Hoe beveilig ik mijn netwerk met vlans

nike schreef op woensdag 27 december 2017 @ 11:56:
Goed je raad het al, je moet dan toch weer alles aan elkaar knopen. dus mijn vraag is hoe jullie dat thuis geregeld hebben. ook allemaal vlans met strikte firewall regels ertussen?

Niet.

Als je gaat proberen dit met VLANS op te lossen dan krijg je een enorme bult werk aan alleen al het administreren van het zaakje, laat staan iedere keer je telefoon op een andere WIFI zetten zodat je lid wordt van het VLAN wat je dit keer wilt gebruiken.

De oplossing hier ligt niet in VLANS maar in end-point security. Als al je endpoints goed genoeg beveiligd zijn maakt het niet meer uit dat iemand op je netwerk in breekt. Stel dat iemand inderdaad je camera los koppelt en die aansluiting in zijn laptop steekt; wat kan hij dan? Als je dat af vangt op het endpoint dan is je probleem voor altijd opgelost in plaats van alleen voor die camera.

Je komt nu dus tot het besef dat je met de aanlag van de ene beveiliging een nieuw risico hebt geintroduceerd. Mooi he! Maar ik denk dat je gedachte wel goed is echter hoever je wilt gaan is aan jouw. Zou inderdaad wel de neiding hebben om die IP camera's buiten in een apart VLAN te zetten en alleen de recorder van binnenaf bereikbaar maken.

Heb zelf een apart vlan gemaakt voor de camera. Dit vlan kan niet het internet op (om te voorkomen dat mijn Chinese camera iets anders gaat doen dan ik verwacht). Er is wel inter-VLAN verkeer mogelijk, maar daarvoor zou je ook de juiste IP adressering moeten weten. Voor mij op deze manier voldoende veilig.

Ik vraag me altijd af wat mensen thuis in hun netwerk hebben staan dat ze zich serieus zorgen maken of iemand een ip camera van de muur trekt om een laptop aan hun netwerk te kunnen hangen.

In mijn thuisnetwerk heb ik mijn domotica, LAN en Guest WLAN via VLAN's gescheiden.
Centraal hierin is wel de firewall (Sophos UTM). Via de firewall regel je de toegang van/tot devices.
De firewall heeft ook gewoon routes tussen de verschillende VLAN's, maar zolang er geen firewall regel is kom je niet op een ander VLAN.

Mijn domotica VLAN kan bijvoorbeeld niet naar mijn LAN. Maar mijn Domoticz server draait in mijn LAN. Dus een regel aangemaakt dat HTTP verkeer vanaf het domotica VLAN naar mijn Domoticz server mag.
Via mijn LAN (= vertrouwde devices) mag ik naar het domotica netwerk, maar uitsluitend via HTTP.

Guest mag niets naar domotica of LAN, en alleen HTTP/HTTPS/DNS naar internet.

@ Hierboven: Hier is het puur spielerij. En ervaring opdoen.

Ik heb 4 VLAN's:

• LAN: laptop, netwerkprinter etc
• GUEST: gasten, internet only, elke client krijgt OpenDNS geforceerd (zelf 8.8.8.8 instellen werkt dus niet) om troep te blokkeren, snelheid knijp ik af zodat het niet mijn volledige bandbreedte kan opslokken
• IOT: Internet of Things meuk, heeft default geen internet. O.a. Philips Hue Hub, YouLess, ESP8266's
• VM: interne VLAN op m'n ESXi host waarin m'n VM's draaien

Managed switch (ZyXEL) en pfSense (als VM) firewall die het verkeer regelt. Zo kan bijv. m'n Home Assistant VM bij het IOT VLAN en kan ik met mijn laptop vanuit LAN naar VM VLAN, maar de laptop van m'n vriendin bijv. weer niet.
Door de scheiding voorkom ik ook alle broadcast shit van Chromecast e.d. Ik hoef dat niet op een ESP8266 of een VM te ontvangen bijv.

Als je het eenmaal hebt ingesteld werkt het wel fijn. Al ontkom je er niet aan dat je best veel firewall regels krijgt voor de uitzonderingen.

Voor wifi maak ik gebruik van Ubiquiti accespoints, dan knoop je ook zo een extra SSID aan een VLAN. Voor de IOT heb ik een hidden SSID bijv. Alles mooi gescheiden.

[ Voor 25% gewijzigd door ThinkPad op 27-12-2017 12:25 ]

FragDaddy schreef op woensdag 27 december 2017 @ 12:08:
Ik vraag me altijd af wat mensen thuis in hun netwerk hebben staan dat ze zich serieus zorgen maken of iemand een ip camera van de muur trekt om een laptop aan hun netwerk te kunnen hangen.

Zelf ook het één en ander gescheiden gewoon om ervan te leren en wat ervaring op te doen, plus dat het leuk is om met zulke zaken te spelen (vind ik dan )

Kijk anders ook eens naar: plan: Kijk hier terug naar de Security Meet-up De talk van Wesley Neelen laat vrij goed zien dat er wel degelijk via domotica apparatuur in een LAN te komen is...

darkrain schreef op woensdag 27 december 2017 @ 12:18:
[...]

Zelf ook het één en ander gescheiden gewoon om ervan te leren en wat ervaring op te doen, plus dat het leuk is om met zulke zaken te spelen (vind ik dan )

Kijk anders ook eens naar: plan: Kijk hier terug naar de Security Meet-up De talk van Wesley Neelen laat vrij goed zien dat er wel degelijk via domotica apparatuur in een LAN te komen is...

Dat we tweakers zijn en dat het leuk spelen is met een netwerk met managed switches begrijp ik.
Dat IoT spul theoretisch te hacken is waardoor je op het netwerk kunt komen begrijp ik ook.
Maar het lijkt me vreselijk onwaarschijnlijk dat Wesley dat nou toevallig precies bij mijn huis gaat proberen.

En daarom heb ik ook geen zin om een week aan het prutsen te zijn met VLANS, waarna ik 90% van mijn netwerk weer functioneel heb om vervolgens elke keer als ik een device verplaats of iets nieuws koop weer in mijn switches te moeten rommelen

Vreselijk gepruts is het altijd


Bij ons (als tweakers) is alles toch al 3x beter beveiligd dan bij de gemiddelde burger.

[ Voor 17% gewijzigd door FragDaddy op 27-12-2017 13:54 ]

Ik heb thuis hier 3 vlans,

Mijn prive netwerk, waar ook mijn samba VM in hangt (ivm broadcast) 10.0.1.1/24 range
Mijn server VLAN waar al mijn VM's in hangen en ook mijn NFS server, 10.0.14.1/24 en een aantal publieke IP's
Publieke wifi in 10.0.15.1 range

Daartussen heb ik een OpenBSD machine hangen die firewalled en routeerd, publieke wifi mag alleen naar buiten en mag naar alles wat publiek moet zijn in het server netwerk.
Server netwerk kan alleen naar buiten communiceren, en is van buiten redelijk dichtgetimmerd.
Privé netwerk heeft meer toegang tot het server netwerken en is ook gewoon gerouteerd naar het gast netwerk, vanuit privé naar gast kan dus wel middels stateful firewall, andersom niet.

Ik heb het allemaal handmatig ingeklopt in pf.conf omdat de boel toch redelijk statisch is.

Fysiek komen prive vlan en publiek vlan over dezelfde kabel naar mijn TPlink, daar wordt de boel gescheiden, mijn server hangt aan een andere interface aan de OpenBSD machine omdat ik niet te veel veel wil verliezen qua bandbreedte.

Met PFsense is het allemaal behoorlijk makkelijk in te stellen.

Mocht bandbreedte naar je storage je lief zijn én wil je die in een ander vlan/subnet willen stoppen en routeren over je pfsense machine dan zou ik je wel aanraden om te zorgen voor meerdere gbit interfaces, een intel 4 poort gbit interface is tweedehands al voor enkele tientjes te koop, geen slecht idee

Ik draai thuis 6 VLANs.
MANAGEMENT (Switches, Accesspoints, ESXi management)
LAN (Smartphones, computers, printers etc)
GUEST (Gasten WiFi, geen toegang tot RFC1918, enkel toegang tot internet, gelimiteerde bandbreedte)
CCTV (Bewakingscamera's, Windows Server 2016 VM waar Blue Iris op draait, geen toegang tot andere VLANs)
DMZ (VLAN voor VM's die direct open staan naar internet(Webserver, Plex server etc.), geen toegang tot andere VLANs)
SRVR (VLAN voor servers)

Heb het al maanden zo, en het werkt super!

Leuk

Ik heb ook net mijn thuisnetwerk opnieuw opgebouwd, met vlan's & een SSID per vlan, opgedeeld in
- HomeLAN (nas, tv, computers smartphones etc)
- IoT omdat ik A) wel een Nest thermostaat & Philips HUE wil, maar zo'n wolk één groot security risico is
- Kids; nu 'niets tenzij', straks 'alles behalve' etc, met aparte zone op firewall & url filter
- Guests; familie et cetera die ook niets te zoeken hebben bij mijn tv of nas, met een limiet erop qua snelheid (niets houdt mijn streams tegen)

Toevallig een leuke firewall aan kunnen schaffen die het inter-vlan routing op zich neemt, als dat al wenselijk is. Daarnaast doet ie VPN naar huis vanaf onveilig wifi onderweg etc, mijn RaspberryPi draait Pi-Hole en zoekt recursive bij Quad9, zo hou ik veel reclame en troep tegen.

Firewall onderhoudt ook de IPv6 tunnel met HE.net, omdat Ziggo nu nog steeds geen IPv6 biedt

ik kijk even mee ....

hopelijk klink ik niet dom maar mijn switch heeft iets wat "mac adress based vlan" noemt

ik wou daarmee gaan spelen, maar eerste wat in me opkomt is dat op basis van je mac adres word je in een vlan geforceerd ... dus dan kan je gewoon een rijtje "bekende apparaten" aanleggen, die in een ander subnet terecht komen
in dat geval zou het niet uitmaken welke manier je verbind met je internet, de tabel bepaald waar je terecht komt in het net

Wat ik nooit zo goed begrijp...waarom hebben mensen een guest netwerk voor gasten? Krijgen jullie dagelijks zoveel vrienden/familie/kennissen op bezoek dat zij het hele Wi-Fi netwerk leegzuigen?

Bij mijn het voornamelijk mensen die facebooken / whatsappen etc.. om daar nou helemaal een apart netwerk voor in te richten heb ik nooit begrepen.

No offence ofzo maar ik ben daar benieuwd naar.

[ Voor 9% gewijzigd door Possible op 27-12-2017 21:52 ]

Verjaardag bijv., als men grappige filmpjes enzo gaat zitten opzoeken of iets wil laten zien (huis wat ze gekocht hebben o.i.d.). Ik bied het puur als extra service om hun databundel te sparen. De key verander ik ook nooit, dus als ze dan weer eens langskomen dan verbind hij vanzelf weer.

En ook voor devices die ik niet vertrouw/niet zelf in beheer heb. M'n vriendin heeft een iPad van haar werkgever met een MDM-oplossing erop. Ik heb daardoor geen idee wat de werkgever allemaal kan ---> Guest network is dan voldoende om mail e.d. te kunnen lezen.

Of als ik eens een laptopje van iemand heb die ik moet opschonen van rotzooi en die internet nodig heeft. No way dat ik zoiets aan m'n LAN koppel.

[ Voor 44% gewijzigd door ThinkPad op 27-12-2017 22:14 ]

Possible schreef op woensdag 27 december 2017 @ 21:51:
Wat ik nooit zo goed begrijp...waarom hebben mensen een guest netwerk voor gasten? Krijgen jullie dagelijks zoveel vrienden/familie/kennissen op bezoek dat zij het hele Wi-Fi netwerk leegzuigen?

Bij mijn het voornamelijk mensen die facebooken / whatsappen etc.. om daar nou helemaal een apart netwerk voor in te richten heb ik nooit begrepen.

No offence ofzo maar ik ben daar benieuwd naar.

Allereerst het meest belangrijke antwoord in de it: omdat het kan en het leuk is om ermee te prutsen

Daarnaast zit het tegenwoordig in veel consumentenproducten en is het met 1klik aan te zetten.

Ik heb ook veel services draaien die geen authenticatie nodig hebben (airplay, chromecast, sonos). Dit icm IT vrienden zorgt ervoor dat als ze op mijn eigen wifi netwerk zaten opeens ander muziek klonk.

nike schreef op woensdag 27 december 2017 @ 12:15:
Een IP camera van de muur trekken is ook wat ver gezocht natuurlijk, maar goed in theorie kan het makkelijk.
Het scheiden van netwerken is natuurlijk ook voor randsomeware en dat soort zaken.
In theorie kan je sonos speaker gehackt worden en als botnet functioneren.

Ik blijf dan alleen nog met het probleem zitten dat je toch alles wil koppelen op een gegeven moment, want je moet er op gemak natuurlijk niet op achteruit gaan, en de vrouw moet er geen last van hebben.

Inderdaad wat ver gezocht, maar wel op te lossen met een MAC address ACL / MAC Filtering.

ijske schreef op woensdag 27 december 2017 @ 21:45:
ik kijk even mee ....

hopelijk klink ik niet dom maar mijn switch heeft iets wat "mac adress based vlan" noemt

ik wou daarmee gaan spelen, maar eerste wat in me opkomt is dat op basis van je mac adres word je in een vlan geforceerd ... dus dan kan je gewoon een rijtje "bekende apparaten" aanleggen, die in een ander subnet terecht komen
in dat geval zou het niet uitmaken welke manier je verbind met je internet, de tabel bepaald waar je terecht komt in het net

Ligt er een beetje aan, als die switch meerdere macs achter een poort ziet kan het zijn dat dat ding in de war raakt (1 vlan per poort, of 1 vlan per mac)
Daarnaast is authenticatie alleen op basis van mac adressen altijd een slecht idee, daar ze makkelijk te spoofen zijn.

Possible schreef op woensdag 27 december 2017 @ 21:51:
Wat ik nooit zo goed begrijp...waarom hebben mensen een guest netwerk voor gasten? Krijgen jullie dagelijks zoveel vrienden/familie/kennissen op bezoek dat zij het hele Wi-Fi netwerk leegzuigen?

Bij mijn het voornamelijk mensen die facebooken / whatsappen etc.. om daar nou helemaal een apart netwerk voor in te richten heb ik nooit begrepen.

No offence ofzo maar ik ben daar benieuwd naar.

Ik heb 500/500mbit dat netwerk is voor vrienden, couchsurfers en ieder ander die toevallig langs fietst en internet nodig heeft: het netwerk is namelijk vol open.
Doe ik omdat ik het zelf ook fijn vind om op reis open netwerken tegen te komen, en dan kan ik het zo natuurlijk ook teruggeven, afgelopen jaar naar Berlijn gelift en toevallig vanuit de voordeur een lift gekregen van de buurman die dus toevallig ook mijn open net gebruikte voor internet, dikke prima.
Wel heb ik natuurlijk een aantal dingen afgeschermd, dus bv port 25 uitgaand is geblokkeerd.

Dit is wel toepasselijk

https://www.theverge.com/...acked-play-ghostly-sounds

terror538 schreef op woensdag 27 december 2017 @ 23:08:
[...]

Ligt er een beetje aan, als die switch meerdere macs achter een poort ziet kan het zijn dat dat ding in de war raakt (1 vlan per poort, of 1 vlan per mac)
Daarnaast is authenticatie alleen op basis van mac adressen altijd een slecht idee, daar ze makkelijk te spoofen zijn.


[...]

Ik heb 500/500mbit dat netwerk is voor vrienden, couchsurfers en ieder ander die toevallig langs fietst en internet nodig heeft: het netwerk is namelijk vol open.
Doe ik omdat ik het zelf ook fijn vind om op reis open netwerken tegen te komen, en dan kan ik het zo natuurlijk ook teruggeven, afgelopen jaar naar Berlijn gelift en toevallig vanuit de voordeur een lift gekregen van de buurman die dus toevallig ook mijn open net gebruikte voor internet, dikke prima.
Wel heb ik natuurlijk een aantal dingen afgeschermd, dus bv port 25 uitgaand is geblokkeerd.

Besef ook dat als er gasten over jou verbinding The Hitman's Bodyguard downloaden jij straks een schikkingsvoorstel krijgt (en straks ook andere films voor andere bedragen). Zou niet anders zijn dan met gesloten gast netwerk maar dan heb je er in ieder geval wat meer zicht op wie er mee verbindt.

@nike Gewoon intern alles in hetzelfde VLAN laten, eventueel met .1X authenticatie en alleen de poorten die van buitenaf te bereiken zijn (camera's) in apart VLAN plaatsen.

Shinji schreef op donderdag 28 december 2017 @ 10:47:
[...]


Besef ook dat als er gasten over jou verbinding The Hitman's Bodyguard downloaden jij straks een schikkingsvoorstel krijgt (en straks ook andere films voor andere bedragen). Zou niet anders zijn dan met gesloten gast netwerk maar dan heb je er in ieder geval wat meer zicht op wie er mee verbindt.

Dat netwerk gaat via een ander extern IP naar buiten, en binnen de Nederlandse wetgeving ben ik niet hoofdelijk aansprakelijk voor wat er via mijn verbinding gebeurt, ze zullen dus moeten aantonen dat ik die film dan gedownload heb. Ik zou zo'n schikkingsvoorstel dan dus ook aanvechten, desnoods tot de hoge raad

Voor zover ik weet is het enige wat mij dan opgelegd kan worden is dat ik het netwerk beveilig met een wachtwoord, zien we tegen die tijd wel.

[ Voor 7% gewijzigd door terror538 op 28-12-2017 11:36 ]

Shinji schreef op donderdag 28 december 2017 @ 10:47:
[...]


Besef ook dat als er gasten over jou verbinding The Hitman's Bodyguard downloaden jij straks een schikkingsvoorstel krijgt (en straks ook andere films voor andere bedragen). Zou niet anders zijn dan met gesloten gast netwerk maar dan heb je er in ieder geval wat meer zicht op wie er mee verbindt.

Hier heb ik zelf een hele simpele oplossing voor bedacht, gewoon alle poorten dicht gooien, behalve de standaard poorten zoals HTTP/HTTPS, POP/IMAP, SMTP en DNS. Werkt prima tot nu toe, de meeste services die andere poorten gebruiken vallen toch wel terug op HTTP/HTTPS wanneer hun eigen poorten niet beschikbaar zijn.

ThinkPadd schreef op woensdag 27 december 2017 @ 22:12:
Verjaardag bijv., als men grappige filmpjes enzo gaat zitten opzoeken of iets wil laten zien (huis wat ze gekocht hebben o.i.d.). Ik bied het puur als extra service om hun databundel te sparen. De key verander ik ook nooit, dus als ze dan weer eens langskomen dan verbind hij vanzelf weer.

En ook voor devices die ik niet vertrouw/niet zelf in beheer heb. M'n vriendin heeft een iPad van haar werkgever met een MDM-oplossing erop. Ik heb daardoor geen idee wat de werkgever allemaal kan ---> Guest network is dan voldoende om mail e.d. te kunnen lezen.

Of als ik eens een laptopje van iemand heb die ik moet opschonen van rotzooi en die internet nodig heeft. No way dat ik zoiets aan m'n LAN koppel.

Yup, dat soort dingen. De gasten slepen hun eigen apparaten mee, geen idee wat erop draait, dus die wil ik niet in mijn vlan met al mijn eigen apparaten/data.

Vertrouwen is goed, controle . . .

Waarom perse vlans aangaan maken als je al pfsense draait kan je ook extra dhcp scoop's aanmaken en dan de macadressen van die apparaten er in registreren.
alles wat hier binnen komt wandelen en aan de wifi/lan verbindt is een onbekend macadres en wordt automatisch het guestwerk opgeschopt alles waar van het macadres van bekend is komt netjes op zijn eigen netwerk.

De titel spreekt al het doel van VLANs tegen. Ondanks dat het een redelijk veilige manier is om dingen te scheiden zijn ze er om management te vereenvoudigen en dus niet voor beveiliging.

rc5proxy schreef op donderdag 28 december 2017 @ 22:31:
Waarom perse vlans aangaan maken als je al pfsense draait kan je ook extra dhcp scoop's aanmaken en dan de macadressen van die apparaten er in registreren.
alles wat hier binnen komt wandelen en aan de wifi/lan verbindt is een onbekend macadres en wordt automatisch het guestwerk opgeschopt alles waar van het macadres van bekend is komt netjes op zijn eigen netwerk.

Waarom géén vlans gebruiken als het in setup initieel wellicht wat meer moeite kost maar uiteindelijk vele malen betere bescherming geeft? Vlans zijn de enige manier om af te dwingen dat verkeer gegarandeerd langs de firewall loopt.
Naast het feit dat mac adressen makkelijk te spoofen zijn én dat je gemakkelijk zelf ip-adressen in kan stellen om deze pseudo-beveiliging te omzeilen is het ook nog een gigantische hel om te beheren. Voor ieder nieuw apparaat wat je wilt verbinden zal je de mac adressen moeten invoeren. Daarnaast ook nog is privacy functies in IOS en Android die mac adressen randomizen....

vlans zijn op de lange termijn makkelijker te beheren, zeker als je ervoor kiest om 1 cam netwerk te hebben (vaste kabels, 1 gast netwerk (puur wifi) en de rest van de porten op je switch gewoon voor je thuis netwerk.
De boel is dan zo goed als statisch.