Thuisnetwerk & Home Automation, hoe zet je dat veilig op?

Pagina: 1
Acties:

Onderwerpen

Vraag


Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Mijn vraag
Zie topic title, ik zoek een manier om mijn "reguliere" thuis netwerk zo op te zetten, dat ik "veilig" mijn Home Automation kan blijven gebruiken, zonder invloeden van buitenaf. Ik zie in de logging van mijn Deco's bijvoorbeeld veel aanvallen c.q. portscans van het internet af richting mijn Pi en Synology. Daar wil ik vanaf. Zeker nu AI steeds meer opkomt en het makkelijker wordt voor internetcriminelen om "simpele" LAN's op afstand te penetreren.

Relevante software en hardware die ik gebruik
Om een idee te geven, heb ik de volgende componenten in gebruik, in een "traditionele LAN":
  • TP Link Deco M9 plus v2 Mesh (3x)
  • Ziggo modem in Bridgemode
  • Synology NAS
  • Raspberry Pi met Home Assistant
  • HTPC in de woonkamer voor streaming e.d.
  • 3 IP camera's, waarvan 1 de voordeurbel
  • Google Home producten (Hub, Originele Home, WiFi speaker in badkamer)
  • Diverse smartdevices, waaaronder wat witgoed en lampen, op verschillende domotica protocollen
  • Zonnepanelen (omvormer)
  • Kantoortje met diverse devices (laptops, smartphones, printer, etc.)
Wat ik al gevonden of geprobeerd heb
Er zijn verschillende ideeën over hoe je een smarthome netwerk veilig zou kunnen opzetten, alleen zitten daar ook wat nadelen aan. Voorbeeld is een separaat VLAN of SSID, waarop je je smartdevices aanmeldt, echter kun je dan met je smartphone of voice-assistent die in het reguliere netwerk hangt niet meer bij deze devices, zonder dat je ze eerst om zet. Of er moet iets zijn dat ik over het hoofd zie, vandaar dit topic.

Nog een idee zou een aparte firewall opzetten met een VPN voor externe access, maar dan wordt de WAF wel erg aangetast. ;)

Hoe hebben jullie dit opgezet? Heb je daar nog iets voor nodig? Ik wil best wat investeren zolang het maar binnen "normale" waarden blijft (dus geen dure Cisco apparatuur ofzo).

Met zo'n administrator heb je geen users meer nodig...

Alle reacties


Acties:
  • 0 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 09-05 17:01

lier

MikroTik nerd

Met een echte router is het vrij eenvoudig om VLAN's in te stellen en de beperkingen van intervlan verkeer in te regelen. Daarmee ka je van je "corporate" netwerk devices in het IoT netwerk bedienen, terwijl omgekeerd niet kan. Maar je netwerk apparatuur moet het natuurlijk ondersteunen.

Voor toegang van buitenaf zo ik altijd een vpn oplossing kiezen (en alle andere poorten dichtlaten). Dan kan je relatief eenvoudig met je netwerk verbinden en over deze veilige verbindingde services benaderen.

Zelf heb ik voor scheiding gekozen via VLAN's: corporate, guest (alleen Internet), camera's (die kunnen helemaal niets) en de zonnepanelen (ook alleen Internet). Uitgevoerd met een MikroTik router (steile leercurve, beste prijs/pret verhouding) en Grandstream Wifi.

Eerst het probleem, dan de oplossing


Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
lier schreef op zaterdag 24 juni 2023 @ 13:29:
Met een echte router is het vrij eenvoudig om VLAN's in te stellen en de beperkingen van intervlan verkeer in te regelen. Daarmee ka je van je "corporate" netwerk devices in het IoT netwerk bedienen, terwijl omgekeerd niet kan. Maar je netwerk apparatuur moet het natuurlijk ondersteunen.

Voor toegang van buitenaf zo ik altijd een vpn oplossing kiezen (en alle andere poorten dichtlaten). Dan kan je relatief eenvoudig met je netwerk verbinden en over deze veilige verbindingde services benaderen.

Zelf heb ik voor scheiding gekozen via VLAN's: corporate, guest (alleen Internet), camera's (die kunnen helemaal niets) en de zonnepanelen (ook alleen Internet). Uitgevoerd met een MikroTik router (steile leercurve, beste prijs/pret verhouding) en Grandstream Wifi.
Dank voor je antwoord. Zoals je waarschijnlijk kunt zien is mij netwerk kennis niet heel hoog; ik ken de meeste termen, maar heb er nooit echt mee gewerkt. Stel dat ik een Ubiquiti Edgerouter in mijn LAN zou opnemen, zodat ik VLANs kan aanmaken, zou dat werken? Dan zullen de Deco's hier ook mee moeten kunnen omgaan denk ik?

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 10:41
Vlans, firewalls etc heeft allemaal niet zoveel zin aangezien je ze meestal toxh internet connected wil hebben waar het risico zit.
Dat ze via een iot gehackt apparaat op je netwerk kunnen hacken zou ik voor thuis niet teveel op focussen.
Port scans kun je ook negeren, is regular internet noise


Beste beveiliging is hoogstaande iot producten waar de leverancier goed aangeschreven staat qua beveiliging en geen inkomende poorten mappen

CISSP! Drop your encryption keys!


Acties:
  • +3 Henk 'm!

  • Illusion
  • Registratie: November 2000
  • Laatst online: 08-05 00:07

Illusion

(the art of)

Alles van google, amazon etc eruit
Alleen opensource home automation zoals home assistant
Alle smart devices op een protocol dat by design geen intenet-connectiviteit aankan. Dus dus zigbee/zwave.

Soms ben ik er wel, en soms ook weer niet.


Acties:
  • 0 Henk 'm!

  • stijnos1991
  • Registratie: Oktober 2005
  • Laatst online: 08-05 21:43
Heb je poorten open staan op je router van buitenaf? Je geeft aan dat je port scans voorbij ziet komen op je Pi's en Syno. Dat is IMHO het grootste risico wat je loopt. Vraag jezelf af of je je diensten voor het hele internet toegankelijk wilt hebben, of dat je wellicht via een VPN naar huis zou willen verbinden. Dat is over het algemeen veiliger en je hoeft maar 1 poortje te openen.
IoT apparaten in je netwerk die het internet op gaan zijn zo goed als onvermijdelijk en meestal onschuldig. Ze zouden gecompromitteerd kunnen worden en in een botnet worden opgenomen, maar zolang je geen verkeer van buitenaf toe laat is die kans alweer een stuk kleiner.
Hier genoemde VLAN's zijn leuk en nuttig, maar de vereiste netwerkkennis is flink. Een VLAN zelf doet niet veel namelijk, de meeste kennis gaat zitten in het inrichten van een firewall.

Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Dank voor jullie antwoorden en inzichten, dit helpt mij om een goede oplossing te verzinnen.

Even ter illustratie: mijn Home automation is zo gegroeid in de loop van de tijd. Begonnen met de KaKu's van de bouwmarkt (inmiddels alleen de zonwering van Somfy nog op 433 Mhz) en Philips Hue BT op Google Home gekoppeld, dit zou ook via Home Assistant kunnen. Maar waarom zou je Google Home eruit willen hebben? Alleen vanwege het privacy aspect, of zitten er echt beveiligingsissues aan?

Ik heb 443 en een aparte poort voor mijn Syno openstaan, dat is alles.

Ik zat te denken, ik zou ook via mijn Synology (DS414) een firewall kunnen draaien, deze heeft 2 LAN poorten, dan zet ik hem gewoon "tussen" mijn modem en Deco's. Of is dit juist niet aan te raden?

[ Voor 5% gewijzigd door CSB op 24-06-2023 14:28 ]

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • +2 Henk 'm!

