Vraag


  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
Gezien de alsmaar groter wordende dreiging van exploits, ransomware en [hier-alle-overige-digitale-narigheid], wil ik mijn netwerk beter gaan beveiligen. Makkelijk beheer valt wat mij betreft daarmee samen - op dit moment is dit niet zo (bijna ieder apparaat heeft een eigen manier van beheren) en daardoor blijven er in toenemende mate security zaken langer liggen dan ik zou willen.

Nu ik onlangs ben gemigreerd naar KPN glasvezel heb ik ook nog IPv6 erbij gekregen om de zaken nòg een stukje complexer te maken... Na een aantal dagen research zie ik nu even door de bomen het bos niet meer, dus graag jullie advies.

Wat ik op dit moment heb - verbinding + hardware
- KPN glasvezel 200/200
- Ubiquiti EdgeRouter Lite (ipv de geleverde KPN Box 12, die staat nu te verstoffen in de kast)
- Unifi Switch Lite 8 POE
- 2x HP switch (1800-8G en 1820-8G)
- 2x Unifi AP (AC-LR en AC-Lite)
- QNAP TS-639 NAS
- Dell Optiplex 7010 als VM / container server
- Intel NUC5c als (parttime) beheer & mediaserver

Wat ik op dit moment gebruik aan (server) sofware
- EdgeOS 2.0.19 op de EdgeRouter (DHCP, routing, firewall)
- Unifi Network Controller (bare metal op de NUC5c / Ubuntu 20.04) voor beheer Unifi apparatuur
- HP's web-interfaces voor beheer van de beide HP switches (totaal verschillende versies)
- QTS op de QNAP (gebruikers, shares, updates)
- ProxMox VE voor beheer VM's / containers:
- Nextcloud (in container)
- PiHole (in container)
- Logitech Media Server / squeezebox (in container)
Tenslotte nog:
- Plex (bare metal op NUC5c / Ubuntu 20.04)
- Cockpit (bare metal op NUC5c / Ubuntu 20.04), uitprobeersel, werkt nog niet zoals ik voor ogen had.
- SSH om direct op verschillende devices in te loggen, als de 'normale' beheeromgeving tekort schiet.

Zoals je ziet, een hele mengelmoes aan devices en beheertools, niet echt handig om overzicht te houden.

Huidige geïmplementeerde security maatregelen
- Vrijwel ieder device heeft eigen account met uniek, hard-to-guess wachtwoord (lang leve de password manager!)
- OTP aangezet waar mogelijk (op dit moment Unifi Controller, ProxMox, QNAP en Nextcloud)
- PiHole als DNS (werkte goed tot de KPN migratie. Sindsdien lijkt deze steeds vaker gebypassed te worden, wellicht vanwege IPv6?)
- SSH host key fingerprints van de verschillende machines sla ik op in een spreadsheet en als ik een waarschuwing krijg (bijv. bij inloggen vanaf nieuwe client) check ik handmatig of deze nog klopt (verre van ideaal, I know)

Nog te implementeren
- VLANS voor Guest-Wifi, IOT apparatuur en servers (dit had ik jaren geleden met flink wat pijn en moeite al goed ingericht. Sinds de KPN migratie is dit echter ongedaan gemaakt aangezien o.a. de complete configuratie van de EdgeRouter is gereset)
- Device isolation voor de minst-vertrouwde devices
- Device blocking voor onbekende devices
- VPN (liefst WireGuard) -> Zie eerste reply onder deze post *O*
- SSH hardening (inloggen met keys ipv user/pass)
- Centraal beheer voor devices, users en wat nog maar meer mogelijk (en zinvol) is.
- IDS / IPS
- Geldige (Letsencrypt) SSL certificaten regelen voor alle machines die web services draaien (is nog een uitdaging achter NAT)
- IPv6 inzichtelijk maken en beveiligen (totaal nieuwe wereld!)

Waar ik over twijfel / vragen die ik heb
1. Idealiter wil ik naar een situatie toe waarbij ik alle aanwezige apparaten op mijn netwerk op 1 plek administreer (MAC adres, DNS naam, IP + andere zinvolle zaken), ipv dat dit op meerdere plekken moet. En zodra er dan een onbekend apparaat het netwerk op wil, ik hier een melding van krijg en dit expliciet moet toestaan. Kan dit met de huidige hardware die ik heb draaien?
2a. Zo ja, welke omgeving(en) zou ik het beste kunnen kiezen om bovenstaande (en onderstaande) het makkelijkst te kunnen beheren? Bijv. ProxMox, Unifi, Cockpit, Zentyal, Univention of iets heel anders?
2b. Zo nee, welke hardware zou ik het beste kunnen aanschaffen hiervoor?
3. Hoe ga ik veilig om met IPv6 in dit hele verhaal?
4. Biedt 802.1x security (zie ik staan als optie bij de netwerkinstellingen van o.a. Ubuntu) meerwaarde of haal ik me hiermee alleen nog maar meer ellende op de hals?
5. Ook heb ik gelezen over een 'Bastion host', als centrale (en enige) plek van waaruit alles beheerd wordt. Is dit aan te raden?
6. Zijn er nog andere zaken die ik nu misschien over het hoofd zie, maar die wel essentiëel zijn?

