Thuisnetwerk security audit

Wat wil je precies testen? Je netwerk is zo veilig als je het zelf instelt. Staan er poorten open in je router? Staat UPnP aan of uit? Heb je een DMZ ingesteld? Hoe meer je open zet naar buiten, hoe meer mogelijke risico's. Een router (al dan niet met firewall) waar geen poorten in open staan beschermd je al tegen de grootste risico's, doordat er geen apparaten direct aan het internet hangen...

Zet UPnP uit, stel alleen de poorten in die strict noodzakelijk zijn en verstop de rest achter een VPN die je zelf (al dan niet op je NAS) draait.

Als je de risico's wil beperken, schakel UPNP uit. Zorg dat je een VPN gaat draaien. Het liefst OpenVPN en sluit alle poorten. Behalve degeen je nodig hebt om VPN op te kunnen bouwen. Vervolgens kan je je NAS en eventuele andere apparaten bereiken met behulp van je VPN connectie.

Daarnaast zou je moeten controleren of er geen vulnerablities in de diensten zitten die van buitenaf bereikbaar zijn. Draai je bijvoorbeeld nog oude firmware? Welke diensten zijn van buitenaf beschikbaar? Hoe maak je deze diensten beschikbaar (via VPN of direct)? Hoe zit het met wachtwoorden en hun complexiteit?

Vanwaar je vraag? Bedenk dat je zelf het grootste potentiële security risico bent.

De poorten die open staan, de services die daarop draaien daarvoor gebruik je niet de normale poort maar een ander nummer toch? (VPN kan je ook gebruiken en poorten dicht gooien)

UPnP inderdaad uit, en de ddwrt draait die als AP of als router.
En wat voor nas gebruik je en wat voor services draaien daarop die eventueel bereikbaar zijn. (cloud etc)

[ Voor 7% gewijzigd door Samsonait op 14-09-2018 09:52 ]

Nog een kleine tip voor je Wireless, als al je apparaten in principe vast zijn en er niet vaak nieuwe apparaten in je netwerk komen zet een mac filter aan en zend je SSID niet uit.

Is weer een extra laagje beveiliging.
Die QNAP gewoon goed up to date houden, maar dat is vanzelf sprekend. Een VPN kan tegenwoordig al aardig stabiel met ipsec / l2tp en hoeft niet zon hasle te zijn om op te zetten.

Je kan nog voor de hobby tussen je emta en je ddwrt iets als pfsense of opnsense gaan draaien. Maar DDWRT doet ook al een boel.

-edit

Pfsense kan je ook je VPN opzetten, opn ook. Mijn voorkeur gaat uit naar PfSense. Maar las laatst ergens dat dat platform een beetje verlaten wordt omdat er wordt geswitched naar opnsense.

[ Voor 15% gewijzigd door Samsonait op 14-09-2018 10:27 ]

Samsonait schreef op vrijdag 14 september 2018 @ 10:25:
zend je SSID niet uit.

Is weer een extra laagje beveiliging.

Dat is geen beveiliging, en het heeft akelige bijeffecten. Als de AP geen SSID uitzendt, gaan de clients dat doen. Hoe moeten die anders weten of de AP in de buurt is?
Gevolg: met een sniffer heb je vrij snel het SSID te pakken, door de clients af te luisteren. Verder zal de batterij van de clients sneller leeglopen, omdat ze regelmatig checken of de AP er nog is. Dat doen ze ook als ze zich op een heel andere locatie bevinden.

[ Voor 198% gewijzigd door Mijzelf op 14-09-2018 11:54 ]

Mijzelf schreef op vrijdag 14 september 2018 @ 11:52:
.

Ah dat wist ik niet! Bedankt voor de tip

-edit

bug

[ Voor 24% gewijzigd door Samsonait op 14-09-2018 12:11 ]