Netwerk beschermen tegen aanvallen van bv malware.

Zoals daar ook aangegeven, de basic's

- juiste wachtwoordbeleid, zowel voor intern als externe services
- geen uitstapjes op de vage site's
- Elke Email met argwaan benaderen, zelfs die van tante Joke

Rare sprongen als het scheiden van netwerk zou zomaar kunnen werken, maar hoe zullen jouw huisgenoten dat vinden ?

Zoals altijd, gebruik je gezond verstand, en als iets te mooi lijkt, is dat vaak niet zo

Zelf heb ik een Asus router met Merlin firmware. Daarop draait een scriptje dat 650 miljoen IP-adressen blokkeert die in verband worden gebracht met malware / tracking / aanvallen etc. Dus (inlog)pogingen om op de router in te breken worden van die adressen bij voorbaat al geblokkeerd.

Verder heb ik zelf zoveel mogelijk bekabeld. Echter hou je toch een laptop, een mobiele telefoon, een tablet die aardig afhankelijk van Wifi zijn. Wat je wel kan doen, is als je apparaten hebt die ook van buitenaf bereikbaar zijn (bijvoorbeeld en IP camera, of NAS die je buiten de deur wilt bereiken), om die te scheiden van je interne netwerk d.m.v VLAN.

Prima ...
Als jij je verdediging alleen ziet langs één kant ...

Hoe denk je dat zoiets het makkelijkst binnen komt ?

Die mail van Tante Joke met dat kattenplaatje, de mail van HR@GWAIL.com of het behulpzame linkje naar die ene website

https://www.security.nl/posting/643208/Malware+breekt+in+op+wifi-netwerken+om+computers+te+besmetten

[ Voor 6% gewijzigd door FreshMaker op 10-02-2020 13:25 ]

Beveiliging is goed, maar je moet accepteren dat je ooit slachtoffer zal worden van een breach, wees daar dus klaar voor, zorg voor een goede back-up strategie. Je hebt een NAS, toevallig een Synology? Configureer HyperBackup naar C2 storage, kost je een paar euro's per maand : https://c2.synology.com/en-us

Maar goed, een topic zoals deze is binnen een paar maanden weer niet relevant want dan zijn er weer andere breaches gekend of protocollen gekraakt maar de basics blijven wel hetzelfde, kies steeds voor de hoogste encryptie/beveiligingsprotocol en een lang/complex wachtwoord. De malware die je aanhaalt gebruikt een bruteforce attack om op het wifi netwerk te geraken, dat gaat sneller met een wifi wachtwoord zoals "Password2020". Probeer maar eens om "7%)wEh>Mb:n2fDTt" te bruteforcen

[ Voor 4% gewijzigd door Tha Render_2 op 10-02-2020 13:44 ]

Je kan denken dat jouw data net zo belangrijk is als die van een bank, maar bedenk ook eens wat heeft een ander eraan en wat is de winst. Zorg ervoor dat de kosten om bij jouw data te komen hoger zijn dan de te behalen winst. Dan heb je goede beveiliging op maat. Of beveilig je je huis ook net als de koning?
Criminelen zijn ten slotte altijd uit op winst en verwacht dus niet dat jouw als particulier hetzelfde zal overkomen als een bedrijf.
@Tha Render_2 complexiteit heeft minder invloed op kraakbaarheid als lengte. DlTisnamelijkaleenheelerggoedwachtwoord

UBNT apparatuur heeft beveiliging op dit gebied ingebouwd. Hoe dat in z'n werk gaat durf ik niet te zeggen, het verlaagt de doorvoersnelheid dus ik heb het uit staan.

Als ik het artikel uit de TS zo lees dan richt dit lek zich specifiek op windows machines (C schijf en samba shares).
Betekent dat dat het risico compleet verdwijnt voor linux/mac gebruikers (voor dit specifieke lek althans) ?
Uiteraard blijft gezond verstand gebruiken belangrijk. Ik probeer alleen te bevestigen of ik het goed gelezen heb.

Laat je niet gek maken, dat is wat ik als eerste zou willen zeggen.
Volgende is gebruik je gezonde verstand.
Heb je geen grip op je gebruikers, zorg dat ze dan niet overal zomaar bij kunnen komen.

Mij is altijd geleerd dat je je af moet vragen wat ze bij je kunnen komen halen.
Wat maakt jouw een target.

Daarnaast moet je een afweging maken tussen gemak zucht en het harder maken van je netwerk mogelijkheden.
Je kan het heel omslachtig maken om overal in te loggen, devices scheiden of lagen in je netwerk aan brengen.

Dit maakt het echter complex, en als je niet precies weet wat je doet kan het een ander juist ook heel makkelijk maken.

Daarnaast zal je je moeten verdiepen in wat je aansluit.
Een router aan het internet met een management interface open en een wachtwoord als Admin/Admin maakt het makkelijk.
Maar als je Admin met wachtwoord: kuwhre@!@75awhfeQ!wer,jt= hebt is het nog steeds heel makkelijk als je geen detectie hebt.
Niet dat ze het wachtwoord zullen raken, maar wel dat er continu bruteforce acties plaats zullen vinden.
Het is dan niet wachten tot het gekraakt is, maar tot er een kwetsbaarheid komt welke ze kunnen misbruiken.

Volgende punt is dan ook updaten:
Zorg dat je je apparatuur up to date hebt.


Dat was wel mijn betoog

Straks met WPA3 zul je de mogelijkheid hebben om op brute-force attacks in te grijpen.
Tot die tijd kan je in je eigen netwerk mac-filtering toepassen.

Kasper1985 schreef op dinsdag 11 februari 2020 @ 19:37:
Als ik het artikel uit de TS zo lees dan richt dit lek zich specifiek op windows machines (C schijf en samba shares).
Betekent dat dat het risico compleet verdwijnt voor linux/mac gebruikers (voor dit specifieke lek althans) ?
Uiteraard blijft gezond verstand gebruiken belangrijk. Ik probeer alleen te bevestigen of ik het goed gelezen heb.

Nee, het gaat daar om een Word macro in een document, het is de reden dat Office files die je downloadt altijd een melding tonen of je bewerking wilt inschakelen of veilig uit wilt laten om dat soort exploits te voorkomen.
Mitigatie: Office verwijderen en geen documenten meer bewerken/lezen.
Oplossing: Leren niet vreemde documenten te openen met bewerkingen aan.
Als je per lek gaat kijken welke software je daarvoor zou moeten vermijden kan je letterlijk geen enkele software gebruiken

Gewoon je gezond verstand gebruiken (of een cursus volgen om dat op te frissen), sterke en unieke wachtwoorden gebruiken en updates draaien. Als laatste kan je onthouden dat het altijd een keer kan (en waarschijnlijk zal) gebeuren dat je malware tegen oploopt, daarom een goede backupstrategie hebben zodat de schade beperkt blijft bij verloren tijd ipv verloren data.

[ Voor 16% gewijzigd door RGAT op 12-02-2020 20:12 ]