  • Mini-me
  • Registratie: November 1999
  • Niet online
CSB schreef op zaterdag 24 juni 2023 @ 14:25:
[…]
Maar waarom zou je Google Home eruit willen hebben? Alleen vanwege het privacy aspect, of zitten er echt beveiligingsissues aan?
[…]
Omdat soms binnen 5 minuten na een gesprek aan de keukentafel je Chrome browser ineens advertenties begint te tonen over datzelfde onderwerp??

Acties:
  • 0 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

laurens0619 schreef op zaterdag 24 juni 2023 @ 14:06:
Vlans, firewalls etc heeft allemaal niet zoveel zin aangezien je ze meestal toxh internet connected wil hebben waar het risico zit.
Dat ze via een iot gehackt apparaat op je netwerk kunnen hacken zou ik voor thuis niet teveel op focussen.
Port scans kun je ook negeren, is regular internet noise
Daarom zit het IoT-VLAN hier (ook) achter PiHole, maar dan omgekeerd. Standaard worden alle domeinnamen geblokkeerd, behalve die ik expliciet in PiHole heb gewhitelist, bijv. de domeinnaam die Tasmota gebruikt voor firmware-updates.

Plus apparaten binnen IoT-VLAN kunnen niet zomaar verbinding maken met andere VLAN's, alleen dat wat ik toe heb gestaan, firewall's default policy staat hierbij op drop.

[ Voor 11% gewijzigd door Raven op 24-06-2023 15:17 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 05-05 15:41

Kabouterplop01

chown -R me base:all

Wat al is geschetst;
een router/firewall.
Geen ports van buiten naar binnen open. Ik zou zelf, maar dat is meer omdat het mijn beroep is, geen SSiD voor mijn IOT zaken hebben, maar alles via een ouderwetsch kabeltje aansluiten.
Op een apart VLAN. (dat houdt voor mij in een apart subnet)
Ik heb hier ook een pihole. Die doet alle DNS gerelateerde zaken bijhouden. Nou heb ik ook een behoorlijk stricte firewall, maar als je daar geen kaas van hebt gegeten dan moet je daar niet aan beginnen.
Modem in bridge router met firewall en NAT functionaliteit is goed genoeg. Dan kun je nog een apart subnet maken voor je IOT zaken. zoals @laurens0619 schetste. Dan heb je alleen nog de ruis op je NAS, omdat je port 443 open hebt. (Dat is dan ook je enige attack surface, dus die zul je goed bij moeten houden qua beveligingsnivo, patchen is het devies. Je webserver niet open laten staan voor Jan ét Alleman.)

Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Kabouterplop01 schreef op zaterdag 24 juni 2023 @ 15:35:
Wat al is geschetst;
een router/firewall.
Geen ports van buiten naar binnen open. Ik zou zelf, maar dat is meer omdat het mijn beroep is, geen SSiD voor mijn IOT zaken hebben, maar alles via een ouderwetsch kabeltje aansluiten.
Op een apart VLAN. (dat houdt voor mij in een apart subnet)
Ik heb hier ook een pihole. Die doet alle DNS gerelateerde zaken bijhouden. Nou heb ik ook een behoorlijk stricte firewall, maar als je daar geen kaas van hebt gegeten dan moet je daar niet aan beginnen.
Modem in bridge router met firewall en NAT functionaliteit is goed genoeg. Dan kun je nog een apart subnet maken voor je IOT zaken. zoals @laurens0619 schetste. Dan heb je alleen nog de ruis op je NAS, omdat je port 443 open hebt. (Dat is dan ook je enige attack surface, dus die zul je goed bij moeten houden qua beveligingsnivo, patchen is het devies. Je webserver niet open laten staan voor Jan ét Alleman.)
IoT devices op een apart subnet is ook een goed idee, al is het alleen maar om op netwerkniveau onderscheid te kunnen maken. Bij eventueel vermoeden van een breach kun je het hele subnet down halen.

