Bescherming Ethernet verbinding - Netwerken

dinsdag 21 november 2023 13:15

Acties:

0 Henk 'm!

Topicstarter

Ik heb een Ethernet kabel laten trekken naar mijn berging beneden (woon in appartementencomplex). Bedoeling is daar (bijvoorbeeld) een camera en/of een rookmelder te hangen.
Realiseer me echter nu dat als iemand inbreekt in mijn berging, deze direct bekabeld toegang heeft tot mijn hele netwerk. Is er een manier om bepaald verkeer te blokken (of beter: alleen specifiek verkeer van een camera en/of rookmelder door te laten)?
Ben geen expert maar misschien kan dat met een managed switch? Helaas heb ik net een nieuwe switch gekocht en die is unmanaged...
Wat zijn de opties? Of zie ik spoken?

dinsdag 21 november 2023 13:19

Acties:

+1 Henk 'm!

CyBeR

💩

Daar zijn meerdere opties voor, je zou moeten kijken wat het beoogde aangesloten apparaat kan en moet om te weten welke je kunt gebruiken.

Je kunt bijvoorbeeld 802.1x gebruiken (authenticatie), maar dat wordt door simpelere apparaten vaak niet ondersteund. Of je kunt het een eigen VLAN geven en zorgen dat dat VLAN alleen maar kan bereiken wat het moet en verder niks. Desnoods kun je MAC filtering gebruiken (maar dat is niet heel veilig want makkelijk te spoofen; de vraag is of je je zorgen maakt om dat niveau inbreker).

Of je gaat er van uit dat iemand die inbreekt daar is om je spullen te stelen, en niet om je internet te gebruiken.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 21 november 2023 13:20

Acties:

+3 Henk 'm!

RonnieKo

ErikJan2 schreef op dinsdag 21 november 2023 @ 13:15:
Wat zijn de opties? Of zie ik spoken?

Denk dat je mogelijk spoken ziet. Waarom zou iemand willen inbreken op jouw netwerk? Zo lang je hem nu niet gebruikt kan je hem natuurlijk niet aansluiten.

dinsdag 21 november 2023 13:21

Acties:

0 Henk 'm!

eagle00789

Est. November 2005

Simpelste oplossing is de router waar je de kabel op inprikt te configureren met mac-address whitelisting. dan kunnen alleen bekende mac-adressen je netwerk benaderen, maar dit valt wel te spoofen, dus wil je ook dit beschermen, dan zul je ook al je apparatuur moeten voorzien van statische adressen, maar ook dit valt nog makkelijk te omzeilen. de beste manier is om dit gewoon te accepteren en ook hopen dat niemand de kabel doorknipt en er een lantap tussen hangt.
Als alternatief, gezien het netwerkapparatuur betreft, zou je (indien in bezit) op je nas een service te draaien die je aangesloten device elke 1 sec pingt. bij het wegvallen van meerdere pings, jou een melding stuurt hiervan. dan heb je wel actieve monitoring er op hangen als iemand deze zou uittrekken of de kabel defect raakt/doorgeknipt wordt.

[ Voor 25% gewijzigd door eagle00789 op 21-11-2023 13:23 ]

dinsdag 21 november 2023 13:24

Acties:

+1 Henk 'm!

DukeBox

loves wheat smoothies

Het is aannemelijker dat je camera zelf wordt gehacked dan dat iemand inbreekt in je berging met het doel op je netwerk te komen.
Het mooiste zou zijn om voor je camera's e.d. een apart netwerk te gebruiken dan kan je er verder niet veel mee, ook niet als deze gehacked wordt.

eagle00789 schreef op dinsdag 21 november 2023 @ 13:21:
Simpelste oplossing is de router waar je de kabel op inprikt te configureren met mac-address whitelisting.

Dat is geen beveiliging..

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 21 november 2023 13:26

Acties:

0 Henk 'm!

ChaserBoZ_

Eigen vlan met een filtering erop, alleen die diensten doorlaten die je verwacht/zelf inricht.
Eventueel kun je, iets draaien als Arpwatch, zodra er een nieuwe arp entry ontstaat je een melding krijgt(mailtje bv).

Dot1x is het meest zeker, en zelfs dat kun je combineren met een vlan & filtering erop, maar inderdaad niet standaard aanwezig in veel randapparatuur etc.

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 21 november 2023 13:29

Acties:

+2 Henk 'm!

eagle00789

Est. November 2005

DukeBox schreef op dinsdag 21 november 2023 @ 13:24:
Het is aannemelijker dat je camera zelf wordt gehacked dan dat iemand inbreekt in je berging met het doel op je netwerk te komen.
Het mooiste zou zijn om voor je camera's e.d. een apart netwerk te gebruiken dan kan je er verder niet veel mee, ook niet als deze gehacked wordt.

