Twijfel over netwerkarchitectuur

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • xilent_xage
  • Registratie: Februari 2005
  • Laatst online: 15-09 11:35
Momenteel bestaat mijn netwerk uit:

pfsense server -> unifi switch 1 -> unifi switch 2 en een 3tal unifi AP's aangesloten op switch 1.

Ik heb nu een aantal vlans:
  • prive (voor laptops en telefoons van mij en mijn partner)
  • gast (voor gasten)
  • kids (voor de kinderen)
  • iot (voor alle apparaten - oa wasmachine, droger, vaatwasser, oven, voordeurbel, camera's, warmtepomp, zonnepanelen, HEOS apparatuur, chromecasts etc etc)
Daarnaast nog een "LAN" laag met daarop de router, een NAS en diverse raspberry pis voor ondersteunende netwerkdiensten.

Idee was om alles netjes te scheiden, immers:
  • Ik wil voor de kinderen een andere DNS server gebruiken tbv content filtering
  • Ik heb soms wat twijfels aan de veiligheid van al mijn connected devices, dus het leek me goed om die te scheiden van de rest
  • Het leek me niet handig als gasten de vaatwasser aan kunnen zetten etc
Om het netwerk wat veiliger te maken gebruik ik op de pfsense server:
  • pfBlockerNg als netwerk adblocker
  • squid met squidGuard om bepaalde categorien te blocken (goksites en meuk). Hier werk ik voor https met een MITM constructie. Bovendien scant ClamAV de data.
  • Suricata bij wijze van intrusion detection en -prevention
Uitgangspunten voor de opzet zijn/waren:
  • Goed dichttimmeren van interne netwerk
  • Zoveel mogelijk beveiliging op netwerkniveau regelen (ads, virussen, malware, trackers) om te voorkomen dat ik dat los op elke client moet gaan doen.
Inmiddels twijfel ik een beetje over mijn opzet, vooral omdat alles zo complex is. Issues waar ik tegenaan loop zijn:
  • Die MITM proxy werkt met name beroerd op android. Als ik me goed heb in te lezen is daar eigenlijk niets aan te doen.
  • Die VLANs zijn knap onhandig voor zaken die je juist wel netwerkbreed wil delen. Zo wil ik dat gasten en kinderen ook mijn chromecasts kunnen gebruiken, en idem (deels) voor mijn NAS en plexserver. Alles wat met broadcasting loopt gaat moeizaam, ondanks dappere pogingen met Avahi
Sorrie voor het lange intro. Dan nu mijn vraag: Heb ik een verkeerde opzet gekozen en zoja wat zou een betere zijn? Ik denk dat ik die proxy sowieso moet laten schieten, maar hoe zit het met de vlans? Wat is een betere manier?

Alle reacties


Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Je hebt een prachtig complex iets gebouwd wat veilig is, maar je hebt je niet afgevraagd vooraf, welke risico's loop ik en waartegen moet ik mij beveiligen. Welke functionaliteit wil ik mijn gebruikers bieden. Ik denk dat je dat eerst moet doen en misschien op grond daarvan kom je al tot de conclusie dat je het anders moet indelen.
Dan je proxy persoonlijk zou ik geen MITM instellen ik weet je filtert minder doordat steeds meer HTTPS is, maar je introduceert ook risico's zou het niet doen. Dan maar in gesprek met de kinderen, als ze willen vinden ze het toch wel en over het algemeen filtert squid wel de per ongelukjes eruit.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 15-10 14:35
Ik snap je dilemma wel. Veiligheid tegenover functionaliteit. Ik heb het zelf vrij simpel gehouden eigenlijk. 1 plat netwerk voor het hele gezin, zonder filter, behalve pi-hole. Daarnaast een VLAN voor gasten, vooral voor andere pubers die de WiFi op willen. Vandaar uit valt dan niet te casten, maar dat missen we niet. Tevens nog een separaat VLAN, omdat ik wel eens een PC van anderen moet fixen, en wie weet wat je daarmee binnenhaalt.
De kinderen zitten veel achter hun PC, vooral gamen, discord en youtube (subscribe to pewdiepie! 😉) Maar ze weten dat nieuwe downloads/software alleen met toestemming mag. Dat gaat best goed. Ik doe niet aan content filtering, maar kijk wel geregeld eens wat achteloos over de schouders.
Ook ik heb ooit overwogen om een apart VLAN op te zetten voor de kinderen, met toeters en bellen, maar er gewoon vanaf gezien. Ze groeien op in de huidige tijd, en ik vond dat we ze maar moesten leren daarmee om te gaan. Het gaat ook om vertrouwen.
Mocht ik ooit stofzuigers, koelkasten of grasmaaiers op mijn WiFi gaan zetten, dan komen die wel in een nieuw afgescheiden deel. Geen Chinese meuk op mijn LAN. Alleen dat soort apparaten heb ik gewoon niet gekocht tot nu toe. Zonder WiFi blijft de melk ook wel koel.
Maar goed ieder zijn eigen visie hierop natuurlijk.

Acties:
  • 0 Henk 'm!

  • dezejongeman
  • Registratie: Juli 2006
  • Laatst online: 08-09 19:20
het is mijns inziens ook een beetje overschoten. wel een DMZ voor IOT achtige apparatuur, maar waarom wil je gasten bij je plex hebben?

daarnaast zie je in deze situatie 1 ding over het hoofd. de smartphone van de kinderen gaat ook de deur uit en het is gedaan met de enorme security barriere die je hebt opgeworpen. ik zou pleiten voor een iets simpellere opzet met degelijke VPN voor mobile devices. Wat betreft gasten die kunnen je internet geven en voor de rest niets, ze zijn tenslotte te gast. mochten gasten iets willen laten zien, dan kan content makkelijk gedeeld worden middels linkje naar drive of direct linkje naar de online content e.d. Deze kun jij vervolgens wel netjes firewallen en virusscannen.