Upgraden netwerkbeveiliging + beter beheer - what to do?

Gezien de alsmaar groter wordende dreiging van exploits, ransomware en [hier-alle-overige-digitale-narigheid], wil ik mijn netwerk beter gaan beveiligen. Makkelijk beheer valt wat mij betreft daarmee samen - op dit moment is dit niet zo (bijna ieder apparaat heeft een eigen manier van beheren) en daardoor blijven er in toenemende mate security zaken langer liggen dan ik zou willen.

Nu ik onlangs ben gemigreerd naar KPN glasvezel heb ik ook nog IPv6 erbij gekregen om de zaken nòg een stukje complexer te maken... Na een aantal dagen research zie ik nu even door de bomen het bos niet meer, dus graag jullie advies.

Wat ik op dit moment heb - verbinding + hardware
- KPN glasvezel 200/200
- Ubiquiti EdgeRouter Lite (ipv de geleverde KPN Box 12, die staat nu te verstoffen in de kast)
- Unifi Switch Lite 8 POE
- 2x HP switch (1800-8G en 1820-8G)
- 2x Unifi AP (AC-LR en AC-Lite)
- QNAP TS-639 NAS
- Dell Optiplex 7010 als VM / container server
- Intel NUC5c als (parttime) beheer & mediaserver

Wat ik op dit moment gebruik aan (server) sofware
- EdgeOS 2.0.19 op de EdgeRouter (DHCP, routing, firewall)
- Unifi Network Controller (bare metal op de NUC5c / Ubuntu 20.04) voor beheer Unifi apparatuur
- HP's web-interfaces voor beheer van de beide HP switches (totaal verschillende versies)
- QTS op de QNAP (gebruikers, shares, updates)
- ProxMox VE voor beheer VM's / containers:
- Nextcloud (in container)
- PiHole (in container)
- Logitech Media Server / squeezebox (in container)
Tenslotte nog:
- Plex (bare metal op NUC5c / Ubuntu 20.04)
- Cockpit (bare metal op NUC5c / Ubuntu 20.04), uitprobeersel, werkt nog niet zoals ik voor ogen had.
- SSH om direct op verschillende devices in te loggen, als de 'normale' beheeromgeving tekort schiet.

Zoals je ziet, een hele mengelmoes aan devices en beheertools, niet echt handig om overzicht te houden.

Huidige geïmplementeerde security maatregelen
- Vrijwel ieder device heeft eigen account met uniek, hard-to-guess wachtwoord (lang leve de password manager!)
- OTP aangezet waar mogelijk (op dit moment Unifi Controller, ProxMox, QNAP en Nextcloud)
- PiHole als DNS (werkte goed tot de KPN migratie. Sindsdien lijkt deze steeds vaker gebypassed te worden, wellicht vanwege IPv6?)
- SSH host key fingerprints van de verschillende machines sla ik op in een spreadsheet en als ik een waarschuwing krijg (bijv. bij inloggen vanaf nieuwe client) check ik handmatig of deze nog klopt (verre van ideaal, I know)

Nog te implementeren
- VLANS voor Guest-Wifi, IOT apparatuur en servers (dit had ik jaren geleden met flink wat pijn en moeite al goed ingericht. Sinds de KPN migratie is dit echter ongedaan gemaakt aangezien o.a. de complete configuratie van de EdgeRouter is gereset)
- Device isolation voor de minst-vertrouwde devices
- Device blocking voor onbekende devices
- VPN (liefst WireGuard) -> Zie eerste reply onder deze post
- SSH hardening (inloggen met keys ipv user/pass)
- Centraal beheer voor devices, users en wat nog maar meer mogelijk (en zinvol) is.
- IDS / IPS
- Geldige (Letsencrypt) SSL certificaten regelen voor alle machines die web services draaien (is nog een uitdaging achter NAT)
- IPv6 inzichtelijk maken en beveiligen (totaal nieuwe wereld!)

Waar ik over twijfel / vragen die ik heb
1. Idealiter wil ik naar een situatie toe waarbij ik alle aanwezige apparaten op mijn netwerk op 1 plek administreer (MAC adres, DNS naam, IP + andere zinvolle zaken), ipv dat dit op meerdere plekken moet. En zodra er dan een onbekend apparaat het netwerk op wil, ik hier een melding van krijg en dit expliciet moet toestaan. Kan dit met de huidige hardware die ik heb draaien?
2a. Zo ja, welke omgeving(en) zou ik het beste kunnen kiezen om bovenstaande (en onderstaande) het makkelijkst te kunnen beheren? Bijv. ProxMox, Unifi, Cockpit, Zentyal, Univention of iets heel anders?
2b. Zo nee, welke hardware zou ik het beste kunnen aanschaffen hiervoor?
3. Hoe ga ik veilig om met IPv6 in dit hele verhaal?
4. Biedt 802.1x security (zie ik staan als optie bij de netwerkinstellingen van o.a. Ubuntu) meerwaarde of haal ik me hiermee alleen nog maar meer ellende op de hals?
5. Ook heb ik gelezen over een 'Bastion host', als centrale (en enige) plek van waaruit alles beheerd wordt. Is dit aan te raden?
6. Zijn er nog andere zaken die ik nu misschien over het hoofd zie, maar die wel essentiëel zijn?

Dit heb ik al geprobeerd
Zelf heb ik in een grijs verleden Zentyal gedraaid als router en OpenVPN server. Werkte best aardig maar op het moment dat mijn toenmalige server dood ging hadden ze net een beleidswijziging doorgevoerd die me niet aanstond. Bovendien had ik destijds niet de cash om fatsoenlijke nieuwe server hardware aan te schaffen. Toen op aanraden van een vriend de EdgeRouter gekocht.

Ook heb ik dus inmiddels ervaring met ProxMox, Unifi en heb ik heel even Univention geprobeerd. Cockpit draait zoals gezegd op de NUC5c en op een test VM, maar dit heb ik nog niet echt lekker werkend gekregen. Daarbij twijfel ik al een tijdje of ik mijn huidige Dell Optiplex 'servertje' niet moet vervangen door iets wat krachtiger èn zuiniger is. Een leuke Ryzen-based mini-PC ofzo. Met een flinke sloot geheugen. Wellicht iets voor een los topic

Unifi is super gelikt en zou een groot deel van de wensen kunnen dekken, maar dan zal ik ws. de EdgeRouter moeten vervangen door bijv. een UDM (Pro)? Een USG haalt de 200mbit niet icm met IDS / IPS, en de USG-Pro schijnt een takkeherrie te maken. Dat gaat de vrouw des huizes niet waarderen...

Al met al sta ik dus open voor alternatieven en wil ik ook best een (eenmalige) uitgave doen, mits dit voldoende meerwaarde biedt.
Een heel verhaal, besef ik me nu. Hoop dat de strekking wel duidelijk is en ben enorm benieuwd naar je reactie

[ Voor 0% gewijzigd door iGadget op 20-12-2020 20:51 . Reden: VPN = done! ]

Kennelijk zit niemand te wachten op zo'n complex verhaal, dus ik ga het maar stap voor stap aanpakken. Hopelijk wordt dat een interessanter project om eventueel op te reageren.

Aangezien ik binnenkort een paar dagen buiten de deur ben, lijkt het me slim om te beginnen met de VPN. WireGuard het liefst vanwege de goede reviews mbt performance, veiligheid en beste toekomstperspectief (het is immers inmiddels onderdeel van de laatste Linux kernels).
Ondanks dat ik me besef dat WireGuard nog vrij jong is en er nauwelijks GUI tools voor te vinden zijn, vind ik bovenstaande redenen toch zwaarder wegen. Hopelijk komt het GUI-gedeelte tzt vanzelf goed

Voordat ik een complete VM hiervoor ga optuigen, wil ik eerst kijken of ik het goed werkend kan krijgen op de EdgeRouter Lite.
Ik volg deze guides:

• https://github.com/whiskerz007/ubnt_get_wireguard (installatie op EdgeRouter)
• https://github.com/WireGuard/wireguard-vyatta-ubnt#usage (configuratie EdgeRouter)
• https://allthings.how/how...d-client-on-ubuntu-20-04/ (installatie en configuratie Ubuntu client)

Met het script van whiskerz007 bleek de installatie op de EdgeRouter een eitje.
Eerst met SSH verbinden en daarna het volgende intikken:

Om automatisch weekelijks WireGuard updates te laten checken:

Configuratie:

Voor we verder gaan, eerst de client(s) configureren. In mijn geval is dat Ubuntu 20.04 en 20.10.
Naast het pakket wireguard heb je ook openresolv nodig, anders kun je niet je eigen interne DNS server gebruiken (zie https://github.com/StreisandEffect/streisand/issues/1434).