[...]

Dat is geen beveiliging..

Als je mijn qoute niet half doet, dan zie je dat ik dat ook schrijf.

dinsdag 21 november 2023 13:55

Acties:

0 Henk 'm!

Puch-Maxi

Ook zorgen dat de camera niet direct kan verbinden met het Internet, alleen met de NVR

.

My favorite programming language is solder.

dinsdag 21 november 2023 14:21

Acties:

+2 Henk 'm!

DVX73

Hoe groot is de kans dat iemand inbreekt in je berging om toegang te krijgen tot je netwerk, dit succesvol weet uit te buiten zonder dat jij er iets van merk?

Zolang je geen staatsgeheimen e.d. op je netwerk hebt zou ik mij er niet al teveel zorgen over maken.

dinsdag 21 november 2023 14:23

Acties:

+1 Henk 'm!

laurens0619

Ik zou er passive PoE op zetten. Gaat je rookmelder af? Dan weet je dat er iemand die kabel in zn laptop heeft gestoken

Ontopic: in eigen vlan laten landen

CISSP! Drop your encryption keys!

dinsdag 21 november 2023 15:14

Acties:

0 Henk 'm!

ErikJan2

Topicstarter

Dank voor alle suggesties en ideeën. Misschien maak ik me inderdaad een beetje te druk.
Als ik samenvat wat "te doen' zou zijn dan kom ik op het volgende denk ik:

1. MAC address filtering > kan ik dat alleen doen voor 1 poort op mijn (unmanaged) switch? Denk het niet, en om dat voor al mijn devices te gaan instellen
2. ARPWatch > kan dat op Win11 en is dat dan onzichtbaar tenzij er iets wijzigt?
3. VLAN - kan ik idd een of twee poorten afschermen op de een of andere manier zo?

dinsdag 21 november 2023 15:17

Acties:

+4 Henk 'm!

Hahn

ErikJan2 schreef op dinsdag 21 november 2023 @ 15:14:
Dank voor alle suggesties en ideeën. Misschien maak ik me inderdaad een beetje te druk.

Misschien? Maak daar maar zeer hoogstwaarschijnlijk van.

99,99% van dieven die inbreken in bergingen zullen niet de skills of wil hebben om je netwerk binnen te dringen.

The devil is in the details.

dinsdag 21 november 2023 15:25

Acties:

0 Henk 'm!

RGAT

ErikJan2 schreef op dinsdag 21 november 2023 @ 15:14:
Dank voor alle suggesties en ideeën. Misschien maak ik me inderdaad een beetje te druk.
Als ik samenvat wat "te doen' zou zijn dan kom ik op het volgende denk ik:

1. MAC address filtering > kan ik dat alleen doen voor 1 poort op mijn (unmanaged) switch? Denk het niet, en om dat voor al mijn devices te gaan instellen
2. ARPWatch > kan dat op Win11 en is dat dan onzichtbaar tenzij er iets wijzigt?
3. VLAN - kan ik idd een of twee poorten afschermen op de een of andere manier zo?

1. Meestal niet, vandaar 'unmanaged'

2. ARPWatch, vanuit gaande dat je een 'super slimme hacker' inbreker hebt, zal je niet beschermen, die spooft de hele boel en doet zich voor als je camera natuurlijk.
3. Niet op een unmanaged switch.

Oftewel managed switch kopen, stalen kabelgootjes om de fysieke kabel te beschermen, extra camera's om de camera en kabel te monitoren en mogelijk schrikdraad

Zou normaal gesproken MAC whitelisting niet aanraden omdat het inderdaad makkelijk te omzeilen is maar hier zal het meer dan genoeg effectief zijn. Als je er dan nog onzeker over bent kan je eens in de week ofzo er even langs lopen om te kijken of er niet iemand met een laptop op schoot zit

Fixing things to the breaking point...

dinsdag 21 november 2023 15:26

Acties:

+1 Henk 'm!

Lapa

Hahn schreef op dinsdag 21 november 2023 @ 15:17:
[...]

Misschien? Maak daar maar zeer hoogstwaarschijnlijk van.

99,99% van dieven die inbreken in bergingen zullen niet de skills of wil hebben om je netwerk binnen te dringen.

Precies. Er zijn vast mensen die willen inbreken in de berging van TS. En ook vast mensen die willen inbreken op zijn netwerk. Maar de overlap tussen die groepen lijkt me nihil als TS niet een persoon met heel bijzondere kenmerken is.

dinsdag 21 november 2023 15:51

Acties:

0 Henk 'm!

vso

tja...

Lapa schreef op dinsdag 21 november 2023 @ 15:26:
[...]

Precies. Er zijn vast mensen die willen inbreken in de berging van TS. En ook vast mensen die willen inbreken op zijn netwerk. Maar de overlap tussen die groepen lijkt me nihil als TS niet een persoon met heel bijzondere kenmerken is.

Is dat een reden om je deuren ook maar niet op slot te doen ? ligt denk ik gewoon aan de situatie ..

zolang het "redelijk" is dat iemand de kabel kan onderscheppen en bv "onbetaald" internet of andere "diensten" zoals je natuurfilms bekijken op je nas omdat je geen passworden gebruikt, DAN zou ik wel tegenmaatregelen adviseren.

maar zoals je zegt locatie en de moeite de kans erg verkleint .. meh .. dan is het wellicht de investering niet waard ja.

Tja vanalles

dinsdag 21 november 2023 16:22

Acties:

+2 Henk 'm!

Ben(V)

Tja iemand breekt in in een berging om daarna zijn netwerk te hacken om in die berging natuurfilms te gaan kijken.
Lees je wel eens terug wat je schrijft?

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 21 november 2023 19:00

Acties:

0 Henk 'm!

jadjong

Beste manier is om de poort uit te zetten zodra de stekker er uit getrokken wordt.
If ge10 port status disconnected > ge10 shutdown.

Kost je wel een managed switch en wat uren knutselen op een regenachtige zondagmiddag.

dinsdag 21 november 2023 19:24

Acties:

+2 Henk 'm!

wodkabuikje

Je kijkt teveel films denk. Samen met een paar die reageren overigens...

Iemand die inbreekt in een berging is op zoek naar een fiets of alcohol of iets anders wat hij snel kan verkopen.
Tenzij je de President bent, dan zou ik inderdaad iets voorzichtiger zijn met zomaar een kabeltje leggen.

niet iedereen heeft een bierbuikje

dinsdag 21 november 2023 21:04

Acties:

0 Henk 'm!

ErikJan2

Topicstarter

Dank nogmaals, ben het niet oneens met de risico inschatting verder maar het is ook een kwestie van risicomanagement.
Ik heb vroeger een alarmsysteem in mijn huis gehad (wat van buitenaf te zien was), niet omdat ik zulke dure spullen had (of heb), maar om te zorgen dat gelegenheids-inbrekers / amateurs het volgende huis zouden proberen en niet dat van mij (toegegeven, dat kan ook deels werken zelfs door wat stickers op je ramen). Ik begreep natuurlijk dat als iemand echt iets wil, dat ze niet tegenhoudt. Werkt hetzelfde met 3 sterren sloten op je deur: als amateurs dat zien proberen ze liever het volgende huis.
Ik dacht -en denk- dat als er een ethernetkabel in mijn berging beneden is en iemand toevallig binnen is geraakt hij of zij misschien probeert te kijken of ze daar iets mee kunnen. Lukt dat niet direct, dan geven ze het op. Willen ze echt iets, dan lukt dat meestal sowieso wel.
Dus wat kan ik simpel doen om het net een klein beetje moeilijker te maken (ook al is dat makkelijk te kraken), dat blijft er nog over lijkt me (maar als ik het zo lees is er niet echt veel mogelijk... Zou eigenlijk iets moeten hebben wat alleen maar data stuurt en niet ontvangt)

dinsdag 21 november 2023 22:09

Acties:

0 Henk 'm!

heiyu

Denk dat een inbreker eerder iets wilt stelen ipv met een laptop in je netwerk gaat prikken.

dinsdag 21 november 2023 22:15

Acties:

0 Henk 'm!

Hahn

ErikJan2 schreef op dinsdag 21 november 2023 @ 21:04:

Ik dacht -en denk- dat als er een ethernetkabel in mijn berging beneden is en iemand toevallig binnen is geraakt hij of zij misschien probeert te kijken of ze daar iets mee kunnen. Lukt dat niet direct, dan geven ze het op. Willen ze echt iets, dan lukt dat meestal sowieso wel.

Hoe zie je dit voor je?

Een dief die inbreekt bij jouw berging, in de hoop een mooie elektrische fiets of duur gereedschap aan te treffen, ziet jouw camera aan het plafond hangen. En in plaats van te denken "shit, ik ben gezien, wegwezen!", trekt 'ie de ethernetkabel uit de camera, pakt z'n laptop erbij (die elke dief uiteraard bij zich heeft), en gaat op z'n gemak met zijn laptop op 2 meter hoogte hangen om de hele korte kabel in z'n laptop te prikken, in de hoop dat 'ie wat bestanden van je NAS kan afhalen..?

