IoT beveiliging

IOT devices gewoon niet aan het internet hangen maar alleen in je local lan. Als je er toch bij wilt vanaf remote dit met een vpn doen.

Waarom moet het zonodig rechtstreeks aan het internet? En als je er zelf bij wil routeer het dan dmv een privé verbinding.

Homewrecker schreef op woensdag 26 december 2018 @ 16:43:
[...]


Makkelijk en ook logisch eigenlijk
Ik moet er niet van buitenaf aan kunnen, echter zouden ze wel updates moeten ontvangen.
Hoe pak ik dat het best aan dan?

Als je wilt dat ze wel updates installeren moeten ze dus wel aan het internet of je download de updates met het handje en installeer ze zelf. Staan je devices nu naar buiten open? als dat al niet zo is is er weinig aan de hand. (upnp uit op je router en poorten beperken)

[ Voor 4% gewijzigd door HKLM_ op 26-12-2018 16:49 ]

Homewrecker schreef op woensdag 26 december 2018 @ 16:53:
[...]


Enkel mijn Philips Hue lampen staan open naar buiten toe.
uPnP staat af en enkel de VPN-poort staat open.
Toch kan ik van buitenaf nog aan mijn lampen, wat ik zeer vreemd vind (maar heb het nog niet in detail bekeken).

Ik zoek eens hoe ik manueel alles kan updaten dan.

Hue gaat volgens mij over poort 80 naar buiten/binnen.
http://hueproapp.com/support.php#question1_9

[ Voor 4% gewijzigd door HKLM_ op 26-12-2018 16:57 ]

Veel IoT apparaten gebruiken geen open poort, maar een server van [merk] om via die server te verbinden.
De app en het apparaat verbinden beide met die server.

Voor binnenkoemende verbindingen moet je namelijk een gat in je firewall maken. Ofwel met UPnP, of met portforwards. Als en dat niet hoeft, en het werkt toch, zie bovenstaand.

[ Voor 35% gewijzigd door jeroen3 op 26-12-2018 17:14 . Reden: Firewall gat ]

Mijn (Chinese) camera zit op een apart VLAN dat niet naar buiten kan. Voordeel is dat ik volledig in de hand heb wat dat VLAN wel en niet mag.

Homewrecker schreef op woensdag 26 december 2018 @ 16:40:
Zet ik al mijn IoT devices in een DMZ oid?

Deze vraag baart me toch wel wat zorgen.

Stel je voor dat je WLAN onbeveiligd is, dat is het uitgangspunt bij beveiliging. Iedereen kan dan met jouw netwerk verbinden dus je moet zorgen dat je individuele apparaten beveiligd zijn.

Dan kan je in verschillende categorieën denken. Bijvoorbeeld een categorie voor domme sensoren die enkel waardes sturen, die hoeven zelf wellicht niet eens beveiligd te zijn.
Verlichting wil je wellicht beter beveiligen maar ook daar lijkt het mij minder problematisch als er toch een veiligheidslek aanwezig is.
Een andere categorie is camera's, daar wil je de maximale beveiliging en een garantie op updates.

Naar aanleiding van het nieuws van vandaag over een kwetsbaarheid in Google Home, ben ik wel benieuwd naar wat 'best pratices' zijn om dit te voorkomen.
Zijn er naast het uitschakelen van uPnP en het uitschakelen van communicatie naar buiten nog andere adviezen?
Ik gebruik zelf Phillips Hue lampen die ik voornamelijk aanstuur met een Google Home Mini, een Chromecast en een slimme thermostaat van Tado, dus uitschakelen van alle externe communicate is voor mij niet echt praktisch.


Link naar nieuwsartikel:
nieuws: Hackers krijgen controle over tienduizenden slimme apparaten Google

@basvanthooft Daar kun je niet zoveel mee, alleen de Philips Hue werkt ook zonder internet.
Je Tado zou het ook moeten doen zonder internet. Alleen lijken alle instellingen wel via een web portal te gaan, of kun je hier ook via IP adres bij?
Je google home en chromecast hebben internet nodig als hoofdfunctie.

Je zou van die "slimme" firewalls kunnen gebruiken die "verdacht gedrag" detecteren, maar of dat werkt weet ik niet. Wellicht publiceren sommige merken een whitelist van IP adressen waarmee hun gadget zal communiceren. De rest kan je dan blokkeren.

Voor je slimme huis lever je dus wel privacy en veiligheid in.