Dit heb ik al geprobeerd
Zelf heb ik in een grijs verleden Zentyal gedraaid als router en OpenVPN server. Werkte best aardig maar op het moment dat mijn toenmalige server dood ging hadden ze net een beleidswijziging doorgevoerd die me niet aanstond. Bovendien had ik destijds niet de cash om fatsoenlijke nieuwe server hardware aan te schaffen. Toen op aanraden van een vriend de EdgeRouter gekocht.

Ook heb ik dus inmiddels ervaring met ProxMox, Unifi en heb ik heel even Univention geprobeerd. Cockpit draait zoals gezegd op de NUC5c en op een test VM, maar dit heb ik nog niet echt lekker werkend gekregen. Daarbij twijfel ik al een tijdje of ik mijn huidige Dell Optiplex 'servertje' niet moet vervangen door iets wat krachtiger èn zuiniger is. Een leuke Ryzen-based mini-PC ofzo. Met een flinke sloot geheugen. Wellicht iets voor een los topic O-)

Unifi is super gelikt en zou een groot deel van de wensen kunnen dekken, maar dan zal ik ws. de EdgeRouter moeten vervangen door bijv. een UDM (Pro)? Een USG haalt de 200mbit niet icm met IDS / IPS, en de USG-Pro schijnt een takkeherrie te maken. Dat gaat de vrouw des huizes niet waarderen...

Al met al sta ik dus open voor alternatieven en wil ik ook best een (eenmalige) uitgave doen, mits dit voldoende meerwaarde biedt.
Een heel verhaal, besef ik me nu. Hoop dat de strekking wel duidelijk is en ben enorm benieuwd naar je reactie _/-\o_

[Voor 0% gewijzigd door iGadget op 20-12-2020 20:51. Reden: VPN = done!]

Nuff' said...

Alle reacties


  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
Kennelijk zit niemand te wachten op zo'n complex verhaal, dus ik ga het maar stap voor stap aanpakken. Hopelijk wordt dat een interessanter project om eventueel op te reageren.

Aangezien ik binnenkort een paar dagen buiten de deur ben, lijkt het me slim om te beginnen met de VPN. WireGuard het liefst vanwege de goede reviews mbt performance, veiligheid en beste toekomstperspectief (het is immers inmiddels onderdeel van de laatste Linux kernels).
Ondanks dat ik me besef dat WireGuard nog vrij jong is en er nauwelijks GUI tools voor te vinden zijn, vind ik bovenstaande redenen toch zwaarder wegen. Hopelijk komt het GUI-gedeelte tzt vanzelf goed :)

Voordat ik een complete VM hiervoor ga optuigen, wil ik eerst kijken of ik het goed werkend kan krijgen op de EdgeRouter Lite.
Ik volg deze guides:Met het script van whiskerz007 bleek de installatie op de EdgeRouter een eitje.
Eerst met SSH verbinden en daarna het volgende intikken:
code:
1
2
3
4
cd /config/scripts
curl -LO --silent https://github.com/whiskerz007/ubnt_get_wireguard/raw/master/get_wireguard.sh
chmod +x get_wireguard.sh
./get_wireguard.sh

Om automatisch weekelijks WireGuard updates te laten checken:
code:
1
2
3
4
5
6
configure
set system task-scheduler task get_wireguard executable path /config/scripts/get_wireguard.sh
set system task-scheduler task get_wireguard interval 7d
commit
save
exit

Configuratie:
code:
1
2
3
4
5
6
7
wg genkey | tee /config/auth/wg.key | wg pubkey >  wg.public
configure
# maak wireguard interface aan met ip 10.0.7.1 (pas aan naar jouw situatie)
set interfaces wireguard wg0 address 10.0.7.1/24
# laat wg0 luisteren op poort 51820 (pas evt. aan naar jouw voorkeur)
set interfaces wireguard wg0 listen-port 51820
set interfaces wireguard wg0 route-allowed-ips true

Voor we verder gaan, eerst de client(s) configureren. In mijn geval is dat Ubuntu 20.04 en 20.10.
Naast het pakket wireguard heb je ook openresolv nodig, anders kun je niet je eigen interne DNS server gebruiken (zie https://github.com/StreisandEffect/streisand/issues/1434).
code:
1
2
3
4
5
6
sudo apt install wireguard openresolv
sudo su
cd /etc/wireguard
umask 077
wg genkey | tee client_private_key | wg pubkey > client_public_key
nano wg0-client.conf

Nu maken we de client config aan. Die van mij ziet er zo uit (alles tussen <> vervangen door je eigen gegevens):
code:
1
2
3
4
5
6
7
8
9
10
11
[Interface]
# IP Address and Private Key of the Client and DNS server to be used
Address = 10.0.7.2/24
PrivateKey = <plak deze uit /etc/wireguard/client_private_key>
DNS = <hier het IP van je interne DNS server>

[Peer]
# Public key, IP Address and Port of the Server
PublicKey = <plak hier de inhoud van het bestand wg.public op je EdgeRouter>
Endpoint = <je server hostname of IP>:51820
AllowedIPs = 0.0.0.0/0, ::/0

Sla op en sluit af: CTRL+O, CTRL+X

Start wireguard client bij opstarten (optioneel):
code:
1
systemctl enable wg-quick@wg0-client

Start de WireGuard client:
code:
1
service wg-quick@wg0-client start

Nu kunnen we de publieke sleutel van je client toevoegen aan de WireGuard configuratie van de EdgeRouter:
code:
1
2
set interfaces wireguard wg0 peer <inhoud van /etc/wireguard/client_public_key> allowed-ips 10.0.7.2/32
set interfaces wireguard wg0 private-key /config/auth/wg.key

En dan nog de firewall open zetten. Let op: als je al een regel 20 hebt (regel 2 in de GUI, vraag me niet waarom) voor WAN_LOCAL dan zal deze overschreven worden!
code:
1
2
3
4
5
6
7
set firewall name WAN_LOCAL rule 20 action accept
set firewall name WAN_LOCAL rule 20 protocol udp
set firewall name WAN_LOCAL rule 20 description 'WireGuard'
set firewall name WAN_LOCAL rule 20 destination port 51820
commit
save
exit

Omdat ik al een rule 20 (2) had (Drop Invalid state), werd deze overschreven maar de 'State' van de oude regel bleef behouden (Invalid). Hierdoor moest ik de states erna nog handmatig aanpassen (Established, New, Related) en de overschreven regel 'Drop invalid state' opnieuw aanmaken.

Nadat ik dit (via de WebGUI) had gedaan, werkte WireGuard! One down d:)b

[Voor 0% gewijzigd door iGadget op 20-12-2020 20:44. Reden: fout IP]

Nuff' said...


  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
Na een aantal dagen buitenshuis kan ik zeggen dat WireGuard zeer goed bevalt. Zodra de verbinding is opgezet werkt het stabiel en snel. Hoe snel precies kan ik niet zeggen want de internetverbinding buiten de deur is hier overduidelijk de beperkende factor.

Wel zie ik nog ruimte voor verbetering:
  1. Het toevoegen van nieuwe clients gaat nu vrij omslachtig (Public key op de client aanmaken, public key overzetten naar EdgeRouter, public key van de server overzetten naar de client, WireGuard regel met client public key toevoegen op EdgeRouter, gegevens van server met de hand inkloppen op client). Dit moet makkelijker kunnen, bijv met een preset/profiel of met een QR-code generator of een combinatie daarvan. Kortom - uitzoekwerk.
  2. Met de huidige opzet op Ubuntu 20.10 (en naar verwachting ook op 20.04) waarbij WireGuard nog geen onderdeel is van Network Manager en alles met losse shell-scriptjes wordt gestart, worden de DNS instellingen bij een suspend-resume cycle overschreven door Network Manager, waarna mijn interne servers niet meer goed resolven. Ik herlaad daarom nu met de hand iedere keer het WireGuard scriptje om de DNS instellingen weer terug te forceren. Beter zou zijn om dit automagisch te laten doen door Network Manager. Dit brengt me op het volgende punt:
  3. Network Manager (iig de GUI) is totaal 'unaware' van WireGuard en houdt hier geen rekening mee. Er is een project op GitHub wat WireGuard via de Network Manager GUI mogelijk maakt, dit zou misschien het missende puzzelstukje kunnen zijn. Vraag is wel waarom dit project (nog?) niet met open armen is ontvangen door projecten als Ubuntu en wordt meegeleverd. Was Canonical niet met de release van Ubuntu 20.04 al aan het pochen met 'WireGuard support out of the box'?
  4. Daaraan gekoppeld - zodra ik weer thuis ben op mijn eigen LAN, dan blijft WireGuard toch actief. Moet deze nu met de hand uitzetten, anders kan ik nergens mee verbinden. Ik moet dus een manier zien te vinden waardoor Network Manager 'ziet' dat ik thuis ben of niet en aan de hand daarvan WireGuard aan of uit zet. Hopelijk volgt dit automagisch als ik het voorgaande punt heb opgelost.
Zodra ik verder ben met bovenstaande punten zal ik deze reactie editten.

[Voor 9% gewijzigd door iGadget op 28-12-2020 21:26. Reden: er was nog een punt.]

Nuff' said...


  • Tymusz
  • Registratie: juni 2000
  • Laatst online: 08-10 09:01
hoi.
ik heb een zelfde situatie.

De edge router is wel fijn, en kan een hoop, maar ik heb er toch maar een USG naast gezet, en die maakt administratie al een stuk eenvoudiger. Als je de controllersoftware gebruikt voor je accesspoints, zie je daar een hoop opties zitten.

wat betreft pi-hole en IPv6: als je in de edgerouter prefix delegation aan hebt staan, en ook router announcements automatisch doet, zul je ook een ipv6 dns server aan je clients adverteren. als die niet naar je pihole wijst, maar naar een publieke dns, zal jw client afhankelijk soms wel, soms geen advertenties laten zien.
oplossing is (voor USG tenminste) om handmatig de dns te zetten. daarvoor moet je pihole dan of een statisch adres krijgen, of een fixed adres hebben.

Voor een dhcpv6 adres is de edgerouter te programmeren vanuit de gui. dat heb ik n og niet fatsoenlijk in de usg gevonden.

VLAN implementatie is een makkie op de USG, omdat je (net als voor je wifi punten) de netwerken aconfigureert met een VLAN nummer, die automastisch door de USG getagged worden op zn uitgaande poorten. Bij de edgerouter is dat moeilijker omdat je switch0 apart configgen.