Nu maken we de client config aan. Die van mij ziet er zo uit (alles tussen <> vervangen door je eigen gegevens):

Sla op en sluit af: CTRL+O, CTRL+X

Start wireguard client bij opstarten (optioneel):

Start de WireGuard client:

Nu kunnen we de publieke sleutel van je client toevoegen aan de WireGuard configuratie van de EdgeRouter:

En dan nog de firewall open zetten. Let op: als je al een regel 20 hebt (regel 2 in de GUI, vraag me niet waarom) voor WAN_LOCAL dan zal deze overschreven worden!

Omdat ik al een rule 20 (2) had (Drop Invalid state), werd deze overschreven maar de 'State' van de oude regel bleef behouden (Invalid). Hierdoor moest ik de states erna nog handmatig aanpassen (Established, New, Related) en de overschreven regel 'Drop invalid state' opnieuw aanmaken.

Nadat ik dit (via de WebGUI) had gedaan, werkte WireGuard! One down

[ Voor 0% gewijzigd door iGadget op 20-12-2020 20:44 . Reden: fout IP ]

Na een aantal dagen buitenshuis kan ik zeggen dat WireGuard zeer goed bevalt. Zodra de verbinding is opgezet werkt het stabiel en snel. Hoe snel precies kan ik niet zeggen want de internetverbinding buiten de deur is hier overduidelijk de beperkende factor.

Wel zie ik nog ruimte voor verbetering:

1. Het toevoegen van nieuwe clients gaat nu vrij omslachtig (Public key op de client aanmaken, public key overzetten naar EdgeRouter, public key van de server overzetten naar de client, WireGuard regel met client public key toevoegen op EdgeRouter, gegevens van server met de hand inkloppen op client). Dit moet makkelijker kunnen, bijv met een preset/profiel of met een QR-code generator of een combinatie daarvan. Kortom - uitzoekwerk.
2. Met de huidige opzet op Ubuntu 20.10 (en naar verwachting ook op 20.04) waarbij WireGuard nog geen onderdeel is van Network Manager en alles met losse shell-scriptjes wordt gestart, worden de DNS instellingen bij een suspend-resume cycle overschreven door Network Manager, waarna mijn interne servers niet meer goed resolven. Ik herlaad daarom nu met de hand iedere keer het WireGuard scriptje om de DNS instellingen weer terug te forceren. Beter zou zijn om dit automagisch te laten doen door Network Manager. Dit brengt me op het volgende punt:
3. Network Manager (iig de GUI) is totaal 'unaware' van WireGuard en houdt hier geen rekening mee. Er is een project op GitHub wat WireGuard via de Network Manager GUI mogelijk maakt, dit zou misschien het missende puzzelstukje kunnen zijn. Vraag is wel waarom dit project (nog?) niet met open armen is ontvangen door projecten als Ubuntu en wordt meegeleverd. Was Canonical niet met de release van Ubuntu 20.04 al aan het pochen met 'WireGuard support out of the box'?
4. Daaraan gekoppeld - zodra ik weer thuis ben op mijn eigen LAN, dan blijft WireGuard toch actief. Moet deze nu met de hand uitzetten, anders kan ik nergens mee verbinden. Ik moet dus een manier zien te vinden waardoor Network Manager 'ziet' dat ik thuis ben of niet en aan de hand daarvan WireGuard aan of uit zet. Hopelijk volgt dit automagisch als ik het voorgaande punt heb opgelost.

Zodra ik verder ben met bovenstaande punten zal ik deze reactie editten.

[ Voor 9% gewijzigd door iGadget op 28-12-2020 21:26 . Reden: er was nog een punt. ]

@Tymusz De USG is voor mij niet snel genoeg, ik wil dan ook meteen IDS / IPS gebruiken en dan is 200 mbit gewoon teveel voor het apparaat. En een UDM Pro gaat niet werken (althans, niet als vervanger voor de EdgeRouter, wat dan de insteek zou zijn) aangezien deze (nog) geen PPPOE ondersteunt en ik dus geen verbinding met KPN kan maken. Waarom heb je eigenlijk de USG *naast* de EdgeRouter gezet? Wat kan de USG niet dat je EdgeRouter wel kan?

