Firewall of router met firewall voor eigen zaak en privé.

Wat wil je voorkomen door het plaatsen van een firewall?

Daarnaast maakt hij gebruik van de TP-Link Deco M5 mesh set om het WiFi signaal overal te krijgen. De mesh set is ingesteld als accespoint, omdat in router modus (ondanks uitschakelen WiFi op modem) het signaal van de Deco's weg blijft vallen.

Hoe zijn de TP-link Deco M5 aangesloten? Zijn die als wireless mesh geconfigureerd of met een UTP kabel direct op de modem/router aangesloten. Bij het wireles mesh geval is de wegval kans groter aangezien je dan met muren etc rekening moet gaan houden het is niet iets magisch (al verkopen ze het wel zo)

In verband met digitale TV, moet de beveiliging op hun modem/router op laag ingesteld blijven staan volgens Delta.

Wat is laag volgens delta en welke opties zou je daar nu bij willen hebben die je niet hebt?

Nu hebben hij en zijn vrouw zaak aan huis en hebben een gastnetwerk aangemaakt wat ze voor de zaak gebruiken. De apparatuur in de zaak voor zakelijk gebruik en hun privé apparaten, laten ze gebruik maken van de het privé WiFi netwerk.

Is dat een gastennetwerk vanuit de modem of gewoon een tweede SSID zonder extra's zoals client isolation, etc? Als je dit inderdaad goed wilt scheiden moeten we meer weten over de huidige instellingen en wensen.

Gezien de corona crisis is het geld niet dik genoeg gezaaid bij hun, om een gelijk de professionals aan te laten rukken. Dat is een vast gegeven. Daarom dat ik aan het kijken ben of er relatief goedkope oplossing te realiseren is.

Wat is het budget? Ik lees iets over medische apparatuur? is hierom ook extra beveiliging gewenst?
Voor een beetje low budget firewall ben je al snel tussen de 300 en 500 euro kwijt. Dan kan je denken aan Ubiquiti, Stormshield, Cisco ASA of pfSense.

Als ik Google mag geloven dan ondersteunt de Deco M5-set ook isolation van het guest network, maar alleen op recente firmware én als je het aanzet.

Doe dat eens, en kijk eens of je probleem dan nog bestaat.

Wil je het écht veilig maken schakel dan een IT'er in met kennis van netwerkbeveiliging. Wat je nu doet is een beetje schijnveiligheid. Helaas maar 't is waar.

Wat je in ieder geval nodig hebt zijn managed accesspoints en een firewall en switch met vlan-mogelijkheden. Bij ubiquiti kan je het meeste wel vandaan halen en relatief gezien een veilig netwerk creëeren, echter als je gasten met hun eigen apparatuur komen dan is het password voor dat wifi-netwerk 'openbaar' en beschouw dat als onveilig, de PSK's voor die apparatuur moeten dan per user(group) opnieuw gedefinieerd worden. Ik weet even niet of .1x de encryptielaag van je wifinetwerk ook uniek maakt. Waar het gaat of staat is de configuratie van de apparatuur waar vaak mensen denken 'het werkt' dus het is goed, maar vergeten dat ze daar niet de beveiliging op orde hebben.

Die Delta medewerker was gewoon simpel gezegd objectief en open bezig, Internet is een nare plek en denken dat als een poppetje van delta zegt 'het is veilig' zijn er nog 300 lekken te vinden

[ Voor 9% gewijzigd door Nox op 01-01-2021 23:17 ]

Johan360 schreef op vrijdag 1 januari 2021 @ 22:16:
In hun oude modem zat een instelling voor beveiliging van laag, middel en hoog. Die kon je naar eigen inzicht instellen.

Dat soort schuifjes hebben beperkte waarde en leveren vooral een vals gevoel van veiligheid. Want 'laag' moet wel slecht zijn, en 'hoog' goed. Althans, die illusie is al snel gecreëerd en datzelfde gevoel krijg ik een beetje bij de term 'sterke firewall' die in je topicstart staat.

