Nieuw huis nieuw netwerk prive en home automation gescheiden

woensdag 1 november 2023 07:39

Acties:

0 Henk 'm!

Topicstarter

Volgende maand ga ik verhuizen en ik dacht als ik dan toch opnieuw begin dan probeer ik mijn thuis netwerk ook eens iets profesioneler op te zetten.
daarom zou ik graag in het nieuwe huis mijn home automation netwerk willen scheiden van mijn prive netwerk.
maar loop toch tegen een paar dingen aan waar ik niet zo goed van weet hoe ik dit aan moet pakken.

Dit wordt waarschijnlijk mijn netwerk topology:

Afbeeldingslocatie: https://tweakers.net/i/YTI6mFfrPIzU7KyID1dHNQPa0zU=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/WPG6JZ3JazQgnLmLEe66jZA5.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/YTI6mFfrPIzU7KyID1dHNQPa0zU=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/WPG6JZ3JazQgnLmLEe66jZA5.jpg?f=user_large

router:
Ubiquiti EdgeRouter X SFP

main switch:
TP-Link TL-SG1016PE

zolder switch:
TP-Link TL-SG108E

accespoints:
3 x Ubiquiti UniFi U6+

server:
zelfbouw server draaiend op Unraid.
docker home assistent draaiend
1 nic voor nu

de 2 vlans zou ik op willen hebben op
192.168.10.0/24 prive netwerk
192.168.20.0/24 home automation

nou denk ik wel dat ik alle vlan's op de switches en accespoint werkend krijg maar hoe scheid ik mijn netwerk in de server en hoe bereik ik de home assistent web interface weer op de prive vlan.

sta open voor suggesties met betrekking tot andere netwerk apparatuur.

woensdag 1 november 2023 14:35

dhrto

Er is volgens mij niks mis mee om bewust na te denken over het gescheiden houden van IoT/smart spul van je 'hoofd' netwerk. Is het een must, sja, dat moet iedereen voor zichzelf uitmaken. Ook niet iedereen heeft een gasten netwerk voor wifi bijvoorbeeld. Hoeveel meer risico loop je als je het niet gescheiden houdt? Durf ik geen uitspraak over te doen, is meer iets voor verzekeraars. Maar goed, voorkomen is beter dan genezen. En als je het geld en de tijd ervoor over hebt, zeker doen. De uitleg met een schema van je netwerk is helemaal top, dat maakt het discussieren erover een stuk makkelijker!

Terug naar de vragen:
- Homeassistant (HA) kun je twee netwerk interfaces geven, 1 op je hoofdnetwerk en 1 op je iot netwerk. In een VM gaat dit helemaal makkelijk: twee nic's aanmaken en op hypervisor niveau de vlan's regelen.
- Iot apparatuur kan dan alleen met HA praten. Ik zou in de firewall regelen dat het iot vlan niet op internet mag, tenzij sommige apparaten dat echt nodig hebben (dan zou ik die op den duur zeker vervangen door apparaten die volledig lokaal kunnen werken).
- Het mooie van HA is in mijn ogen juist dat je helemaal niet meer 'honderd' losse apps nodig hebt voor je iot/smart spul. Alles is te bedienen vanuit HA. Je hoeft dus alleen maar bij HA vanaf je telefoon/PC/tablet, en dat kan dus prima met HA met 2 nic's.
- Wil je vanaf buiten bij HA kunnen, dan zijn daar diverse oplossingen voor, varierend in gebruiksgemak, kosten en veiligheid. Het kan bijvoorbeeld via de (betaalde) cloud van HA zelf (Nabu Casa), of via een reverse proxy, of via rechtstreekse portmappings op je firewall, of via VPN).
- De meeste 'consumenten' wifi AP's ondersteunen geen vlan's. Dat is wel een punt om goed uit te zoeken voordat je apparatuur gaat aanschaffen. Anders moet je aparte AP's gaan ophangen voor vlan 10 en vlan 20. Dat lijkt me niet wenselijk.

EDIT: iets te snel gelezen. Je hebt al Ubiquiti AP's in gedachten. Daar gaan vlan's prima op, dus mooi!

woensdag 1 november 2023 07:46

Acties:

0 Henk 'm!

jadjong

boeke209 schreef op woensdag 1 november 2023 @ 07:39:

nou denk ik wel dat ik alle vlan's op de switches en accespoint werkend krijg maar hoe scheid ik mijn netwerk in de server en hoe bereik ik de home assistent web interface weer op de prive vlan.

sta open voor suggesties met betrekking tot andere netwerk apparatuur.

Firewall regels aanmaken in de router.

woensdag 1 november 2023 07:47

Acties:

0 Henk 'm!

Shabbaman

Got love?

Je kan met de Unifi controller toch twee gescheiden virtuele netwerken aanmaken?

"Our words are backed with NUCLEAR WEAPONS!" - Mahatma Gandhi

woensdag 1 november 2023 07:55

Acties:

0 Henk 'm!

Vorkie

Als je ook chromecasts enzo gebruikt moet je wel een mDNS repeater hebben, zoals Avahi.

Anders kan je niet casten.

woensdag 1 november 2023 08:02

Acties:

+2 Henk 'm!

Anoniem: 1777010

Shabbaman schreef op woensdag 1 november 2023 @ 07:47:
Je kan met de Unifi controller toch twee gescheiden virtuele netwerken aanmaken?

Dat kan, en zo heb ik het ook gedaan. Ik heb Unifi switches dus bepaalde poortjes zijn het IOT lan en andere poorten zijn defaultLAN. Op die manier is de scheiding makkelijk te maken.

Tevens zorg je ervoor dat er een tweede wifi netwerk is waar alle IOT apparaten op hangen. Als bonus zorg je ervoor dat je server op beide netwerken kan (met twee netwerkpoorten bijvoorbeeld) zodat Home Assistant overal bij kan.

Dubbele bonus: je kan je Unifi gateway zo instellen dat-ie alle pakketjes van het IOT lan naar het internet dropt. Daarmee is je IOT netwerk direct offline. Maar via je server is Home Assistant gewoon te bereiken.

woensdag 1 november 2023 09:20

Acties:

+2 Henk 'm!

Ben(V)

Ik snap eigenlijk niet waarom iedereen z'n home automation gescheiden wil hebben.
Wat is het nut daarvan?

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 1 november 2023 09:23

Acties:

+6 Henk 'm!

ChaserBoZ_

Ben(V) schreef op woensdag 1 november 2023 @ 09:20:
Ik snap eigenlijk niet waarom iedereen z'n home automation gescheiden wil hebben.
Wat is het nut daarvan?

Veel IOT / domotica spul werkt 'o zo makkelijk' via de app, via een cloud. Zou die cloud ooit een beveiligingsprobleem hebben, dan is het IOT apparaat bij je thuis makkelijk te beïnvloeden.

Vandaar dat dat soort toepassingen gescheiden kunnen worden. Ik heb zelf een hoop domotica meuk, die met allerlei verschillende clouds babbelt. Wordt één zo'n apparaat of cloud gehackt, dan is er in ieder geval geen toegang mogelijk vanaf het IOT apparaat in mijn netwerk, naar bijvoorbeeld mijn NAS met allerlei data.

Daarnaast kan ik de IOT meuk apart monitoren, bandbreedte/QoS toekennen et cetera.

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 1 november 2023 09:25

Acties:

0 Henk 'm!

boeke209

Topicstarter

Ben(V) schreef op woensdag 1 november 2023 @ 09:20:
Ik snap eigenlijk niet waarom iedereen z'n home automation gescheiden wil hebben.
Wat is het nut daarvan?

De betaalbare iot devices zijn nou niet bepaald veilig te noemen en om het risico te beperken dat je eigen prive netwerk geïnfecteerd raakt met malware / virussen zou ik graag het netwerk willen scheiden.

woensdag 1 november 2023 09:33

Acties:

0 Henk 'm!

Anoniem: 1986520

Ben(V) schreef op woensdag 1 november 2023 @ 09:20:
Ik snap eigenlijk niet waarom iedereen z'n home automation gescheiden wil hebben.
Wat is het nut daarvan?

Omdat ze allemaal denken dat het “professioneler” is, en omdat het kan…..zonder verder enige praktische onderbouwing :-).

Er is voor zover ik weet nog geen enkel geval geweest dat er via een aanval van een IOT device daarna naar de rest van het thuisnetwerk is gegaan. De enige echte hacks die zo lopen waarvan ik weet hadden altijd locale toegang nodig.

Leuk dus dat het kan en wellicht een leuke leerervaring in het opzetten van VLANS of firewall settings, maar eigenlijk totale tijdsverspilling. Maar dat is met veel het geval, ook posten hier :-).

[ Voor 8% gewijzigd door Anoniem: 1986520 op 01-11-2023 09:36 ]

woensdag 1 november 2023 09:35

Acties:

0 Henk 'm!

Ben(V)

ChaserBoZ_ schreef op woensdag 1 november 2023 @ 09:23:
[...]

Veel IOT / domotica spul werkt 'o zo makkelijk' via de app, via een cloud. Zou die cloud ooit een beveiligingsprobleem hebben, dan is het IOT apparaat bij je thuis makkelijk te beïnvloeden.

Vandaar dat dat soort toepassingen gescheiden kunnen worden. Ik heb zelf een hoop domotica meuk, die met allerlei verschillende clouds babbelt. Wordt één zo'n apparaat of cloud gehackt, dan is er in ieder geval geen toegang mogelijk vanaf het IOT apparaat in mijn netwerk, naar bijvoorbeeld mijn NAS met allerlei data.

Daarnaast kan ik de IOT meuk apart monitoren, bandbreedte/QoS toekennen et cetera.

En je denkt dat een vlan daar voldoende bescherming tegen bied?

Iot devices op je netwerk en al helemaal je wifi netwerk moet je gewoon niet willen en alles dat via de cloud van de (chinese) leverancier werkt al helemaal niet.
Als je iets met iot wilt doen kun je beter zigbee of zwave gebruiken en geen wifi.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 1 november 2023 09:43

Acties:

0 Henk 'm!

lier

MikroTik nerd

Anoniem: 1986520 schreef op woensdag 1 november 2023 @ 09:33:
Omdat ze allemaal denken dat het “professioneler” is, en omdat het kan…..zonder verder enige praktische onderbouwing :-).

Wie zijn "ze"? Onbekend maakt onbemind

Mijn Chinese camera's zitten in een apart vlan omdat zij niet op Internet mogen. Daar zorg ik in mijn firewall voor dat dat ook echt niet gebeurt. De Synology mag ze wel bereiken.

Het kastje van de zonnepanelen (met Wifi) dat voor de data zorgt, mag ook niet op mijn netwerk (maar wel naar Internet). Die heb ik namelijk niet zelf in beheer, beetje slorfig als die spontaan een open netwerk gaat aanbieden.

En zo zijn er veel meer "professionele" redenen aan te dragen dan alleen "omdat het kan".

Eerst het probleem, dan de oplossing

woensdag 1 november 2023 09:49

Acties:

+1 Henk 'm!

ChaserBoZ_

Ben(V) schreef op woensdag 1 november 2023 @ 09:35:
[...]

En je denkt dat een vlan daar voldoende bescherming tegen bied?

Het is een start, met accesspoints die vlan's ondersteunen en een firewall die intervlan verkeer blokkeert creëer je in ieder geval 'afstand'.

Iot devices op je netwerk en al helemaal je wifi netwerk moet je gewoon niet willen en alles dat via de cloud van de (chinese) leverancier werkt al helemaal niet.
Als je iets met iot wilt doen kun je beter zigbee of zwave gebruiken en geen wifi.

Dat zijn keuzes inderdaad, ik ontkwam niet aan een mix. Een hoop met Zigbee en dus puur intern. Een paar andere apparaten echter babbelen direct met buiten.

Anoniem: 1986520 schreef op woensdag 1 november 2023 @ 09:33:
[...]

Er is voor zover ik weet nog geen enkel geval geweest dat er via een aanval van een IOT device daarna naar de rest van het thuisnetwerk is gegaan. De enige echte hacks die zo lopen waarvan ik weet hadden altijd locale toegang nodig.

Het feit dat jij het niet weet, maakt het technische risico niet kleiner

Keuzes, laten we het daar op houden

[ Voor 0% gewijzigd door ChaserBoZ_ op 01-11-2023 09:49 . Reden: Meer koffie . . . ]

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 1 november 2023 09:57

Acties:

+1 Henk 'm!

laurens0619

De kans dat een infected iot een apparaat in je netwerk hackt is 1000000x kleiner dan dat die computer lokaal via bv een phishing mail wordt gehackt.

Sowieso moet je niet zo bang zijn dat je vanaf een netwerk device een apparaat kan hacken. Je moet sowieso ervoor zorgen dat je geen open shares hebt en netjes hebt gepatched. (maar dat kom je gelukkig steeds minder vaak tegen)

Maar dan nog: Een iot device hacken ze voornamelijk om hun eigen botnet uit te breiden. Devices uit een botnet gebruiken ze vervolgens om andere devices op het internet aan te vallen, niet je lan.

Hoe wordt een iot device gehackt? Eigenlijk vooral als deze direct aan het internet geknoopt is, de kans via "cloud access" is al stuk lager.

Het allerbelangrijkste is dus je internet toegang te restricten tot geen/alleen de cloud server van het apparaat. Heb je daar vlans voor nodig? Nee niet perse, kan ook prima via een ip reservering.

Op tweakers zie je vaak dat iot in een apart vlan wordt gestopt maar internet toegang intact blijft.
Dan krijgen mensen vaak gedoe dat ze het spul niet meer lokaal vanaf een smartphone kunnen bedienen.

Eind resultaat is dus negatieve impact op gebruikerservaring en nihiele toevoeging op security. Precies andersom dan je zou willen zien dus

[ Voor 21% gewijzigd door laurens0619 op 01-11-2023 10:00 ]

CISSP! Drop your encryption keys!

woensdag 1 november 2023 10:02

Acties:

+1 Henk 'm!

Anoniem: 1986520

laurens0619 schreef op woensdag 1 november 2023 @ 09:57:
De kans dat een infected iot een apparaat in je netwerk hackt is 1000000x kleiner dan dat die computer lokaal via bv een phishing mail wordt gehackt.

Precies… het “gevaar” zit natuurlijk veel eerder in je primaire apparaten zoals je pc of telefoon.

woensdag 1 november 2023 10:14

Acties:

+1 Henk 'm!

Ben(V)

Cloud access is niet een erg groot hack risico, maar meer een data risico.
Alles wat een iot device aan data levert wordt met de cloud van de fabrikant gedeeld.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 1 november 2023 10:50

Acties:

+1 Henk 'm!

boeke209

Topicstarter

Anoniem: 1986520 schreef op woensdag 1 november 2023 @ 09:50:
[...]

Maar dan heb je toch een onderbouwing…..

Dat is iets anders dan zomaar generiek met wat plaatjes strooien zonder over een doel na te denken zoals hier nu gebeurt…

En wellicht gewoon geen Chinese meuk kopen?

Hoezo is dit nu weer generiek met wat plaatjest strooien? elke post die ik hier lees is altijd de eerste vraag "hoe ziet je netwerk eruit en welke hard en software gebruik je?" die wou ik dus met dit "plaatje" alvast voor zijn.

laurens0619 schreef op woensdag 1 november 2023 @ 09:57:
Op tweakers zie je vaak dat iot in een apart vlan wordt gestopt maar internet toegang intact blijft.
Dan krijgen mensen vaak gedoe dat ze het spul niet meer lokaal vanaf een smartphone kunnen bedienen.

