Toon posts:

Slimme firewall voor IoT

Pagina: 1
Acties:

Vraag

zondag 20 november 2016 10:29

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Bestaat er een slimme firewall die mijn interne netwerk beschermt tegen IoT gevaren?
Voor zover ik heb kunnen nagaan nog niet.
Ik zit te denken aan een klein doosje (ter grootte van een RPi) met twee netwerk poorten. Je zet hem voor je ISP router. De firewall is in staat om jouw IoT apparaten te herkennen en het verkeer naar internet te blokkeren. Met uitzonder van het verkeer voor de bijbehorende app (als die er is). Op die manier heb je geen last van interne pottenkijkers, of van apparaten die deel uitmaken van een botnet.
Het idee is dat zodra je de broodrooster of thermostaat hebt ingeplugd, je op de "Scan" knop van de IoT firewall drukt, en dat hij dan de rest voor zijn rekening neemt. Echt slim zonder omkijken. En dus vooral bedoeld voor de consument thuisgebruiker (niet Tweaker).

Alle reacties

zondag 20 november 2016 10:45

Acties:
  • +1 Henk 'm!
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 23:40

Koffie

Koffiebierbrouwer

Braaimeneer

IoT is een loze term waar ieder zijn eigen protocol aan kan plakken en dataoverdracht via verschillende manieren kan pushen of pullen.
Als een dergelijke firewall al zou bestaan, valt of staat de veiligheid met het kennen van de protocollen.
Als jouw broodrooster gewoon zijn data via HTTP port 80 verstuurd en je thermostaat een TCP connectie op port 22 maakt zijn dat dus al 2 totaal verschillende dingen.
Daarnaast zullen veel IoT / slimme devices hun data ergens naartoe pushen en extra informatie ophalen. Als jij je broodrooster (HTTP 80) aan hebt staan, is het echt niet zo dat iemand spontaan door je bestaande router/firewall je brood kan laten ontvlammen. Pas als jij expliciet connectie van buitenaf naar binnen toe toestaan naar die broodrooster (NAT forwarding naar je broodrooster, zonder extra rules in je firewall) moet je je zorg maken.

Zwembad (te koop) - Braaihok (te koop) - Bouwproject -BraaiTV - Funda

zondag 20 november 2016 10:45

Acties:
  • 0 Henk 'm!
  • Mel33
  • Registratie: Oktober 2009
  • Laatst online: 20:15

Mel33

This vaak juist de slimheid of het gemak, of beter gezegd, this de complexe detectie of scanmanier van een stuk code die een breach kan veroorzaken, het internet zelf is daar het voorbeeld van.
Je kan een firewall draaien op een r-pi, maar je zal altijd zelf moeten monitoren of het slot op je deur nog veilig is

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd

zondag 20 november 2016 10:51

Acties:
  • 0 Henk 'm!
  • DutchKel
  • Registratie: Mei 2002
  • Laatst online: 23:14

DutchKel

Zet UPnP uit op je huidige router en je bent al wat beter beschermd. Zoals al is gezegd is het vrijwel onmogelijk wat je vraagt. Elke dag komen er nieuwe producten die op een andere manier verbinding maken. De enige oplossing is door te zorgen dat ze geen verbinding kunnen maken, maar daarvoor heb je ze vast niet gekocht.

Don't drive faster than your guardian angel can fly.

zondag 20 november 2016 10:53

Acties:
  • 0 Henk 'm!
  • aawe mwan
  • Registratie: December 2002
  • Laatst online: 23-05 20:22

aawe mwan

Wat ook leuk is:

Goed idee, zoiets moet er zeker komen. Zou fijn zijn als hij herkent welke apparaten je aangesloten hebt en ze meteen blokkeert als er een veiligheidslek bekend wordt en je helpt bij het configureren.

Hoe goed deze firewall moet werken, hangt ook af van hoe „evil” je IoT apparaten zijn. Zo heb ik bijvoorbeeld een IP-camera gekocht die nieuw uit de doos verwees naar een Poolse website die Chrome herkende als server van malware, via een iframe van 1×1 pixel op het inlogscherm.

