Inrichten thuisnetwerk

Waarom denk je dat de IOT onveiliger zijn dan de PC / Laptop en telefoons?

Ik zou mij geen zorgen maken om die hue
Iot is je grootste zorg internet toegang en veel minder of ze netwerktechnisch connectie hebben met je prive apparaten.

"IoT" is een brede term. Die Philips Hue valt er ook onder IMHO...

Voor dit soort risico moet je altijd kosten/baten afwegen.
- hoe erg is het als iemand toegang krijgt tot jouw bestanden? Voor iemand bij de AIVD is de schade ws erger dan iemand die eigenlijk weinig meer heeft dan lieve foto's van eigen katten.
- hoeveel wil je investeren qua geld, tijd en moeite?

Als je dit echt grondig wilt aanpakken moet je een stuk verder gaan dan een guest network voor alleen WiFi:
- je wilt verkeer tussen eigen netwerk, IoT en evt gasten scheiden, bedraad en draadloos. Dit doe je met VLANs
- je wilt een firewall in je router die in ieder geval voor het IoT stuk erg restrictief is - default is *geen* toegang van of naar internet. Iedere toepassing die het echt nodig heeft, geef je heel specifiek toestemming om vanaf bepaalde interne IP contact op te nemen met bepaalde publieke server IP/poort.

Nu, dat gaat bij voorbaat niet lukken met provider hardware. Je gaat dus een eigen router nodig hebben met VLAN support, en je gaat WiFi AP's nodig hebben.die dat ook aankunnen. Die router moet een erg uitgebreid instelbare firewall hebben.

Als je dat wilt geldt de standaard driehoek prijs - kwaliteit/features - gemak.

Goedkoopste dat het goed kan is Mikrotik-apparatuur. Het is secuur, krachtig en zeer flexibel. Maar de leercurve is zeer steil. Als je veel wilt leren kan dit zeker goed zijn, maar kan zijn dat het helemaal niet lukt.

Ubiquiti's UniFi biedt een centraal beheerde interface waardoor configuratie een stuk makkelijker is, maar je betaalt meer voor de privilege, en het kan soms (bij upgrades) helemaal in de soep lopen.

En dan heb je Cisco. Niet makkelijk, wel erg goed gedocumenteerd, met enorme community en trainingen (CCNA...) maar je betaalt grof voor de privilege.

Met nog de toevoeging:
Het is sowieso een goed idee om ervoor te zorgen dat je apparaten veilig zijn en je niet vertrouwd op dat je netwerk schoon is.

Als er dan iemand op je netwerk zou kunnen komen, dan moeten ze vandaan nog op bv je pc of nas komen. Als het goed is lukt dit niet zomaar, als dat wel lukt zou ik die apparaten iig ook niet op andere netwerken durven te gebruiken

Sowieso doen aanvallers met gehackte iot apparaten meestal niet je lokale netwerk aanvallen. Het is ze meestal om het misbruiken van je internet verbinding te doen

[ Voor 17% gewijzigd door laurens0619 op 25-08-2022 22:35 ]

Hoi,

-LoL- schreef op donderdag 25 augustus 2022 @ 21:05:
Zoals ik het heb begrepen is er toegang tot een thuisnetwerk mogelijk via een slecht beveiligde (door de gebruiker zijn toedoen of door een fout in de software) IoT device. Daarom had ik het idee om ze te scheiden van de rest van het netwerk

Een aantal mensen hebben het al aangegeven. IOT is wel een hele ruime benaming. In theorie kan daar alles wat geen computer, telefoon of tablet onder vallen met een verbinding naar internet.

Je laat je een beetje bang / gek maken met alle berichten dat men ergens via via binnenkomt. Het is vooral de mens die zelf veroorzaker is van de ellende door op een link of toch een programma te installeren dat niet helemaal koosjer is.

Trouwens uit een ander draadje WiFi mesh stelt teleur. Kan dit nog beter? begrijp ik dat je je netwerk met een aantal Deco's had gedaan. Waarom ben je daar afgestapt en zit je nu met KPN SuperWifi's te hobbyen?

Sommige IOT in VLANs kan ook best lastig zijn. De TVs zullen waarschijnlijk via broadcasts aankondigen dat je naar ze kunt Chrome Casten/Airplayen. Het is dus goed mogelijk die broadcasts dan niet meer aankomen bij jouw telefoon als je van het IOT naar je LAN segment moeten.

-LoL- schreef op vrijdag 26 augustus 2022 @ 09:55:
Bedankt voor de uitgebreide reacties allemaal. Mijn voornaamste doel hier is om wat aan mijn netwerk te sleutelen en daar wat van te leren vanuit interesse. Dat daar vervolgens misschien een betere beveiliging uit ontstaat is een mooie bonus.

Maar als ik het goed begrijp gaat het wel een aardige hardware investering kosten, waarmee het voor mij zijn doel een beetje voorbij schiet. Een managed switch ofzo zou er wel van af kunnen, maar nieuwe switch, router, AP's en dat alles uit dure productgroepen is iets te gek. Ik hoopte dat het met minder te fiksen was.

Je wilt afwijken, daar hoort altijd prijskaartje bij.

Dat gezegd, "dure productgroepen" valt ook mee.

Als je MikroTik neemt, heb je voor EUR 60 een router (hEX) en voor EUR 80 een prima (WiFi-ac) AP (hAP ac2). Dat zijn schappelijke low-end prijzen voor krachtige apparatuur. Maar goed, je moet wel veel zelf doen...

[ Voor 26% gewijzigd door dion_b op 27-08-2022 19:17 ]