LAN beveiliging IoT

Zoals ook al (deels) vermeld: altijd ander wachtwoord (en indien mogelijk login, dus users als admin/root/user uitschakelen), firmware up-to-date houden en gescheiden netwerken (VLAN).
Ook kan je voor sommige apparaten (als ze het ondersteunen) alleen toegang vanaf 1 vertrouwd apparaat toestaan.

[Voor 23% gewijzigd door FoxLenny op 10-10-2018 14:23]

Ik heb voor die dingen een apart vlan in mijn huis, mijn accesspoint ondersteunt meerdere SSID's, met een koppeling naar specifieke vlans.

Op die manier heeft alle IoT 'meuk' in mijn huis verbinding met internet, maar nooit met vlan waarin mijn telefoon, laptop, NAS etcetera zit. Het is een kwestie van tijd voor een IoT cloud wordt gehackt, als dat gebeurt zijn al je apparaten direct te benaderen, tenzij je de boel hard scheidt.

Hoe ik het doe: in een apart VLAN, geen enkele communicatie mogelijk anders dan (en dus uitsluitend) met het centrale aanstuur-punt. Voor sommige devices nog een (specifieke) uitzondering gemaakt voor periodieke updates vanuit de leverancier, but that's it. Waarom zouden ze vrij het internet op moeten kunnen?

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:19:
Ik heb voor die dingen een apart vlan in mijn huis, mijn accesspoint ondersteunt meerdere SSID's, met een koppeling naar specifieke vlans.

Op die manier heeft alle IoT 'meuk' in mijn huis verbinding met internet, maar nooit met vlan waarin mijn telefoon, laptop, NAS etcetera zit. Het is een kwestie van tijd voor een IoT cloud wordt gehackt, als dat gebeurt zijn al je apparaten direct te benaderen, tenzij je de boel hard scheidt.

Ik begrijp dat je bang bent dat iemand via je IoT device in je PC etc.. komt maar als je zorgt dat die beveiligt zijn maakt het niet heel erg veel uit. Het blijft dat je kwetsbaar bent op alles wat niet goed beveiligt is. Verder begrijp ik dat je een IoT ding kan manipuleren maar zijn deze niet al te dom om verder misbruik mogelijk te maken.?

IOT devices in een apart vlan. Default kan dit vlan alleen maar praten met interne ipadressen. Om de zoveel tijd worden de devices even verplaatst naar een DMZ om hun updates te doen. Daarna weer terug in IOT zone. Uitzonderingen daargelaten, zoals nest, welke helaas nog afhankelijk is van een cloud. Ik zou graag daarvoor een dedicated server willen kunnen draaien.

Frogmen schreef op woensdag 10 oktober 2018 @ 14:28:
[...]

Ik begrijp dat je bang bent dat iemand via je IoT device in je PC etc.. komt maar als je zorgt dat die beveiligt zijn maakt het niet heel erg veel uit. Het blijft dat je kwetsbaar bent op alles wat niet goed beveiligt is. Verder begrijp ik dat je een IoT ding kan manipuleren maar zijn deze niet al te dom om verder misbruik mogelijk te maken.?

Nee, dat denken veel mensen. De waarheid is dat veel IoT spullen gebaseerd zijn op kleine operating systems, maar daar wordt regelmatig een stokoude linux kernel voor gebruikt (want gratis). De kans dat een fabrikant zo'n ding nog gaat updaten is gering, de kans op fouten kan groot zijn.

Je hebt niet veel nodig om een deurbel of IP camera onderdeel te maken van een botnet . . .
Zie bijvoorbeeld https://dutchitchannel.nl...joenen-iot-apparaten.html

Daarnaast is niet al het spul van perfecte kwaliteit, ik gebruik nu als test een setje klik aan/uit schakelaars met IoT controller van de Action bijvoorbeeld, maakt gebruik van een of andere vage cloud

Dat soort dingen vind ik allemaal best, maar dan wel met maximale scheiding.

muppet99 schreef op woensdag 10 oktober 2018 @ 14:33:
IOT devices in een apart vlan. Default kan dit vlan alleen maar praten met interne ipadressen. Om de zoveel tijd worden de devices even verplaatst naar een DMZ om hun updates te doen. Daarna weer terug in IOT zone. Uitzonderingen daargelaten, zoals nest, welke helaas nog afhankelijk is van een cloud. Ik zou graag daarvoor een dedicated server willen kunnen draaien.