Vaak wijst men beschuldigend naar de gebruikers van IoT apparatuur, dat ze niet de moeite zouden nemen om het default wachtwoord te veranderen. Maar vaak heeft apparatuur de mogelijkheid om ook met een ander wachtwoord dan het ingestelde wachtwoord in te loggen en een belangrijk deel van de IP-camera's heeft door bugs de mogelijkheid om beelden te bekijken gewoon zonder wachtwoord.

Je wilt de hele communicatie met de apparaten begeleiden en als er ergens iets niet volgens het bekende protocol verloopt, moet het IoT apparaat geïsoleerd worden.

De IoT-firewall moet dus eigenlijk meer een proxy zijn dan een firewall.

„Ik kan ook ICT, want heel moeilijk is dit niet”

zondag 20 november 2016 11:03

Acties:
  • 0 Henk 'm!
  • TommieW
  • Registratie: December 2010
  • Laatst online: 16:58

TommieW

Numa numa.

Bedoel je niet toevallig een IDS/IPS? IDS staat voor "intrusion detection system". Het is een stukje software dat poging tot inbreken kan herkennen en hier bijvoorbeeld een melding van kan geven. Waar een IDS in het algemeen "naast" je internet zit, zit een IPS ertussen:
code:
1
2
3
4
5
6
7

IDS           IPS

Internet      Internet
   |             |
   |-----|      IPS
   |     |       |
Router  IDS    Router


Een IPS kan dus verkeer actief blokkeren als het bijvoorbeeld een indringer detecteert. Er zijn diverse oplossingen hiervoor. Bijvoorbeeld de gratis routersoftware pfSense heeft ook mogelijkheden om IPS te doen. Hoe goed een IDS/IPS is, is afhankelijk van de intelligentie. M.a.w. in het algemeen worden indringers gedetecteerd aan de hand van patronen. (Bijvoorbeeld het opvragen van de wp_admin.php pagina vanaf een buitenlands IP adres.)

Het wordt dus al snel moeilijk om te herkennen wat legitiem is en wat een indringer is bij IOT apparaten. Tot slot - afhankelijk van de gebruikte IDS/IPS/level 7 firewall - is het ook moeilijk om indringers via versleutelde protocollen (SSH, HTTPS, etc.) te detecteren.

Kort verhaal lang: ja, zulke dingen zijn er, een soort van. Maar het verschil maken tussen legitiem verkeer en indringers blijft vrij lastig.

Edit: Nog een dingetje. Het herkennen van dergelijke indringers wil (zeker bij snelle WAN verbindingen) redelijk wat resources vragen. Je zal er waarschijnlijk dus ook nog redelijk snelle hardware tegenaan moeten gooien. Dus iets ter grootte van een RPi kan je waarschijnlijk wel vergeten.

[ Voor 10% gewijzigd door TommieW op 20-11-2016 11:06 ]

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

zondag 20 november 2016 11:21

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Koffie schreef op zondag 20 november 2016 @ 10:45:
IoT is een loze term waar ieder zijn eigen protocol aan kan plakken en dataoverdracht via verschillende manieren kan pushen of pullen.
Dat is een woordspelletje. Het gaat om het idee dat je autonome apparatuur op je LAN het aangesloten waar van je geen idee hebt wat die doet.
Daarnaast zullen veel IoT / slimme devices hun data ergens naartoe pushen en extra informatie ophalen. Als jij je broodrooster (HTTP 80) aan hebt staan, is het echt niet zo dat iemand spontaan door je bestaande router/firewall je brood kan laten ontvlammen. Pas als jij expliciet connectie van buitenaf naar binnen toe toestaan naar die broodrooster (NAT forwarding naar je broodrooster, zonder extra rules in je firewall) moet je je zorg maken.
Das te makkellijk. Want je gaat nu van wat er niet kan. Wat niet kan weet ik zelf ook :-)
Kunnen we het ding zo inrichten dat een noob ermee overweg kan? Als ik de reactie van @TommieW lees, gaat het meer in richting van IDS. Ook goed. Waar het me om gaat is dat je nu erg afhankelijk bent van specialistische kennis. Als Tweaker heb je daar geen problemen mee. Ik heb zelf ook twee IP camera's aan de achtergevel hangen die ik in de FW heb geblokkeerd (alleen LAN verkeer mogelijk). En mijn SmartTV mag ook alleen maar binnen spelen. (dan maar geen check op firmware updates).

Misschien kan de FW/IDS regelmatig het netwerk scannen en het verkeer categoriseren. Of i.c.m. Spamhaus (ik noem maar een krom voorbeeld) vaststellen dat er een luchtje aan zit. Of op basis van het MAC adres een device categorie bepalen. (In deze voorbeelden wordt ik duidelijk beperkt door mijn gebrek aan specifieke kennis. Dus neem het vooral niet te letterlijk.)

Ja, misschien zit er een leer curve aan vast. En moet je een week wachten voordat hij goed weet hoe je LAN eruit zit. Maar voor het grote publiek zou het heel veel waard zijn om onbezorgd een slimme thermostaat te kunnen monteren zonder angst voor crackers, botnets en andere ellende.

zondag 20 november 2016 11:23

Acties:
  • 0 Henk 'm!
  • aawe mwan
  • Registratie: December 2002
  • Laatst online: 23-05 20:22

aawe mwan

Wat ook leuk is:

Ik heb nog een voorbeeldje. Bij een IP-camera die ik al jaren gebruik, bleek dat je via poort 80 een bestandje kon opvragen waarin alle wachtwoorden staan: onder andere je WiFi wachtwoord en het admin/telnet wachtwoord van de camera. Een ongedocumenteerde functie die de programmeurs waren vergeten te verwijderen, om dit bestand op te vragen was geen wachtwoord nodig.

Poort 80 moet open staan naar internet om in te kunnen loggen op deze camera. Filteren op poortniveau is dus niet nauwkeurig genoeg.

Ik denk dat het een beter idee is om het hele autorisatie-verhaal weg te halen bij de IoT apparaten zelf en te verplaatsen naar de IoT hub.

„Ik kan ook ICT, want heel moeilijk is dit niet”

zondag 20 november 2016 11:23

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
kfaessen schreef op zondag 20 november 2016 @ 10:51:
Zet UPnP uit op je huidige router en je bent al wat beter beschermd
Een consument weet niet wat UPnP is.

zondag 20 november 2016 11:32

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
TommieW schreef op zondag 20 november 2016 @ 11:03:
Bedoel je niet toevallig een IDS/IPS?
Check in the box! :)
Kort verhaal lang: ja, zulke dingen zijn er, een soort van. Maar het verschil maken tussen legitiem verkeer en indringers blijft vrij lastig.
Hier ga je ook de discrepantie tussen de thuisgebruiker en de professional/het bedrijfsleven zien.
Die hebben zowel het geld als de kennis om het zelf in te (laten) regelen. Voor de consument is er niks.
Edit: Nog een dingetje. Het herkennen van dergelijke indringers wil (zeker bij snelle WAN verbindingen) redelijk wat resources vragen. Je zal er waarschijnlijk dus ook nog redelijk snelle hardware tegenaan moeten gooien. Dus iets ter grootte van een RPi kan je waarschijnlijk wel vergeten.
Misschien moet het dan wat duurder worden. Er zal natuurlijk een grens liggen tussen wat gewenst is en wat de consument er voor wil betalen. Misschien moeten we daarom bescheiden beginnen. Bijvoorbeeld als een openWRT module (ik toeter maar weer wat). En dan zien of dit levensvatbaar is.

zondag 20 november 2016 11:38

Acties:
  • 0 Henk 'm!
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 22-05 06:35

jan99999

Three dum routers, is iets wat je kunt doen, google hier op.
Je domme apparaten die niet ge-update worden zet je dan op een aparte netwerk.
Is natuurlijk niet perfect.

Betere manier is om een pfsense router te maken met meerdere netwerkkaarten,
dan kun je via pfsense alles apart van elkaar houden.

zondag 20 november 2016 11:39

Acties:
  • 0 Henk 'm!
  • GEi
  • Registratie: December 2012
  • Laatst online: 23-05 22:51

GEi

Installeer op de door TS genoemde RPi maar eens Pi-hole. Dan zie je welke apparaten allemaal zonder jouw weten hun 'maker' of fabrikant benaderen. Heb zo zelf in mijn dns servertje geblokkeerd dat Samsung te pas en te onpas door de tv wordt bezocht, zonder dat ik weet wat die tv aan info doorgeeft. Dat moet met 1 of meer IoT (containerbegrip) apparaatjes toch ook kunnen?

zondag 20 november 2016 11:49

Acties:
  • 0 Henk 'm!
  • Mr_gadget
  • Registratie: Juni 2004
  • Laatst online: 14:46

Mr_gadget

C8H10N4O2 powered

Maar sommige apparaten hebben een verbinding nodig met de fabrikant. Er zijn ook volgens mij Samsung tv's die niet werken zonder internetverbinding...Met IoT apparaten net zo, om de app te kunnen gebruiken heb je een verbinding met de fabrikant nodig. Dus dat blokken zorgt ervoor dat je veilig bent maar je device het ook niet meer doet..

Ik denk dat het idd heel moeilijk wordt. IDS / IPS kan helpen maar dit is vrij specialistisch en zal ook false positives hebben. Dan werkt opeens iets niet meer omdat de firewall denkt dat het een hacker is. Dit kan voor de gemiddelde consument heel vervelend zijn.

zondag 20 november 2016 12:04

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

De gewone consument gaat echt niet een apart security apparaatje kopen om tussen z'n router en het grote boze internet te plaatsen. Nog even afgezien van het feit dat dat wat moeilijk gaat als je een modem + router hebt

QnJhaGlld2FoaWV3YQ==

zondag 20 november 2016 12:08

Acties:
  • 0 Henk 'm!
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 23:40

Koffie

Koffiebierbrouwer

Braaimeneer

Ceaus schreef op zondag 20 november 2016 @ 11:23:
[...]

Een consument weet niet wat UPnP is.
Maar die gaat wel een raspberry pi voorzien van specifieke IoT firewall software ? ;)

Zwembad (te koop) - Braaihok (te koop) - Bouwproject -BraaiTV - Funda

zondag 20 november 2016 12:12

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Brahiewahiewa schreef op zondag 20 november 2016 @ 12:04:
De gewone consument gaat echt niet een apart security apparaatje kopen om tussen z'n router en het grote boze internet te plaatsen.
Voor de korte termijn zal dat inderdaad wel lastig zijn. Aanvullend denk ik wel dat als we 2 of 3 jaar verder zijn, dat we dan tegen golven van IoT ellende aanlopen, waar de IoT industrie niet om maalt en waar je als consument ongelooflijk veel last van krijgt. Ik denk dat we hier een nieuwe stap moeten maken. Waarbij het voortouw genomen wordt door tweakers. O-)

zondag 20 november 2016 12:14

Acties:
  • 0 Henk 'm!
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 23:40

Koffie

Koffiebierbrouwer

Braaimeneer

Ceaus schreef op zondag 20 november 2016 @ 12:12:
[...]

Voor de korte termijn zal dat inderdaad wel lastig zijn. Aanvullend denk ik wel dat als we 2 of 3 jaar verder zijn, dat we dan tegen golven van IoT ellende aanlopen, waar de IoT industrie niet om maalt en waar je als consument ongelooflijk veel last van krijgt. Ik denk dat we hier een nieuwe stap moeten maken. Waarbij het voortouw genomen wordt door tweakers. O-)
Dan zullen we moeten stoppen met de achterlijke term IoT. Het bestaat niet. het is een verzamelnaam die wmb kant noch wal raakt en de boel alleen maar onduidelijk maakt.

Zwembad (te koop) - Braaihok (te koop) - Bouwproject -BraaiTV - Funda

zondag 20 november 2016 12:28

Acties:
  • 0 Henk 'm!
  • BurnerT
  • Registratie: April 2004
  • Laatst online: 21:35

BurnerT

Er zijn tegenwoordig toch plannen om een IoT netwerk op te zetten. Of is dat niet van toepassing. Ik wil straks met ssl beveiligde IoT apparaten waarbij mijn internet niet meer de backbone is naar buiten.

Providers kijken het tegenwoordig niet zo nauw met de uptime's

zondag 20 november 2016 13:04

Acties:
  • 0 Henk 'm!
  • GEi
  • Registratie: December 2012
  • Laatst online: 23-05 22:51

GEi

In basis is de vraag of je wel IoT in huis moet halen waarvoor een server buitenshuis, van de fabrikant, nodig is. Recent met Toon gezien dat Eneco meer verstand van energie heeft, dan van Toon-gerelateerde zaken. Ik denk dat je bij IoT altijd moet kijken wat je zelf kan, en wat je zelf niet kan en mag.
Ps Nu mijn Samsung tv niet meer Samsung kan praten, heb ik of een huisgenoot nog geen enkel nadeel ontdekt.

zondag 20 november 2016 13:07

Acties:
  • 0 Henk 'm!
  • Firefly III
  • Registratie: Oktober 2001
  • Niet online

Firefly III

Bedrijfsaccount Firefly III
-

[ Voor 100% gewijzigd door Firefly III op 21-10-2019 09:59 . Reden: Leeg ivm privacy ]

Hulp nodig met Firefly III? ➡️ Gitter ➡️ GitHub ➡️ Mastodon

zondag 20 november 2016 14:06

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Koffie schreef op zondag 20 november 2016 @ 12:08:
[...]
Maar die gaat wel een raspberry pi voorzien van specifieke IoT firewall software ? ;)
Das een kwestie van bewust wording, timing en marketing. Rome is ook niet op een dag gebouwd. Zoals gezegd, als zo'n firewall nog niet bestaat en we hebben hem wel nodig, dan misschien maar klein beginnen en zien of het levensvatbaar is.

zondag 20 november 2016 14:10

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Koffie schreef op zondag 20 november 2016 @ 12:14:
[...]

Dan zullen we moeten stoppen met de achterlijke term IoT. Het bestaat niet. het is een verzamelnaam die wmb kant noch wal raakt en de boel alleen maar onduidelijk maakt.
Akkoord. Is "Smart home" misschien een betere term? Ik weet niet eens of we daar een fatsoenlijke Nederlandse term voor hebben. Maar das weer een andere discussie ;)

zondag 20 november 2016 14:12

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 20:39

Equator

Crew Council

#whisky #barista

Elke op regels gebaseerde Firewall kan je toch prima in bepalen welk verkeer er wel naar buiten mag en welk niet? Zolang jij de "Things" die je op je netwerk aansluit beheerd kan je ze een specifiek IP adres toekennen. En met dat specifieke IP kan jij prima beperken wat ze wel en wat ze niet mogen.

Mijn EdgeRouter voldoet daar prima in :)

Het nadeel hiervan is dat je erg veel regels moet definiëren. Een tweede nadeel is dat je geen inzicht hebt in wat er over de lijn naar buiten wordt gemeld. Dat het apparaat met poort 443 naar buiten mag, geeft je nog geen inzicht in wat er aan data over die verbinding gaat.

Wat je ook kan doen is je volledige netwerk via een VPN naar Zscaler laten verbinden. Dan krijg je meer inzicht in wat er gebeurt.

[ Voor 40% gewijzigd door Equator op 20-11-2016 14:16 ]

Ik zoek nog een engineer met affiniteit voor Security in de regio Breda. Kennis van Linux, Endpoint Security is een pré. Interesse, neem contact met me op via DM.

zondag 20 november 2016 14:18

Acties:
  • 0 Henk 'm!
  • DutchKel
  • Registratie: Mei 2002
  • Laatst online: 23:14

DutchKel

Even iets anders, je draagt een oplossing aan. Maar voor welk probleem precies? De eindgebruiker heeft namelijk geen last ervan als zijn/haar apparaat is gehacked en meedoet met een DDOS aanval. Als die het merkt dan is het internet een beetje trager. Daarvoor gaat die echt geen nieuw kastje aanschaffen waarvan die niet weet wat het precies doet.

Uit je teksten begrijp ik dat je het hebt over mensen die in hun router als gebruikersnaam en wachtwoord admin/admin hebben. Die ga je echt niet helpen met zo'n oplossing.

Misschien moet je meer out of the box denken en een handleiding schrijven over hoe je het beste je eigen router kunt beveiligen. Dat kost consumenten niks, alleen wat tijd. Zoiets als dit: http://veiligerouter.uwpc.info/stappenplan.htm

Don't drive faster than your guardian angel can fly.

zondag 20 november 2016 14:19

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Equator schreef op zondag 20 november 2016 @ 14:12:
Elke op regels gebaseerde Firewall kan je toch prima in bepalen welk verkeer er wel naar buiten mag en welk niet? Zolang jij de "Things" die je op je netwerk aansluit beheerd kan je ze een specifiek IP adres toekennen. En met dat specifieke IP kan jij prima beperken wat ze wel en wat ze niet mogen.
Helemaal waar. En het einddoel is om dit automagisch door de FW zelf uit te laten zoeken.
(Hé, als het makkelijk was had ik zelf al wel gedaan ;))
Misschien heb je hier een simpele MMI voor nodig. Stoplicht kleuren of zo. Maar bij voorkeur zet je zo'n ding in de meterkast, stekkertje erin en klaar.

zondag 20 november 2016 14:22

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
kfaessen schreef op zondag 20 november 2016 @ 14:18:
Even iets anders, je draagt een oplossing aan. Maar voor welk probleem precies? De eindgebruiker heeft namelijk geen last ervan als zijn/haar apparaat is gehacked en meedoet met een DDOS aanval. Als die het merkt dan is het internet een beetje trager. Daarvoor gaat die echt geen nieuw kastje aanschaffen waarvan die niet weet wat het precies doet.
Ja, ik vrees dat je daar wel een goed punt hebt. Wellicht de zwakke plek van mijn idee.
Misschien moet je meer out of the box denken en een handleiding schrijven over hoe je het beste je eigen router kunt beveiligen. Dat kost consumenten niks, alleen wat tijd. Zoiets als dit: http://veiligerouter.uwpc.info/stappenplan.htm
Goed punt.

zondag 20 november 2016 14:36

Acties:
  • 0 Henk 'm!
  • Falcon
  • Registratie: Februari 2000
  • Laatst online: 13:23

Falcon

DevOps/Q.A. Engineer

Daarnaast kan het ook mee helpen om je eens bewust te worden van wat er allemaal naar buiten en binnen gaat.

Dit kan via de logging van je router (sommige zijn geavanceerder dan andere) of eens tijdelijk een laptop als proxyserver in te stellen en al het externe verkeer via deze weg te laten lopen. In de logging van de proxyserver kan je dan alles makkelijk terug vinden.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

zondag 20 november 2016 22:25

Acties:
  • 0 Henk 'm!
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 22-05 06:35

jan99999

kfaessen schreef op zondag 20 november 2016 @ 14:18:
Even iets anders, je draagt een oplossing aan. Maar voor welk probleem precies? De eindgebruiker heeft namelijk geen last ervan als zijn/haar apparaat is gehacked en meedoet met een DDOS aanval. Als die het merkt dan is het internet een beetje trager. Daarvoor gaat die echt geen nieuw kastje aanschaffen waarvan die niet weet wat het precies doet.
Hier hebben gebruikers wel last van, want de websites die aangevallen worden kun je niet meer bezoeken,
en wat als dit steeds meer wordt in de toekomst, dan vallen de websites vaker om, en je browser laat niks zien.

maandag 21 november 2016 02:09

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

jan99999 schreef op zondag 20 november 2016 @ 22:25:
[...]

Hier hebben gebruikers wel last van, want de websites die aangevallen worden kun je niet meer bezoeken,
en wat als dit steeds meer wordt in de toekomst, dan vallen de websites vaker om, en je browser laat niks zien.
Zonder uitgebreide bewustwordingscampagne gaan Henk en Ingrid die link echt niet leggen.
Bovendien, als Henk (of Ingrid) de stekker uit hun IP-cam trekt, is de website in kwestie niet ineens wel weer bereikbaar. De gemiddelde Henk en Ingrid zullen dan zeggen: "zie je wel, daar ligt het niet aan"
Falcon schreef op zondag 20 november 2016 @ 14:36:
Daarnaast kan het ook mee helpen om je eens bewust te worden van wat er allemaal naar buiten en binnen gaat.

Dit kan via de logging van je router (sommige zijn geavanceerder dan andere) of eens tijdelijk een laptop als proxyserver in te stellen en al het externe verkeer via deze weg te laten lopen. In de logging van de proxyserver kan je dan alles makkelijk terug vinden.
Henk en Ingrid, die voor de leut de log files van de proxy server gaan doorlezen?
Henk heeft veel interessantere dingen op z'n PC staan O-)

[ Voor 33% gewijzigd door Brahiewahiewa op 21-11-2016 02:12 ]

QnJhaGlld2FoaWV3YQ==

maandag 21 november 2016 07:54

Acties:
  • 0 Henk 'm!
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 21-05 22:42

ChaserBoZ_

Interessante discussie, ben daar zelf ook mee bezig. Ik heb een firewall met meerdere vlan's gebouwd, met een apart vlan/IP reeks voor de IoT 'zooi'. Ieder apparaat kan naar internet, ik kan het gedrag monitoren middels een simpele tcpdump, en het IoT vlan mag absoluut nooit connecten naar mijn 'LAN' vlan waarop mijn NAS draait. Volgende stap is een access point met meerdere SSID's zodat ik een 'IoT SSID' aan kan maken voor bijvoorbeeld de Nest thermostaat, welke dan ook niet bij mijn NAS kan komen.