Wat betreft je pi-hole en IPv6 tips, hier ga ik naar kijken, dank!

@bramvanmol Klopt, heb de afgelopen maanden veel andere zaken aan mijn hoofd gehad, maar hoop er binnenkort weer mee verder te gaan.
Heb Nginx proxy manager al eerder iets over gelezen, is daar niet een integratie met Home Assistant voor? Ga er iig naar kijken, doe op dit moment idd alles nog met port forwarding wat uiteraard maar voor 1 server tegelijk kan icm Letsencrypt.

@Frogmen Goed punt. Al moet ik de situatie nuanceren - de EdgeRouter was er al (lang) voordat ik KPN kreeg. Ben ooit met glasvezel begonnen bij XMS, waar een eigen router heel normaal was en je ook helemaal geen router meegeleverd kreeg bij je abo, tenzij je hier expliciet om vroeg (en voor betaalde).
Dus ik heb altijd al mijn eigen spullen gehad. Was bij XMS ook super simpel - inprikken, DHCP, klaar.
Heb toen flink wat tijd besteed aan het optuigen van beveiliging, VLAN's etc. Een prachtige Zentyal server met OpenVPN, werkte als een zonnetje. Deze server ging echter zoals gezegd dood en Zentyal begon moeilijk te doen, dus die werd uiteindelijk vervangen door de EdgeRouter.
Werkte ook best aardig, had na een tijdje ook daarin mijn hele VLAN gebeuren werkend gekregen en toen jarenlang niet meer naar om hoeven kijken.

Dat veranderde allemaal toen XMS werd opgeslokt door KPN en ik gedwongen werd om te migreren naar een alternatief. Op dat moment was Telfort financiëel het meest aantrekkelijk, maar toen moest er al e.e.a. gewijzigd worden in het opzetten van de verbinding, omdat Telfort me wel een Experiabox (V8) door de strot duwde. Als ik die was gaan gebruiken moest mijn hele netwerk op de schop en zou ik een boel functionaliteit verliezen. Dus na flink wat moeite ook weer werkend gekregen via de EdgeRouter.

Ging weer een paar jaar goed. Toen sneuvelde ook Telfort en moest ik over naar KPN. Om de pijn wat te verzachten boden ze me een upgrade naar 200/200 (ik zat op 100/100) voor weinig, dus daar had ik 'ja' op gezegd voor ik er erg in had.
Wat ze er echter niet bij hadden gezegd, was dat deze upgrade gepaard ging met een netwerkmigratie en een nieuw modem - de Box V12.
Inmiddels was gelukkig de 'vrije modemkeuze' een feit en kon ik gewoon op het KPN forum een fantastische guide met scripts vinden voor mijn EdgeRouter om de boel KPN-ready te maken...
...alleen ging dat wel gepaard met een volledige reset van de EdgeRouter, dus mijn hele setup met VLAN's etc. was foetsie.

Helaas had ik destijds verzuimd om goed te documenteren hoe ik alles precies had opgezet en is mijn beperkte brein vrij sterk in het trimmen van kennis die een tijdje niet gebruikt is...
Dus ik kreeg de boel met geen mogelijkheid meer werkend. Heb uiteindelijk ook al mijn switches een factory reset moeten geven (management VLAN kwam ik niet meer op) en ik kon weer 'from scratch' beginnen.
Toen weer gaan opbouwen. En dan kom je erachter dat je wel verdomd veel tijd kwijt bent met het beheren van al die verschillende omgevingen. En er toch wel heel veel security patches nodig zijn regelmatig. En dan blijk je ook nog IPv6 erbij te hebben gekregen. En je leest op security.nl wekelijks (of eigenlijk dagelijks) steeds meer digitale ellende. En dan.... slaat de twijfel toe.
Dus vandaar mijn post.

Wat betreft ransomware - daar maak ik me (nog) niet al teveel zorgen om. Er is hier in huis geen Windows machine te vinden ;-)
Wel wil ik meer controle over mijn data en uiteindelijk zoveel mogelijk bij Google en consorten weg. Gaat gelukkig steeds beter met oplossingen als Nextcloud, helemaal in combinatie met de 200/200 verbinding. Maar dat houdt wel in dat ik ook zelf de boel up en veilig moet houden. En dus beheer(s)baar.