Ook over nagedacht, maar voor het gemak van apps, moeten die apparaten met de cloud kunnen praten. Lampen aan/uit kunnen zetten is praktisch

Wel is het zo dat een aantal van die cloud's 'voorkomen' kunnen worden door rechtstreekse aansturing door bijvoorbeeld https://www.home-assistant.io/

Je kunt dan home assistant over een VPN naar je huis bedienen, en die maakt rechtstreeks verbinding met de controller of zelfs de lampen et cetera. Dat wordt een volgende stap, maar zo af en toe moeten die lampen ook nieuwe firmware op kunnen halen . . .

[Voor 29% gewijzigd door ChaserBoZ_ op 10-10-2018 14:50]

@ChaserBoZ_ Helder antwoord, maar in hoeverre ben je kwetsbaar als je alle poorten en UPnP dicht houdt?

Frogmen schreef op woensdag 10 oktober 2018 @ 14:52:
@ChaserBoZ_ Helder antwoord, maar in hoeverre ben je kwetsbaar als je alle poorten en UPnP dicht houdt?

Ik zie dat je een homey gebruikt, als dat betekent dat je IoT apparaten nooit verbinding maken met een cloud, dan is het risico inderdaad laag

Punt is dat de meeste consumenten zo'n Hue setje kopen, en 'o het werkt zo fijn met de cloud' denken

Ik gebruik geen apart VLAN, maar op enkele apparaten heb ik gewoon geen default gateway ingesteld. (Ip-camera, milight bridge)
Verder geen UPnP aan, en alleen een vpn poortje open voor connecties van buitenaf.

"IoT" is een breed begrip, en IoT-apparatuur *hoeft* niet per definitie rechtstreeks met "the cloud" of anderszins bronnen op het internet te communiceren. Nog los van evt scheiding van VLANs binnenhuis kun je ook bij aanschaf van IoT kijken naar apparaten die zuiver lokaal aan te sturen zijn. Als ze geen verbinding hoeven hebben met het internet, zijn ze ook niet daarvandaan aan te vallen.

Omdat de meeste IoT-bedrijven goud geld verdienen met alle verzamelde data kom je vanzelf in de 'homebrew'-hoek terecht als je dat niet wilt. Dat kost iets meer moeite, maar is behoorlijk leerzaam en voorkomt de grootste risico's. Enige wat je dan naar buiten toe hoeft te beveiligen is je gateway/router, wat als het goed is gewoon een normaal OS draait (doorgaans een of andere Linux-derivaat) en communiceert met goed onderhouden protocollen (ssh...)

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:47:
[...]

Je kunt dan home assistant over een VPN naar je huis bedienen, en die maakt rechtstreeks verbinding met de controller of zelfs de lampen et cetera. Dat wordt een volgende stap, maar zo af en toe moeten die lampen ook nieuwe firmware op kunnen halen . . .

Ik heb ook een vpn. Het gaat mij er alleen om dat je vanuit domoticz niet direct naar je nest kan praten, maar dat moet via de nest cloud omgeving. Zodoende hangt dit soort meuk in een wel internet ontsloten stuk. Mijn hue bridges, domoticz en versterker e.d. hangen dus alllemaal in een eigen vlan. Er worden aparte regels aangemaakt om dat vlan te kunnen verlaten.

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:47:
[...]


Nee, dat denken veel mensen. De waarheid is dat veel IoT spullen gebaseerd zijn op kleine operating systems, maar daar wordt regelmatig een stokoude linux kernel voor gebruikt (want gratis). De kans dat een fabrikant zo'n ding nog gaat updaten is gering, de kans op fouten kan groot zijn.

Je hebt niet veel nodig om een deurbel of IP camera onderdeel te maken van een botnet . . .
Zie bijvoorbeeld https://dutchitchannel.nl...joenen-iot-apparaten.html

Daarnaast is niet al het spul van perfecte kwaliteit, ik gebruik nu als test een setje klik aan/uit schakelaars met IoT controller van de Action bijvoorbeeld, maakt gebruik van een of andere vage cloud

Dat soort dingen vind ik allemaal best, maar dan wel met maximale scheiding.

