TP-Link: goed spul of Chinees risico?

Volgens mij is het simpel...

Als de apparatuur met het internet verbonden zijn, kan er altijd data gedeeld worden.

De apparatuur die zelf niet verbonden hoeft te zijn met internet voor de werking, zullen dan ook volgens mij geen data delen, omdat het hier niet voor ingericht is.

Allemaal leuk en aardig maar elke vorm van elektronica heeft wel enkele componenten van chinese makelij. Zou je dat allemaal willen vervangen? Gaat ver... Ik zou eerder investeren in goede security dan alle chinese electronica m'n huis uit te gooien...

Ik snap eigenlijk niet waarom je twijfelt? De keuze voor het "weren van Chinese apparatuur uit mijn netwerk", is eentje die je doet op basis van gevoelens, niet informatie dat de specifiek door jouw gebruikte apparatuur ook data deelt met de Chinese overheid...

Dus wat voor advies verwacht je? Er is geen rationele reden (bewijs dat jouw appataruur data deelt) om TP-Link uit je netwerk te verwijderen, maar het is een Chinees bedrijf ja. Dus als je geen "Chinese apparatuur" in je netwerkt wilt, zul het allemaal moeten vervangen. Persoonlijk vind ik het een redelijk vergaande conclusie die je trekt, maar het is jouw belissing natuurlijk.

[Voor 10% gewijzigd door Cpt.Morgan op 27-01-2021 09:55]

Nagenoeg alle apparatuur is tegenwoordig "made in China", of je het nu van een bedrijf met HQ in Shenzhen (TP-Link...) of Silicon Valley koopt. Het gaat een grote uitdaging zijn om apparatuur te vinden dat niet in China gemaakt is. Je zegt je minder zorgen te maken om componenten, maar dat is exact het niveau waar 'state actors' nare shit uithalen, kijk naar de sabotage van de ultracentrifuges in Iran dmv kwetsbaarheden in hun SCADA-implementatie.

Meerwaarde van alleen kijken naar merk en niet naar componenten eronder zie ik dus niet. Wil je dat toch? Dan kun je het best zorgen dat de software zeer nadrukkelijk wel buiten China ontwikkeld wordt. Ook hier: een mooie Amerikaanse bedrijf outsourcet toch 99% van hun werk die kant op, dus je moet kijken naar ergens waar 100% in-house ontwikkeld wordt, en/of 100% open-source gewerkt wordt. Liefst beide dus.

Beste is zelf de firmware te installeren van verified repositories. Dan kom je uit op dingen als OpenWRT. Welke hardware je daaronder zet is van ondergeschikt belang (als je niet naar componenten wilt kijken). Daar komt natuurlijk flink wat werk en kennis bij kijken. Geen zin in? Dan moet je toch iemand gaan vertrouwen. Ik zou neigen naar Mikrotik als iets wat in de EU ontwikkeld wordt en een goede naam heeft op dit soort vlak, al zijn daar zeker ook vulnerabilities misbruikt dus moet je alsnog de ogen open houden en zorgen dat je niets onverantwoords doet.

En misschien interessant om je te verdiepen in netwerk segregatie, dus als je een slimme lamp/koelkast/camera hebt dat die niet zomaar bij al je andere apparaten in je netwerk kan komen.

Dacht je dat Ikea die Trådfari lijn zelf maakt?
Neh... gewoon Chinees spul.

Alles wat in China gemaakt wordt uit je huis verwijderen is denk ik onmogelijk tegenwoordig of je moet geheel zonder elektronica willen/kunnen leven.

Ik zou beginnen te kijken naar alles wat Cloud roept en met name dingen die alleen via de Cloud geconfigureerd kunnen worden, want dat is natuurlijk de eenvoudigste manier om data te stelen.

Bijvoorbeeld die Deco sets van tp-link niet aan beginnen, maar de gewone Accespoints van tp-link kun je lokaal configureren en beheren.

Een goede firewall mits goed ingesteld kan veel voor je doen, maar dan moet je wel de outbond rules goed opzetten wat meestal vergeten wordt, omdat bijna iedereen zich concentreert op inkomend verkeer.

En zoals @dion_b al zei is mikrotik een goed idee of als je dat te lastig vind misschien eens naar pfsense kijken.

@supertanno heb je concrete aanwijzingen dat TP-Link aan grootschalige phone home doet?

Verder zou je als je firewall het toelaat IP-adressen kunnen blocken om verbinding naar buiten te maken, dat heb ik voor een IP-cameratje wel gedaan. Die zag ik vanuit m'n Pi-Hole direct verbinding maken naar een .ch domein toen ik de default gateway aanzette (wat ik bewust had uitstaan, is ook niet nodig intern).

Dat zou nog een simpele optie voor je kunnen zijn. als je switches een management interface hebben een statisch IP zonder gateway

[Voor 7% gewijzigd door Gunner op 27-01-2021 10:29]

Als je je daar zorgen om maakt zou ik eerder mijn geld uitgeven naar een goede firewall en mijn netwerk segmenteren. Zodoende heb je ook een beeld wat er aan verkeer naar buiten gaat en indien ongewenst blokkeren.

Gunner schreef op woensdag 27 januari 2021 @ 10:27:
@supertanno heb je concrete aanwijzingen dat TP-Link aan grootschalige phone home doet?

Nagenoeg alle dergelijke apparaten doen dat. Zeker als je 'mesh' spullen neemt zit een controller in de cloud. Daarvoor moet sowieso een grote sloot aan data naar buiten gestuurd worden. Exact wat, en wat er vervolgens mee gedaan wordt, is maar de vraag. Blijf dus verre van alle apparatuur die 'cloud intelligence' hebben.

Verder zou je als je firewall het toelaat IP-adressen kunnen blocken om verbinding naar buiten te maken, dat heb ik voor een IP-cameratje wel gedaan. Die zag ik vanuit m'n Pi-Hole direct verbinding maken naar een .ch domein toen ik de default gateway aanzette (wat ik bewust had uitstaan, is ook niet nodig intern).

Dat zou nog een simpele optie voor je kunnen zijn.

Dat is ongeacht vendor sowieso een idee: deny-all voor zooi dat geen reden heeft om contact te zoeken buiten het netwerk.

dion_b schreef op woensdag 27 januari 2021 @ 10:36:
[...]

Nagenoeg alle dergelijke apparaten doen dat. Zeker als je 'mesh' spullen neemt zit een controller in de cloud. Daarvoor moet sowieso een grote sloot aan data naar buiten gestuurd worden. Exact wat, en wat er vervolgens mee gedaan wordt, is maar de vraag. Blijf dus verre van alle apparatuur die 'cloud intelligence' hebben.

[...]

Dat is ongeacht vendor sowieso een idee: deny-all voor zooi dat geen reden heeft om contact te zoeken buiten het netwerk.

Klopt helemaal hoor. Toen ik m'n LG tv aankocht had ik vernomen dat het gebruiken van de DNLA functie het mogelijk is dat bestandinformatie verstuurd werd naar LG-servers. Goed, oud artikel misschien en LG zegt het niet meer te doen, maar een blokkade is dan makkelijker.

Dan kan je idd het IP-adres een deny geven maar dan werkt geen enkel smartfunctie meer.

Dan is er nog Pi-Hole to the rescue en met dank aan een tweaker een mooie blacklist aangemaakt. Voor updates even pi-hole tijdelijk uitzetten en dan ben je wel weer klaar. Prime video geeft een fout, maar Netflix doet niet moeilijk.

supertanno schreef op woensdag 27 januari 2021 @ 09:26:
Sinds enkele maanden heb ik een goed betalende baan en daarmee ben ik begonnen met het upgraden van zaken in mijn huis. Één van mijn prioriteiten hierin is het weren van Chinese apparatuur uit mijn netwerk. Om dit te bereiken heb ik onder andere mijn Tuya smarthome-apparatuur vervangen door IKEA Trådfari. Ik dacht klaar te zijn, totdat ik mij realiseerde dat al mijn eigen netwerkapparatuur - switches, wifi-dongels, router - van TP-Link zijn. De kwaliteit hiervan ben ik over te spreken, maar juist daarom roept dit bij mij zorgen en vragen op.

De reden dat ik van Chinese apparatuur af wil is omdat ik niet wil dat mijn data in Chinese handen komt. Hier kun je een lange politieke discussie over vieren ("de NSA doet hetzelfde, Google wil ook data, etc"), maar voor mij is het vooral belangrijk dat mijn gegevens in het Westen blijven. In het nieuws horen we veel over Tuya, ObePlus, Xiaomi, Huawei, die allemaal problemen hebben op dit gebied, maar we horen nooit over hoe TP-Link met onze gegevens omgaat als Chinees bedrijf. Hoe zit dit? Moet ik hun apparatuur ook vervangen? En zo ja, vormen de switches (waar ik een redelijke investering in heb zitten) dan ook een risico, of kunnen deze geen data van mij verzamelen?

Ik heb AP's van TPLink, ook naar volle tevredenheid, het management staat op een vlan wat geen internet heeft

Ik heb daarop internet ooit geconfigureerd en een tijdje het verkeer zitten sniffen, maar dat doe je geen uren lang.

Voorbeeldje van "enge app"is bijvoorbeeld WeLink. Deze home-automation app wordt gepushed/gebruikt door o.a. Sonoff.

Deze app werkt alleen als je een internet verbinding hebt en ingelogt bent op een chinese server. Ook wil die graag je contacten hebben. Beetje raar als je gewoon je lamp wil aan doen.

Misschien is het verstandig om een Blacklist te maken met dit soort apps, toepassingen en apparaten. Dan kan je ook alternative aanraden zodat de risico's beperkt blijven.Die Blacklist kan direct ook gebruikt worden om e.a.a. eenvoudig onder de aandacht te brengen van waakhonden, belangengroepen en kritische gebruikers.