Toon posts:

Best practices voor apart IoT-netwerk

Pagina: 1
Acties:

donderdag 11 juni 2020 21:15

Acties:
  • 0Henk 'm!
  • Tijs Hofmans
  • Registratie: Maart 2012
  • Laatst online: 13:12

Tijs Hofmans

Nieuwscoördinator
Topicstarter
Hoi!

Ik ben me eindelijk eens wat verder aan het verdiepen in m'n eigen netwerkbeveiliging en ik ben m'n IoT aan het scheiden van het netwerk. Ik was wel benieuwd wat jullie best practices daarvoor zijn en hoe ik dat het veiligst en meest praktisch kan doen.

Ik wil niet perse gebruik maken van een gastnetwerk omdat ik het gastnetwerk af en toe gebruik (voor, you know, gasten).

Wat ik nu heb gedaan is een oude router aan m'n switch gekoppeld. Dat is het ssid dat ik voor al m'n IoT-apparaten gebruik. Via een switch (Cisco SG250-08) wil ik die scheiden met vlans. So far so obvious, maar is dit een slimme aanpak of denk ik hiermee te simpel?

Het punt is ook dat ik een Sonos met Alexa heb die vervolgens alle IoT aan moet sturen. Maar die wil ik juist op het standaard netwerk zetten dat ik ook gebruik met m'n laptop en smartphone - ik wil namelijk muziek via wifi kunnen streamen zonder van netwerk te moeten switchen (of beter gezegd, ik wil niet tegen de rest van de familie hoeven uitleggen dat ze dat moeten doen...).

Kan ik dat het best via een firewall-regel regelen? Is dat verstandig? Of hebben jullie andere ideeën?

donderdag 11 juni 2020 21:57

Acties:
  • 0Henk 'm!
  • GarBaGe
  • Registratie: December 1999
  • Laatst online: 13:56

GarBaGe

Hier kan je wat ideeen op doen:
https://www.grc.com/sn/files/ubiquiti_home_network.pdf

zelf heb voor zowel gasten als iots een apart vlan.

[Voor 24% gewijzigd door GarBaGe op 11-06-2020 21:58]

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-2080 ; 1TB SSD

donderdag 11 juni 2020 22:03

Acties:
  • 0Henk 'm!
  • muppet99
  • Registratie: Juli 2002
  • Laatst online: 31-01 18:13

muppet99

het kan wel wat je wil, maar ik zou eens kijken naar een goede firewall. Helaas weet ik niet wat jij allemaal onder IoT laat vallen. Daarnaast ken ik de rest van je netwerk niet. Dus adviseren is lastig

Wat voor mijn beeldvorming goed zou werken is een tekening van je situatie

[Voor 16% gewijzigd door muppet99 op 11-06-2020 22:03]

Carpe Diem

donderdag 11 juni 2020 22:08

Acties:
  • 0Henk 'm!
  • MisteRMeesteR
  • Registratie: December 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Wat ik heb geconfigureerd is een apart IoT VLAN met dito SSID. In mijn router* blokkeer ik al het verkeer hiervan richting het grote boze internet. Alle IoT devices praten of met de MQTT broker of met mijn Home-Assistant server richting het management VLAN waar deze zich in bevinden.

Vanuit het Gasten VLAN kun je uiteraard weer enkel het grote boze internet op en niet naar de andere VLAN’s.

*Cisco router met ACL’s en Zone-based FW

www.google.nl

vrijdag 12 juni 2020 01:47

Acties:
  • 0Henk 'm!
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 13:36

Tha_Butcha

Ik heb OPNsense als firewall draaien en meerdere vlans, waaronder een voor IoT devices. Die interface heb ik helemaal dichtgegooid (niet naar mijn interne netwerk, niet naar buiten) op wat controller devices na (zoals Home Assistant).

Compromises are for the weak

vrijdag 12 juni 2020 10:00

Acties:
  • 0Henk 'm!
  • Kasper1985
  • Registratie: Oktober 2014
  • Laatst online: 22-01 23:43

Kasper1985

Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?

Bijvoorbeeld voor de Philips Hue bridge is er net een cruciale update uitgebracht. Of zet je het even open op het moment dat de app aangeeft dat er een update beschikbaar is? Of kan je op de een of andere manier erachter komen met welke specifieke servers verbinding moet worden gemaakt voor updates en laat je alleen die toe?
Of misschien begrijp ik het totaal verkeerd.

@Tijs Hofmans Om ervoor te zorgen dat je met telefoon/tablet etc. zaken in IoT kan bedienen kan je kijken naar mDNS en avahi daemon. Ik had bijvoorbeeld zo'n avahi daemon draaien op een raspberry pi. Maar inmiddels heb ik een router die het ondersteunt (wel open zetten in de firewall). Op die manier hoef je nooit van SSID te wisselen.