Dit, IoT devices werken vaak op een ultracompacte Linux versie. Denk an uCLinux of een gewone Linux versie die gestript is van zoveel mogelijk overbodige zaken.
Oudere Linux varianten zijn in de regel compacter, maar reken dat b.v. Armbian (linux voor ARM-based devices zoals RaspberryPi achtige devboards e.d.) slechts enkele honderden MB's groot is.
Totale peanuts voor moderne flash storage.

Je hebt dus in een IoT device in veel gevallen een compleet Linux besturingssysteem draaien.
Indien niet goed geconfigureerd, zit daar van alles in wat misbruikt zou kunnen worden.
Het hoeft niet eens zo te zijn dat de dingen die gebruikt worden voor de werking van het apparaat hetzelfde wachtwoord gebruiken als services die ze vergeten zijn te verwijderen.
Dus dan pas je je wachtwoord aan en dan kom je er nog in met admin/admin via SSH, bijvoorbeeld.

En verder hoeft zo'n device natuurlijk echt niet je eigen PC te infiltreren om gevaarlijk te zijn. Data die over je WiFi vliegt, kan dat ding desgewenst aftappen en zo aan wachtwoorden komen b.v.

Of hij wordt gehackt en doet (zoals je noemt) mee aan een botnet zonder dat je het weet.

Of zetten je LAN open voor toegang van buitenaf middels UPNP (een functie die op veel routers aan staat).

Wil je het veilig houden, dan is het niet alsof je met een extra routertje de boel dicht krijgt.
Dan mag je echt wel met zwaarder geschut komen. Denk aan iets als een PFSense machine en dan moet je zélf de configuratie goed doen.
Het is niet alsof je even een vinkje aan kan zetten en dat alles dan spontaan veilig is.

Dat maakt het ook allemaal zo verradelijk. Je kan de 'goed paden' prima testen als eindgebruiker (login doen, de app gebruiken, etc) maar de risico's heb je dan nog niet gezien.

ChaserBoZ_ schreef op woensdag 10 oktober 2018 @ 14:58:
[...]


Ik zie dat je een homey gebruikt, als dat betekent dat je IoT apparaten nooit verbinding maken met een cloud, dan is het risico inderdaad laag

Punt is dat de meeste consumenten zo'n Hue setje kopen, en 'o het werkt zo fijn met de cloud' denken

De Homey is ook zo cloud als het maar kan. Gooi je internet er maar eens af en verbaas je over hoe weinig dan nog werkt. Dus nee met een Homey ben je niet per definitie veilig.

Lijkt me dat een cloud oplossing juist veiliger is dan alles zelf moeten instellen. Het is niet echt handig om alle tado/nest/hue gebruikers te vragen om poorten open te zetten, ip adressen in te tikken etc in hun routertje. Alle routers blokkeren standaard al ongevraagd inkomend verkeer en een externe server om contact te leggen tussen telefoon en iot ding is een stuk veiliger.

Laagheim schreef op woensdag 10 oktober 2018 @ 15:25:
Lijkt me dat een cloud oplossing juist veiliger is dan alles zelf moeten instellen. Het is niet echt handig om alle tado/nest/hue gebruikers te vragen om poorten open te zetten, ip adressen in te tikken etc in hun routertje. Alle routers blokkeren standaard al ongevraagd inkomend verkeer en een externe server om contact te leggen tussen telefoon en iot ding is een stuk veiliger.

Poorten open zetten doe je met UPNP tegenwoordig. En dat staat op heeeeel veel routers standaard aan.
Daar heb je écht geen cloudservice voor nodig.

Het werkt letterlijk zo dat je apparaatje tegen de router roept dattie poort X Y en Z nodig heeft en die worden dan automatisch geforward.
Zonder enige vorm van controle e.d.

Hell, daar maakte MSN Messenger destijds al gebruik van voor de overdracht van bestanden tussen gebruikers. En wie geen UPNP had (of het uit had staan, of waar de implementatie op de router gaar was, etc) had dan problemen met verzenden/ontvangen.
Je kon ook doodleuk netstat runnen op de commandline en dan zien wat het externe IP van de persoon waarmee je zat te chatten was.