Ik heb een achtergrond van systeembeheer (manusje van alles) en met wat inlezen kom ik wel een eindje wat betreft Firewalls. Ik kan helaas geen firewall draaien op de Deco's, dus zal ik óf een aparte router/firewall moeten gaan aanschaffen waar ik meteen ook VLAN management op kan doen, óf zoals ik eerder zei mijn Synology als Firewall gaan inzetten. Helaas kan de DS414 geen docker draaien, anders had ik dat in een VM kunnen doen.

Een PiHole heb ik eerder geprobeerd, echter vanwege het feit dat de Raspberries nu bijna niet te krijgen zijn en mijn huidige wordt gebruikt voor Home Assistant is dat geen optie.

Die port 443 zou ik kunnen dichtzetten als ik mijn NAS van het internet zou halen. Ik mis dan de functionaliteit van DS Photo voornamelijk, voor de backup van foto's op onze smartphones. Echter kan dat ook prima via WiFi lokaal.

De Synology Webserver is niet geinstalleerd overigens.

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • 0 Henk 'm!

  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 00:05
Ik vind het bijzonder dat je zo'n uitgebreid netwerk maakt en dan niet eens een firewall voorziet :?

Gewoon een router kopen dus, of je Ziggo modem uit bridge mode halen, want dan gaat de firewall weer aan (op die link hebben ze het ook continu over een router).

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/


Acties:
  • 0 Henk 'm!

  • DVX73
  • Registratie: November 2012
  • Laatst online: 08:43
Bij een standaard router.
UpNP uitzetten.
Geen port-forwarding.

Netwerksegmentatie kan op de simpelste manier door IoT devices met je gastennetwerk te verbinden, helaas kan je ze dan alleen via de servers van de leverancier benaderen.

Als je serieus netwerksegmentatie wil kunnen toepassen zal je professionele apparatuur nodig hebben.

Populair voor thuisgebruik zijn o.a de unifi en omada platformen, voordeel hiervan is dat je routers, switches en accesspoints centraal kan beheren.
Ook populair is een pfsense router.

Je huidige wifi oplossing kan niet overweg met vlan's en zal je moeten vervangen.

Afhankelijk van je eisen kan een upgrade behoorlijk in de papieren lopen.

Om je een idee te geven wat er komt kijken bij een nieuwe setup, zelf heb ik onderstaande setup:
#CategoryProductPrijsSubtotaal
1Netwerk switchesTP-Link TL-SG2008P€ 97,-€ 97,-
2Access pointsTP-Link EAP610€ 106,50€ 213,-
1Modems en routersTP-Link TL-ER7206 SafeStream Gigabit Multi-WAN VPN-router€ 148,83€ 148,83
1NetwerkaccessoiresTP-Link Omada Cloud Controller OC200€ 93,75€ 93,75
Totaal€ 552,58

Acties:
  • 0 Henk 'm!

  • Opifex
  • Registratie: September 2013
  • Laatst online: 09-05 20:47
Ik had me gesubscribed op dit topic om het even mee te volgen, aangezien ik in dezelfde situatie zit als TS. Ik wil binnenkort een HA installeren in m'n huis, maar zou dit ook wel goed willen beveiligen. En jammergenoeg heb ik daar niet zo heel veel kaas van gegeten.

Ik lees hier vaan "Upnp uit en geen ports forwarden". Vergeef me de domme vraag, maar... als je ports niet forward, hoe geraak je dan van buitenaf tot op je HA?

Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Voordat je het gaat hebben over beveiligen moet je eerst je risico's in kaart brengen. Heb je alles in de cloud staan en op je NAS alleen wat muziek en films (lees geen risico) of staat daar alle en info en administratie van je bedrijf op. Dus eerst kijken wat zijn de risico's waar je je tegen wilt beveiligen. Is dat een scriptkiddie die bij je router aanklopt of doorgewinterde hacker. Stem daar je maatregelen op af, weet wat je doet vervolgens anders lijkt het dicht maar staat de achterdeur open.
Kortom eerst verdiepen in de materie en kijken wat je aan het doen bent en waarom. Netwerk segmentatie is minder essentieel als je de enige in huis bent. Want jij wilt overal bij kunnen, kinderen en vriendjes op je netwerk verandert het weer.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • +1 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Opifex schreef op zondag 25 juni 2023 @ 23:21:
Ik lees hier vaan "Upnp uit en geen ports forwarden". Vergeef me de domme vraag, maar... als je ports niet forward, hoe geraak je dan van buitenaf tot op je HA?
VPN-server in je netwerk opzetten zou een optie kunnen zijn, met PiVPN is dat tegenwoordig heel makkelijk :)

edit: https://www.nabucasa.com/ zie ik zo nu en dan ook voorbij komen.

[ Voor 8% gewijzigd door Raven op 26-06-2023 10:45 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Frogmen schreef op maandag 26 juni 2023 @ 09:48:
Netwerk segmentatie is minder essentieel als je de enige in huis bent. Want jij wilt overal bij kunnen, kinderen en vriendjes op je netwerk verandert het weer.
Dat is het vraagstuk. Ik lees vaak dat men graag hun IoT devices gescheiden willen houden van hun reguliere netwerk, met name omdat voor sommige devices helemaal geen internet nodig is bijvoorbeeld. Maar ook devices "made in china" worden om bepaalde redenen apart gehouden. ;)

Dat is het vraagstuk waar ik mee worstel. Hoe ga ik zorgen voor een gedegen netwerk setup om te zorgen dat ik niet één brei van ongecontroleerd netwerkverkeer heb?

Nu zijn er al een flink aantal goede tips uit dit topic naar voren gekomen waar ik me eens in ga verdiepen, waarvoor nogmaals dank. Zoals ik het nu zie is firewall / router voor mij de eerste prioriteit. Ik kan dan in ieder geval uit gaan zoeken hoe ik hier verder mee kan.

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • 0 Henk 'm!

  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 09-05 12:03
Ik blijf ook graag op de hoogte van goede tips. Heb precies hetzelfde probleem als TS, maar misschien is het bij mij nog erger omdat ik flink wat chinese troep heb draaien.

Misschien een mooi idee voor een in depth artikel van @TijsZonderH ?

Acties:
  • 0 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 10:41
Zoals hierboven al gesteld werd is het belangrjik om de risicos in kaart te brengen.
Grofweg kom je dan op:
Risico 1: Risico dat het IoT apparaat gehackt wordt
Risico 2: Risico dat het gehackte IoT apparaat andere apparaten in het netwerk kan hacken
Risico 3: Risico dat het gehackte IoT apparaat misbruik maakt van internet verbinding voor andere aanvallen.

Netwerksegmentatie wordt inderdaad vaak toegepast maar risicotechnisch is puur segmentatie het nut beperkt. De kans dat een gehackt iot apparaat "om zich heen hacken" binnen hetzelfde lan is laag. Meestal worden ze ingezet als onderdeel van een botnet om internet aanvallen te doen. Daarnaast kun je de meeste apparaten op een lan niet zomaar hacken (tenzij je nog open file shares bv thuis hebt)

De beste risicomitigatie is je apparatuur los te koppelen van internet en puur lokaal te laten draaien.
Dat kan al zo simpel als de apapraten een statisch ip geven zonder internet gateway, vlans zijn er niet voor nodig.
Die oplossing is echter een stuk minder populair want dat kan betekenen dat remote toegang lastiger gaat worden en een hoop apparatuur vervangen moet worden wat niet lokaal kan draaien

CISSP! Drop your encryption keys!


Acties:
  • 0 Henk 'm!