De realiteit is dat alle routers die je van je ISP krijgt als consument als NAT-router ingesteld zijn en daarmee inherent voldoende 'bescherming' bieden tegen 'het internet'. Het schuifje van de firewall voegt daar weinig aan toe, meestal is het niet eens duidelijk wat het precies doet - het enige dat ik het ooit heb zien doen is meldingen geven die onterecht zijn of al 20 jaar niet meer relevant zijn. Ter illustratie: Sm0k3r in "[Tweak Glasvezel] Ervaringen & Discussie - Deel 5"

ze hebben daarom gebeld en een medewerker gaf aan dat het hun glasvezel modem laag beveiligd is omdat ze anders tegen problemen aanlopen dat het TV signaal niet doorkomt.

Dat zal iets met reverse path filtering en/of multicast te maken hebben. Niet iets waar je je zorgen om hoeft te maken en vooral een ongelukkige manier van communiceren van de klantenservice. En bovenal: hun verantwoordelijkheid.

Via de Deco is er een optie voor client isolation voor de Wifi en deze is geactiveerd, maar ik weet niet of het aanwezig is/ standaard geactiveerd bij gastennetwerk op het modem/ router van Delta. Het is wel een gastennetwerk wat geactiveerd op het modem/ router zelf. In de instellingen er in ieder geval geen optie aanwezig, zoals op de Deco wel is.

Let wel, client isolation is meestal het scheiden van individuele WiFi-clients; dat is iets anders dan de vraag of het hele gastennetwerk ook (door middel van een firewall) gescheiden wordt van het reguliere netwerk.

Nogmaals: die optie lijkt recent, dus ik zou ook vooral controlen of het werkt (maw. kun je vanaf het gastennetwerk nog bij apparatuur in het privenetwerk? laat Windows inderdaad niets zien als je onder 'Netwerk' kijkt?).

Je bent hier wel onduidelijk over het feit of er nu op 2 plaatsen een gastnetwerk gecrëerd is. Dat is waarschijnlijk niet handig.

Johan360 schreef op zaterdag 2 januari 2021 @ 00:01:
Dus gezien de situatie zal het niet 100% gaan worden, maar misschien zijn er (relatief) goede oplossingen die een stuks minder kosten en 90% behalen ;-).

Zie het maar als roeien met de riemen die er zijn.

Dat is exact de oplossing die je (ongeveer) zegt te hebben gerealiseerd, mits je het beperkt tot de Deco-set, een sterk wachtwoord op het modem van de provider zet en controleert of het werkt.

Andere oplossingen zijn technisch misschien correcter, maar lijken niet heel realistisch. De vraag is ook niet hoeveel zo'n router/firewall kost (dat hoeft geen €300 te zijn, voor €60 heb je ook een Ubiquiti/MikroTik), maar belangrijker is: wie zorgt ervoor dat dat deugdelijk geconfigureerd wordt.

Veel hobbyisten hier die dat met (wisselend) succes zélf regelen, maar dat begint met iemand die daar tijd en moeite in wil/kan steken en voldoende basiskennis bezit. Gezien de vraagstelling denk ik niet dat je de aangewezen persoon bent.

Als de Deco-set gewoon doet wat het zegt te doen dan is dat de meest pragmatische oplossing en hoeft in de praktijk helemaal niet onder te doen voor de technisch correctere vlan-gescheiden setup. Je kunt ervan uitgaan dat ze met een firewall (daar is de firewall die je zocht) het verkeer tussen het reguliere en gastennetwerk filteren; dat is vrij effectief.

Enige spelregel: gastennetwerk wel beperken tot enkel die Deco's, check of het werkt en zet even een sterk wachtwoord op de router van je provider.

Johan360 schreef op zaterdag 2 januari 2021 @ 00:01:
[...]


Behalve het navragen van mogelijkheden ben ik niets aan het doen.

