Smart home beveiliging

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • delphium
  • Registratie: November 2005
  • Laatst online: 02-06 21:04
Beste tweakers,
Ik heb inmiddels een aardige verzameling smart home-apparaten; camera's, hubs, speakers, plugs, verlichting, rookmelders, weerstations, TV, NAS, Homey. Het hele idee van een smart home is natuurlijk dat al die apparaten met elkaar kunnen communiceren. Dat impliceert dat ze dus allemaal op hetzelfde netwerk zitten.

Mijn vraag is dan ook: Hoe kun je dit nou het beste inrichten? Of eigenlijk beter; ik heb zelf iets bedacht en wat vinden jullie daarvan?

Inleiding
Ik heb talloze artikelen gelezen over VLAN's speciaal voor IoT-devices of strakke firewalls om deze tomeloze bende in bedwang te houden. Waar ik echter steeds tegenaan loop, is dat je uiteindelijk functionaliteit verliest. De google nesthub (WiFi) kan niet meer praten met de Hue-bridge (ethernet). Hue is niet meer te bedienen buitenshuis. De apps op je smartphone werken niet meer met de bekabelde apparatuur.

Ook hier op tweakers staan er enkele posts over dit onderwerp. De meningen zijn zeer uiteenlopend. Van zeer paranoia tot "Google vertrouw ik echt wel".

De hamvraag is natuurlijk: "Wat wil je nou precies beveiligen"? In mijn geval zijn dat in elk geval mijn PC, mijn NAS én mijn smartphone. Verder zijn er natuurlijk zaken die je in de gaten wilt houden, zoals het luistergedrag van je slimme speakers, het kijkgedrag van je camera's en of er geen apparaten aan het DDOS-en zijn.

Dankzij een Man In The Middle-attack op mijn speakers, hubs en camera's (Google Nest) weet ik dat deze spullen niet meeluisteren of kijken, als ik niet verwacht dat ze dat doen. Via Deep Packet Inspection op mijn Edge-router, kan ik ook zien welke apparaten veel data verzenden of ontvangen.

Ook op de Edge-router heb ik een firewall die alle inkomend verkeer blokkeert, behalve related-established en invalid. Mijn WiFi-wachtwoord deel ik met niemand (ik heb een gastennetwerk) en is behoorlijk sterk.

Huidige situatie
Op dit moment heb ik twee VLAN's. Eentje voor WiFi/IoT en eentje voor trusted. Het idee was om die te scheiden middels een firewall, maar ik heb zonder die firewall al problemen om dingen met elkaar te laten praten. Bij nader inzien denk ik dan ook dat dit behoorlijk overkill is en dat het simpeler kan.

Mijn idee
Als ik op mijn Edgerouter een class-B subnet aanmaak, bijvoorbeeld 172.16.0.1/22, dan heb ik de beschikking over de adressen 172.16.0.1 - 172.16.3.254. Met firewallregels is het dan eenvoudig om bijvoorbeeld de NAS op 172.16.3.1 af te schermen van alles op 172.16.0.* en 172.16.1.*. Mijn PC en telefoon op 172.16.2.* krijgen dan wel toegang tot de NAS.

Ik zou zelfs een soort DMZ kunnen maken op 172.16.0.* voor bijvoorbeeld de pihole en de homeassistand-pi, of andere servers.

Is dit te simpel gedacht? Zijn er nog andere overwegingen die meespelen? Hoe hebben jullie dit opgelost?

Acties:
  • 0 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 23:41

lier

MikroTik nerd

delphium schreef op vrijdag 20 maart 2020 @ 12:07:
Hoe hebben jullie dit opgelost?
Drie netwerken:

- corporate (untagged)
- guest vlan 10
- video vlan 20

Vlan 20 heeft geen toegang tot Internet (en volgens mij geldt dat ook voor IoT spullen) maar is wel bereikbaar vanuit corporate
Vlan 10 heeft client isolation (wordt voor draadloos gastnetwerk gebruikt) en maakt gebruik van publieke DNS servers, deze is niet bereikbaar
Corporate voor alle eigen apparaten (behalve camera), onderling communiceren en maken gebruik van een PiHole als DNS server

Eerst het probleem, dan de oplossing


Acties:
  • 0 Henk 'm!

  • P5ycho
  • Registratie: Januari 2000
  • Laatst online: 07:34
Ik heb:
VLAN1 -> native, unused ports
VLAN10 -> LAN
VLAN11 -> WIFI_GUEST
VLAN12 -> WIFI_DOMOTICS
VLAN34 -> WAN_TELFORT_DATA
VLAN4 -> WAN_TELFORT_IPTV

Waarbij de firewall alles van en naar WIFI_DOMOTICS blockt met uitzondering van de rpi portal met home assistant. Ik probeer alles via die rpi te laten lopen en te standaardiseren op MQTT met home assistant als frontend voor de gebruiker en telegraf + influxdb + grafana als logging backend.

Het probleem waar je waarschijnlijk tegenaan loopt is dat veel gateways via ipv4 broadcasts zenden en je daarmee je connectie opzet. Dat suckt inderdaad. Dan zul je ze in hetzelfde subnet moeten hangen en moeten afschermen met een firewall als je daar de behoefte voor voelt. Hoe goed je af kunt schermen, dat hangt af van de effort die je erin wilt steken en wat je firewall kan.

Ik doe dus ook niet aan gateways die perse aan de ene kant binnen je subnet moeten zitten met een proprietary app en aan de andere kant met een cloud connectie werken. De enige uitzondering is de thermostaat, maar daar gebruik ik het gewoon niet.
delphium schreef op vrijdag 20 maart 2020 @ 12:07:
De hamvraag is natuurlijk: "Wat wil je nou precies beveiligen"? In mijn geval zijn dat in elk geval mijn PC, mijn NAS én mijn smartphone. Verder zijn er natuurlijk zaken die je in de gaten wilt houden, zoals het luistergedrag van je slimme speakers, het kijkgedrag van je camera's en of er geen apparaten aan het DDOS-en zijn.
Je koopt dus een hoop spul dat je attack surface heel groot maakt, controleert daarna of die apparaten zich misdragen (MITM check etc), hangt die daarna in hetzelfde netwerk als devices die je wilt afschermen. Je snapt wel wat nu de makkelijkste oplossing is om de veiligheid te vergroten... Het alternatief is de boel babysitten, maar echt veilig gaat het natuurlijk niet meer worden.
lier schreef op vrijdag 20 maart 2020 @ 12:49:
[...]

- corporate (untagged)
Je terminologie is een beetje scheef denk ik.
Al je vlans hebben enkele untagged poorten neem ik aan, ik denk dat je bedoel dat je native vlan gebruikt voor je corporate verkeer. Meestal is dit VLAN1, je wilt deze eigenlijk niet gebruiken. Maak er vlan 30 van, laat vlan 1 native, en zorg dat elke poort die niet geconfigureerd is op vlan 1 zit.

[ Voor 40% gewijzigd door P5ycho op 20-03-2020 13:24 ]

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV


Acties:
  • 0 Henk 'm!

  • delphium
  • Registratie: November 2005
  • Laatst online: 02-06 21:04
lier schreef op vrijdag 20 maart 2020 @ 12:49:
[...]

Drie netwerken:

- corporate (untagged)
- guest vlan 10
- video vlan 20
Dat is zo'n beetje hoe ik het nu heb opgelost, maar ik loop dan bijvoorbeeld tegen de volgende problemen aan:
  • Als ik mijn camera's scheid (vlan20), kunnen deze niet meer communiceren met mijn Hue-bridge die in het untagged LAN zit.
  • Als ik mijn hue-bridge in vlan20 hang, kan ik er met mijn homey en smartphone niet meer bij.
Kortom, vaak heb je communicatie met trusted devices nodig en tussen trusted en untrusted devices. De scheiding middels VLAN's is voor mij te strikt gebleken. Homey flows die niet meer werken, smartphone apps die niet kunnen connecten met untrusted devices, enz.

Acties:
  • 0 Henk 'm!

  • delphium
  • Registratie: November 2005
  • Laatst online: 02-06 21:04
P5ycho schreef op vrijdag 20 maart 2020 @ 13:16:
Je koopt dus een hoop spul dat je attack surface heel groot maakt, controleert daarna of die apparaten zich misdragen (MITM check etc), hangt die daarna in hetzelfde netwerk als devices die je wilt afschermen. Je snapt wel wat nu de makkelijkste oplossing is om de veiligheid te vergroten... Het alternatief is de boel babysitten, maar echt veilig gaat het natuurlijk niet meer worden.
Ja ik ben een tweaker, een early adopter en een techfreak. Ik koop al die shit en ik geniet ervan! Dat is een gegeven. De vervolgvraag is: "hoe beveiligen we dat zo goed mogelijk, zonder aan functionaliteit in te boeten"?

In theorie heb je gelijk; hoe meer netwerkspul, hoe groter de kans op een lek/aanval. Maarrr... hoe groot is de kans nou werkelijk dat het misgaat? In mijn visie zijn er drie kwetsbare punten:
  1. De modem, je externe IP. Je rechtstreekse verbinding met het WWW
  2. De WiFi. Boze poppetjes in de buurt van je huis kunnen hier misbruik van maken.
  3. Apparaten in de cloud. Als die cloud gehackt wordt ligt je data op straat.
Punt 1: Makkelijk op te lossen met een firewall op je modem/router. In mijn geval hangt er nog een router achter met nog een firewall. Check! veilig genoeg.

Punt 2: Ik maak gebruik van WPA2 (is lek, dat klopt), met een sterk wachtwoord. Tenzij er iemand een gerichte aanval op mijn netwerk wil uitvoeren (CIA, Mossad, AIVD, Chuck Norris), acht ik dit veilig genoeg.

Punt 3: Als die clouddienst gehackt wordt ligt je data op straat. De vraag is of die data echt interessant is en hoe groot de kans is dat die clouddienst wordt gehackt.

Als ik aan bovenstaande voorwaarden voldoe, hoe groot is dan de kans dat een IoT-device binnen mijn netwerk deel uitmaakt van een botnet bijvoorbeeld?

Als ik dan ook nog mijn oplossing implementeer met een interne firewall die de te beschermen devices afschermt van de "verdachte" apparatuur, wat zijn dan nog de daadwerkelijke concrete risico's?

Acties:
  • 0 Henk 'm!

  • P5ycho
  • Registratie: Januari 2000
  • Laatst online: 07:34
Eens met je 3 punten hoor!
delphium schreef op vrijdag 20 maart 2020 @ 13:50:
Als ik aan bovenstaande voorwaarden voldoe, hoe groot is dan de kans dat een IoT-device binnen mijn netwerk deel uitmaakt van een botnet bijvoorbeeld?
Er is natuurlijk geen nummertje aan de kans dat je gehackt wordt te hangen, de vraag is dan wat er op het spel staat. Als een stuk ransomware via zo'n gateway je files op je NAS encrypt via je LAN, hoe erg is dat? Heb je daar maatregelen tegen genomen in de vorm van immutable offsite backups? Kan iemand zo data buitmaken waarmee identiteitsfraude gepleegd kan worden? Dat zijn denk ik de vragen die je jezelf moet stellen.
Als ik dan ook nog mijn oplossing implementeer met een interne firewall die de te beschermen devices afschermt van de "verdachte" apparatuur, wat zijn dan nog de daadwerkelijke concrete risico's?
Die interne firewall zal dus client side moeten fungeren, want alles binnen je subnet gaat niet via je firewall.

Je zou nog een transparante bridged firewall kunnen overwegen om je domotica op OSI L2 te scheiden? Ik weet niet of het dat waard is, maar het zou kunnen werken denk ik.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV


Acties:
  • 0 Henk 'm!

  • delphium
  • Registratie: November 2005
  • Laatst online: 02-06 21:04
Als een stuk ransomware via zo'n gateway je files op je NAS encrypt...
Hoe zie je dat voor je dan? Een besmette firmware upgrade van een camera, die vervolgens mijn NAS versleutelt? Is dat echt realistisch als je geen merkloze Chinese crap in je netwerk hebt?

Dat is een beetje mijn hoofd discussiepunt. Overdrijven we niet een beetje als we alles sandboxen en in een VLAN gooien?

Als je bijvoorbeeld weet dat een apparaat geen updates meer krijgt, wordt het een ander verhaal.

Acties:
  • 0 Henk 'm!

  • P5ycho
  • Registratie: Januari 2000
  • Laatst online: 07:34
delphium schreef op vrijdag 20 maart 2020 @ 15:43:
[...]


Hoe zie je dat voor je dan? Een besmette firmware upgrade van een camera, die vervolgens mijn NAS versleutelt? Is dat echt realistisch als je geen merkloze Chinese crap in je netwerk hebt?

Dat is een beetje mijn hoofd discussiepunt. Overdrijven we niet een beetje als we alles sandboxen en in een VLAN gooien?

Als je bijvoorbeeld weet dat een apparaat geen updates meer krijgt, wordt het een ander verhaal.
Ja, bijvoorbeeld. Een tunneltje is zo gemaakt.

Dat kan niemand inschatten natuurlijk, hoe groot die kans is. Voel je je er niet lekker bij, dan moet je er wat aan doen. Zo simpel is het. Je wilt een bepaalde functionaliteit, en je bent dus bereid om er een stuk veiligheid voor op te geven. Dan moet je de mogelijke gevolgen accepteren of mitigeren.

Of het apparaat updates krijgt is niet relevant, er zijn zat zero-days die geexploit worden voordat de fabrikant er iets aan doet.

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

Pagina: 1