  • PhilipsFan
  • Registratie: Oktober 2003
  • Laatst online: 09-05 14:48
Waar precies wil je tegen beveiligen?
  • Aanvallen vanaf het internet: koop een router met een goede firewall, stel deze juist in en houd de software bij. Geen open poorten zonder certificaatbeveiliging (bv VPN), geen WPS (is meer van binnenuit, maar toch) en geen uPnP gebruiken
  • Aanvallen van binnenuit (een IOT device dat dingen doet die je niet wilt: verdiep je vantevoren goed welke apparaten en welke fabrikanten je vertrouwt en welke je wilt toelaten. De meeste IOT devices hebben hun eigen uitgaande internetverbinding en werken niet zonder. Bepaal of je dit goed vindt of kies andere apparaten. Philips Hue functioneert volledig lokaal, dus heeft geen internetverbinding nodig. Hetzelfde geldt voor Zigbee2MQTT. Honeywell Evohome functioneert niet volledig zonder internet, het is dan niet door andere apps te besturen. Als voorbeelden.
  • Aanvallen van binnenuit, maar niet vanaf internet: Denk hierbij aan een ethernetkabel die naar een outdoor-camera loopt. In principe kan een aanvaller deze kabel uit de camera trekken en aansluiten op een eigen apparaat, om vervolgens andere apparaten in je netwerk te gaan aanvallen. Hiertegen heeft een VLAN wel nut, maar dan moet je het wel zo inregelen dat je router vanuit de IOT-VLAN niet beheerbaar is, anders kan de hacker de segmentering ongedaan maken. Uiteraard moet je dan ook instellen welke routes mogen bestaan van je IOT-segment naar je normale segment, anders heb je er nog niks aan.
Zoals al door andere gezegd, segmenteren alleen om het segmenteren heeft niet zoveel nut, alleen in specifieke aanvalsscenario's. Je moet voor jezelf maar uitmaken of die scenario's voor jou van toepassing zijn. Ik heb zelf de regel dat er geen ethernet buiten de woning komt. Camera's buiten zijn aangesloten via Wifi.

Dat opent natuurlijk weer de weg voor een nieuw aanvalsscenario: als de inbreker bang is dat hij in beeld komt, dan kan hij een wifi-jammer gebruiken. Ik ga er echter vanuit dat het dan een stuk makkelijker is om gewoon een bivakmuts op te doen, dan is hij ook meteen beschermd tegen de camera's binnen die wel op ethernet zitten...

[ Voor 4% gewijzigd door PhilipsFan op 26-06-2023 12:50 ]


Acties:
  • 0 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Segmenteren heeft alleen echt nut als de devices in verschillende segmenten ook geen verbinding met elkaar nodig hebben. Iot segmenteren heeft niet veel nut als je vanaf al je devices ze ook wil gebruiken. En natuurlijk kan dat wel als je HA gebruikt en deze vervolgens ook nog met via een proxy benadert. Maar of dat altijd handig is. Bedenk ook je beveiligt je huis ook niet op het niveau van een juwelier. Maak keuze en bedenk welke risico's je wel of niet accepteert.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Flans
  • Registratie: Februari 2013
  • Laatst online: 09-05 06:26
Een oplossing die al is langsgekomen is een VPN. Nadeel daaraan is dat de WAF factor drastisch wordt verminderd door een VPN. Alternatief hiervoor is het gebruiken van een Cloudflare (argo) Tunnel. Dit doet in de basis hetzelfde als een VPN en als bijvangst krijg je wat extra 'beveiliging' van Cloudflare.

Je hebt hier een domeinnaam voor nodig en een manier in je netwerk (NAS, Server) om het endpoint van de tunnel op te laten draaien. Er wordt een directe tunnel opgezet tussen je Cloudflare omgeving (en dus je domein) en je NAS of Server. Het grote voordeel hiervan is dat je geen poorten hoeft open te zetten in je router. Je kunt door middel van subdomeinen (homeautomation.mijndomein.nl, videostreamer.mijndomein.nl of dsapp.mijndomein.nl) allerlei URL door laten sturen naar je thuis omgeving.

