij ze af. Dat is net zoiets als klagen dat Shell weet hoeveel je tankt...

Als je het tele2 modem niet vertrouwd kan je natuurlijk altijd nog een tweede router er achter hangen die jij alleen beheert. Gebruik hiervoor een software matige router en zet er ook radius op voor je WIFI doe op je wifi aan MAC filtering en laat natuurlijk ook je wifi lan verkeer over de firewall lopen. Als je dat allemaal hebt dan is het wel veilig verwacht vervolgens alleen niet dat je nog een HD film over je wifi kan trekken want dat gaat waarschijnlijk niet meer zo lekker.
Het kan natuurlijk maar hoe paranoia ben je. Sorry hoor maar voor thuis heb ik gewoon WEP in gebruik vindt ik genoeg, ik vertrouw mijn buren en gezien de hoeveelheid signalen kunnen ze hooguit voor de deur nog inloggen, succes en veel plezier ermee denk ik dan.