Ik ga er ook niet van uit dat ik snel slachtoffer zal worden van een targeted hack, maar wil tegelijk de risico's van het zelf hosten van spullen ook niet onderschatten. Healthy paranoia, zullen we maar zeggen.

Denk dus eerlijk gezegd ook niet dat downloads in mijn geval het grootste risico vormen. Ik draai zoals gezegd geen Windows en ben zelf behoorlijk kritisch op wat ik download en installeer. Vrouwlief werkt vrijwel uitsluitend op haar iPhone en af en toe op de Chromebook, dus daar voorzie ik ook weinig ellende. Als de kinderen groter worden en actiever op internet zie ik daar op termijn wel mogelijke issues, dus die ben ik graag voor.

Al met al zit ik dus in de situatie dat ik net teveel weet en wil (en spullen heb) om terug te kunnen gaan naar de standaard Box V12 omgeving. Tegelijkertijd weet ik er weer net te weinig van om alle best-ICT-practices (zowel qua security als beheer) in 1x feilloos te kunnen implementeren.

Het grootste probleem is hierbij denk ik het maken van keuzes - er zijn zo bizar veel oplossingen en 'wegen naar Rome', maar (lang) niet iedere oplossing gaat ws. alles kunnen bieden waar ik naar op zoek ben. En misschien wel geen enkele. Dus als blijkt dat ik verschillende systemen naast elkaar zal moeten (blijven) gebruiken, dan wil ik die wel zo kiezen / inrichten dat ze met zo min mogelijk effort veilig te maken en (met name) te houden zijn.
Wil hoe dan ook voorkomen dat ik een keuze maak, hier waanzinnig veel tijd in stop, implementeer, koppel aan vanalles en nogwat om er dan vervolgens achter te komen dat het toch niet kan wat ik wil. Of dat het implementeren en onderhouden zo complex blijkt, dat ik er netto niks mee opschiet.

In ieder geval heb ik al wel een aantal keuzes gemaakt de afgelopen periode:
1. De hypervisor blijft voorlopig Proxmox. Heb inmiddels een 2e (en 3e) server ingericht, een cluster opgezet en man man man wat werkt dat mooi. Dus daar wil ik graag op verder bouwen.
2. WireGuard is ook een blijvertje. Ook al heb ik de punten uit mijn vorige post nog niet opgelost, de huidige implementatie werkt nog altijd prima, snel en stabiel. Heeft ook al een EdgeRouter firmware update overleefd, dus ik ben overtuigd.
3. UniFi is leuk, maar gaat slechts een deel van het beheer-vraagstuk kunnen oplossen. Dus wellicht gaat het onderdeel zijn van de uiteindelijke oplossing, maar ga me hier niet blind op staren.

Iets zegt me dat ik er nu vooral voor moet zorgen dat de basis solide is / wordt.
En als ik denk aan basis, dan denk ik aan centrale user- en device management (wat hangt er allemaal aan het netwerk en wie mag wat op deze devices) met daaraan gekoppeld een solide DNS. En dan vanaf daar verder bouwen.

Eens? Zo ja, welke oplossing(en) zouden dan aan te raden zijn?
Zo nee, wat zou dan de eerste prio moeten zijn?

HKLM_ schreef op dinsdag 16 maart 2021 @ 05:39:
Volgens mij kan de udm-pro gewoon met PPPOE overweg.

Oh echt? Dat is dan sinds kort, want dit was altijd al 1 van de klachten die ik las over de UniFi range (dat je dan met json files moest gaan klooien om het werkend te krijgen) en de UDM-Pro had in het begin zelfs niet alle features die de USG wel had. Fijn, dan kan die weer op de shortlonglist erbij

Tymusz schreef op dinsdag 16 maart 2021 @ 00:32:

Ik was ook benieuwd naar de prestaties van de 2 routers, met name rond IDS/IPS. Ook omdat ik nu op gigabit zit en geen bandbreedte wil inleveren door een foute router aan mijn kant.

Euh... Maar als je op gigabit zit, dan kom je toch *totaal* niet uit met een USG? Alleen de UDM-Pro kan op die snelheid nog IDS/IPS doen. Gebruik je het dan niet of neem je toch genoegen met een lagere snelheid?