[Voor 30% gewijzigd door McKaamos op 10-10-2018 15:32]

@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd.

Laagheim schreef op woensdag 10 oktober 2018 @ 15:50:
@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd.

Cloud is niet per definitie veiliger. Je verplaatst alleen maar het probleem naar een andere plek.
Je maakt er iemand anders verantwoordelijk voor, en jij zal het maar moeten vertrouwen.

Effectief dit:

De 'Moonpig Bug', een online dienst waar je gebruik van kon maken (custom wenskaarten, mokken, etc) en die was in zo'n dramatische wijze lek dat je met een heel klein beetje technische kennis in de account van een ander kon kruipen.

Nu zal het met de gerenomeerde merk apparatuur niet zo'n vaart lopen, maar de chinese prut van een willekeurige prijsstunter geeft je 0,0 garanties.

Doe me dan maar port forwarding hoor. Desnoods met UPNP.
Maar dan kan ik tenminste zelf zien wat er gebeurt en desgewenst actie ondernemen.

Laagheim schreef op woensdag 10 oktober 2018 @ 15:50:
@McKaamos Dat zeg ik. De cloud is een stuk veiliger, dan hoeven er geen poorten open. Nu nog 2 factor autorisatie aanzetten en dan is het helemaal dicht getimmerd.

Tenzij kwaadwilligen toegang hebben tot deze cloud service of het verkeer hiertussen kunnen aanpassen. Ik ben een grote voorstander van het aansturen via LAN i.p.v. een vage cloud server in de US

Tevens is het uitzetten van uPnP en je default remote access management poort op je router uitzetten leuk, maar als een IoT een verbinding opzet naar het internet heb je hetzelfde idee.
Ik probeer zelf zo veel mogelijk te blokkeren intern op DNS niveau. Voorbeeld zijn de statistieken die het geweldige SONOS verstuurd naar de 'cloud'. Tevens kan sonos niet controleren op updates, hoe zou dat toch komen?

[Voor 30% gewijzigd door KaasDoosNL op 10-10-2018 16:06. Reden: aanvulling]

MsG schreef op woensdag 10 oktober 2018 @ 15:24:
[...]


De Homey is ook zo cloud als het maar kan. Gooi je internet er maar eens af en verbaas je over hoe weinig dan nog werkt. Dus nee met een Homey ben je niet per definitie veilig.

Ah ik dacht dat de homey juist de cloud kon 'voorkomen' zoals home assistant. Weer wat geleerd

McKaamos schreef op woensdag 10 oktober 2018 @ 15:27:
[...]

Poorten open zetten doe je met UPNP tegenwoordig. En dat staat op heeeeel veel routers standaard aan.
Daar heb je écht geen cloudservice voor nodig.

Het werkt letterlijk zo dat je apparaatje tegen de router roept dattie poort X Y en Z nodig heeft en die worden dan automatisch geforward.
Zonder enige vorm van controle e.d.

Hell, daar maakte MSN Messenger destijds al gebruik van voor de overdracht van bestanden tussen gebruikers. En wie geen UPNP had (of het uit had staan, of waar de implementatie op de router gaar was, etc) had dan problemen met verzenden/ontvangen.
Je kon ook doodleuk netstat runnen op de commandline en dan zien wat het externe IP van de persoon waarmee je zat te chatten was.

Ik heb nog nooit UPNP aangezet, altijd direct uit.

[Voor 52% gewijzigd door ChaserBoZ_ op 10-10-2018 16:06]

@KaasDoosNL Privacy en beveiliging zijn twee verschillende dingen (hoewel er natuurlijk wel overlap is). De sonos statistieken kan je bijv. prima blokkeren met pihole (en dan werken de updates nog gewoon).

Laagheim schreef op woensdag 10 oktober 2018 @ 16:17:
@KaasDoosNL Privacy en beveiliging zijn twee verschillende dingen (hoewel er natuurlijk wel overlap is). De sonos statistieken kan je bijv. prima blokkeren met pihole (en dan werken de updates nog gewoon).

Tenzij iemand die statistieken service overneemt