Het endpoint van de tunnel laat je uitkomen bij een reverse proxy zodat je vanuit daar de verschillende URL's bij de door jou gebruikte applicaties laat komen. Ook hier kun je de certificaten regelen en https afdwingen. Op die manier kun je (oneindig) applicaties beschikbaar maken zowel voor intern als extern gebruik.

Als je op deze manier bijvoorbeeld Home Assistant ontsluit dan wordt die applicatie de 'verzamel-hub' van je home automation. Dan kun je alle IoT devices een eigen vlan geven, je moet dan wel home assistant ook toegang geven tot datzelfde vlan.

Volgens mij ben je op die manier dan helemaal rond. Geen IoT devices aan het internet, wel een beveiligde externe toegang.

Edit: Voor de mensen die net als @Opifex niet zelf kunnen zoeken >:)

[ Voor 19% gewijzigd door Flans op 27-06-2023 15:51 ]


Acties:
  • 0 Henk 'm!

  • Opifex
  • Registratie: September 2013
  • Laatst online: 09-05 20:47
Dit klinkt enorm interessant @Flans !

Heb je toevallig een linkje met wat meer info daarover?

Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Statusupdate: Ik heb een routertje van TP Link aangeschaft, de ER605 v2. Deze schijnt minder complex te zijn om in te richten en toch redelijk wat bang-for-the-buck te hebben in een home LAN.

Ik kan nu inderdaad met VPN en VLAN's aan de gang, wat het wat makkelijker maakt om mijn devices te scheiden. Daarbij kom ik echter wel op een volgend punt:

Ik wil (voor nu) 2 VLANs maken, vlan1 = secure, vlan2 = unsecure, waarbij alle home-automation en andere randapparatuur in vlan2 komen te hangen. Hierdoor kan ik mijn NAS en clients in vlan1 plaatsen zodat ik onderscheid kan maken tussen belangrijke en niet belangrijke clients.

So far so good denk je dan. Totdat je je realiseert dat je Home Assistant instance er precies tussenin moet staan (in VLAN1, communiceren met nodes in VLAN2). Ik heb daar nog een uitdaging. :p

Ik ben voor mijn gevoel in ieder geval iets veiliger nu ik een router met firewall e.d. heb ipv alleen een mesh netwerk rechtstreeks achter een ziggo modem in bridge mode. ;)

Edit: Dank voor alle info allen, ik ga zeker ook eens kijken naar Cloudflare!

[ Voor 3% gewijzigd door CSB op 28-07-2023 11:25 ]

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • 0 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

CSB schreef op vrijdag 28 juli 2023 @ 11:16:
So far so good denk je dan. Totdat je je realiseert dat je Home Assistant instance er precies tussenin moet staan (in VLAN1, communiceren met nodes in VLAN2). Ik heb daar nog een uitdaging. :p
Indien dat communiceren over MQTT gaat, dan alleen de poort van MQTT toestaan :)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

  • Valkyre
  • Registratie: April 2002
  • Laatst online: 09-05 07:59

Valkyre

Kitesurf FTW!