De USG heeft toch wel leukere opties qua monitoring moet ik zeggen. Intussen staat de edgeRouter dan ook meer switch dan router te spelen.

Voor monitoring zou ik het idd wel willen overwegen, maar dan zijn er nog zoveel andere oplossingen. Belangrijker in het grote plaatje vind ik dat het gaat kunnen integreren in de uiteindelijke oplossing die ik ga kiezen als 'dashboard'. En volgens mij doet UniFi alleen zijn eigen spullen (en dan alleen nog maar echt datgene uit de UniFi lijn, de EdgeRouter kun je al niet monitoren zelfs al is het van dezelfde maker) wat ik, voor wat ik voor ogen heb, weer te beperkt vind.

als malware dan je grootste zorg is zou je kunnen denken aan een FortiGate met de nodige filters erop.

Da's enterprise spul toch? Met een 'vanaf-prijs' van ruim €500 voor de simpelste firewall variant zegt iets mij dat dat een beetje buiten mijn budget ligt...

Maar wel een goed punt wat je aanhaalt - ongeacht voor welke oplossing(en) ik uiteindelijk ga, zou ik misschien eens goed moeten inventariseren welke dreiging(en) ik me nou eigenlijk precies tegen wil wapenen (met de daarbij idealiter de mogelijke impact en de kans dat deze dreiging zich voordoet - maar hoe bepaal je dat?) en dan kijken welke oplossing(en) daar het beste bijpassen.
Daar moet iemand toch al eens eerder onderzoek naar hebben gedaan lijkt me...
#todootje_erbij

Een ander product waar ik wel over te spreken ben is Cylance antivirus:

Is dat ook interessant als je geen enkele Windows machine in huis hebt?

Ik denk als je deze twee punten aanpakt (antivirus en firewall) dat je goed zit

Denk dat dit allebei onderdelen (gaan) zijn van de uiteindelijke oplossing. Maar weet niet of dit genoeg gaat zijn voor wat ik voor ogen heb.
Misschien toch eerst maar weer even een stap terug doen en beginnen met die 'threat analysis'(?)...

...en terwijl ik druk bezig was met inlezen, uitzoeken en voorzichtig hier en daar wat zaken uitproberen, zie ik vanavond ineens iets waardoor ik het vermoeden krijg dat ik misschien al te laat ben...

Om een ander probleem te debuggen, deed ik vanaf een extern IP een portscan (standaard nmap) naar mijn IP. Tot mijn verbazing blijkt naast poort 80 en 443 (Nextcloud) ook poort 21/FTP open te staan... WTF?!

In de EdgeRouter kan ik via de GUI nergens een verwijzing vinden in zowel de port forwards als de firewall regels over FTP of poort 21.
Log ik in via SSH dan zie ik via ook helemaal niets wat verwijst naar dat er iets draait op poort 21.

Wat me wel opviel is dit:

Daarna volgen wel de firewall regels die ingesteld staan met statistics, maar dit roept wel vraagtekens op - hoezo 'Inactive?'
Hetzelfde geldt overigens ook voor de WAN_LOCAL ruleset. Raar? Voor LAN1_IN zie ik namelijk het volgende:

Dus hier is de firewall kennelijk wel actief. Waarom dan niet voor WAN_IN en WAN_LOCAL?

Als ik vanaf het externe IP verbinding maak naar poort 21 (getest met zowel FTP als telnet), dan krijg ik met FTP het volgende te zien:

Na een aantal seconden verschijnt dan de melding:

Met telnet zie ik het volgende:

Na een aantal seconden wordt de verbinding vebroken met:

Moet zeggen dat ik dit best griezelig vind allemaal, hoe kom er erachter of dit iets onschuldigs is of dat ik een serieus probleem heb?

Toevoeging: heb de tests hierboven nogmaals gedaan terwijl ik de stats van WAN_LOCAL in de gaten hield. Zolang de 'verbinding' in stand was liepen alleen de DROP counters op, verder niet. Dit stemt me iets hoopvoller, maar waarom staat die poort open, waarom zie ik dit nergens terug in EdgeOS en hoe krijg ik 'm weer dicht?