Eind resultaat is dus negatieve impact op gebruikerservaring en nihiele toevoeging op security. Precies andersom dan je zou willen zien dus

Dit wil ik dus voorkomen en daar gaat de vraag dus ook over.
Ik heb ook nog niks gekocht of geconfigureerd, als dit echt de consensus is dat dit absoluut niet veel veiliger is dan kan ik het nog wel laten. Maar veel van de voorgestelde devices zijn nou niet zo speciaal dat ik andere hardware keuzes zou maken en apart netwerk waar ik de firewall nog stricter van kan zetten of inderdaad alles kan droppen lijkt mij geen verkeerde optie. Ook ter lering en vermaak.

woensdag 1 november 2023 10:55

Acties:

0 Henk 'm!

Anoniem: 1777010

Ik heb er zelf voor gekozen om de lokale apps te droppen, dus dat is idd "jammer". Ik laat het bedienen via Home Assistant. Ook dat wordt door mijn partner geaccepteerd, maar soms moet je concessies doen: de robot-stofzuiger zit gewoon op internet

woensdag 1 november 2023 10:55

Acties:

+1 Henk 'm!

laurens0619

Anoniem: 1777010 schreef op woensdag 1 november 2023 @ 10:46:
[...]

Nog nooit van Mirai gehoord lol

Wikipedia: Mirai (malware)

Lees dat artikel eens. Mirai valt (primiair) niet apparaten in het netwerk aan maar ze gebruiken het voor internet aanvallen (DDos, scanning, anonieme proxy/vpn access etc etc/).
Zou ook onhadig zijn het lokale netwerk aan te vallen want dan merken gebruikers het, gaan ze aan de slag en heb je kans dat je het botnet lid kwijtraakt

@boeke209
Aangezien jij de apparatuur al hebt zou ik het zeker doen, sowieso op het gebied ter lerning en vermaak.
Maar als je het echt veilgier wil maken, ga internet access vooral restricten vanuit die vlans

Dat gaat niet het verscil maken of je iot device gehackt wordt (dat doe je door geen default password te gebruiken en geen porten te mappen), maar wel de impact van een gehackt device beperken.

Intra vlan communicatie kun je gewoon blijven toestaan aangezien daar niet echt het risico in zit maar het wel handig is voor gebruik van lokale apps

[ Voor 33% gewijzigd door laurens0619 op 01-11-2023 10:59 ]

CISSP! Drop your encryption keys!

woensdag 1 november 2023 10:59

Acties:

0 Henk 'm!

Anoniem: 1777010

laurens0619 schreef op woensdag 1 november 2023 @ 10:55:
[...]

Lees dat artikel eens. Mirai valt (primiair) niet apparaten in het netwerk aan maar ze gebruiken het voor internet aanvallen (DDos, scanning, anonieme proxy/vpn access etc etc/).
Zou ook onhadig zijn het lokale netwerk aan te vallen want dan merken gebruikers het, gaan ze aan de slag en heb je kans dat je het botnet lid kwijtraakt

Hey als jij dat blijkbaar prima vindt dat dat gebeurt met jouw apparatuur

. Of gaan we nu een beetje goalposts moven?

woensdag 1 november 2023 11:01

Acties:

0 Henk 'm!

laurens0619

Anoniem: 1777010 schreef op woensdag 1 november 2023 @ 10:59:
[...]

Hey als jij dat blijkbaar prima vindt dat dat gebeurt met jouw apparatuur . Of gaan we nu een beetje goalposts moven?

Sorry ik snap echt niet wat je bedoelt. Wat vind ik prima? Goalposts moven??
Ik benadruk alleen dat het Mirai botnet anders gebruikt wordt dat je stelde

CISSP! Drop your encryption keys!

woensdag 1 november 2023 11:03

Acties:

+1 Henk 'm!

Anoniem: 1777010

laurens0619 schreef op woensdag 1 november 2023 @ 11:01:
[...]

Sorry ik snap echt niet wat je bedoelt. Wat vind ik prima?
Ik benadruk alleen dat het Mirai botnet anders gebruikt wordt dat je stelde

Nee het is al goed, je hebt helemaal gelijk.

woensdag 1 november 2023 11:12

Acties:

+2 Henk 'm!

SgtElPotato

Ik snap niet waarom die discussie hier gevoerd moet worden. Er zijn ook genoeg mensen die een VPN gebruiken om zich 'veilig' te voelen op het internet, of via TOR gaan browsen omdat ze op die manier niet gevolgd zouden kunnen worden.

Met VLAN's en gescheiden netwerken kun je alles makkelijker scheiden en je eigen netwerk net wat veiliger maken. Gaan je IOT apparaatjes nou moeilijk doen en zitten ze in een botnet, uitschakelen die hap en ze kunnen niet verder je netwerk op.

Niet alles hoeft tot in de puntjes uitgelegd worden lijkt me. En Chinese 'rommel' gebruiken is daarmee prima te doen. Sommige apparaten werken heel goed lokaal maar wil je niet het internet op hebben (VLAN / Firewal), of wil je alleen benaderbaar hebben door een NAS op je lokale netwerk(VLAN / Firewall). Zo kun je alle 'phone home' dingen binnen de perken houden maar wel gebruik maken van de apparaten in je eigen netwerk.

Zucht...

woensdag 1 november 2023 14:35

Acties:

Beste antwoord ✓
+1 Henk 'm!

dhrto

Er is volgens mij niks mis mee om bewust na te denken over het gescheiden houden van IoT/smart spul van je 'hoofd' netwerk. Is het een must, sja, dat moet iedereen voor zichzelf uitmaken. Ook niet iedereen heeft een gasten netwerk voor wifi bijvoorbeeld. Hoeveel meer risico loop je als je het niet gescheiden houdt? Durf ik geen uitspraak over te doen, is meer iets voor verzekeraars. Maar goed, voorkomen is beter dan genezen. En als je het geld en de tijd ervoor over hebt, zeker doen. De uitleg met een schema van je netwerk is helemaal top, dat maakt het discussieren erover een stuk makkelijker!

Terug naar de vragen:
- Homeassistant (HA) kun je twee netwerk interfaces geven, 1 op je hoofdnetwerk en 1 op je iot netwerk. In een VM gaat dit helemaal makkelijk: twee nic's aanmaken en op hypervisor niveau de vlan's regelen.
- Iot apparatuur kan dan alleen met HA praten. Ik zou in de firewall regelen dat het iot vlan niet op internet mag, tenzij sommige apparaten dat echt nodig hebben (dan zou ik die op den duur zeker vervangen door apparaten die volledig lokaal kunnen werken).
- Het mooie van HA is in mijn ogen juist dat je helemaal niet meer 'honderd' losse apps nodig hebt voor je iot/smart spul. Alles is te bedienen vanuit HA. Je hoeft dus alleen maar bij HA vanaf je telefoon/PC/tablet, en dat kan dus prima met HA met 2 nic's.
- Wil je vanaf buiten bij HA kunnen, dan zijn daar diverse oplossingen voor, varierend in gebruiksgemak, kosten en veiligheid. Het kan bijvoorbeeld via de (betaalde) cloud van HA zelf (Nabu Casa), of via een reverse proxy, of via rechtstreekse portmappings op je firewall, of via VPN).
- De meeste 'consumenten' wifi AP's ondersteunen geen vlan's. Dat is wel een punt om goed uit te zoeken voordat je apparatuur gaat aanschaffen. Anders moet je aparte AP's gaan ophangen voor vlan 10 en vlan 20. Dat lijkt me niet wenselijk.

EDIT: iets te snel gelezen. Je hebt al Ubiquiti AP's in gedachten. Daar gaan vlan's prima op, dus mooi!

Vraag

Beste antwoord (via boeke209 op 02-11-2023 05:25)

Alle reacties