IoT: Waar grens trekken qua veiligheid?

dinsdag 2 juli 2019 20:33

Acties:

0 Henk 'm!

Topicstarter

Iets wat ik mij afvroeg en er na enkele zoek-uren geen antwoord op kon vinden: welke apparaten (dus alles met een netwerkpoort) vallen onder de categorie veilig (en zou je in een privé VLAN gooien) en wat houdt je liever gescheiden van de rest (en mag in een eigen zandbak VLAN)?

Smartphones / Laptops / PC's / Tablets en NAS gaan bij mij in prive VLAN. Niet omdat ik die zo ongelofelijk veilig vind, maar meer omdat het moet.

SONOS / recente Apple TV's vind ik al een grijs gebied worden. Beiden komen regelmatig met software updates (ook op gebied van security). Maarrr, beide komen ook af en toe in het nieuws vanwege een data lekje hier en daar (wat ook geldt voor veel laptops ed.).

Hue, Smart TV's, ip camera's (ondanks gerespecteerd merk), playstation, printer ed. gaan allemaal in apart VLAN. Met een dusdanige configuratie dat er vanuit prive netwerk wél naar de IoT VLAN gecommuniceerd kan worden, maar niet de andere kant op.

Hebben ook nog zo'n Apple Time Capsule apparaat staan voor wat automatische back-ups. Die zou ik tot voorheen veilig bestempelen, maar aangezien Apple gestopt is met support voor die dingen denk ik dat ik die mening intrek....

Anyways: ik hoor graag wat jullie hier van vinden en hoe jullie dit aanpakken!

dinsdag 2 juli 2019 21:26

Acties:

+1 Henk 'm!

Mich

Ik ben niet zo goed in VLAN's. Weet wel wat het is maar weet niet of ik het thuis kan opzetten. Ik heb nu alle apparaten in huis die niets op internet te zoeken hebben via parent control geblokkeerd. Dus lokaal praat alles met elkaar maar het meeste kan niet met het www verbinden.

dinsdag 2 juli 2019 21:33

Acties:

0 Henk 'm!

ThinkPad

sjigr schreef op dinsdag 2 juli 2019 @ 20:33:
[...
Hue, Smart TV's, ip camera's (ondanks gerespecteerd merk), playstation, printer ed. gaan allemaal in apart VLAN. Met een dusdanige configuratie dat er vanuit privé netwerk wél naar de IoT VLAN gecommuniceerd kan worden, maar niet de andere kant op.
[...]

Zo heb ik het ook, maar dan nog met de toevoeging dat dat VLAN geen internet heeft en ik een rule maak ter uitzondering als een apparaat wél internet nodig heeft (en dan ook nog zo min mogelijk poorten, bijv. alleen 80 en 443.

Lastige is wel dat sommige apparaten niet goed werken in een ander VLAN. Ik liep hier tegenaan met een Chromecast en met een Logitech Harmony Hub. Die heb ik nu toch maar weer in m'n normale LAN gezet. De bijbehorende app op je telefoon gebruikt iets van mDNS ofzo om het apparaat te 'vinden' en dan werkt niet naar een ander VLAN. Zijn ook wel weer oplossingen voor, maar dat werd mij te ingewikkeld/foutgevoelig.

dinsdag 2 juli 2019 22:42

Acties:

0 Henk 'm!

laurens0619

Lastig

Enerzijds wil je geen apparaten op je private vlan die je niet vertrouwd maar anderzijds moet je ook op de beveilging van je apparaten kunnen vertrouwen. Stel mijn chinese hue kloon is infected en overgenomen, wat gaat de aanvaller ermee doen?
Mijn eigen apparaten infecteren? succes ermee. Zonder credentials gaat je dat niet lukken dus ben ik niet bang voor. Zijn ze vaak ook niet geinteresseerd in.
Groter risico is dat ze ingezet worden om ddos of andere hacks uit te voeren.

Internet toegang dichtzetten is dus belangrijkste stap maar dan gaat ook vaak functionaliteit verloren. Ip/poort naar trusted services (bv backend hue) is dan het beste wat je kunt maar ook niet waterdicht.

Mijn iot apparaten zitten daarom wel in aprt vlan maar mogen heen en weer communiceren naar het lan , functioneert het spul iig nog

Naar internet mogen ze alleen naar de trusted backend (maar die lijst up to date te houden is ook aardig werk)

Tuurlijk, isoleren is altijd beter maar security vs usability bekeken kun je beter internet toegang restricties opleggen. Ik kom echter alleen vaker het andersom tegen, isolated zonder internet restricties waarbij je naar mijn idee niet echt significante risicos verlaagd maar wel je apparaten minder bruikbaar worden

[ Voor 15% gewijzigd door laurens0619 op 03-07-2019 08:59 ]

CISSP! Drop your encryption keys!

woensdag 3 juli 2019 09:42

Acties:

0 Henk 'm!

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Hier ligt het aan het device.

Binnen mijn IOT VLAN heb ik bijv. ook RPI's welke wel gewoon naar buiten mogen van mij.

Maar zaken als Sonoff's, WEMOS bordjes (ondanks dat beide Tasmota draaien) of IP Camera's blokkeer ik per host naar buiten toe. Ze mogen wel 'vrij' communiceren naar mijn andere VLAN's toe (Guest uitgezonderd uiteraard):

code:

ip access-list extended DENY-SONOFF-TO-WAN
 permit ip host 10.11.102.101 10.11.100.0 0.0.0.255 (MGMT VLAN, o.a. MQTT broker)
 permit ip host 10.11.102.101 10.11.101.0 0.0.0.255 (Private VLAN)
 permit ip host 10.11.102.101 10.11.102.0 0.0.0.255 (IOT VLAN)
 permit ip host 10.11.102.101 10.11.105.0 0.0.0.255 (TEST VLAN)
 deny   ip host 10.11.102.101 any log

Van de Sonoff's zie ik met Tasmota enkel wat NTP verkeer wat naar buiten wil, inmiddels uitgezet door alle Sonoff's naar de interne NTP server te laten kijken.

www.google.nl

woensdag 3 juli 2019 12:33

Acties:

0 Henk 'm!

MaxTheKing

ThinkPadd schreef op dinsdag 2 juli 2019 @ 21:33:
[...]
De bijbehorende app op je telefoon gebruikt iets van mDNS ofzo om het apparaat te 'vinden' en dan werkt niet naar een ander VLAN. Zijn ook wel weer oplossingen voor, maar dat werd mij te ingewikkeld/foutgevoelig.

Hier kun je een mDNS forwarder zoals Avahi voor gebruiken, dit zorgt ervoor dat mDNS requests tussen de VLANs worden gerouteerd, moet de firewall het natuurlijk niet blokkeren

Vraag

Alle reacties