Zo slaap ik in ieder geval goed :)

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 21 november 2016 16:15

Acties:
  • 0 Henk 'm!
  • Falcon
  • Registratie: Februari 2000
  • Laatst online: 13:23

Falcon

DevOps/Q.A. Engineer

Brahiewahiewa schreef op maandag 21 november 2016 @ 02:09:
[...]

Zonder uitgebreide bewustwordingscampagne gaan Henk en Ingrid die link echt niet leggen.
Bovendien, als Henk (of Ingrid) de stekker uit hun IP-cam trekt, is de website in kwestie niet ineens wel weer bereikbaar. De gemiddelde Henk en Ingrid zullen dan zeggen: "zie je wel, daar ligt het niet aan"

[...]

Henk en Ingrid, die voor de leut de log files van de proxy server gaan doorlezen?
Henk heeft veel interessantere dingen op z'n PC staan O-)
Henk en Ingrid bellen daarom een kennis van een kennis die verstand heeft .. vs een heerlijke appeltaart :9~

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

maandag 21 november 2016 17:10

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
Ook gaaf om de frontpage van /. gehaald te hebben :-)
https://ask.slashdot.org/...ewall-protect-iot-devices

Maar ff serieus, als je daar de reacties leest: het onderwerp leeft wel degelijk. Grofweg dezelfde overwegingen als hier.

maandag 21 november 2016 17:13

Acties:
  • 0 Henk 'm!
  • Ceaus
  • Registratie: December 2013
  • Laatst online: 15-05 00:00

Ceaus

Topicstarter
En het voorstel om hiervoor een manifest file te gebruiken vind ik wel erg sterk.

dinsdag 30 januari 2018 16:01

Acties:
  • 0 Henk 'm!
  • xMuchux
  • Registratie: Mei 2013
  • Laatst online: 13-10-2024

xMuchux

Ik heb me laatst hier eens ook goed zitten over nadenken. Uiteindelijk heb ik hem op de volgende manier ingericht:

ISP -> Modem (met draadloos voor IoT/guest) + router functionaliteit -> extra router erachter (met draadloos voor rest)

Dit heeft er effectief voor gezorgd dat je 2 IP ringen hebt waarbij de extra router wel in de ring van het modem kan, maar het modem niet in de ring van de extra router. Zo heb ik 2 vliegen in een klap opgelost, namelijk:

1. Intern kan ik netjes bij mijn IoT apparaten (alles achter de extra router), maar de IoT apparaten komen niet bij interne apparaten
2. Ik kan met mobiele apparaten van buiten er ook makkelijk bij zonder VPN.

Verder een VPN opgezet die tot de interne ring gaat als ik dieper in het netwerk wil met mobiele apparaten.

Er zullen vast mooiere en veiligere manieren zijn, maar dit werkt tot dusver goed genoeg.

dinsdag 30 januari 2018 16:16

Acties:
  • 0 Henk 'm!
  • wolly_a
  • Registratie: September 2002
  • Niet online

wolly_a

Zomaar een idee... En het is niet 100% waterdicht, dat begrijp ik. Wat nu als je RPi doosje in ieder geval controleert met welke ip adressen er gecommuniceerd wordt. Welke externe ip adressen willen jouw iot apparaat benaderen en naar welke ip adressen wil jouw smart tv en slimme broodrooster praten? Mogelijk kan je daar geografische locaties aan koppelen en daarmee hele reeksen buiten sluiten. Ik zou mijn ip camera best van buiten willen benaderen, maar het is prima dat dat alleen in Nederland kan of instelbaar in een aantal andere landen...

Het is geen 100% veiligheid, maar het lijkt me dat je dan al heel veel narigheid kunt buitensluiten?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq