Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

LAN beveiliging IoT

Pagina: 1
Acties:

  • Kasper1985
  • Registratie: oktober 2014
  • Laatst online: 16:09
Ik ben benieuwd wat Tweakers doen om het LAN in te richten voor IoT devices. Ongetwijfeld zullen er een hoop Tweakers zijn die (net als ik) gebruik maken van slimme apparaten.

Recentelijk las ik het zoveelste artikel (dit keer in het verenigingsblad van Eigen Huis) waarin het gevaar werd aangegeven van IoT devices. De beveiliging is zwak, ze werken direct uit de verpakking zonder of met een zwak wachtwoord en de consument heeft geen kennis of gewoon geen zin om dit allemaal veilig te moeten instellen. Gemak wordt boven security gesteld.

Persoonlijk heeft me dit wel aan het denken gezet. Ik heb een NEST thermostaat, Philips Hue, NEST detect en een slim slot op de voordeur.

Dit wordt allemaal aangestuurd met een Homey. Al googelend kwam ik de methode tegen genaamd 3 dumb routers:

https://www.pcper.com/rev...r-Solution-IOT-Insecurity - en aldaar wordt in de comments ook al aangegeven dat dit alles ook te behalen is met 1 slimme router dmv VLANs etc.

Dit zette me wel aan het denken over de veiligheid van mijn LAN. Volgens mij had ik het redelijk op orde maar ik ga toch wat dingen aanpassen om het nog net wat meer te beveiligen. Kan tenslotte nooit kwaad.

Daarom ben ik benieuwd naar de best practice maatregelen voor het beschermen van de overige apparaten tegen het Grote IoT gevaar binnen je LAN. De bedoeling van dit topic zou zijn om idee-en uit te wisselen, want het moet naast veilig natuurlijk ook nog steeds functioneel zijn zeker met gezinsleden in huis die wellicht wat minder tech savvy zijn.

Kasper

  • FoxLenny
  • Registratie: februari 2008
  • Laatst online: 21:28
Zoals ook al (deels) vermeld: altijd ander wachtwoord (en indien mogelijk login, dus users als admin/root/user uitschakelen), firmware up-to-date houden en gescheiden netwerken (VLAN).
Ook kan je voor sommige apparaten (als ze het ondersteunen) alleen toegang vanaf 1 vertrouwd apparaat toestaan.

[Voor 23% gewijzigd door FoxLenny op 10-10-2018 14:23]


  • ChaserBoZ_
  • Registratie: september 2005
  • Laatst online: 15-06 06:54
Ik heb voor die dingen een apart vlan in mijn huis, mijn accesspoint ondersteunt meerdere SSID's, met een koppeling naar specifieke vlans.

Op die manier heeft alle IoT 'meuk' in mijn huis verbinding met internet, maar nooit met vlan waarin mijn telefoon, laptop, NAS etcetera zit. Het is een kwestie van tijd voor een IoT cloud wordt gehackt, als dat gebeurt zijn al je apparaten direct te benaderen, tenzij je de boel hard scheidt.

'Maar het heeft altijd zo gewerkt . . . . . . '


  • eric.1
  • Registratie: juli 2014
  • Laatst online: 22:33
Hoe ik het doe: in een apart VLAN, geen enkele communicatie mogelijk anders dan (en dus uitsluitend) met het centrale aanstuur-punt. Voor sommige devices nog een (specifieke) uitzondering gemaakt voor periodieke updates vanuit de leverancier, but that's it. Waarom zouden ze vrij het internet op moeten kunnen?

  • Frogmen
  • Registratie: januari 2004
  • Niet online
ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:19:
Ik heb voor die dingen een apart vlan in mijn huis, mijn accesspoint ondersteunt meerdere SSID's, met een koppeling naar specifieke vlans.