Ik zou je adviseren eerst eens uit te schrijven wat je ongeveer wil bereiken en dan kom je denk ik op iets van 3 vlans uit: (begin ook met wat hogere nummers vlannen 10, 20, 30 bijv)

Vlan 10 is clients; laptops pc, WiFi (telefoons) met bijvoorbeeld ip reeks 192.168.10.0/24

Vlan 20 is je infra laag (bijvoorbeeld home assistant t, pihole. Ip reeks 192.168.20.0/24

Vlan 30 is je iot laag met je Chinese rommelt etc
Ip reeks. 192.168.30.0/24

Je moet dan firewall regels opzetten vanuit de verschillende vlans
Van vlan10 poort 8123 zet je open richting home assistant en hoppa je kan erbij vanaf je cliënt netwerk.
Enzo ga je door.

iRacing Profiel


Acties:
  • +2 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Nu online
Bedenk wel dat een vlan een segmentatie maakt maar dat al je iot devices dan bij elkaar zitten.
Denk je niet dat het hacken van iot devices gevaarlijker is dan het hacken van niet iot devices.
Kom je er op een dag achter dat je cv op 35 graden gezet is en al je andere iot devices op hol geslagen zijn.

Vlan's leveren zoals zoveel zaken maar heel beperkte extra veiligheid en zijn bedoelt voor verkeer afscheiding binnen je lan niet als security maatregel.

Wat echt help is zorgen dat je iot device niet het internet op kunnen en dat er geen port forwardings zijn.

Die port 443 en die port voor Synology zijn je echt grote security lekken.
Stop die forwarding en zet een de VPN server aan in je Synology, zodat je veilig via een VP vanaf het internet bij je lan kunt komen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Valkyre
  • Registratie: April 2002
  • Laatst online: 09-05 07:59

Valkyre

Kitesurf FTW!

Ben(V) schreef op zaterdag 29 juli 2023 @ 08:52:

Wat echt help is zorgen dat je iot device niet het internet op kunnen en dan er geen port forwarding zijn.

Die port 443 en die port voor Synology zijn je echt grote security lekken.
Stop die forwarding en zet een de VPN server aan in je Synology, zodat je veilig via een VP vanaf het internet bij je lan kunt komen.
Inderdaad dit is wat ik nog toe had moeten voegen :)
Als het in 1 vlan zit kun je het makkelijker blokkeren, en kan het de rest van je netwerk niet bereiken als je bijvoorbeeld obscure Chinese apparaten hebt.

iRacing Profiel


Acties:
  • 0 Henk 'm!

  • CSB
  • Registratie: Juli 2003
  • Laatst online: 09-05 15:52
Dank voor de inzichten! Is het niet mogelijk om VLAN's aan te maken zonder toegang tot internet? Dan zou ik een vlan kunnen maken voor de chinese meuk zoals jullie het noemen en die daarin hangen. Poortje open naar infra vlan en client vlan en dan zou het moeten werken toch? Het geheel zit achter een firewall nu, dus het is in ieder geval al veiliger dan het was. Wel een goed idee om 3 vlans te maken!

Klinkt allemaal vrij makkelijk maar is het niet natuurlijk. Sterker nog; ik heb vooralsnog niet de mogelijkheid gevonden om vlans te definieren op mijn AP's. Volgens de verschillende internet fora zijn de Deco's wel in staat meerdere SSID's en vlans te supporten maar is het in de software niet beschikbaar... Iets met consumenten product.

Ik zal proberen mijn progressie hier bij te houden. Daarbij waardeer ik jullie input enorm, het helpt me om de juiste beslissingen te nemen.

Met zo'n administrator heb je geen users meer nodig...


Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Nu online
Gewoon een firewall die alles van die chinese meuk dat het internet op wil blokkeert, dan heb je helemaal geen vlan's nodig.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Roekeloos
  • Registratie: Februari 2011
  • Laatst online: 23:34
Ben(V) schreef op zaterdag 29 juli 2023 @ 14:08:
Gewoon een firewall die alles van die chinese meuk dat het internet op wil blokkeert, dan heb je helemaal geen vlan's nodig.
Ok, maar hoe richt je dat in in de praktijk? Met rules obv mac adres ofzo?

Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Nu online
Je regelt in je dhcp server dat je iot devices altijd hetzelfde ipadres krijgen het liefst in een bepaalde range en je maakt een firewall rule die outbound verkeer voor die reeks verbied.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Pagina: 1