UPDATE: Heb een vriend vanaf zijn verbinding laten scannen en hij zag poort 21 niet open staan... Ik heb daarna nog andere hosts gescanned vanaf hetzelfde externe IP (hotspot via Vodafone 4G) en wat blijkt - alle hosts hadden 'zogenaamd' poort 21 open. Dus kennelijk doet Vodafone iets *heel* raars op zijn netwerk - iedere host die je scant vanaf het Vodafone netwerk *lijkt* poort 21 open te hebben staan, terwijl dit in werkelijkheid niet zo is. Wellicht willen ze hier FTP'en vanaf je mobiel lastig maken / monitoren ofzo? #vaag

In ieder geval - problem solved, back to work.

[ Voor 37% gewijzigd door iGadget op 21-03-2021 16:19 . Reden: problem 'solved' - Vodafone blijkt de boosdoener. ]

@P1028 Team kennelijk is het niet de bedoeling om jullie project hier te promoten, maar ben wel benieuwd. Stuur me anders een DM, dan kijk ik ernaar.

Verder even korte update:
- VLANS voor Guest-Wifi, IOT apparatuur en servers - ben hier voorzichtig mee begonnen. Guest-Wifi draait, heb een 'DMZ' VLAN voor de vm's die bereikbaar zijn vanaf internet, maar nog niet alle VM's maken hier gebruik van.
- Device isolation voor de minst-vertrouwde devices - dit kan natuurlijk door ieder device op een eigen VLAN te gooien. Maar voor ieder VLAN moeten er ook flink wat wijzigingen en firewall regels bij op de EdgeRouter, dus weet niet of dit op termijn nadelig is voor de performance. Qua beheer is het iig niet heel ideaal.
- Device blocking voor onbekende devices - heb nu iig ingesteld dat alle onbekende MAC adressen in een IP range terecht komen die geen toegang heeft tot internet. Maar dat is natuurlijk niet afdoende - MAC adressen zijn te clonen en IP adressen zijn handmatig in te stellen. Daarnaast beschermt dit de interne hosts ook niet. Dus dit moet nog beter.
- VPN - Nog niet aan toegekomen om hier mee verder te gaan. WireGuard draait nog altijd naar tevredenheid, maar moet geoptimaliseerd worden. Wellicht nog verplaatsen van EdgeRouter naar een eigen VM.
- SSH hardening (inloggen met keys ipv user/pass) - ben hier ook mee begonnen, werkt best goed. Nu nog overal consequent doorvoeren. Zoek nog wel een betere manier om de host key fingerprints centraal te beheren, dit gaat nu nog altijd via de spreadsheet. Tips welkom.

Nog niet aan toegekomen:
- Centraal beheer voor devices, users en wat nog maar meer mogelijk (en zinvol) is.
- IDS / IPS
- Geldige (Letsencrypt) SSL certificaten regelen voor alle machines die web services draaien
- IPv6 inzichtelijk maken en beveiligen

Oh en dan is er natuurlijk nog de 'threat analysis' die ik moet gaan maken.

De reden dat ik nog niet aan bovenstaande ben toegekomen (naast 'het leven') is voornamelijk omdat ik flink aan het sleutelen ben geslagen met mijn infra. Zit midden in een 10gbit upgrade voor het Proxmox micro-clustertje en op dit moment ben ik ook de centrale storage aan het opkrikken. Als dat allemaal goed draait worden bovenstaande items hopelijk ook weer makkelijker om op te pakken.

To be continued

[ Voor 1% gewijzigd door iGadget op 08-05-2021 13:58 . Reden: threat analysis moet ook nog ]

@jvanhambelgium Ben het met je eens, liever zet ik IPv6 nog uit totdat ik het onder de knie heb. Niet in de laatste plaats omdat af en toe de IPv6 DNS server (van naar ik mag aannemen, KPN) als default ingesteld wordt op veel clients als mijn eigen piHole servertje even uit de lucht is. En dan wordt piHole meteen gebypassed en werken alle interne hostnames niet meer.

De EdgeRouter heeft echter alleen een 'duidelijke' GUI voor IPv4. De settings voor IPv6 moet je de config tree voor induiken of in de console gaan poeren. Beiden staan nog op mijn 'todo' lijst.
De maker van het KPN PPPOE config script speciaal voor EdgeRouter heeft mij echter verzekerd dat hij IPv6 standaard 'veilig' heeft ingesteld, dus alles vanaf buiten zou in principe geblokkeerd moeten worden.