Thuisnetwerk extra beveiligen

Waar wil je het tegen beveiligen?

Mijzelf schreef op zondag 13 augustus 2017 @ 20:13:
Waar wil je het tegen beveiligen?

Waarom wil je TS niet helpen om een probleem bij z'n oplossing te zoeken?

Je kan sowieso b.v. iets als fail2ban op je Pi zetten. Dat scheelt al een hoop gescripte zooi uit China en Rusland

Maar de vraag is inderdaad, waar tegen beveiligen?

De beste optie, denk ik, is een VPN naar je Pi opzetten als je van buiten ergens bij moet en al je poorten van buiten gewoon dichtzetten. Dan hoef je alleen 443 naar je Pi open te zetten (OpenVPN o.i.d.) en daarbij fail2ban. Zit je vrij safe (heb ik ook zo)

Maak je nu met rdp vanbuiten verbinding naar je server thuis ? Zo ja ga dan inderdaad een VPN gebruiken.

tyfoon_2 schreef op zondag 13 augustus 2017 @ 20:44:
[...]


Ja, van buiten af. De server waar ik naartoe RDP host ook mijn BlueIris server (video opnames van de camera's). Die benader ik graag van buiten via een web adres of de app op mijn telefoon.

Mijn thuisautomatisering ook vanaf divere desktops en app telefoon.

Doe je dat ook over de default rdp port ? Zo ja dan zou ik daar direct mee stoppen en een VPN optuigen.

Gaat de interface van je bluelris over http of HTTPS ?

tyfoon_2 schreef op zondag 13 augustus 2017 @ 20:39:
[...]


Nou ja, eigenlijk gewoon van alles wat er niet op thuis hoort...

De simpelste oplossing is natuurlijk je router en switch uitzetten. Maar dat is waarschijnlijk niet gebruikersvriendelijk genoeg.

Je buitencamera's zouden in een apart netwerk moeten. Iedereen kan immers de kabel eruittrekken en zijn evil device erop aansluiten.
De wifi camera's ook. Besef dat je netwerkwachtwoord in plain text in de camera is opgeslagen. Iedereen met een schroevendraaier en wat electronica kennis kan dat uitlezen, waarschijnlijk zelfs zonder de camera uit te zetten.
Ik ben ooit een netwerk camera tegengekomen die zijn wifi en bedrade aansluiting gebridged had. Door je netwerkkabel erin te prikken kon je meeluisteren met de camera. Met wat MAC spoofing kon je waarschijnlijk ook het netwerk op.

Ik heb wel een idee over je IP camera's maar weet niet of dit voor jou het gewenste effect op leverd. Persoonlijk ben ik erg fan van een apart VLAN voor al me netwerk apparatuur. Router, switches, AP en onder andere je camera's. Zelf zou ik ook niet me camera's aan het internet hangen. Maar lekker intern draaien. Vind het risico te groot dat iemand mee kijkt op mijn camera's.

Verder geef je een gasten netwerk aan, dit zou ik zeker aanraden.
Verder alle poorten dicht zetten die je niet gebruikt. Zorgen dat software/OS up to date is.

Brahiewahiewa schreef op zondag 13 augustus 2017 @ 20:17:
[...]

Waarom wil je TS niet helpen om een probleem bij z'n oplossing te zoeken?

Verschillende doeleinden vereisen een andere aanpak. Een slimme buurjongen of geautomatiseerde poortsniffers kan je een andere aanpak voor gebruiken.

Als je echt veilig wilt gaan, Radius server en 802.1X implementeren? Elk device wat dan fysiek op je switch kan inprikken moet zich authenticeren!

tyfoon_2 schreef op dinsdag 15 augustus 2017 @ 14:21:
Radius server heb ik aanstaan (voor mijn VPN op mijn Unifi USG) en mijn Unifi Switch heeft 802.1x control. Maar is dit niet beetje overkill? Er is nl maar 1 van de cam's die je evt kunt 'ompluggen'. Zit er niet heel diep in en wil niet een hoop andere issues op mijn hals halen met alles wat al op het netwerk zit.

Jij wilt het extra beveiligen, veel verder dicht dan 802.1x ga je t niet krijgen. Zeker niet in combinatie met VLANs op je netwerk om bepaalde users aan de hand van hun Radius profiel automatisch in een ander VLAN te droppen!

je zou wellicht het poortje waar je cam op zit kunnen dichttimmeren op mac adres, dat als je er iets anders aan knoopt dit geen ip adres krijgt.

Wannial schreef op dinsdag 15 augustus 2017 @ 14:26:
je zou wellicht het poortje waar je cam op zit kunnen dichttimmeren op mac adres, dat als je er iets anders aan knoopt dit geen ip adres krijgt.

Moet je ook het stickertje met MAC adres van je camera afhalen
En MAC's zijn makkelijk te spoofen

Anyhow, welke camera's heb je? Want de meeste China meuk gaat alsnog rechtstreeks het internet op zodat je via een vage cloud dienst in kan loggen.

Blueiris heeft een webserver (helaas geen HTTPS) die wel vanuit buiten bereikbaar is.

Er kunnen dus al mensen zijn die inloggegevens hebben van jouw BlueIris bak en gezellig meekijken wat er allemaal gebeurt in huize @tyfoon_2

Alle inkomende poorten sluiten, anders dan de VPN. Vanuit deze VPN verbinding alles intern benaderen.

En gebruik dan geen PPTP VPN, maarSSL VPN (SSTP, OpenVPN etc...)

tyfoon_2 schreef op dinsdag 15 augustus 2017 @ 13:20:
Mbt Cams; Ik zou deze in een apart Vlan kunnen zetten. Echter wat ik niet helemaal snap is hoe dan mijn Server toegang geef tot beiden netwerken. Op de server staat nl ook Blueiris.

De meeste server netwerkkaarten ondersteunen ook VLAN. Dan heb je dus een virtuele netwerkkaart waar de camera's aanhangen. In de firewall block je alle verkeer op deze interface, behalve de Blueiris poort.

Als de netwerkkaart (of eigenlijk, de driver) geen VLAN ondersteund, dan prik je een extra netwerkkaartje in. Conceptueel hetzelfde.

Mijzelf schreef op dinsdag 15 augustus 2017 @ 16:57:
[...]

De meeste server netwerkkaarten ondersteunen ook VLAN. Dan heb je dus een virtuele netwerkkaart waar de camera's aanhangen. In de firewall block je alle verkeer op deze interface, behalve de Blueiris poort.

Als de netwerkkaart (of eigenlijk, de driver) geen VLAN ondersteund, dan prik je een extra netwerkkaartje in. Conceptueel hetzelfde.

Heb nog niet eerder hardware gezien voor VirtualLAN's? Tenzij je iets offload oid bedoelt?
Zal iig in het OS zitten, Windows Server kan het al in ieder geval vanaf versie 2012 met de NIC teaming tool (verwarrende naam, het werkt ook op losse adapters...)
Linux kan ik me niet voorstellen dat vrijwel elke distro het niet kan.

RGAT schreef op dinsdag 15 augustus 2017 @ 17:05:
[...]

Heb nog niet eerder hardware gezien voor VirtualLAN's? Tenzij je iets offload oid bedoelt?

Mijzelf schreef op dinsdag 15 augustus 2017 @ 16:57:
(of eigenlijk, de driver)

Mijzelf schreef op dinsdag 15 augustus 2017 @ 17:22:
[...]


[...]

Driver ondersteuning voor VLAN's is op Windows land iig al jaren eruit (net zoals LACP) en aan het OS over gelaten. Broadcom had iig een aantal brakke implementaties met hun tooltje en Intel's tool is ook al flink wat gedoe maar fair enough, vroegah werkte het wel zo

tyfoon_2 schreef op dinsdag 15 augustus 2017 @ 16:40:
FF een beetje zitten zoeken maar het lijkt erop dat veel consumer devices geen 802.1x ondersteunen:

Klopt. Het was dan ook een onzinnige suggestie.

Leuk als je een enterprisenetwerk beheert met een compleet homogene set devices die het allemaal ondersteunen, voor een thuissituatie voegt het 0,0 toe, tenzij je er hobbymatig mee wilt aanklooien..

Nogmaals:

Mijzelf schreef op zondag 13 augustus 2017 @ 20:13:
Waar wil je het tegen beveiligen?

Om dan toch maar een voorzet te geven: voor je thuisnetwerk is het grootste risico allerlei apparaten (camera's, printers, NAS'es) die zich volautomatisch (UPnP) aan het internet hangen.

Dat moet je afdichten, je software up-to-date houden en dan ben je er wel. Als je dan toch remote toegang wilt hebben, zet je een OpenVPN server op.

Hackers die jouw data willen krijgen die wel, als ze het maar belangrijk genoeg vinden. Dus als je staatsgeheimen (of de nieuwe Game of Thrones afleveringen...) hebt staan zal je waarschijnlijk een bedrijf hiervoor moeten inhuren, anders is dat gewoon een punt waar je niet al te veel aan veranderd.
RDP over internet niet doen, gewoon over de VPN, iig niet naar buiten open zetten (de RDP dan).
Scriptkiddies kan je makkelijk weren door gewoon alles up-to-date te houden en geen onnodige poorten open te hebben etc.
Misschien kan je een reverse proxy oid voor je BlueIris server zetten om er alsnog HTTPS op te zetten, dan een certificaat (LetsEncrypt?) erop zodat je weet dat het jouw server is en met VLAN's e.a. in je netwerk gescheiden houden van elkaar.
Daarna kom je al gauw op 802.1x...

tyfoon_2 schreef op dinsdag 15 augustus 2017 @ 21:25:
[...]

Waar ik nog niet een goede oplossing voor heb:

• [...]
• Dat de cams toch op een of andere manier informatie over mijn netwerk 'naar china' versturen

Firewall rule: geen uitgaande verbindingen vanaf hun IP. Of alleen naar bepaalde IP-adressen.

tyfoon_2 schreef op dinsdag 15 augustus 2017 @ 21:25:
[...]


Om nog maar even terug te komen op waartegen ik wil beveiligen;

• Hackers die mijn gegevens willen hebben van mijn server (windows 7, op deze bak moet ik ook met RDP kunnen)
• Mijn thuisautomatisering wordt gehacked (draait op een RPI)
• Ongeoorloofd toegang tot mijn camera's
• Ongeoorloofd toegang tot de rest van mijn netwerk

Wat ik al heb gedaan:

• VPN (L2TP) & radius server op mijn Unifi controller aangezet. Portforwarding voor RDP poort uitgezet
• Alle camera's ge-update, alle rommel uitgezet (p2p, UPNP, FTP etc.), moeilijke wachtwoorden voor de wifi cams
• Nergens UPNP of die onzin aanstaan

Waar ik nog niet een goede oplossing voor heb:
[list]
• iemand plugt een device op een van de buiten cams die met UTP verbonden zijn

De poort op een untagged VLAN uit laten komen. De blueiris computer lid maken van je normale vlan en dit speciale vlan. Daarnaast firewall inrichten op de blueiris server dat je alleen verkeer toestaan vanuit de computer naar dit interface, niet andersom. Als iemand die kabel erin prikt is het ergste wat kan proberen is de server die een url probeert te benaderen om de stream te openen.

• Dat de cams toch op een of andere manier informatie over mijn netwerk 'naar china' versturen

Het eerder genoemde vlan niet naar internet routeren.

• Webserver van BlueIris (camere DVR) die op de windows server draait (geen https mogelijk)
• Mijn home automation server (op een RPI).
[/list]

Eigenlijk ook alleen die interface via de vpn exposen maar als je dat echt niet wilt. Reverse proxy (nginx bv) opzetten samen met een certificaat (bv letsencrypt)

En dan natuurlijk de zaken waar ik nu niet aan denk...

Ik vind dat je al best ver komt Je zou nog kunnen denken aan IDS/IPS (omdat het kan )