Op die manier heeft alle IoT 'meuk' in mijn huis verbinding met internet, maar nooit met vlan waarin mijn telefoon, laptop, NAS etcetera zit. Het is een kwestie van tijd voor een IoT cloud wordt gehackt, als dat gebeurt zijn al je apparaten direct te benaderen, tenzij je de boel hard scheidt.
Ik begrijp dat je bang bent dat iemand via je IoT device in je PC etc.. komt maar als je zorgt dat die beveiligt zijn maakt het niet heel erg veel uit. Het blijft dat je kwetsbaar bent op alles wat niet goed beveiligt is. Verder begrijp ik dat je een IoT ding kan manipuleren maar zijn deze niet al te dom om verder misbruik mogelijk te maken.?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • muppet99
  • Registratie: juli 2002
  • Laatst online: 23:29
IOT devices in een apart vlan. Default kan dit vlan alleen maar praten met interne ipadressen. Om de zoveel tijd worden de devices even verplaatst naar een DMZ om hun updates te doen. Daarna weer terug in IOT zone. Uitzonderingen daargelaten, zoals nest, welke helaas nog afhankelijk is van een cloud. Ik zou graag daarvoor een dedicated server willen kunnen draaien.

Carpe Diem


  • ChaserBoZ_
  • Registratie: september 2005
  • Laatst online: 15-06 06:54
Frogmen schreef op woensdag 10 oktober 2018 @ 14:28:
[...]

Ik begrijp dat je bang bent dat iemand via je IoT device in je PC etc.. komt maar als je zorgt dat die beveiligt zijn maakt het niet heel erg veel uit. Het blijft dat je kwetsbaar bent op alles wat niet goed beveiligt is. Verder begrijp ik dat je een IoT ding kan manipuleren maar zijn deze niet al te dom om verder misbruik mogelijk te maken.?
Nee, dat denken veel mensen. De waarheid is dat veel IoT spullen gebaseerd zijn op kleine operating systems, maar daar wordt regelmatig een stokoude linux kernel voor gebruikt (want gratis). De kans dat een fabrikant zo'n ding nog gaat updaten is gering, de kans op fouten kan groot zijn.

Je hebt niet veel nodig om een deurbel of IP camera onderdeel te maken van een botnet . . .
Zie bijvoorbeeld https://dutchitchannel.nl...joenen-iot-apparaten.html

Daarnaast is niet al het spul van perfecte kwaliteit, ik gebruik nu als test een setje klik aan/uit schakelaars met IoT controller van de Action bijvoorbeeld, maakt gebruik van een of andere vage cloud :+

Dat soort dingen vind ik allemaal best, maar dan wel met maximale scheiding.
muppet99 schreef op woensdag 10 oktober 2018 @ 14:33:
IOT devices in een apart vlan. Default kan dit vlan alleen maar praten met interne ipadressen. Om de zoveel tijd worden de devices even verplaatst naar een DMZ om hun updates te doen. Daarna weer terug in IOT zone. Uitzonderingen daargelaten, zoals nest, welke helaas nog afhankelijk is van een cloud. Ik zou graag daarvoor een dedicated server willen kunnen draaien.
Ook over nagedacht, maar voor het gemak van apps, moeten die apparaten met de cloud kunnen praten. Lampen aan/uit kunnen zetten is praktisch ;)

Wel is het zo dat een aantal van die cloud's 'voorkomen' kunnen worden door rechtstreekse aansturing door bijvoorbeeld https://www.home-assistant.io/

Je kunt dan home assistant over een VPN naar je huis bedienen, en die maakt rechtstreeks verbinding met de controller of zelfs de lampen et cetera. Dat wordt een volgende stap, maar zo af en toe moeten die lampen ook nieuwe firmware op kunnen halen . . .

[Voor 29% gewijzigd door ChaserBoZ_ op 10-10-2018 14:50]

'Maar het heeft altijd zo gewerkt . . . . . . '


  • Frogmen
  • Registratie: januari 2004
  • Niet online
@ChaserBoZ_ Helder antwoord, maar in hoeverre ben je kwetsbaar als je alle poorten en UPnP dicht houdt?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • ChaserBoZ_
  • Registratie: september 2005
  • Laatst online: 15-06 06:54
Frogmen schreef op woensdag 10 oktober 2018 @ 14:52:
@ChaserBoZ_ Helder antwoord, maar in hoeverre ben je kwetsbaar als je alle poorten en UPnP dicht houdt?
Ik zie dat je een homey gebruikt, als dat betekent dat je IoT apparaten nooit verbinding maken met een cloud, dan is het risico inderdaad laag :)

Punt is dat de meeste consumenten zo'n Hue setje kopen, en 'o het werkt zo fijn met de cloud' denken ;)

'Maar het heeft altijd zo gewerkt . . . . . . '


  • u_nix_we_all
  • Registratie: augustus 2002
  • Niet online
Ik gebruik geen apart VLAN, maar op enkele apparaten heb ik gewoon geen default gateway ingesteld. :p (Ip-camera, milight bridge)
Verder geen UPnP aan, en alleen een vpn poortje open voor connecties van buitenaf.

