Thuisnetwerk & Home Automation, hoe zet je dat veilig op?

Met een echte router is het vrij eenvoudig om VLAN's in te stellen en de beperkingen van intervlan verkeer in te regelen. Daarmee ka je van je "corporate" netwerk devices in het IoT netwerk bedienen, terwijl omgekeerd niet kan. Maar je netwerk apparatuur moet het natuurlijk ondersteunen.

Voor toegang van buitenaf zo ik altijd een vpn oplossing kiezen (en alle andere poorten dichtlaten). Dan kan je relatief eenvoudig met je netwerk verbinden en over deze veilige verbindingde services benaderen.

Zelf heb ik voor scheiding gekozen via VLAN's: corporate, guest (alleen Internet), camera's (die kunnen helemaal niets) en de zonnepanelen (ook alleen Internet). Uitgevoerd met een MikroTik router (steile leercurve, beste prijs/pret verhouding) en Grandstream Wifi.

Vlans, firewalls etc heeft allemaal niet zoveel zin aangezien je ze meestal toxh internet connected wil hebben waar het risico zit.
Dat ze via een iot gehackt apparaat op je netwerk kunnen hacken zou ik voor thuis niet teveel op focussen.
Port scans kun je ook negeren, is regular internet noise


Beste beveiliging is hoogstaande iot producten waar de leverancier goed aangeschreven staat qua beveiliging en geen inkomende poorten mappen

Alles van google, amazon etc eruit
Alleen opensource home automation zoals home assistant
Alle smart devices op een protocol dat by design geen intenet-connectiviteit aankan. Dus dus zigbee/zwave.

Heb je poorten open staan op je router van buitenaf? Je geeft aan dat je port scans voorbij ziet komen op je Pi's en Syno. Dat is IMHO het grootste risico wat je loopt. Vraag jezelf af of je je diensten voor het hele internet toegankelijk wilt hebben, of dat je wellicht via een VPN naar huis zou willen verbinden. Dat is over het algemeen veiliger en je hoeft maar 1 poortje te openen.
IoT apparaten in je netwerk die het internet op gaan zijn zo goed als onvermijdelijk en meestal onschuldig. Ze zouden gecompromitteerd kunnen worden en in een botnet worden opgenomen, maar zolang je geen verkeer van buitenaf toe laat is die kans alweer een stuk kleiner.
Hier genoemde VLAN's zijn leuk en nuttig, maar de vereiste netwerkkennis is flink. Een VLAN zelf doet niet veel namelijk, de meeste kennis gaat zitten in het inrichten van een firewall.

CSB schreef op zaterdag 24 juni 2023 @ 14:25:
[…]
Maar waarom zou je Google Home eruit willen hebben? Alleen vanwege het privacy aspect, of zitten er echt beveiligingsissues aan?
[…]

Omdat soms binnen 5 minuten na een gesprek aan de keukentafel je Chrome browser ineens advertenties begint te tonen over datzelfde onderwerp??

laurens0619 schreef op zaterdag 24 juni 2023 @ 14:06:
Vlans, firewalls etc heeft allemaal niet zoveel zin aangezien je ze meestal toxh internet connected wil hebben waar het risico zit.
Dat ze via een iot gehackt apparaat op je netwerk kunnen hacken zou ik voor thuis niet teveel op focussen.
Port scans kun je ook negeren, is regular internet noise

Daarom zit het IoT-VLAN hier (ook) achter PiHole, maar dan omgekeerd. Standaard worden alle domeinnamen geblokkeerd, behalve die ik expliciet in PiHole heb gewhitelist, bijv. de domeinnaam die Tasmota gebruikt voor firmware-updates.

Plus apparaten binnen IoT-VLAN kunnen niet zomaar verbinding maken met andere VLAN's, alleen dat wat ik toe heb gestaan, firewall's default policy staat hierbij op drop.

[ Voor 11% gewijzigd door Raven op 24-06-2023 15:17 ]

Wat al is geschetst;
een router/firewall.
Geen ports van buiten naar binnen open. Ik zou zelf, maar dat is meer omdat het mijn beroep is, geen SSiD voor mijn IOT zaken hebben, maar alles via een ouderwetsch kabeltje aansluiten.
Op een apart VLAN. (dat houdt voor mij in een apart subnet)
Ik heb hier ook een pihole. Die doet alle DNS gerelateerde zaken bijhouden. Nou heb ik ook een behoorlijk stricte firewall, maar als je daar geen kaas van hebt gegeten dan moet je daar niet aan beginnen.
Modem in bridge router met firewall en NAT functionaliteit is goed genoeg. Dan kun je nog een apart subnet maken voor je IOT zaken. zoals @laurens0619 schetste. Dan heb je alleen nog de ruis op je NAS, omdat je port 443 open hebt. (Dat is dan ook je enige attack surface, dus die zul je goed bij moeten houden qua beveligingsnivo, patchen is het devies. Je webserver niet open laten staan voor Jan ét Alleman.)