Zoals ik aangaf is er geen € 2.500 of meer aanwezig om iedereen in te vliegen en hele dure high end apparatuur aan te schaffen.

Anders was dat zeker het eerste wat gedaan zou zijn.

Dus gezien de situatie zal het niet 100% gaan worden, maar misschien zijn er (relatief) goede oplossingen die een stuks minder kosten en 90% behalen ;-).

Zie het maar als roeien met de riemen die er zijn.

Dan moet je het dure aspect eruit halen (dus zelf de uren maken) en een firewall met vlan-capable apparatuur gebruiken. Ubiquiti is een goed startpunt, je huidige apparatuur is niet geschikt voor vlans, ergo, in principe onveilig en niet veilig te maken.

Ik weet niet wat je krijgt van de provider maar begin met ipv6 uitschakelen, dat is een heel andere manier van beveiligen die zo zijn specialismes vereist. Dat is voor later, als je er zelf wat meer over weet of er meer kennis over is.

Als je van de provider een ipv4 adres krijgt op 1 poort van de router, sluit daar de firewall op aan. Maak 3 vlans aan welke je gebruikt voor privé, gasten en zakelijke apparatuur. Zo kunnen je privé IoT apparaten en gameconsoles etc. daarop, je zakelijke apparatuur en die van klanten op een ander netwerk. Op je wifi-apparatuur maak je voor ieder netwerk een ssid aan.

Toch mixen brengt je veiligheid veel te ver omlaag, bij een cryptolocker is alles in dat vlan 'de pisang' om het zo te zeggen. Je wilt niet dat een gast met cryptolocker je eigen zakelijke omgeving besmet of eventueel data steelt. Idem voor je wifi-camera of dergelijke apparatuur. Maak de scheiding ook in je bekabelde netwerk.

Met de deco-setup kan je hooguit 1 extra netwerk aanmaken overigens, je hebt er 3 nodig. Welke groepen users ga je bij elkaar doen? Een 2e manier - die echt lelijk is - is met dubbel NAT werken.

Lekker de NAT op je modem gebruiken en per gebruikersgroep een router plaatsen, gewoon de WAN koppelen van die router op de LAN van je modem. Spuuglelijke oplossingen die niet eenvoudig te gebruiken zijn voor toepassingen waar port-forwarding e.d. moet werken maar wel 'redelijk veilig'. Op het modem zelf de wifi uitschakelen en geen bekabelde clients gebruiken verder direct op het modem.

[ Voor 51% gewijzigd door Nox op 02-01-2021 02:24 ]

Typisch geval van geen idee hebben wat een firewall doet.
En als je dat niet weet kun je hem ook niet configureren en geeft het alleen maar schijn veiligheid voor veel geld.

De vraag begint altijd "wat wil je waar tegen beschermen" en pas als je dat weet kunt je gaan uitzoeken hoe je dat moet doen.

Jij begint bij de oplossing zonder dat je het probleem kent.

Tja bij het vragen naar oplossingen zonder probleem stelling krijg je natuurlijk vragen daarover.

En als je die vragen dan als "hakken en zagen" kwalificeert, kun je beter niet iets op een publiek forum plaatsen lijkt mij.

En hoe politiek correct je ook probeert te zijn, het blijft gewoon zo dat je niet tegen kritische vragen kunt en dan dus gefrustreerd raakt en mensen die hun best doen om te helpen gaat afzeiken.

Goed, op deze manier is het hele topic zinloos.

Er worden prima suggesties en vragen gesteld. En ja, dat hoeft niet perse in lijn te liggen met de behoefte en budgetten. Maar dat kan je wel helpen om een goede keuze te maken, of het budget te verhogen.

Als er geen opties zijn en je niets wilt doen met de genoemde suggesties.. dan houd het op.

Overigens: er is geen vereist niveau voor de kenners, maar er bestaat wel zoiets als tegen kritiek kunnen en een onderbouwde tegenreactie geven als je een andere mening hebt. Dat is het hele idee van een discussieforum