  • dion_b
  • Registratie: september 2000
  • Laatst online: 01:43

dion_b

Moderator Harde Waren

say Baah

"IoT" is een breed begrip, en IoT-apparatuur *hoeft* niet per definitie rechtstreeks met "the cloud" of anderszins bronnen op het internet te communiceren. Nog los van evt scheiding van VLANs binnenhuis kun je ook bij aanschaf van IoT kijken naar apparaten die zuiver lokaal aan te sturen zijn. Als ze geen verbinding hoeven hebben met het internet, zijn ze ook niet daarvandaan aan te vallen.

Omdat de meeste IoT-bedrijven goud geld verdienen met alle verzamelde data kom je vanzelf in de 'homebrew'-hoek terecht als je dat niet wilt. Dat kost iets meer moeite, maar is behoorlijk leerzaam en voorkomt de grootste risico's. Enige wat je dan naar buiten toe hoeft te beveiligen is je gateway/router, wat als het goed is gewoon een normaal OS draait (doorgaans een of andere Linux-derivaat) en communiceert met goed onderhouden protocollen (ssh...)

Soittakaa Paranoid!


  • muppet99
  • Registratie: juli 2002
  • Laatst online: 23:29
ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:47:
[...]

Je kunt dan home assistant over een VPN naar je huis bedienen, en die maakt rechtstreeks verbinding met de controller of zelfs de lampen et cetera. Dat wordt een volgende stap, maar zo af en toe moeten die lampen ook nieuwe firmware op kunnen halen . . .
Ik heb ook een vpn. Het gaat mij er alleen om dat je vanuit domoticz niet direct naar je nest kan praten, maar dat moet via de nest cloud omgeving. Zodoende hangt dit soort meuk in een wel internet ontsloten stuk. Mijn hue bridges, domoticz en versterker e.d. hangen dus alllemaal in een eigen vlan. Er worden aparte regels aangemaakt om dat vlan te kunnen verlaten.

Carpe Diem


  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:47:
[...]


Nee, dat denken veel mensen. De waarheid is dat veel IoT spullen gebaseerd zijn op kleine operating systems, maar daar wordt regelmatig een stokoude linux kernel voor gebruikt (want gratis). De kans dat een fabrikant zo'n ding nog gaat updaten is gering, de kans op fouten kan groot zijn.

Je hebt niet veel nodig om een deurbel of IP camera onderdeel te maken van een botnet . . .
Zie bijvoorbeeld https://dutchitchannel.nl...joenen-iot-apparaten.html

Daarnaast is niet al het spul van perfecte kwaliteit, ik gebruik nu als test een setje klik aan/uit schakelaars met IoT controller van de Action bijvoorbeeld, maakt gebruik van een of andere vage cloud :+

Dat soort dingen vind ik allemaal best, maar dan wel met maximale scheiding.
Dit, IoT devices werken vaak op een ultracompacte Linux versie. Denk an uCLinux of een gewone Linux versie die gestript is van zoveel mogelijk overbodige zaken.
Oudere Linux varianten zijn in de regel compacter, maar reken dat b.v. Armbian (linux voor ARM-based devices zoals RaspberryPi achtige devboards e.d.) slechts enkele honderden MB's groot is.
Totale peanuts voor moderne flash storage.

Je hebt dus in een IoT device in veel gevallen een compleet Linux besturingssysteem draaien.
Indien niet goed geconfigureerd, zit daar van alles in wat misbruikt zou kunnen worden.
Het hoeft niet eens zo te zijn dat de dingen die gebruikt worden voor de werking van het apparaat hetzelfde wachtwoord gebruiken als services die ze vergeten zijn te verwijderen.
Dus dan pas je je wachtwoord aan en dan kom je er nog in met admin/admin via SSH, bijvoorbeeld.

En verder hoeft zo'n device natuurlijk echt niet je eigen PC te infiltreren om gevaarlijk te zijn. Data die over je WiFi vliegt, kan dat ding desgewenst aftappen en zo aan wachtwoorden komen b.v.

Of hij wordt gehackt en doet (zoals je noemt) mee aan een botnet zonder dat je het weet.

Of zetten je LAN open voor toegang van buitenaf middels UPNP (een functie die op veel routers aan staat).

Wil je het veilig houden, dan is het niet alsof je met een extra routertje de boel dicht krijgt.
Dan mag je echt wel met zwaarder geschut komen. Denk aan iets als een PFSense machine en dan moet je zélf de configuratie goed doen.
Het is niet alsof je even een vinkje aan kan zetten en dat alles dan spontaan veilig is.

Dat maakt het ook allemaal zo verradelijk. Je kan de 'goed paden' prima testen als eindgebruiker (login doen, de app gebruiken, etc) maar de risico's heb je dan nog niet gezien.

Hey, pssssst! Wanna buy some stuf? | Opel Vectra C GTS 1.8 '06 | Honda CBR600F '97 | Honda Magna V30 '85


  • MsG
  • Registratie: november 2007
  • Laatst online: 23:58

MsG

Forumzwerver

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:58:
[...]


Ik zie dat je een homey gebruikt, als dat betekent dat je IoT apparaten nooit verbinding maken met een cloud, dan is het risico inderdaad laag :)

Punt is dat de meeste consumenten zo'n Hue setje kopen, en 'o het werkt zo fijn met de cloud' denken ;)
De Homey is ook zo cloud als het maar kan. Gooi je internet er maar eens af en verbaas je over hoe weinig dan nog werkt. Dus nee met een Homey ben je niet per definitie veilig.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn


  • Laagheim
  • Registratie: december 2016
  • Laatst online: 22:28
Lijkt me dat een cloud oplossing juist veiliger is dan alles zelf moeten instellen. Het is niet echt handig om alle tado/nest/hue gebruikers te vragen om poorten open te zetten, ip adressen in te tikken etc in hun routertje. Alle routers blokkeren standaard al ongevraagd inkomend verkeer en een externe server om contact te leggen tussen telefoon en iot ding is een stuk veiliger.

  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Laagheim schreef op woensdag 10 oktober 2018 @ 15:25:
Lijkt me dat een cloud oplossing juist veiliger is dan alles zelf moeten instellen. Het is niet echt handig om alle tado/nest/hue gebruikers te vragen om poorten open te zetten, ip adressen in te tikken etc in hun routertje. Alle routers blokkeren standaard al ongevraagd inkomend verkeer en een externe server om contact te leggen tussen telefoon en iot ding is een stuk veiliger.
Poorten open zetten doe je met UPNP tegenwoordig. En dat staat op heeeeel veel routers standaard aan.
Daar heb je écht geen cloudservice voor nodig.

Het werkt letterlijk zo dat je apparaatje tegen de router roept dattie poort X Y en Z nodig heeft en die worden dan automatisch geforward.
Zonder enige vorm van controle e.d.

Hell, daar maakte MSN Messenger destijds al gebruik van voor de overdracht van bestanden tussen gebruikers. En wie geen UPNP had (of het uit had staan, of waar de implementatie op de router gaar was, etc) had dan problemen met verzenden/ontvangen.
Je kon ook doodleuk netstat runnen op de commandline en dan zien wat het externe IP van de persoon waarmee je zat te chatten was.

[Voor 30% gewijzigd door McKaamos op 10-10-2018 15:32]

Hey, pssssst! Wanna buy some stuf? | Opel Vectra C GTS 1.8 '06 | Honda CBR600F '97 | Honda Magna V30 '85


  • Laagheim
  • Registratie: december 2016
  • Laatst online: 22:28
@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd. :)

  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Laagheim schreef op woensdag 10 oktober 2018 @ 15:50:
@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd. :)
Cloud is niet per definitie veiliger. Je verplaatst alleen maar het probleem naar een andere plek.
Je maakt er iemand anders verantwoordelijk voor, en jij zal het maar moeten vertrouwen.

Effectief dit:

De 'Moonpig Bug', een online dienst waar je gebruik van kon maken (custom wenskaarten, mokken, etc) en die was in zo'n dramatische wijze lek dat je met een heel klein beetje technische kennis in de account van een ander kon kruipen.

Nu zal het met de gerenomeerde merk apparatuur niet zo'n vaart lopen, maar de chinese prut van een willekeurige prijsstunter geeft je 0,0 garanties.

Doe me dan maar port forwarding hoor. Desnoods met UPNP.
Maar dan kan ik tenminste zelf zien wat er gebeurt en desgewenst actie ondernemen.

Hey, pssssst! Wanna buy some stuf? | Opel Vectra C GTS 1.8 '06 | Honda CBR600F '97 | Honda Magna V30 '85


  • KaasDoosNL
  • Registratie: oktober 2011
  • Laatst online: 19-06 19:45
Laagheim schreef op woensdag 10 oktober 2018 @ 15:50:
@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd. :)
Tenzij kwaadwilligen toegang hebben tot deze cloud service of het verkeer hiertussen kunnen aanpassen. Ik ben een grote voorstander van het aansturen via LAN i.p.v. een vage cloud server in de US

Tevens is het uitzetten van uPnP en je default remote access management poort op je router uitzetten leuk, maar als een IoT een verbinding opzet naar het internet heb je hetzelfde idee.
Ik probeer zelf zo veel mogelijk te blokkeren intern op DNS niveau. Voorbeeld zijn de statistieken die het geweldige SONOS verstuurd naar de 'cloud'. Tevens kan sonos niet controleren op updates, hoe zou dat toch komen? ;)

[Voor 30% gewijzigd door KaasDoosNL op 10-10-2018 16:06. Reden: aanvulling]


  • ChaserBoZ_
  • Registratie: september 2005
  • Laatst online: 15-06 06:54
MsG schreef op woensdag 10 oktober 2018 @ 15:24:
[...]


De Homey is ook zo cloud als het maar kan. Gooi je internet er maar eens af en verbaas je over hoe weinig dan nog werkt. Dus nee met een Homey ben je niet per definitie veilig.
Ah ik dacht dat de homey juist de cloud kon 'voorkomen' zoals home assistant. Weer wat geleerd :)
McKaamos schreef op woensdag 10 oktober 2018 @ 15:27:
[...]

Poorten open zetten doe je met UPNP tegenwoordig. En dat staat op heeeeel veel routers standaard aan.
Daar heb je écht geen cloudservice voor nodig.

Het werkt letterlijk zo dat je apparaatje tegen de router roept dattie poort X Y en Z nodig heeft en die worden dan automatisch geforward.
Zonder enige vorm van controle e.d.

Hell, daar maakte MSN Messenger destijds al gebruik van voor de overdracht van bestanden tussen gebruikers. En wie geen UPNP had (of het uit had staan, of waar de implementatie op de router gaar was, etc) had dan problemen met verzenden/ontvangen.
Je kon ook doodleuk netstat runnen op de commandline en dan zien wat het externe IP van de persoon waarmee je zat te chatten was.
Ik heb nog nooit UPNP aangezet, altijd direct uit.

[Voor 52% gewijzigd door ChaserBoZ_ op 10-10-2018 16:06]

'Maar het heeft altijd zo gewerkt . . . . . . '


  • Laagheim
  • Registratie: december 2016
  • Laatst online: 22:28
@KaasDoosNL Privacy en beveiliging zijn twee verschillende dingen (hoewel er natuurlijk wel overlap is). De sonos statistieken kan je bijv. prima blokkeren met pihole (en dan werken de updates nog gewoon).

  • KaasDoosNL
  • Registratie: oktober 2011
  • Laatst online: 19-06 19:45
Laagheim schreef op woensdag 10 oktober 2018 @ 16:17:
@KaasDoosNL Privacy en beveiliging zijn twee verschillende dingen (hoewel er natuurlijk wel overlap is). De sonos statistieken kan je bijv. prima blokkeren met pihole (en dan werken de updates nog gewoon).
Tenzij iemand die statistieken service overneemt
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True