Als je dan kijkt naar ipv6, dan kun je met prefix delegation stukken van je ipv6 subnet uitdelen aan je vlans. daardoor kun je wel van buitenaf aan het adres zien in welk vlan een apparaat zit.

(IPV6 prefix delegation op de ERX doe je in de config-tree, op de WAN interface. geef daar aan naar welke adapter je een subnet wilt uitdelen)

Wat betreft logging kun je in de unifi controller zien op welke events je een usg kunt laten afgaan. dus het linken van devices bijvoorbeeld. (ik had een alarm staat op elke keer dat iemand aan mijn mcdonalds free wifi linkt)

Nu heb ik het over de USG maarik overweeg toch ook een iets zwaardere unifi firewall neer te zetten.

Ik weet niet of je hier iets aan hebt,

T.

  • bramvanmol
  • Registratie: december 2015
  • Laatst online: 20-10 11:54
Hey ik vond je project wel sympathiek. Maar het ligt precies stil. Voor SSL certificaten en Proxy gebruik ik nginx proxy manager. Deze zet super snel SSL via letsencrypt op.
Ik weet niet hoe je nu je reverse Proxy regelt? Of doe je alles via portforwarding?

Ben je nog bezig met deze topic?

  • Frogmen
  • Registratie: januari 2004
  • Niet online
@iGadget Misschien moet je je afvragen waarom niemand reageert, je wilt iets heel complex versimpelen je schrijft een heel verhaal van wat je allemaal wil. Echter mist er een essentie waarom? Meer veiligheid! Je haalt een keurig door KPN beheerde veilige router weg om een Edgerouter te plaatsen waarbij gezien je vraagstelling ik betwijfel of die juist is ingesteld zodat hij inderdaad veilig is.
Verdiep je eerst in netwerken hoe het werkt etc voordat je je zorgen gaat maken over veiligheid. Bedenk ook dat jij niet interessant bent voor ransomware en een hoop andere complexe narigheid, denk liever goed na over wat je download en installeert want daar zitten de meeste risico's in jouw geval.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • +2Henk 'm!

  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
@Tymusz De USG is voor mij niet snel genoeg, ik wil dan ook meteen IDS / IPS gebruiken en dan is 200 mbit gewoon teveel voor het apparaat. En een UDM Pro gaat niet werken (althans, niet als vervanger voor de EdgeRouter, wat dan de insteek zou zijn) aangezien deze (nog) geen PPPOE ondersteunt en ik dus geen verbinding met KPN kan maken. Waarom heb je eigenlijk de USG *naast* de EdgeRouter gezet? Wat kan de USG niet dat je EdgeRouter wel kan?

Wat betreft je pi-hole en IPv6 tips, hier ga ik naar kijken, dank!

@bramvanmol Klopt, heb de afgelopen maanden veel andere zaken aan mijn hoofd gehad, maar hoop er binnenkort weer mee verder te gaan.
Heb Nginx proxy manager al eerder iets over gelezen, is daar niet een integratie met Home Assistant voor? Ga er iig naar kijken, doe op dit moment idd alles nog met port forwarding wat uiteraard maar voor 1 server tegelijk kan icm Letsencrypt.

@Frogmen Goed punt. Al moet ik de situatie nuanceren - de EdgeRouter was er al (lang) voordat ik KPN kreeg. Ben ooit met glasvezel begonnen bij XMS, waar een eigen router heel normaal was en je ook helemaal geen router meegeleverd kreeg bij je abo, tenzij je hier expliciet om vroeg (en voor betaalde).
Dus ik heb altijd al mijn eigen spullen gehad. Was bij XMS ook super simpel - inprikken, DHCP, klaar.
Heb toen flink wat tijd besteed aan het optuigen van beveiliging, VLAN's etc. Een prachtige Zentyal server met OpenVPN, werkte als een zonnetje. Deze server ging echter zoals gezegd dood en Zentyal begon moeilijk te doen, dus die werd uiteindelijk vervangen door de EdgeRouter.
Werkte ook best aardig, had na een tijdje ook daarin mijn hele VLAN gebeuren werkend gekregen en toen jarenlang niet meer naar om hoeven kijken.

Dat veranderde allemaal toen XMS werd opgeslokt door KPN en ik gedwongen werd om te migreren naar een alternatief. Op dat moment was Telfort financiëel het meest aantrekkelijk, maar toen moest er al e.e.a. gewijzigd worden in het opzetten van de verbinding, omdat Telfort me wel een Experiabox (V8) door de strot duwde. Als ik die was gaan gebruiken moest mijn hele netwerk op de schop en zou ik een boel functionaliteit verliezen. Dus na flink wat moeite ook weer werkend gekregen via de EdgeRouter.

Ging weer een paar jaar goed. Toen sneuvelde ook Telfort en moest ik over naar KPN. Om de pijn wat te verzachten boden ze me een upgrade naar 200/200 (ik zat op 100/100) voor weinig, dus daar had ik 'ja' op gezegd voor ik er erg in had.
Wat ze er echter niet bij hadden gezegd, was dat deze upgrade gepaard ging met een netwerkmigratie en een nieuw modem - de Box V12.
Inmiddels was gelukkig de 'vrije modemkeuze' een feit en kon ik gewoon op het KPN forum een fantastische guide met scripts vinden voor mijn EdgeRouter om de boel KPN-ready te maken...
...alleen ging dat wel gepaard met een volledige reset van de EdgeRouter, dus mijn hele setup met VLAN's etc. was foetsie.

Helaas had ik destijds verzuimd om goed te documenteren hoe ik alles precies had opgezet en is mijn beperkte brein vrij sterk in het trimmen van kennis die een tijdje niet gebruikt is...
Dus ik kreeg de boel met geen mogelijkheid meer werkend. Heb uiteindelijk ook al mijn switches een factory reset moeten geven (management VLAN kwam ik niet meer op) en ik kon weer 'from scratch' beginnen.
Toen weer gaan opbouwen. En dan kom je erachter dat je wel verdomd veel tijd kwijt bent met het beheren van al die verschillende omgevingen. En er toch wel heel veel security patches nodig zijn regelmatig. En dan blijk je ook nog IPv6 erbij te hebben gekregen. En je leest op security.nl wekelijks (of eigenlijk dagelijks) steeds meer digitale ellende. En dan.... slaat de twijfel toe.
Dus vandaar mijn post.

Wat betreft ransomware - daar maak ik me (nog) niet al teveel zorgen om. Er is hier in huis geen Windows machine te vinden ;-)
Wel wil ik meer controle over mijn data en uiteindelijk zoveel mogelijk bij Google en consorten weg. Gaat gelukkig steeds beter met oplossingen als Nextcloud, helemaal in combinatie met de 200/200 verbinding. Maar dat houdt wel in dat ik ook zelf de boel up en veilig moet houden. En dus beheer(s)baar.

Ik ga er ook niet van uit dat ik snel slachtoffer zal worden van een targeted hack, maar wil tegelijk de risico's van het zelf hosten van spullen ook niet onderschatten. Healthy paranoia, zullen we maar zeggen.

Denk dus eerlijk gezegd ook niet dat downloads in mijn geval het grootste risico vormen. Ik draai zoals gezegd geen Windows en ben zelf behoorlijk kritisch op wat ik download en installeer. Vrouwlief werkt vrijwel uitsluitend op haar iPhone en af en toe op de Chromebook, dus daar voorzie ik ook weinig ellende. Als de kinderen groter worden en actiever op internet zie ik daar op termijn wel mogelijke issues, dus die ben ik graag voor.

Al met al zit ik dus in de situatie dat ik net teveel weet en wil (en spullen heb) om terug te kunnen gaan naar de standaard Box V12 omgeving. Tegelijkertijd weet ik er weer net te weinig van om alle best-ICT-practices (zowel qua security als beheer) in 1x feilloos te kunnen implementeren.

Het grootste probleem is hierbij denk ik het maken van keuzes - er zijn zo bizar veel oplossingen en 'wegen naar Rome', maar (lang) niet iedere oplossing gaat ws. alles kunnen bieden waar ik naar op zoek ben. En misschien wel geen enkele. Dus als blijkt dat ik verschillende systemen naast elkaar zal moeten (blijven) gebruiken, dan wil ik die wel zo kiezen / inrichten dat ze met zo min mogelijk effort veilig te maken en (met name) te houden zijn.
Wil hoe dan ook voorkomen dat ik een keuze maak, hier waanzinnig veel tijd in stop, implementeer, koppel aan vanalles en nogwat om er dan vervolgens achter te komen dat het toch niet kan wat ik wil. Of dat het implementeren en onderhouden zo complex blijkt, dat ik er netto niks mee opschiet.

In ieder geval heb ik al wel een aantal keuzes gemaakt de afgelopen periode:
1. De hypervisor blijft voorlopig Proxmox. Heb inmiddels een 2e (en 3e) server ingericht, een cluster opgezet en man man man wat werkt dat mooi. Dus daar wil ik graag op verder bouwen.
2. WireGuard is ook een blijvertje. Ook al heb ik de punten uit mijn vorige post nog niet opgelost, de huidige implementatie werkt nog altijd prima, snel en stabiel. Heeft ook al een EdgeRouter firmware update overleefd, dus ik ben overtuigd.
3. UniFi is leuk, maar gaat slechts een deel van het beheer-vraagstuk kunnen oplossen. Dus wellicht gaat het onderdeel zijn van de uiteindelijke oplossing, maar ga me hier niet blind op staren.

Iets zegt me dat ik er nu vooral voor moet zorgen dat de basis solide is / wordt.
En als ik denk aan basis, dan denk ik aan centrale user- en device management (wat hangt er allemaal aan het netwerk en wie mag wat op deze devices) met daaraan gekoppeld een solide DNS. En dan vanaf daar verder bouwen.

Eens? Zo ja, welke oplossing(en) zouden dan aan te raden zijn?
Zo nee, wat zou dan de eerste prio moeten zijn?

Nuff' said...


  • Tymusz
  • Registratie: juni 2000
  • Laatst online: 08-10 09:01
iGadget schreef op vrijdag 5 maart 2021 @ 00:42:
@Tymusz De USG is voor mij niet snel genoeg, ik wil dan ook meteen IDS / IPS gebruiken en dan is 200 mbit gewoon teveel voor het apparaat. En een UDM Pro gaat niet werken (althans, niet als vervanger voor de EdgeRouter, wat dan de insteek zou zijn) aangezien deze (nog) geen PPPOE ondersteunt en ik dus geen verbinding met KPN kan maken. Waarom heb je eigenlijk de USG *naast* de EdgeRouter gezet? Wat kan de USG niet dat je EdgeRouter wel kan?
Ik was ook benieuwd naar de prestaties van de 2 routers, met name rond IDS/IPS. Ook omdat ik nu op gigabit zit en geen bandbreedte wil inleveren door een foute router aan mijn kant.