[Voor 24% gewijzigd door Kasper1985 op 12-06-2020 10:04]

vrijdag 12 juni 2020 10:43

Acties:
  • 0Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 12 juni 2020 13:23

Acties:
  • 0Henk 'm!
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 11:06

mash_man02

Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?
Sommige dingen vertrouw ik voor geen meter, maar als je nadenkt over de potentiele consequenties zul je ook merken dat de mate van acceptatie van risico hiermee samen hangt.

Zakelijk word risico geformuleerd als kans x impact

Dus als impact of kans op 0 staan is het risico ook 0.

Je hoeft iets dus niet geheel te vertrouwen, zolang het risico maar acceptabel is.

Zelf zie ik een IOT device als een device wat alleen internet connectivity in de cloud nodig heeft om te functioneren om informatie vast te leggen in deze cloud. De clients waarop we deze informatie opvragen maken dus geen contact met de devices die deze produceren maar met de cloud service die het opslaat.

Dan heeft zo een IOT device alleen maar een vertikale verbinding nodig naar internet. Een IOT netwerk beschikt daarmee bij voorkeur over horizontale filtering tussen de clients en word niet gekoppeld aan de reguliere client omgeving.

[Voor 22% gewijzigd door mash_man02 op 12-06-2020 13:38]

Asus X570-E AMD ryzen 3700x 32Gb RX 5700 XT

vrijdag 12 juni 2020 13:33

Acties:
  • 0Henk 'm!
  • RnB
  • Registratie: September 2005
  • Laatst online: 13:58

RnB

Wat ik nu heb gedaan is een oude router aan m'n switch gekoppeld. Dat is het ssid dat ik voor al m'n IoT-apparaten gebruik. Via een switch (Cisco SG250-08) wil ik die scheiden met vlans. So far so obvious, maar is dit een slimme aanpak of denk ik hiermee te simpel?
Het begin heb je zo gemaakt, verschillende vlans voor verschillende doeleinden. De router om verkeer er tussen te routeren. Nu wil je de boel ook beveiligen en zul je moeten werken met access lists. De meeste routers ondersteunen dit wel, niet alle. Het makkelijkste om hiervoor te gebruiken is een firewall, die is er immers voor gemaakt.
Het punt is ook dat ik een Sonos met Alexa heb die vervolgens alle IoT aan moet sturen. Maar die wil ik juist op het standaard netwerk zetten dat ik ook gebruik met m'n laptop en smartphone - ik wil namelijk muziek via wifi kunnen streamen zonder van netwerk te moeten switchen (of beter gezegd, ik wil niet tegen de rest van de familie hoeven uitleggen dat ze dat moeten doen...).
Als jouw router multicast routing ondersteund, moet dit gaan werken.
Als je met ACL's gaat werken om bepaalde verkeersstromen te droppen, kun je entries aanmaken die bijvoorbeeld streamen (via AirPlay of Casting) tussen twee netwerken goed keuren.

Mijn best practices voor een thuis netwerk:

- VLAN voor privé spul (smartphones, laptops, tablets)
- VLAN voor AV (televisie, Apple TV, versterker, ChromeCast)
- VLAN voor gasten
- VLAN voor IoT (deurbel, Philips Hue, Tado)

Access lists op mijn Cisco firewall geven de restricties aan: alle devices hebben restricties op DNS, de privé devices hebben bijna geen restricties, de rest heeft restricties op inter-vlan verkeer en als laatste heb ik restricties op verkeer van buiten naar binnen.

[Voor 86% gewijzigd door RnB op 12-06-2020 22:25]

vrijdag 12 juni 2020 13:47

Acties:
  • 0Henk 'm!
  • MisteRMeesteR
  • Registratie: December 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Kasper1985 schreef op vrijdag 12 juni 2020 @ 10:00:
Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?
Niet, ik draai op mijn sensoren/switches e.d. Tasmota welke ik ansich wel vertrouw maar simpelweg niet naar buiten hoeft te praten. De versie welke ik gebruik heb ik al bijna 2 jaar stabiel draaien en heb zelf geen verdere eisen aan een sensor of switch anders dat hetgeen ze al 2 jaar doen dus.

Updates zijn dus ook niet nodig en mocht dit wel het geval zijn kan dit OTA vanuit het MGMT VLAN, want de IoT devices hebben uiteraard wel een def. gateway ingesteld om o.a. met het MGMT VLAN te kunnen praten.
Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?
Het is ook gewoon een best-practice. Zaken die niet naar buiten hoeven, gewoon 'isoleren'.

www.google.nl

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee