Netwerkpoort beveiligen

Je kan beginnen met een fysieke beveiliging. AP hoog genoeg dat niemand er gelijk bij kan. Kabeltje buiten kort houden. AP in een afgesloten buiten-doos monteren. Zoiets.

Maar je kan natuurlijk ook heel goed een guest-VLAN maken en het poortje daarop zetten, en/of het AP zich laten aanmelden op de switch per 802.1x (enterprise feature). Voor dat laaste heb je wel iets andere hardware nodig.

MAC-whitelisting voor je LAN instellen, mits je modem/router dat snapt. Daarna een guest WiFi aanmaken zoals @Verwijderd aangeeft.

Eerste vraag als je niet thuis bent welke apparatuur staat er dan aan? Staat dit allemaal open of heeft het goede eigen beveiliging? Gebruik software die de uitval van apparatuur detecteert en meld.
Als je dit nog niet genoeg vindt blijf je houden dat als je niet detecteert en meld, met genoeg tijd altijd het netwerk opkomt of je moet een switch hebben die ook na een onderbreking de poort dicht zet of dat handig is weet ik niet. Is afhankelijk van de WAF.
Als je echt wil Tweaken en je hebt al een brandmeld alarm, kan je natuurlijk je AP beperken op 10 MB en dan twee aders gebruiken voor een inbraakcontact op je alarm. Krijg je een melding als het kabeltje eruit gehaald wordt.

[ Voor 19% gewijzigd door Frogmen op 28-06-2018 07:38 ]

MAX3400 schreef op donderdag 28 juni 2018 @ 06:30:
MAC-whitelisting voor je LAN instellen, mits je modem/router dat snapt. Daarna een guest WiFi aanmaken zoals @Verwijderd aangeeft.

Als iemand kwaad wil, kan ie zo het macadres van de router achterhalen en dat spoofen. Dus hier zou ik niet op vertrouwen.

Het beste is voor alle wifi, een apart vlan maken en alleen het internet op laten gaan. Het nadeel is dat je dan niet bij interne zaken als bijvoorbeeld een nas kan komen. Daarvoor moet je dan een afweging gaan maken, waar ze wel bij kunnen intern via gaten in firewall/routing of gebruik van vpn. Dat laatste heeft mijn voorkeur, als je die intern zit, is dat maar 1 poort openen....

Daarnaast de verbinding monitoren en fysiek beveiligen, zoals hierboven gezegd.

[ Voor 6% gewijzigd door jeanj op 28-06-2018 11:51 ]

Heb je niet misschien een schuur ofzo waar de AP in gemonteerd kan worden? Gemiddelde houten schuur lijkt me een prima plek er voor.

PBAC, oftewel 802.1X voor vaste apparaten, zoals @Verwijderd al noemde lijkt me hier de beste technische oplossing. Mooie is dat je dan ook 802.1X voor WiFi kunt gebruiken. Vereiste is een AP die 802.1X over Ethernet snapt (zullen de meeste outdoor AP's wel doen), een switch die het snapt (doen de meeste managed switches) en een Radius server om die zooi aan te sturen (kan in een geval als dit een Raspberry Pi zijn).

dion_b schreef op donderdag 28 juni 2018 @ 07:54:
PBAC, oftewel 802.1X voor vaste apparaten, zoals @Verwijderd al noemde lijkt me hier de beste technische oplossing.

Dan moeten je clients uiteraard ook 802.1X ondersteunen. Voor windows-laptops geldt volgens mij dat alleen de professional-versie het ondersteund. De vraag is of Android (in alle 'smaken' die verschillende fabrikanten er weer van maken) en Apple (zowel laptops als telefoons en tablets) het ondersteunen...

Ik zou denk ik een mikrotik hex poe halen om die wap AC poe te voeden. heb je gelijk je radius server (heeft de wap ac zelf ook trouwens) en kan je alles dichttimmeren.

Het is ff wat configureren maar aangezien je voor die wap ac hebt gekozen moet dat je niet tegen houden. Geeft je ook flexibiliteit om het op andere manieren ook dicht te timmeren.

jurri@n schreef op donderdag 28 juni 2018 @ 08:01:
[...]


Dan moeten je clients uiteraard ook 802.1X ondersteunen. Voor windows-laptops geldt volgens mij dat alleen de professional-versie het ondersteund. De vraag is of Android (in alle 'smaken' die verschillende fabrikanten er weer van maken) en Apple (zowel laptops als telefoons en tablets) het ondersteunen...

Dat is geen enkel probleem, Android en Apple ondersteunen gewoon .1X en ik kan me bijna niet voorstellen dat Windows dat niet ondersteund (in elke versie). Bij onderwijsinstellingen wordt namelijk ook veelvuldig .1X gebruikt en daar zullen vele typen clients tussen zitten waaronder de Windows Home versies. Wellicht dat dit in Windows 7 nog wel een beperking was hoor maar inmiddels denk ik niet meer.

Groter probleem met .1X is de ChromeCast, Sonos, game consoles etc. Die ondersteunen het vaak niet. Voor overzicht heb ik hier zelf een hidden SSID met WPA2 key ingesteld maar dat is puur voor netheid. Hidden SSID doet niks voor veiligheid voor de kwaadwillende.

Daarnaast gaat het om dat hij de netwerkpoort wil beveiligen, oftewel het AP moet aan de LAN kant .1X ondersteunen. Alle andere apparaten die een eventueel kwaadwillende aan de LAN poort wil hangen hoeft dat niet en dat is juist het doel ervan en de Wifi zelf hoeft verder geen gebruik te maken van .1X (kan wel, hoeft niet).

hij hoeft toch ook geen radius voor zijn hele netwerk te hebben? Kan toch gewoon een routertje ertussen batsen zodat buiten de radius gebruikt wordt?

Kan die de wifi gewoon hetzelfde houden is de lan poort secure eventueel nog in combinatie met mac locks e.d.

Hoe vaak denk je het accespoint buiten te gaan gebruiken? De meest veilige (en lowtech) oplossing is om de kabel naar het ap uit de router te trekken zodra je 'm niet gebruikt.

Knip een stukje van het lipje van de RJ45-stekker af. Dan is het ineens heel lastig om de stekker eruit te halen.

En als het goed is zit er een aangepast torx-boutje in de doos om fysieke toegang moeilijker te maken:

quote: https://i.mt.lv/routerboard/files/wAP_ac-170405141014.pdf

The bottom door can also be secured with a special screw, which can only be opened by the owner.

Als je doet wat bovenstaand is aangeraden (guest-VLAN, VPN voor intern gebruik, AP fysiek onbereikbaar maken etc) zou je ook nog een monitoring-distro of tool kunnen gebruiken voor je AP. Ben zelf groot fan van Check_MK waarmee ik m'n netwerk-devices poll. Als dit op een of andere manier niet meer mogelijk is (kabel is losgehaald/switch kapot/AP kapot) krijg ik een waarschuwing op m'n telefoon via Telegram. Dit werkt ook zo voor m'n cams. Als iemand dus met m'n cams of AP's aan het rotzooien is, weet ik dit vrijwel meteen.

Dit zou ik alleen doen als je er hobby aan hebt, anders gaat dit waarschijnlijk een beetje ver.
Meer info op 'https://metzlog.srcbox.net/2016/01/monitoring-notifications-via-telegram/'.

Koop een tube siliconenkit en kit de connector er mee vast in het AP, is ie meteen tegen vocht beschermd.

jurri@n schreef op donderdag 28 juni 2018 @ 08:01:
[...]


Dan moeten je clients uiteraard ook 802.1X ondersteunen. Voor windows-laptops geldt volgens mij dat alleen de professional-versie het ondersteund. De vraag is of Android (in alle 'smaken' die verschillende fabrikanten er weer van maken) en Apple (zowel laptops als telefoons en tablets) het ondersteunen...

De clients hoeven het alleen te ondersteunen als je het ook voor WiFi gebruikt. Als je het enkel gebruikt voor de Ethernetkabel richting AP heeft het niets met WiFi of de clients te maken.

Maar zoals gezegd, alles vanaf WiFi-g ondersteunt 802.1X aka WPA2-Enterprise.