De USG heeft toch wel leukere opties qua monitoring moet ik zeggen. Intussen staat de edgeRouter dan ook meer switch dan router te spelen.

  • Tymusz
  • Registratie: juni 2000
  • Laatst online: 08-10 09:01
als malware dan je grootste zorg is zou je kunnen denken aan een FortiGate met de nodige filters erop.

ik weet niet wat het qua prijs of prestatie doet, maar wel dat de webfiltering goed is: je kunt een sandbox aanwijzen waar eerst al je downloads op getest worden voordat ze door mogen naar de client.

Ook zit er outbound filtering op zodat je ook niet zomaar data als rekingingnummers etc kwijtraakt (tot op zekere hoogte).

Een ander product waar ik wel over te spreken ben is Cylance antivirus: Deze is heel sterk met code analyse en laat niet zomaar alles runnen wat je maar wilt. Als programmeur zittie me wel eens in de weg als ik vage code schrijf.

Ik denk als je deze twee punten aanpakt (antivirus en firewall) dat je goed zit,

  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 22:42
Volgens mij kan de udm-pro gewoon met PPPOE overweg.

  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
HKLM_ schreef op dinsdag 16 maart 2021 @ 05:39:
Volgens mij kan de udm-pro gewoon met PPPOE overweg.
Oh echt? Dat is dan sinds kort, want dit was altijd al 1 van de klachten die ik las over de UniFi range (dat je dan met json files moest gaan klooien om het werkend te krijgen) en de UDM-Pro had in het begin zelfs niet alle features die de USG wel had. Fijn, dan kan die weer op de shortlonglist erbij :D
Tymusz schreef op dinsdag 16 maart 2021 @ 00:32:

Ik was ook benieuwd naar de prestaties van de 2 routers, met name rond IDS/IPS. Ook omdat ik nu op gigabit zit en geen bandbreedte wil inleveren door een foute router aan mijn kant.
Euh... Maar als je op gigabit zit, dan kom je toch *totaal* niet uit met een USG? Alleen de UDM-Pro kan op die snelheid nog IDS/IPS doen. Gebruik je het dan niet of neem je toch genoegen met een lagere snelheid?
De USG heeft toch wel leukere opties qua monitoring moet ik zeggen. Intussen staat de edgeRouter dan ook meer switch dan router te spelen.
Voor monitoring zou ik het idd wel willen overwegen, maar dan zijn er nog zoveel andere oplossingen. Belangrijker in het grote plaatje vind ik dat het gaat kunnen integreren in de uiteindelijke oplossing die ik ga kiezen als 'dashboard'. En volgens mij doet UniFi alleen zijn eigen spullen (en dan alleen nog maar echt datgene uit de UniFi lijn, de EdgeRouter kun je al niet monitoren zelfs al is het van dezelfde maker) wat ik, voor wat ik voor ogen heb, weer te beperkt vind.
als malware dan je grootste zorg is zou je kunnen denken aan een FortiGate met de nodige filters erop.
Da's enterprise spul toch? Met een 'vanaf-prijs' van ruim €500 voor de simpelste firewall variant zegt iets mij dat dat een beetje buiten mijn budget ligt...

Maar wel een goed punt wat je aanhaalt - ongeacht voor welke oplossing(en) ik uiteindelijk ga, zou ik misschien eens goed moeten inventariseren welke dreiging(en) ik me nou eigenlijk precies tegen wil wapenen (met de daarbij idealiter de mogelijke impact en de kans dat deze dreiging zich voordoet - maar hoe bepaal je dat?) en dan kijken welke oplossing(en) daar het beste bijpassen.
Daar moet iemand toch al eens eerder onderzoek naar hebben gedaan lijkt me... }:O
#todootje_erbij
Een ander product waar ik wel over te spreken ben is Cylance antivirus:
Is dat ook interessant als je geen enkele Windows machine in huis hebt?
Ik denk als je deze twee punten aanpakt (antivirus en firewall) dat je goed zit
Denk dat dit allebei onderdelen (gaan) zijn van de uiteindelijke oplossing. Maar weet niet of dit genoeg gaat zijn voor wat ik voor ogen heb.
Misschien toch eerst maar weer even een stap terug doen en beginnen met die 'threat analysis'(?)...

Nuff' said...


Acties:
  • +2Henk 'm!

  • Faifz
  • Registratie: november 2010
  • Laatst online: 26-10 03:10
Aan IPS/IDS heb je niet zoveel omdat de firewall niet doorheen encrypted traffic kan kijken en denk niet dat je zomaar poorten open hebt staan zoals FTP waar IPS/IDS van pas komt. Als je het maximale uit IPS/IDS wil halen, ga je SSL decryption moeten doen en dit is niet mogelijk op Ubiquiti hardware.

Alhoewel je public key authentication met 2FA/MFA kunt combineren, hou ik het liever bij MFA. Duo is gratis tot 10 user accounts (ieder user account kan 10 aliases hebben) en het verschil met Duo en bv Google auth is dat je push notificaties hebt ipv telkens OTP's in te geven.

Voor offline web-services kan je altijd een wildcard certificaat aanvragen bij Let's Encrypt. Dit doe je best via DNS challenge ipv HTTP challenge. Hiervoor heb je geen NAT regel nodig.

Verder ondersteunen vele MFA providers nog geen WireGuard, terwijl MFA voor OpenVPN/IPSEC heel toegankelijk is.

  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
...en terwijl ik druk bezig was met inlezen, uitzoeken en voorzichtig hier en daar wat zaken uitproberen, zie ik vanavond ineens iets waardoor ik het vermoeden krijg dat ik misschien al te laat ben...

Om een ander probleem te debuggen, deed ik vanaf een extern IP een portscan (standaard nmap) naar mijn IP. Tot mijn verbazing blijkt naast poort 80 en 443 (Nextcloud) ook poort 21/FTP open te staan... WTF?!

In de EdgeRouter kan ik via de GUI nergens een verwijzing vinden in zowel de port forwards als de firewall regels over FTP of poort 21.
Log ik in via SSH dan zie ik via
code:
1
netstat -an
ook helemaal niets wat verwijst naar dat er iets draait op poort 21.

Wat me wel opviel is dit:
code:
1
2
3
4
5
igagdet@edgerouter:~$ show firewall name WAN_IN

IPv4 Firewall "WAN_IN":

 Inactive - Not applied to any interfaces, zones or for content-inspection.

Daarna volgen wel de firewall regels die ingesteld staan met statistics, maar dit roept wel vraagtekens op - hoezo 'Inactive?'
Hetzelfde geldt overigens ook voor de WAN_LOCAL ruleset. Raar? Voor LAN1_IN zie ik namelijk het volgende:
code:
1
2
3
4
5
igadget@edgerouter:~$ show firewall name LAN1_IN  

IPv4 Firewall "LAN1_IN":

 Active on (eth1,IN)

Dus hier is de firewall kennelijk wel actief. Waarom dan niet voor WAN_IN en WAN_LOCAL?

Als ik vanaf het externe IP verbinding maak naar poort 21 (getest met zowel FTP als telnet), dan krijg ik met FTP het volgende te zien:
code:
1
Connected to mijn_hostnaam.

Na een aantal seconden verschijnt dan de melding:
code:
1
421 Service not available, remote server has closed connection

Met telnet zie ik het volgende:
code:
1
2
Connected to mijn_hostname.
Escape character is '^]'.

Na een aantal seconden wordt de verbinding vebroken met:
code:
1
Connection closed by foreign host.

Moet zeggen dat ik dit best griezelig vind allemaal, hoe kom er erachter of dit iets onschuldigs is of dat ik een serieus probleem heb?

Toevoeging: heb de tests hierboven nogmaals gedaan terwijl ik de stats van WAN_LOCAL in de gaten hield. Zolang de 'verbinding' in stand was liepen alleen de DROP counters op, verder niet. Dit stemt me iets hoopvoller, maar waarom staat die poort open, waarom zie ik dit nergens terug in EdgeOS en hoe krijg ik 'm weer dicht?

UPDATE: Heb een vriend vanaf zijn verbinding laten scannen en hij zag poort 21 niet open staan... Ik heb daarna nog andere hosts gescanned vanaf hetzelfde externe IP (hotspot via Vodafone 4G) en wat blijkt - alle hosts hadden 'zogenaamd' poort 21 open. Dus kennelijk doet Vodafone iets *heel* raars op zijn netwerk - iedere host die je scant vanaf het Vodafone netwerk *lijkt* poort 21 open te hebben staan, terwijl dit in werkelijkheid niet zo is. Wellicht willen ze hier FTP'en vanaf je mobiel lastig maken / monitoren ofzo? #vaag

In ieder geval - problem solved, back to work.

[Voor 37% gewijzigd door iGadget op 21-03-2021 16:19. Reden: problem 'solved' - Vodafone blijkt de boosdoener.]

Nuff' said...


Acties:
  • 0Henk 'm!

  • P1028 Team
  • Registratie: mei 2021
  • Laatst online: 08-05 11:54
Hallo, Je hebt een heel werk gemaakt van de beveiliging van je netwerk. Bedenk dat de mens nog steeds de zwakke schakel is.
Wanneer je een wireshark dump maakt vanaf 1 van je werkstations, kun je op *spam* deze dump uploaden en krijg je een ARP rapportage terug. Handig voor je documentatie, bovendien zit daar nog wat extra rapportjes bij mbt tot response tijden en zo.
Op dit moment hebben we alleen nog het ARP protocol, DNS is inmiddels bijna klaar. Omdat ARP grotendeels een broadcast protocol is, kun je op bijna elke werkstation wel wiresharken.

Ben erg benieuwd wat je van de rapportage vindt.

[Voor 1% gewijzigd door Microkid op 08-05-2021 12:00]


Acties:
  • 0Henk 'm!

  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
@P1028 Team kennelijk is het niet de bedoeling om jullie project hier te promoten, maar ben wel benieuwd. Stuur me anders een DM, dan kijk ik ernaar.

Verder even korte update:
- VLANS voor Guest-Wifi, IOT apparatuur en servers - ben hier voorzichtig mee begonnen. Guest-Wifi draait, heb een 'DMZ' VLAN voor de vm's die bereikbaar zijn vanaf internet, maar nog niet alle VM's maken hier gebruik van.
- Device isolation voor de minst-vertrouwde devices - dit kan natuurlijk door ieder device op een eigen VLAN te gooien. Maar voor ieder VLAN moeten er ook flink wat wijzigingen en firewall regels bij op de EdgeRouter, dus weet niet of dit op termijn nadelig is voor de performance. Qua beheer is het iig niet heel ideaal.
- Device blocking voor onbekende devices - heb nu iig ingesteld dat alle onbekende MAC adressen in een IP range terecht komen die geen toegang heeft tot internet. Maar dat is natuurlijk niet afdoende - MAC adressen zijn te clonen en IP adressen zijn handmatig in te stellen. Daarnaast beschermt dit de interne hosts ook niet. Dus dit moet nog beter.
- VPN - Nog niet aan toegekomen om hier mee verder te gaan. WireGuard draait nog altijd naar tevredenheid, maar moet geoptimaliseerd worden. Wellicht nog verplaatsen van EdgeRouter naar een eigen VM.
- SSH hardening (inloggen met keys ipv user/pass) - ben hier ook mee begonnen, werkt best goed. Nu nog overal consequent doorvoeren. Zoek nog wel een betere manier om de host key fingerprints centraal te beheren, dit gaat nu nog altijd via de spreadsheet. Tips welkom.

Nog niet aan toegekomen:
- Centraal beheer voor devices, users en wat nog maar meer mogelijk (en zinvol) is.
- IDS / IPS
- Geldige (Letsencrypt) SSL certificaten regelen voor alle machines die web services draaien
- IPv6 inzichtelijk maken en beveiligen

Oh en dan is er natuurlijk nog de 'threat analysis' die ik moet gaan maken.

De reden dat ik nog niet aan bovenstaande ben toegekomen (naast 'het leven') is voornamelijk omdat ik flink aan het sleutelen ben geslagen met mijn infra. Zit midden in een 10gbit upgrade voor het Proxmox micro-clustertje en op dit moment ben ik ook de centrale storage aan het opkrikken. Als dat allemaal goed draait worden bovenstaande items hopelijk ook weer makkelijker om op te pakken.

To be continued 8)

[Voor 1% gewijzigd door iGadget op 08-05-2021 13:58. Reden: threat analysis moet ook nog]

Nuff' said...


Acties:
  • 0Henk 'm!

  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 23:13
Heb je reeds de nodige IPv6 FW-rules ingeregeld ? Dan is het mischien beter dat je IPv6 in z'n geheel nog effe uitzet ... geen geen IPv6 dan een onveilig/niet-beveiligde IPv6 setup.

Ik bedoel dan, zijn er rules om IPv6 van buiten naar binnen te blokken ? (want geen NAT nodig, dit is een routingskwestie). Zijn er rules om van binnen naar buiten zomaar geen IPv6 toe te staan ? (tenzij voor de trusted systemen)

Nu de IPv6 space is belachelijk groot, dus iemand die zomaar random vanaf Internet tot bij je komt is een stuk kleiner als bij IPv6, maar het gevaar kan evengoed op de binnenkant zitten..

Acties:
  • 0Henk 'm!

  • iGadget
  • Registratie: januari 2000
  • Laatst online: 15-09 15:50
@jvanhambelgium Ben het met je eens, liever zet ik IPv6 nog uit totdat ik het onder de knie heb. Niet in de laatste plaats omdat af en toe de IPv6 DNS server (van naar ik mag aannemen, KPN) als default ingesteld wordt op veel clients als mijn eigen piHole servertje even uit de lucht is. En dan wordt piHole meteen gebypassed en werken alle interne hostnames niet meer.

De EdgeRouter heeft echter alleen een 'duidelijke' GUI voor IPv4. De settings voor IPv6 moet je de config tree voor induiken of in de console gaan poeren. Beiden staan nog op mijn 'todo' lijst.
De maker van het KPN PPPOE config script speciaal voor EdgeRouter heeft mij echter verzekerd dat hij IPv6 standaard 'veilig' heeft ingesteld, dus alles vanaf buiten zou in principe geblokkeerd moeten worden.

Nuff' said...


Acties:
  • 0Henk 'm!

  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 23:13
Eigenlijk zou je ook zaken als DNS-over-TLS en DNS-over-HTTPS moeten blokkeren. Dat blokkeer ik allemaal outbound. Ook "onderschep" ik alles andere DNS-requests en breng ze naar m'n Pihole.
Je ziet verschillende devices die "hardcoded" 8.8.8.8 enz gebruiken als DNS. Dat laat ik dus niet toe.

Probleem van DOH is dat het over TCP/443 loopt, maar gelukkig zijn er dynamische lijsten van DoH/DoT servers op Internet. Ik lees die uit en bouw m'n filter hiermee.
DoT loopt ove TCP/853 en dat is duidelijker te filteren zonder andere dingen te breken.
Er bestaat ook nog DNS-over-QUIC en dat loopt over UDP/8853 en kan je ook blokkeren.


Ik werk op Mikrotik.
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee