Noob: Hoe controleer ik mijn netwerk op security issues?

Derde hit op Google: https://www.qualys.com/forms/freescan/

Sowieso kan je overwegen (!!!) om je Ziggo modem in bridge te zetten en in ieder geval poorten en protocollen in eigen hand te nemen met pfSense en/of een EdgeRouter.

Of een MikroTik
Daar kan je precies loggen welk IP waar verbinding mee maakt, desnoods over een paar dagen, daarna kan je VLAN's opzetten en via firewall rules bepaalde dingen toestaan en de rest blocken.

Bierkameel schreef op woensdag 31 januari 2018 @ 08:49:
Of een MikroTik
Daar kan je precies loggen welk IP waar verbinding mee maakt, desnoods over een paar dagen, daarna kan je VLAN's opzetten en via firewall rules bepaalde dingen toestaan en de rest blocken.

Klinkt echt iets voor een Noob zoals ts zichzelf noemt.

Denk de belangrijkste tips:
- Verander standaard wachtwoorden
- Doe je updates

Focus op de beveiliging van je individuele apparaten. Ga er vanuit dat ze al je netwerk binnen gekomen zijn en begin vanaf dat punt de schade te beperken.
Beveilig je Synology en zorg dat gebruikersaccounts niet meer rechten hebben dan eigenlijk nodig. Zo hoeft een mediaspeler bijvoorbeeld enkel read-only rechten tot de media mappen.
Koop telefoons die gegarandeerd elke maand beveiligingsupdates krijgen, zijn een (beperkt) aantal merken die deze garantie af willen geven.
En andere apparaten hoef je niet perse uitgebreid te beveiligen. Neem nu je verlichting, is het heel kritisch dit te beveiligen? Of je stopcontacten? Je komt er snel genoeg achter en er kan weinig schade aangericht worden.

GJA schreef op woensdag 31 januari 2018 @ 09:01:
[...]

Waarschijnlijk maak ik het er alleen maar minder veilig mee.

Nee hoor. Tenminste, als je wil leren (en tijd hebt en even geen internet hoeft): je begint met alles te blokkeren (want veilig) en dan ga je rustig in logging kijken van zowel een router/firewall alsmede een Windows-PC waarom je niet meer kan naar "internet", "Steam", "malwarebytes", "etc".

Oftewel; en het is niet het meest efficient qua n00bness: begin met een blackhole en ga langzaam maar zeker open zetten wat je wel denkt/wil nodig te hebben.

/edit: veel routers/firewalls die de controle in handen geven van de beheerder, werken vaak al met whitelisted en blacklisted zaken. In een aantal gevallen staan standaard (veilige) dingen al open dus je hoeft dan alleen nog maar te kijken waarom je receiver niet kan updaten door middel van de logging op de firewall. En dan kan je alsnog besluiten om die blacklist een rule te geven voor whitelist en dan specifiek voor je receiver naar "site X" en "protocol Y".

[ Voor 26% gewijzigd door MAX3400 op 31-01-2018 09:06 ]

GJA schreef op woensdag 31 januari 2018 @ 09:45:
[...]


Da's nu eigenlijk mijn grootste zorg; is die schade wel zo beperkt?
Doet een hacker mijn licht aan en uit... nou boeiuh... Maar als dat device nu zo brak is, is het dan een backdoor naar de rest van het netwerk?

Btw: Qualys zegt dat er geen threats zijn gevonden.

Dat bedoel ik, zorg dat je andere apparaten up to date zijn en alles achter login gegevens zit. Zo kent Synology de two factor authentication voor de webportal, dat is handig aan te zetten. En enkel mappen met guest access open zetten als de inhoud volledig ongevaarlijk is.

Tsurany schreef op woensdag 31 januari 2018 @ 09:47:
[...]

Dat bedoel ik, zorg dat je andere apparaten up to date zijn en alles achter login gegevens zit. Zo kent Synology de two factor authentication voor de webportal, dat is handig aan te zetten. En enkel mappen met guest access open zetten als de inhoud volledig ongevaarlijk is.

Dit.
Houd je spullen up-to-date. Dat is het enige wat je als noobish eindgebruiker kan doen.
Als er ergens een gat in software zit die ge-exploit kan worden, fix je dat in de meeste gevallen niet zelf, maar draai je gewoon de eerstvolgende patch/update voor je apparaat.
Het is niet alsof je even lekker gaat lopen knutselen met SSH op je NAS, om even een softwarepakket te herschrijven en te recompilen. (en dan de fallout van de dependencies oplossen, etc)

Log dus regelmatig in op je NAS en andere netwerkapparatuur om te zien of ze een update in de wacht hebben staan. Of schrijf jezelf in op de mails van de diverse fabrikanten omtrend updates. (als ze die hebben, mijn NAS mailt me als hij wil updaten)

Desktops zelfde: niet wachten met updaten als het ook maar enigzinds mogelijk is om het direct te doen.

Als je telefoon/tablet geen updates meer krijgt, wordt het tijd voor een nieuwe (eventueel van een fabrikant die langere tijd updates garandeert).
En vergis je niet tussen de appstore updates en de systeem updates op Android. Dat doen veel mensen namelijk. "ja hij krijgt toch nog updates?" terwijl de fabrikant al lang de updates heeft opgeheven en je dus alleen nog maar updates van apps ziet, en niet het besturingssysteem.

Verder kan je jezelf alleen wapenen met goed opletten wat er open staat en waar mogelijk goede wachtwoorden neerzetten.
Gebruik b.v. Keepass en de daar in geintegreerde wachtwoord generator. En beveilig dat weer met een certificaat op een USB stick (voor het dagelijks gebruik) en een master password. Kopietje van je certificaat parkeer je op een USB stick of iets dergelijks (als backup) en legt dat in een afgesloten kastje/kluisje.

TS ga voor jezelf eerst eens na wat de risico's zijn en kijk daarbij dus naar de kans dat het gebeurt en de gevolgen daarvan, die samen zijn het risico. Algemeen gesteld als er fysieke verbinding is is het te hacken, alleen je risico is de kans dat het gebeurt en gevolgen. De kans en de gevolgen kan je beïnvloeden en dan komt hoeveel geld wil je investeren.
Als je stelt ik wil niet dat ze op mijn netwerk komen, dan ben je heel erg veel geld kwijt.