Ik vind het bijzonder dat je zo'n uitgebreid netwerk maakt en dan niet eens een firewall voorziet

Gewoon een router kopen dus, of je Ziggo modem uit bridge mode halen, want dan gaat de firewall weer aan (op die link hebben ze het ook continu over een router).

Bij een standaard router.
UpNP uitzetten.
Geen port-forwarding.

Netwerksegmentatie kan op de simpelste manier door IoT devices met je gastennetwerk te verbinden, helaas kan je ze dan alleen via de servers van de leverancier benaderen.

Als je serieus netwerksegmentatie wil kunnen toepassen zal je professionele apparatuur nodig hebben.

Populair voor thuisgebruik zijn o.a de unifi en omada platformen, voordeel hiervan is dat je routers, switches en accesspoints centraal kan beheren.
Ook populair is een pfsense router.

Je huidige wifi oplossing kan niet overweg met vlan's en zal je moeten vervangen.

Afhankelijk van je eisen kan een upgrade behoorlijk in de papieren lopen.

Om je een idee te geven wat er komt kijken bij een nieuwe setup, zelf heb ik onderstaande setup:

#	Category	Product	Prijs	Subtotaal
1	Netwerk switches	TP-Link TL-SG2008P	€ 97,-	€ 97,-
2	Access points	TP-Link EAP610	€ 106,50	€ 213,-
1	Modems en routers	TP-Link TL-ER7206 SafeStream Gigabit Multi-WAN VPN-router	€ 148,83	€ 148,83
1	Netwerkaccessoires	TP-Link Omada Cloud Controller OC200	€ 93,75	€ 93,75
			Totaal	€ 552,58

Ik had me gesubscribed op dit topic om het even mee te volgen, aangezien ik in dezelfde situatie zit als TS. Ik wil binnenkort een HA installeren in m'n huis, maar zou dit ook wel goed willen beveiligen. En jammergenoeg heb ik daar niet zo heel veel kaas van gegeten.

Ik lees hier vaan "Upnp uit en geen ports forwarden". Vergeef me de domme vraag, maar... als je ports niet forward, hoe geraak je dan van buitenaf tot op je HA?

Voordat je het gaat hebben over beveiligen moet je eerst je risico's in kaart brengen. Heb je alles in de cloud staan en op je NAS alleen wat muziek en films (lees geen risico) of staat daar alle en info en administratie van je bedrijf op. Dus eerst kijken wat zijn de risico's waar je je tegen wilt beveiligen. Is dat een scriptkiddie die bij je router aanklopt of doorgewinterde hacker. Stem daar je maatregelen op af, weet wat je doet vervolgens anders lijkt het dicht maar staat de achterdeur open.
Kortom eerst verdiepen in de materie en kijken wat je aan het doen bent en waarom. Netwerk segmentatie is minder essentieel als je de enige in huis bent. Want jij wilt overal bij kunnen, kinderen en vriendjes op je netwerk verandert het weer.

Opifex schreef op zondag 25 juni 2023 @ 23:21:
Ik lees hier vaan "Upnp uit en geen ports forwarden". Vergeef me de domme vraag, maar... als je ports niet forward, hoe geraak je dan van buitenaf tot op je HA?

VPN-server in je netwerk opzetten zou een optie kunnen zijn, met PiVPN is dat tegenwoordig heel makkelijk

edit: https://www.nabucasa.com/ zie ik zo nu en dan ook voorbij komen.

[ Voor 8% gewijzigd door Raven op 26-06-2023 10:45 ]

Ik blijf ook graag op de hoogte van goede tips. Heb precies hetzelfde probleem als TS, maar misschien is het bij mij nog erger omdat ik flink wat chinese troep heb draaien.

Misschien een mooi idee voor een in depth artikel van @TijsZonderH ?

Zoals hierboven al gesteld werd is het belangrjik om de risicos in kaart te brengen.
Grofweg kom je dan op:
Risico 1: Risico dat het IoT apparaat gehackt wordt
Risico 2: Risico dat het gehackte IoT apparaat andere apparaten in het netwerk kan hacken
Risico 3: Risico dat het gehackte IoT apparaat misbruik maakt van internet verbinding voor andere aanvallen.

Netwerksegmentatie wordt inderdaad vaak toegepast maar risicotechnisch is puur segmentatie het nut beperkt. De kans dat een gehackt iot apparaat "om zich heen hacken" binnen hetzelfde lan is laag. Meestal worden ze ingezet als onderdeel van een botnet om internet aanvallen te doen. Daarnaast kun je de meeste apparaten op een lan niet zomaar hacken (tenzij je nog open file shares bv thuis hebt)

De beste risicomitigatie is je apparatuur los te koppelen van internet en puur lokaal te laten draaien.
Dat kan al zo simpel als de apapraten een statisch ip geven zonder internet gateway, vlans zijn er niet voor nodig.
Die oplossing is echter een stuk minder populair want dat kan betekenen dat remote toegang lastiger gaat worden en een hoop apparatuur vervangen moet worden wat niet lokaal kan draaien

Waar precies wil je tegen beveiligen?

• Aanvallen vanaf het internet: koop een router met een goede firewall, stel deze juist in en houd de software bij. Geen open poorten zonder certificaatbeveiliging (bv VPN), geen WPS (is meer van binnenuit, maar toch) en geen uPnP gebruiken
• Aanvallen van binnenuit (een IOT device dat dingen doet die je niet wilt: verdiep je vantevoren goed welke apparaten en welke fabrikanten je vertrouwt en welke je wilt toelaten. De meeste IOT devices hebben hun eigen uitgaande internetverbinding en werken niet zonder. Bepaal of je dit goed vindt of kies andere apparaten. Philips Hue functioneert volledig lokaal, dus heeft geen internetverbinding nodig. Hetzelfde geldt voor Zigbee2MQTT. Honeywell Evohome functioneert niet volledig zonder internet, het is dan niet door andere apps te besturen. Als voorbeelden.
• Aanvallen van binnenuit, maar niet vanaf internet: Denk hierbij aan een ethernetkabel die naar een outdoor-camera loopt. In principe kan een aanvaller deze kabel uit de camera trekken en aansluiten op een eigen apparaat, om vervolgens andere apparaten in je netwerk te gaan aanvallen. Hiertegen heeft een VLAN wel nut, maar dan moet je het wel zo inregelen dat je router vanuit de IOT-VLAN niet beheerbaar is, anders kan de hacker de segmentering ongedaan maken. Uiteraard moet je dan ook instellen welke routes mogen bestaan van je IOT-segment naar je normale segment, anders heb je er nog niks aan.

Zoals al door andere gezegd, segmenteren alleen om het segmenteren heeft niet zoveel nut, alleen in specifieke aanvalsscenario's. Je moet voor jezelf maar uitmaken of die scenario's voor jou van toepassing zijn. Ik heb zelf de regel dat er geen ethernet buiten de woning komt. Camera's buiten zijn aangesloten via Wifi.

Dat opent natuurlijk weer de weg voor een nieuw aanvalsscenario: als de inbreker bang is dat hij in beeld komt, dan kan hij een wifi-jammer gebruiken. Ik ga er echter vanuit dat het dan een stuk makkelijker is om gewoon een bivakmuts op te doen, dan is hij ook meteen beschermd tegen de camera's binnen die wel op ethernet zitten...

[ Voor 4% gewijzigd door PhilipsFan op 26-06-2023 12:50 ]

Segmenteren heeft alleen echt nut als de devices in verschillende segmenten ook geen verbinding met elkaar nodig hebben. Iot segmenteren heeft niet veel nut als je vanaf al je devices ze ook wil gebruiken. En natuurlijk kan dat wel als je HA gebruikt en deze vervolgens ook nog met via een proxy benadert. Maar of dat altijd handig is. Bedenk ook je beveiligt je huis ook niet op het niveau van een juwelier. Maak keuze en bedenk welke risico's je wel of niet accepteert.

Een oplossing die al is langsgekomen is een VPN. Nadeel daaraan is dat de WAF factor drastisch wordt verminderd door een VPN. Alternatief hiervoor is het gebruiken van een Cloudflare (argo) Tunnel. Dit doet in de basis hetzelfde als een VPN en als bijvangst krijg je wat extra 'beveiliging' van Cloudflare.

Je hebt hier een domeinnaam voor nodig en een manier in je netwerk (NAS, Server) om het endpoint van de tunnel op te laten draaien. Er wordt een directe tunnel opgezet tussen je Cloudflare omgeving (en dus je domein) en je NAS of Server. Het grote voordeel hiervan is dat je geen poorten hoeft open te zetten in je router. Je kunt door middel van subdomeinen (homeautomation.mijndomein.nl, videostreamer.mijndomein.nl of dsapp.mijndomein.nl) allerlei URL door laten sturen naar je thuis omgeving.

Het endpoint van de tunnel laat je uitkomen bij een reverse proxy zodat je vanuit daar de verschillende URL's bij de door jou gebruikte applicaties laat komen. Ook hier kun je de certificaten regelen en https afdwingen. Op die manier kun je (oneindig) applicaties beschikbaar maken zowel voor intern als extern gebruik.

Als je op deze manier bijvoorbeeld Home Assistant ontsluit dan wordt die applicatie de 'verzamel-hub' van je home automation. Dan kun je alle IoT devices een eigen vlan geven, je moet dan wel home assistant ook toegang geven tot datzelfde vlan.

Volgens mij ben je op die manier dan helemaal rond. Geen IoT devices aan het internet, wel een beveiligde externe toegang.

Edit: Voor de mensen die net als @Opifex niet zelf kunnen zoeken

• YouTube: Cloudflare Tunnels: Getting Started with Domains, DNS, and Tunnels
• YouTube: You Need to Learn This! Cloudflare Tunnel Easy Tutorial
• YouTube: Cloudflare: How to Set up Cloudflare Argo Tunnel FREE on Unraid - By...
• YouTube: Cloudflare Tunnel Setup Guide - Self-Hosting for EVERYONE

[ Voor 19% gewijzigd door Flans op 27-06-2023 15:51 ]

Dit klinkt enorm interessant @Flans !

Heb je toevallig een linkje met wat meer info daarover?

CSB schreef op vrijdag 28 juli 2023 @ 11:16:
So far so good denk je dan. Totdat je je realiseert dat je Home Assistant instance er precies tussenin moet staan (in VLAN1, communiceren met nodes in VLAN2). Ik heb daar nog een uitdaging.

Indien dat communiceren over MQTT gaat, dan alleen de poort van MQTT toestaan

Ik zou je adviseren eerst eens uit te schrijven wat je ongeveer wil bereiken en dan kom je denk ik op iets van 3 vlans uit: (begin ook met wat hogere nummers vlannen 10, 20, 30 bijv)

Vlan 10 is clients; laptops pc, WiFi (telefoons) met bijvoorbeeld ip reeks 192.168.10.0/24

Vlan 20 is je infra laag (bijvoorbeeld home assistant t, pihole. Ip reeks 192.168.20.0/24

Vlan 30 is je iot laag met je Chinese rommelt etc
Ip reeks. 192.168.30.0/24

Je moet dan firewall regels opzetten vanuit de verschillende vlans
Van vlan10 poort 8123 zet je open richting home assistant en hoppa je kan erbij vanaf je cliënt netwerk.
Enzo ga je door.

Bedenk wel dat een vlan een segmentatie maakt maar dat al je iot devices dan bij elkaar zitten.
Denk je niet dat het hacken van iot devices gevaarlijker is dan het hacken van niet iot devices.
Kom je er op een dag achter dat je cv op 35 graden gezet is en al je andere iot devices op hol geslagen zijn.

Vlan's leveren zoals zoveel zaken maar heel beperkte extra veiligheid en zijn bedoelt voor verkeer afscheiding binnen je lan niet als security maatregel.

Wat echt help is zorgen dat je iot device niet het internet op kunnen en dat er geen port forwardings zijn.

Die port 443 en die port voor Synology zijn je echt grote security lekken.
Stop die forwarding en zet een de VPN server aan in je Synology, zodat je veilig via een VP vanaf het internet bij je lan kunt komen.

Ben(V) schreef op zaterdag 29 juli 2023 @ 08:52:

Wat echt help is zorgen dat je iot device niet het internet op kunnen en dan er geen port forwarding zijn.

Die port 443 en die port voor Synology zijn je echt grote security lekken.
Stop die forwarding en zet een de VPN server aan in je Synology, zodat je veilig via een VP vanaf het internet bij je lan kunt komen.

Inderdaad dit is wat ik nog toe had moeten voegen
Als het in 1 vlan zit kun je het makkelijker blokkeren, en kan het de rest van je netwerk niet bereiken als je bijvoorbeeld obscure Chinese apparaten hebt.

Gewoon een firewall die alles van die chinese meuk dat het internet op wil blokkeert, dan heb je helemaal geen vlan's nodig.

Ben(V) schreef op zaterdag 29 juli 2023 @ 14:08:
Gewoon een firewall die alles van die chinese meuk dat het internet op wil blokkeert, dan heb je helemaal geen vlan's nodig.

Ok, maar hoe richt je dat in in de praktijk? Met rules obv mac adres ofzo?

Je regelt in je dhcp server dat je iot devices altijd hetzelfde ipadres krijgen het liefst in een bepaalde range en je maakt een firewall rule die outbound verkeer voor die reeks verbied.