Toon posts:

Best practices voor apart IoT-netwerk

Pagina: 1
Acties:

  • Tijs Hofmans
  • Registratie: maart 2012
  • Laatst online: 14:27
Hoi!

Ik ben me eindelijk eens wat verder aan het verdiepen in m'n eigen netwerkbeveiliging en ik ben m'n IoT aan het scheiden van het netwerk. Ik was wel benieuwd wat jullie best practices daarvoor zijn en hoe ik dat het veiligst en meest praktisch kan doen.

Ik wil niet perse gebruik maken van een gastnetwerk omdat ik het gastnetwerk af en toe gebruik (voor, you know, gasten).

Wat ik nu heb gedaan is een oude router aan m'n switch gekoppeld. Dat is het ssid dat ik voor al m'n IoT-apparaten gebruik. Via een switch (Cisco SG250-08) wil ik die scheiden met vlans. So far so obvious, maar is dit een slimme aanpak of denk ik hiermee te simpel?

Het punt is ook dat ik een Sonos met Alexa heb die vervolgens alle IoT aan moet sturen. Maar die wil ik juist op het standaard netwerk zetten dat ik ook gebruik met m'n laptop en smartphone - ik wil namelijk muziek via wifi kunnen streamen zonder van netwerk te moeten switchen (of beter gezegd, ik wil niet tegen de rest van de familie hoeven uitleggen dat ze dat moeten doen...).

Kan ik dat het best via een firewall-regel regelen? Is dat verstandig? Of hebben jullie andere ideeën?

  • GarBaGe
  • Registratie: december 1999
  • Laatst online: 15:06
Hier kan je wat ideeen op doen:
https://www.grc.com/sn/files/ubiquiti_home_network.pdf

zelf heb voor zowel gasten als iots een apart vlan.

[Voor 24% gewijzigd door GarBaGe op 11-06-2020 21:58]

Ryzen5 2600X; 16GB DDR4-3200 ; RTX-2080 ; 1TB SSD


  • muppet99
  • Registratie: juli 2002
  • Laatst online: 09:42
het kan wel wat je wil, maar ik zou eens kijken naar een goede firewall. Helaas weet ik niet wat jij allemaal onder IoT laat vallen. Daarnaast ken ik de rest van je netwerk niet. Dus adviseren is lastig

Wat voor mijn beeldvorming goed zou werken is een tekening van je situatie

[Voor 16% gewijzigd door muppet99 op 11-06-2020 22:03]

Carpe Diem


  • MisteRMeesteR
  • Registratie: december 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Wat ik heb geconfigureerd is een apart IoT VLAN met dito SSID. In mijn router* blokkeer ik al het verkeer hiervan richting het grote boze internet. Alle IoT devices praten of met de MQTT broker of met mijn Home-Assistant server richting het management VLAN waar deze zich in bevinden.

Vanuit het Gasten VLAN kun je uiteraard weer enkel het grote boze internet op en niet naar de andere VLAN’s.

*Cisco router met ACL’s en Zone-based FW

www.google.nl


  • Tha_Butcha
  • Registratie: november 2000
  • Laatst online: 15-09 14:35
Ik heb OPNsense als firewall draaien en meerdere vlans, waaronder een voor IoT devices. Die interface heb ik helemaal dichtgegooid (niet naar mijn interne netwerk, niet naar buiten) op wat controller devices na (zoals Home Assistant).

Compromises are for the weak


  • Kasper1985
  • Registratie: oktober 2014
  • Laatst online: 11:11
Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?

Bijvoorbeeld voor de Philips Hue bridge is er net een cruciale update uitgebracht. Of zet je het even open op het moment dat de app aangeeft dat er een update beschikbaar is? Of kan je op de een of andere manier erachter komen met welke specifieke servers verbinding moet worden gemaakt voor updates en laat je alleen die toe?
Of misschien begrijp ik het totaal verkeerd.

@Tijs Hofmans Om ervoor te zorgen dat je met telefoon/tablet etc. zaken in IoT kan bedienen kan je kijken naar mDNS en avahi daemon. Ik had bijvoorbeeld zo'n avahi daemon draaien op een raspberry pi. Maar inmiddels heb ik een router die het ondersteunt (wel open zetten in de firewall). Op die manier hoef je nooit van SSID te wisselen.

[Voor 24% gewijzigd door Kasper1985 op 12-06-2020 10:04]


  • Frogmen
  • Registratie: januari 2004
  • Niet online
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • mash_man02
  • Registratie: april 2014
  • Laatst online: 17:11
Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?
Sommige dingen vertrouw ik voor geen meter, maar als je nadenkt over de potentiele consequenties zul je ook merken dat de mate van acceptatie van risico hiermee samen hangt.

Zakelijk word risico geformuleerd als kans x impact

Dus als impact of kans op 0 staan is het risico ook 0.

Je hoeft iets dus niet geheel te vertrouwen, zolang het risico maar acceptabel is.

Zelf zie ik een IOT device als een device wat alleen internet connectivity in de cloud nodig heeft om te functioneren om informatie vast te leggen in deze cloud. De clients waarop we deze informatie opvragen maken dus geen contact met de devices die deze produceren maar met de cloud service die het opslaat.

Dan heeft zo een IOT device alleen maar een vertikale verbinding nodig naar internet. Een IOT netwerk beschikt daarmee bij voorkeur over horizontale filtering tussen de clients en word niet gekoppeld aan de reguliere client omgeving.

[Voor 22% gewijzigd door mash_man02 op 12-06-2020 13:38]

Asus X570-E AMD ryzen 3700x 32Gb RX 5700 XT


  • RnB
  • Registratie: september 2005
  • Nu online
Wat ik nu heb gedaan is een oude router aan m'n switch gekoppeld. Dat is het ssid dat ik voor al m'n IoT-apparaten gebruik. Via een switch (Cisco SG250-08) wil ik die scheiden met vlans. So far so obvious, maar is dit een slimme aanpak of denk ik hiermee te simpel?
Het begin heb je zo gemaakt, verschillende vlans voor verschillende doeleinden. De router om verkeer er tussen te routeren. Nu wil je de boel ook beveiligen en zul je moeten werken met access lists. De meeste routers ondersteunen dit wel, niet alle. Het makkelijkste om hiervoor te gebruiken is een firewall, die is er immers voor gemaakt.
Het punt is ook dat ik een Sonos met Alexa heb die vervolgens alle IoT aan moet sturen. Maar die wil ik juist op het standaard netwerk zetten dat ik ook gebruik met m'n laptop en smartphone - ik wil namelijk muziek via wifi kunnen streamen zonder van netwerk te moeten switchen (of beter gezegd, ik wil niet tegen de rest van de familie hoeven uitleggen dat ze dat moeten doen...).
Als jouw router multicast routing ondersteund, moet dit gaan werken.
Als je met ACL's gaat werken om bepaalde verkeersstromen te droppen, kun je entries aanmaken die bijvoorbeeld streamen (via AirPlay of Casting) tussen twee netwerken goed keuren.

Mijn best practices voor een thuis netwerk:

- VLAN voor privé spul (smartphones, laptops, tablets)
- VLAN voor AV (televisie, Apple TV, versterker, ChromeCast)
- VLAN voor gasten
- VLAN voor IoT (deurbel, Philips Hue, Tado)

Access lists op mijn Cisco firewall geven de restricties aan: alle devices hebben restricties op DNS, de privé devices hebben bijna geen restricties, de rest heeft restricties op inter-vlan verkeer en als laatste heb ik restricties op verkeer van buiten naar binnen.

[Voor 86% gewijzigd door RnB op 12-06-2020 22:25]


  • MisteRMeesteR
  • Registratie: december 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Kasper1985 schreef op vrijdag 12 juni 2020 @ 10:00:
Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?
Niet, ik draai op mijn sensoren/switches e.d. Tasmota welke ik ansich wel vertrouw maar simpelweg niet naar buiten hoeft te praten. De versie welke ik gebruik heb ik al bijna 2 jaar stabiel draaien en heb zelf geen verdere eisen aan een sensor of switch anders dat hetgeen ze al 2 jaar doen dus.

Updates zijn dus ook niet nodig en mocht dit wel het geval zijn kan dit OTA vanuit het MGMT VLAN, want de IoT devices hebben uiteraard wel een def. gateway ingesteld om o.a. met het MGMT VLAN te kunnen praten.
Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?
Het is ook gewoon een best-practice. Zaken die niet naar buiten hoeven, gewoon 'isoleren'.

www.google.nl

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee