Thuisnetwerk beter beveiligen

Wat is er überhaupt gebeurd?

Lastig advies geven om "alles te verbeteren" als we niet weten wat voor spul er staat.

Als jij bijv. Portforward naar apparatuur / software die zo lek zijn als een mandje kun je wel dure hardware inkopen maar dat helpt niks. Plus het grootste risico op een netwerk is de gebruiker zelf. (hoef jij niet persoonlijk te zijn, vrouw, vriend of kinderen?)

Beveiliging heeft meer te maken met goed gebruiken wat je al hebt, en weten wat je doet, dan met dure spullen kopen en dan verwachten dat het vanzelf goed komt.
En zoals rieshjart al aangeeft, is het belangrijk om te weten wat er precies gebeurd is, voordat we jou allerlei dure nieuwe spullen aanraden, en dan misschien vergeten om iets te doen aan de echte oorzaak voor die "hack".

Zonder info over wat er is gebeurt en wat je nu al hebt, komen we er helaasch niet.
Sowieso ligt veiligheid niet per definitie in de spullen die je er voor aanschaft, maar in hoe je er zelf mee om gaat.

Maargoed, er even vanuit gaande dat je alle best practices al uitvoert, zou ik beginnen bij een goede router.
En dan doel ik niet op een plastic doosje met een antenne er boven op, ergens uit het schap bij een willekeurige computershop.
Je bouwt een zuinig PCtje met (minstens) 2 netwerkkaarten en parkeert daar een routingpakket op. Denk b.v. aan Smoothwall Express, ClarkConnect, Freesco, IPCop, m0n0wall, pfSense en dergelijke paketten.
Uiteraard is het dan nog een kwestie van zorgen dat je alles goed instelt
Je hebt in ieder geval een bak meer rekenkracht en throughput tot je beschikking, waardoor je op de rand van je netwerk al direct goed kan filteren.

En om het zuinig te houden zou ik zoiets aanschaffen:

#	Product	Prijs	Subtotaal
1	Gigabyte GA-J1900N-D3V	€ 81,-	€ 81,-
2	Kingston ValueRAM KVR13LS9S6/2	€ 12,95	€ 25,90
1	Mini-box picoPSU 80 + 60W Adapter Power Kit	€ 49,95	€ 49,95
1	Kingston SSDNow V300 120GB	€ 48,-	€ 48,-
Bekijk collectie Importeer producten		Totaal	€ 204,85

Moet alleen nog ff een kastje omheen.

Kijk ook even naar Wikipedia: List of router and firewall distributions voor inspiratie over welk pakket je wil gebruiken.

Verder zou ik WiFi van je primaire netwerk af houden door een derde netwerkkaart er in te hangen (board heeft er al 2 onboard in voorbeeld) en daar een accesspoint aan knuppen. En dan uiteraard instellen dat kaart 3 niet met kaart 2 mag praten (of iig filterregels er op zetten).
Wifi wachtwoorden zijn vrij snel gekraakt en daarmee kan iemand dus achter je router terecht komen, zolang hij onder WiFi dekking van jouw AP is.
Je scheid dan in ieder geval je vaste privé LAN van een risico LAN.

Edit:
Ook leuk, een middagje gaan zitten testen met een Penetration Testing Suite.
Bijvoorbeeld met Backtrack (heet inmiddels Kali Linux).
Heb er zelf nog niet mee gewerkt, maar ze claimen dat zelfs beginners er prima mee aan de slag kunnen.

[ Voor 14% gewijzigd door McKaamos op 13-09-2015 10:01 ]

Ik heb idee dat je beetje aan het overdrijven bent. (Ik snap dat je je privacy wilt waarborgen)
Leg gewoon een simpel netwerk waarbij de WiFi en het wired netwerk gescheiden van elkaar zijn. (Vlans/client isolation).
Dit kan bijvoorbeeld met http://routerboard.com/RB2011UiAS-2HnD-IN (Veel goede verhalen over gehoord)

Zelf bouw router zou ik niet aan beginnen (tenzei je ECHT goed weet wat je goed en deze ook goed kan beveiligen).

Mocht je met de RB2011 nog niet genoeg poorten hebben, kan je gewoon uitbreiden met een simpele switch (Om bij hetzelfde merk te blijven -> http://routerboard.com/products -> Switches )

Als ik het verhaal zo lees, dan denk ik niet dat er per defintie iets is gehacked.
Klink meer als iemand die een wachtwoord heeft geraden en zo in je Google account is geraakt.

Gebruikte je hetzelfde wachtwoord toevallig nog ergens anders?
Best kans dat de betreffende site is gehacked/ge-exploit en dat er een users database buitgemaakt is.
Als de password security ondermaats was (plaintext opgeslagen, zwakke hashing, geen gebruik gemaakt van Salts), is het wachtwoord binnen no-time te reverse engineeren. (ff de flaw in de hashing misbruiken, rainbowtable er tegenaan, oid)
Als je username of accountinfo daar ook nog eens een gmail account zijn geweest, sja....
Dan doe ik al gauw 1+1=...

En als je als 'hacker' dan even de tijd neemt om door de G-mail te speuren naar diensten die je gebruikt, ga je diezelfde login credentials ook daar testen. Genoeg mensen die overal hetzeflde wachtwoord gebruiken.
Dus dat verklaart dan ook de mislukte pogingen elders. (mits je elders andere passwords gebruikt)

Hell, het had gewoon een willekeurige scriptkiddie kunnen zijn die toevallig z'n smerige klauwtjes aan een database heeft weten te leggen via een bekende exploit op een verouderde versie van een websitepakket (joomla of wordpress b.v.).
Doodsimpele bad luck is absoluut een optie.

Denk dat dit eerder met malware Of keylogger op de pc te maken heeft. Snap de adviezen dan ook niet, gaat nergens over....

[ Voor 5% gewijzigd door FreakNL op 13-09-2015 21:56 ]

Daarom gewoon een Password Manager gebruiken en voor iedere site een ander wachtwoord. En natuurlijk beetje complexe wachtwoorden. Je kan flinke hardware er tegen aan gooien maar als je gekraakte software, keygen's, hacks gebruikt, software van onbekende bron anders dan die van de maker, dan kan je een miljoen uitgeven en toch gaat het fout. Het zelfde geldt voor wazige websites, P0rn, hacksites, keysites (cracks.am), cheat sites en software, gaat gewoon een keer fout.

Hoe veel software en hardware je ook neemt, het gaat gewoon fout als:

• Op het moment dat je UAC aan hebt staan en je krijgt een melding tijdens het surfen of wanneer je software start die dat niet zou moeten genereren;
• Je AV software zegt dat iets fout is (een file of een site) en je zelf denkt slimmer te zijn;
• Je software incluis Windows van torrents en andere niet legale bron haalt;
• Met keygens werkt;
• Je bij iedere software zonder te lezen Next, Next, Install doet;
• Je overal het zelfde wachtwoord gebruikt;
• Je WDS gebruikt;
• Je een default password op je WIFI router gebruikt;
• Jan en Alleman toegang geeft tot je WiFi;
• Je Windows Firewall uitschakeld;
• Ongepatchte Android devices gebruikt en toegang geeft;
• Wachtwoorden opslaat in software, zoals bijvoorbeeld Logitech Gaming software, waar je Macro's kan maken;
• In plaats van links naar browser te kopieeren en deze te controleren direct op een link in een e-mail klikt;
• En zo kan ik wel doorgaan....

Als je ziet wat je moet doen om veilig te blijven dan is het bijna niet leuk meer om een PC te hebben

Daarnaast, overal wat belangrijk is, 2-factor authenticatie gebruiken (Facebook, Microsoft, Dropbox, waar het maar kan).

[ Voor 3% gewijzigd door Wim-Bart op 13-09-2015 22:53 ]

ik denk dat deze discussie niet van technische aard is, maar het sociaal aspect.

Ook heb ergens het gevoel dat het geen vreemde was die op met netwerk inbrak, kan alleen niet verklaren wie of waarom.

Met andere woorden: Dat zegt genoeg. DIT is je bron van alle ellende. Daar helpt mooie apparatuur niet tegen.

zoek dit tot de bodem uit, en met name de reden, WAAROM ben je "gehacked".

[ Voor 4% gewijzigd door Verwijderd op 14-09-2015 00:16 ]

Ja, want een kabel upgrade van cat5 naar cat6 gaat je betere beveiliging opleveren

Lees de reacties eens rustig door.

Het beste kan je zelf een router maken te beginnen het het ontwerpen van een chip voor je nieuwe router, je zou het een en ander van OpenSPARC wellicht als basisontwerp kunnen gebruiken.

Even serieus: met hardware (zeker kabels) ga je de boel niet direct veel veiliger maken. Vermoedelijk is gedragsmatig meer te bereiken. Verder kan je bijvoorbeeld 2-factor-authenticatie instellen bij diverse diensten die je gebruikt, etc...

Anoniem: 492910 schreef op zondag 13 september 2015 @ 02:37:
Hallo,

Ik ben vanplan mijn thuisnetwerk een upgrade te geven, dit voor de snelheid en beveiliging.
Mijn computer is gehacked ondankt dat ik betaalde malewarebytes, bitdefender en vpn heb.

Ik wil dus graag een sneller netwerk met meer controle en betere beveiliging.

...

- Wat moet er sneller, hoe snel is het nu ? welke snelheid zoek je?
- Waar wil je meer controle over hebben ? (specifiek, aangezien jij controle zoekt)
- Waar wil je tegen beveiligen ? welke beveiliging faalde ?

Deze vragen kun je dus niet beantwoorden zonder te kijken wat er is gebeurt

Jij wil gewoon iets doen en een sloot geld er tegen aan gooien. Terwijl het gros van de problemen door de gebruiker word veroorzaakt. zie bovenstaande voorbeelden.

Als je een out-of-the-box oplossing wil zou ik voor de Netgear gaan. Mooi apparaat, lekker simpel en een redelijk track record als het gaat om netwerk beveiliging.

Indien je graag je eigen firewall regels schrijft en zeker weet dat je er genoeg verstand van hebt, is een routerboard een leuk idee. Let er wel op dat je vrij gemakkelijk een foutje kunt maken als je weinig tot geen ervaring hebt met het configureren van firewalls. In dat geval zorgt een routerboard juist voor minder veiligheid.

Als je naast ervaring met het configureren van routers en firewalls ook nog ervaring hebt met het bouwen van computers en je bent bereid om er wat werk in te steken, ja dan is zelf een firewall bouwen een leuke optie. Maar als je bij deze setup een foutje maakt geef je een eventuele hacker een eigen computer om je netwerk aan te vallen.

Gebaseerd op de info die ik tot op heden gelezen heb zou ik adviseren om voor de Netgear R8000 te gaan omdat ik niet uit de posts haal dat je de kennis en ervaring hebt om een van de twee andere oplossingen te kiezen (maar ik kan het natuurlijk helemaal mis hebben).

Daarnaast nog even het punt dat bij alle andere reacties ook aangehaald word:
Zelfs met een professionele router/firewall die ingesteld word door een professional kan niet voorkomen dat je computer gehackt word.

Het grootse beveiligingsrisico is altijd de eindgebruiker, deze "klikt", installeert, vergeet en voert in.

Begin eerst met een verse herinstallatie van je besturingsysteem, ga geen servers zelf intern hosten of lopen pielen met andere apparatuur. Trap alle devices van je netwerk die je niet nodig hebt en kijk gewoon eens met pfsense, whireshark of een hardware firewall wat er allemaal op je netwerk gebeurt.

Alle maatregelen ten spijt maar als de eindgebruiker weer een vinkje zet, software installeert, Social media accounts koppelt of wachtwoorden deelt, dan is de beste beveiliging zinloos

@ Breezers: TOP.

Kom het niet anders verwoorden. De zwakste schakel is en blijft : DE MENS!

Wat voor dure, mooie, snelle apparatuur je inzet, als jij een wachtwoord op een gele postit op je scherm plakt, zal geen enkele router of kabel je beschermen. (ik noem maar een zijstraat).....

Zolang je denkt dat betere hardware je beter beschermd, dat is een illusie. Ook de beste hardware kan gecompromitteerd (lees: gehacked) worden.

Als jij echt het slachtoffer bent geworden van hacking, dan deinzen ze niet om jou nogmaals te hacken maar dan met jouw betere apparatuur. En geloof me, als ze binnen willen komen, dan doen ze dat wel.


Ik denk eerder dat dit een gevalletje "social engineering" is, en daar heeft de hardware nauwelijks tot niets te maken.

@Dutch Vertigo: jij wilt graag hardware vervangen met het idee "dat beschermd mijn beter, want ik heb betere (duurdere) hardware. Nu kan ik achterover leunen, en laat het plastic kastje zijn werk doen".

Maar jij weet (kennelijk) nog steeds niet WARROM je bent gehacked? Is het de router die was bezweken, de WiFi met een zwakke beveiliging (lees: WEP encryptie), of was het dat mensen je wachtwoord konden raden bv: admin1234.....

Eerst uitzoeken wat de kern van dit verhaal is. Het heeft geen nut om een paar honderd euro uit te geven aan routers etc... terwijl later blijkt dat je wachtwoord gewoon de naam van de hond was en de buurman via jouw WiFi op je gedeelde C-schijf kon meekijken.....

Volgens mij is het ondertussen wel duidelijk dat de gebruiker de zwakste schakel is en je dit niet kunt oplossen met hardware. Ik begin ondertussen het idee te krijgen dat er geen ander advies beschikbaar is bij de meeste mensen. Dat is prima maar houd je reactie dan gewoon voor je, het voegt ondertussen niks meer toe aan de discussie.

@Dutch Vertigo: Het is lastig om een oplossing voor te stellen zolang we niet precies weten hoeveel kennis en ervaring je hebt met netwerken en wat je bereid bent om te investeren. De oplossing met een TP-link switch en en Netgear router kan voor jou de beste oplossing zijn maar ik zou persoonlijk voor een RB2011 of een Ubiquity Edgerouter Lite gaan.

Sterker nog, ik heb beide apparaten staan en gebruik op dit moment de RB2011 als router. Ik ben zelf enkele weekenden bezig geweest met het configureren van mijn RB2011 voor ik hem in gebruik heb genomen. Verder heb ik Netgear switches staan en kabels door het hele huis naar de meterkast. Allemaal CAT5e omdat ik niet verwacht dat ik 10Gbit ga gebruiken in mijn huidige huis. Als WiFi AP heb ik een Netgear R6300v2 met DD-WRT.
Ik heb deze setup omdat ik nu een Tele2 abbo heb en de modem/router die zij meeleveren is erg beperkend. Ik heb echter niet het gevoel dat mijn netwerk nu veiliger is omdat ik mijn eigen appartuur gebruik.

Security now on youtube
TekThing on youtube,
Hak5 youtube
Deze forum tav beveiliging
https://www.security.nl/
Andere security websites zoeken.

Denk dat het beter is om je beveiligings kennis te verhogen, ligt niet aan je hardware of software die je beschermt.
Je zult beter met wachtwoorden en misschien anders moeten gaan werken/omgaan met pc/laptop.

Sja, daar komen we ook niet echt verder mee...
Het is niks meer dan logisch dat je antivirus pakketten niks hebben gedaan want de kans is zeer groot dat het helemaal niet bij jou thuis heeft afgespeeld.
Inloggen op een Google account kan vanaf overal ter wereld en een gekoppeld android device een remote-wipe opdracht geven (lost phone functie, da's geen virus ofzo) is zo gepiept vanuit het Google account.
Zoals ik al eerder heb gezegd, kan je wachtwoord prima elders opgevist zijn in de vorm van een hash, tegen een rainbowtable gelegd en op die manier uitgeplozen wat je wachtwoord is.
Misschien had je wel een makkelijk te raden wachtwoord.
Of zat er misschien een simpel te beantwoorden wachtwoord reminder vraag op je account en maak je geen gebruik van 2FA. Dan heb je t wachtwoord ook zo te pakken, zonder ook maar 1 bit naar jouw PC te sturen.

Kortgezegd is het voor een 'hacker' makkelijker om ergens bij te komen zonder jouw netwerk/PC/whatever-apparaat daarbij aan te vallen, dan dat het is om het via jouw apparatuur te doen.
Dat is ook de hele reden dat er regelmatig rellen zijn over security vulnerabilities in webserver/database/codeparser software, gebrekkige websites, etc etc.
Jouw individuele PC aanvallen is als eerste veel lastiger (want we krijgen allemaal ingedreund dat we een firewall en antivirus moeten draaien), en daarbij is het veel teveel werk om 1 individu aan te vallen als je met 1 makkelijker doelwit de gegevens van honderden te pakken kan krijgen.

Maargoed, je wil geld uitgeven. Daar kan ik je mee helpen.
Vergeet plastic router doosjes. Vergeet ze. Koop zo'n Men in Black geheugenwisser stickje.
Zet een PC neer met een routing distro er op.
Als je echt zoveel mogelijk wil filteren, wil je niet alleen maar poortjes dicht kunnen zetten en wat blokkeer regeltjes neerzetten. Er moet wat open staan om communicatie te hebben, dus is er een weg naar binnen en naar buiten.
Wil je écht alles wat je voor elkaar kan krijgen, dan moet je met rekenkracht gaan smijten. Je wil al je trafic zowel inbound als outbound scannen op virussen, malware en alles anders wat je kan aanmerken als troep. Gooi er meteen heurstiek overheen (controle op verdacht gedrag).

En ja, een opensource pakketje is dan mogelijk wat meer werk, maar er bestaan ook oplossingen die out-of-the-box op z'n minst veel aan boord hebben.
Kijk voor de lol eens naar Sophos UTM Home. https://www.sophos.com/en...hos-utm-home-edition.aspx
Voor een uitleg wat UTM inhoud: Wikipedia: Unified threat management

Daarnaast: scheiding van WiFi en vast.
WiFi is zwak. Dat wil je niet in verbinding hebben staan met de rest van je netwerk. Een WPA key is binnen no-time gekraakt, zeker met de opkomst van OpenCL gebaseerde bruteforce methoden.

[ Voor 33% gewijzigd door McKaamos op 14-09-2015 22:25 ]

Ik zie dat je "het er niet mee eens bent" met de adviezen die je hier krijgt. Begrijp wel dat de adviezen hier niet altijd degene zijn die je graag wilt horen, maar "vervelend" genoeg vaak wel de juiste.
Simpelweg nieuwe apparatuur kopen zonder achtergrond informatie kunnen we je ook doorverwijzen naar de dichtstbijzijnde MediaMarkt, Saturn eventueel BCC en kun je daar je ongefundeerde advies ophalen.
(indien jullie meelezen medewerkers van deze ketens, ik heb regelmatig meegeluisterd en jullie kramen maar al te vaak de grootste onzin).

Ik hoop wel dat je inziet dat er geen passend advies voor nieuwe hardware hier gegeven kan worden als niet bekend is wat je er al hebt staan. Voor het zelfde heb je al een stel top producten liggen die alleen even een (firmware)update nodig hebben om weer bij te zijn. Wellicht gebruik je die producten niet tot hun volledige nut en is hetzelfde gevaar aanwezig in de nieuwe apparatuur die je wilt aanschaffen.

Die (eerste!) vraag heb je nog niet de moeite genomen om te beantwoorden....

rieshjart schreef op zondag 13 september 2015 @ 07:05:
Lastig advies geven om "alles te verbeteren" als we niet weten wat voor spul er staat.

Zoals je zelf al aangeeft "Ik wil dus graag een sneller netwerk met meer controle en betere beveiliging."
Hoeveel controle wil je hebben, en wat is je kennisnivo van de materie om dit in te richten ?
Op basis daarvan zou ik dan gaan kijken welke hardware aan jouw eisen voldoen.
Zelf zou ik indien mogelijk :
Modem bridgen, firewall erachter, switch, AP enz.
Zo heb je zelf alles in de hand, onderverdelen in zones, vlans, afschermen met policy's, vpn verbindingen vanaf de firewall opzetten, wat je maar wilt.
Uiteraard heb je daarin legio produkten die voor jou zullen voldoen, zelf heb ik hier zo'n zelfde opzetje :
Juniper SRX-100H2
Juniper EX-2200-C
Aruba RAP109
Dit is prijstechnisch misschien niet voor iedereen weggelegd, maar het idee blijft het zelfde.

kosz schreef op dinsdag 15 september 2015 @ 23:50:
Zoals je zelf al aangeeft "Ik wil dus graag een sneller netwerk met meer controle en betere beveiliging."
Hoeveel controle wil je hebben, en wat is je kennisnivo van de materie om dit in te richten ?
Op basis daarvan zou ik dan gaan kijken welke hardware aan jouw eisen voldoen.
Zelf zou ik indien mogelijk :
Modem bridgen, firewall erachter, switch, AP enz.
Zo heb je zelf alles in de hand, onderverdelen in zones, vlans, afschermen met policy's, vpn verbindingen vanaf de firewall opzetten, wat je maar wilt.
Uiteraard heb je daarin legio produkten die voor jou zullen voldoen, zelf heb ik hier zo'n zelfde opzetje :
Juniper SRX-100H2
Juniper EX-2200-C
Aruba RAP109
Dit is prijstechnisch misschien niet voor iedereen weggelegd, maar het idee blijft het zelfde.

Ik vroeg hem ook al hetzelfde, maar daar reargeert hij niet op.

Hij wil gewoon iets kopen en doen alsof hij alles beter weet. Nou ja best hoor. laat het hem lekker zelf uitzoeken.
Zijn onderwerp is hoe kan ik beter beveiligen maar daar mogen we het niet over hebben want volgens hem wil hij alleen maar zijn netwerk versnellen.
Klopt geen sodemieter van