The devil is in the details.

dinsdag 21 november 2023 22:20

Acties:

0 Henk 'm!

djmuggs

I have great jeans

Hahn schreef op dinsdag 21 november 2023 @ 22:15:
[...]

Hoe zie je dit voor je?

Een dief die inbreekt bij jouw berging, in de hoop een mooie elektrische fiets of duur gereedschap aan te treffen, ziet jouw camera aan het plafond hangen. En in plaats van te denken "shit, ik ben gezien, wegwezen!", trekt 'ie de ethernetkabel uit de camera, pakt z'n laptop erbij (die elke dief uiteraard bij zich heeft), en gaat op z'n gemak met zijn laptop op 2 meter hoogte hangen om de hele korte kabel in z'n laptop te prikken, in de hoop dat 'ie wat bestanden van je NAS kan afhalen..?

De inbreker pakt even zijn ethernet wifi bridge uit zijn binnenzak en sluit deze aan en gaat daarna op z’n gemak met zijn laptop in de berging van de buurman relaxt zitten intternetten.

ICE ICE Baby

dinsdag 21 november 2023 22:36

Acties:

0 Henk 'm!

ErikJan2

Topicstarter

Sorry hoor, ik probeer wat tips te krijgen hier en ik dacht te hebben uitgelegd waarom "iets" misschien beter is dan "niets".
Als we allemaal lekker blijven fantaseren over wat er zou kunnen gebeuren dan schiet dat verder niet echt op lijkt me. Laten we deze discussie dus maar afsluiten dan, nogmaals met dank voor de snelle feedback en de suggesties.

dinsdag 21 november 2023 22:39

Acties:

0 Henk 'm!

Hahn

ErikJan2 schreef op dinsdag 21 november 2023 @ 22:36:
Sorry hoor, ik probeer wat tips te krijgen hier en ik dacht te hebben uitgelegd waarom "iets" misschien beter is dan "niets".
Als we allemaal lekker blijven fantaseren over wat er zou kunnen gebeuren dan schiet dat verder niet echt op lijkt me. Laten we deze discussie dus maar afsluiten dan, nogmaals met dank voor de snelle feedback en de suggesties.

Het is een serieuze vraag: hoe denk jij echt dat je een risico loopt?

Natuurlijk zou het in theorie echt kunnen gebeuren wat ik schetste, maar je noemt het zelf al fantaseren. Dus hoeveel risico loop je nou echt, en wil je daadwerkelijk tijd, moeite en mogelijk geld investeren in iets wat misschien 0,00002% kans van gebeuren heeft? En wat zou er dan 'buit gemaakt' zijn?

The devil is in the details.

dinsdag 21 november 2023 22:42

Acties:

0 Henk 'm!

Sissors

ErikJan2 schreef op dinsdag 21 november 2023 @ 22:36:
Sorry hoor, ik probeer wat tips te krijgen hier en ik dacht te hebben uitgelegd waarom "iets" misschien beter is dan "niets".
Als we allemaal lekker blijven fantaseren over wat er zou kunnen gebeuren dan schiet dat verder niet echt op lijkt me. Laten we deze discussie dus maar afsluiten dan, nogmaals met dank voor de snelle feedback en de suggesties.

Dat is het punt alleen, buiten fantasie scenarios is het geen ding. En natuurlijk, sommige onwaarschijnlijke risico's wil je alsnog afdichten, als de impact ervan heel groot is. Maar dit is een heel onwaarschijnlijk risico met een relatief lage impact. Natuurlijk wil je niet iemand op je netwerk hebben, maar zo bijzonder veel kan de gemiddelde inbreken nou ook niet met LAN toegang. Hell wat als hij gewoon in je appartement inbreekt, kan ie een stuk meer.

De enige reden om je hier zorgen te maken over is, is als iemand een specifieke aanval op jouw IT wil doen. Oftewel als je een belangrijk persoon in de politiek bent, C-niveau binnen een multinational, etc.

woensdag 22 november 2023 08:58

Acties:

0 Henk 'm!

_H_G_

ErikJan2 schreef op dinsdag 21 november 2023 @ 21:04:
Dus wat kan ik simpel doen om het net een klein beetje moeilijker te maken (ook al is dat makkelijk te kraken), dat blijft er nog over lijkt me (maar als ik het zo lees is er niet echt veel mogelijk... Zou eigenlijk iets moeten hebben wat alleen maar data stuurt en niet ontvangt)

Als je er beter van slaapt: "data sturen en niet ontvangen" is niet waar je het moet zoeken. netwerkverkeer is altijd sturen en ontvangen. Wat jij wil, wordt vrijwel altijd gedaan met VLAN. De rest is amateurwerk.