Netwerk afschermen en VPN

VPN gaat je in dit geval NIET helpen het enige wat VPN doet zoals jij het gebruikt is het verkeer tussen jouw telefoon en of thuis versleutelen tot aan de VPN provider en op deze manier je verkeer niet meer zichtbaar maken waar het vandaan komt.
Bedenk alleen wel wie je meer vertrouwd de Nederlandse provider of de buitenlandse VPN provider. Het wordt dan ook vaak gebruikt om het verkeer wat minder legaal is minder traceerbaar te maken.
VPN op je telefoon is handig en inderdaad veilig als je vaak gebruik maakt van openbare Hot spots zoals cafes etc..
IoT apparaten worden nog wel eens in een apart Vlan gezet, maar zolang je geen Ali spul koopt valt dat risico wel mee.

Een VPN op je telefoon is een VPN client en kan dus alleen werken als je ergens een VPN server in je lan hebt draaien waar hij mee kan verbinden.
Die server kan op je router draaien als je router dat ondersteund, maar ook gewoon ergens in je Lan en dan moet je in je router de VPN poort forwarden naar het device waar je die Vpn server op hebt draaien.

En uiteraard is het wel heel zinvol je lan vanaf het internet te benaderen via een VPN, het alternatief is namelijk porten forwarden naar je devices wat veel gevoeliger is voor hacking want in tegenstelling tot een VPN server zijn die nauwlijks beschermt tegen hacken..

Aparte netwerken zoals vlan's voor iot zijn niet erg zinvol, voor een hacker is vlan hopping niet erg moeilijk.
vlan's zijn bedoelt voor functionele scheiding, niet als beveiliging.

Waar je zoals @Frogmen wel mee moet oppassen is allerlei "smart" devices die cloud gestuurd zijn en die allerlei data in de cloud opslaan en eventueel vanuit de cloud te beheren zijn.
Daar zitten de grootste risico's

NeutraleTeun schreef op zondag 22 december 2024 @ 12:01:
En ik heb sinds kort een VPN op mijn telefoon.
Nu heb ik ook geleden dat dit op de router kan, zodat al het verkeer via VPN kan lopen.
(ik kan nu namelijk niet via wifi verbinden en dus niks "smart" meer doen).

Bovenstaande over wifi en niks kunnen doen snap ik niet helemaal.

Je verwart een aantal dingen met elkaar.
tip: hou het simpel.

VPN is een techniek om je netwerkverkeer af te schermen en met een ander ip adres dan je originele adres het internet te bewandelen. Tevens kun je met vpn een afgeschermde verbinding maken met apparaten buitenshuis richting thuis.

Wat jij zoekt is VLAN.
Hiermee creeer je gescheiden netwerken.
bijvoorbeeld:
vlan10 = 192.168.10.0/24
vlan20 = 192.168.20.0/24
met de juiste configuratie kunnen deze netwerken elkaar niet zien of benaderen.
je hebt hiervoor een switch nodig die dit ondersteunt.
om het helemaal af te maken eigenlijk ook een modem/router die vlans aan kan,
zodat je alle verkeer netjes kan inrichten.

[ Voor 4% gewijzigd door EverLast2002 op 22-12-2024 17:10 ]

bananasplit schreef op zondag 22 december 2024 @ 13:47:


Aparte netwerken zoals vlan's voor iot zijn niet erg zinvol, voor een hacker is vlan hopping niet erg moeilijk.
vlan's zijn bedoelt voor functionele scheiding, niet als beveiliging.

Niet mee eens.

Mijn IOT rommel zit ook in een apart VLAN… Er zal maar een exploit op zitten/komen, dan wil je die rommel toch niet in je productie VLAN? Of een broadcast storm vanaf zo’n device…

Het heeft echt wel nut om het te scheiden. Ook op security niveau…

Welk security risico probeer je met nordvpn te mitigeren?

Wat jij denk ik wilt is een eigen VPN server (WireGuard, OpenVPN) opzetten, bijvoorbeeld door de router dit te laten doen. Dan kun je buitenhuis verbinden met je lokale netwerk en je slimme apparaten gebruiken.

Wat je nu doet is verbinden met een externe VPN server (NordVPN).

NeutraleTeun schreef op zondag 22 december 2024 @ 22:14:
[...]


Moet ik dan zelf ook niet via gast verbonden zijn wil ik iets streamen oid?

Dat hangt er dus een beetje van af. Veel IoT werkt namelijk helemaal niet lokaal, maar via een online-server. Communicatie gaat dus zo: telefoon -> server van fabrikant (cloud) > IoT apparaat. En vice versa. Er zijn inmiddels een hoop voorbeelden van fabrikanten die failliet gaan en de servers offline halen. Je kan dan dus niet meer met je IoT-device communiceren. Maar: in dit scenario hoef je dus niet zelf met je gastenwifi verbonden te zijn, omdat alle feitelijke communicatie via internet gaat.

Bij lokaal IoT-spul is dat anders. Als je iets lokaal hebt draaien (een Zigbee-netwerk bijvoorbeeld), is het afscheiden van de IoT-devices in een apart netwerk/aparte VLAN ook meteen een stuk minder relevant. Iemand kan van buiten jouw netwerk daar toch niet bij. Met andere woorden; het risico is nihil.

En nu heeft (dacht ik) gast netwerk na x tijd een time-out. Dat moet dan ook uit neem ik aan?

Dat hangt maar net van je configuratie af. Zou kunnen. Mijn guest WiFi heeft geen time-out.

Maar, los van waarschijnlijk meest makkelijke, al mijn gasten kunnen het wachtwoord krijgen van dat gast netwerk. Qua inlog is dat dan toch juist het minst veilige?

Tja. Mijn gastenwifi wordt eigenlijk nooit door gasten gebruikt; iedereen heeft toch 4G of 5G. En ook al zouden ze wel toegang krijgen, dan vind ik het nog niet zo boeiend. Het zijn mensen die ik ken. Risico's kun je ook accepteren, je hoeft ze niet altijd te mitigeren

Maar mijn Access Point kan meer dan 2 WiFi-netwerken (SSID's) tegelijk uitzenden. Dus ik kan bijvoorbeeld een privé-WiFi, een gasten-WiFi en een IoT-WiFi-netwerk (voor spul dat via de cloud moet) configureren.

Voor de reden waarom:
Deels IPTV en deels bedreigingen.


Maar dat laatste kan dus niet heb ik begrepen, enkel als je zelf een vpn draait?

Vervelend, die bedreigingen. Een commerciële VPN helpt inderdaad wel om je IP-adres te anonimiseren. Maar wat bedoel je precies met je laatste vraag?

Voor de volledigheid; je hebt het over 2 verschillende typen VPN.
1. Een VPN om je verkeer de anonimiseren en om het (al lage) risico op bepaalde aanvallen (zoals MITM) te beperken. Dit is wat je bij NordVPN hebt. Voor veiligheid doet dit verder weinig omdat het meeste verkeer tussen client en server intussen versleuteld is (https bijvoorbeeld).
2. Zelf een VPN-server draaien op je eigen netwerk (zoals bijvoorbeeld Wireguard), waarop je remote kan inloggen (bijvoorbeeld met je telefoon). Op die manier kun je bij devices die je lokaal hebt draaien. Bijvoorbeeld je router. Je kan dan, terwijl je in de trein zit, bij de beheer-interface van je router via het lokale adres 192.168.1.1 (of iets in die richting). Als je terwijl je die verbinding hebt gaat internetten, lijkt het net alsof al je verkeer via je thuis IP-adres komt. Een van de voordelen hiervan is dat je maar 1 poort open hoeft te zetten op je router (voor je VPN) om bij allerlei dingen te komen die je intern hebt draaien. Met tailscale kan het meen ik ook zonder poort open te zetten, maar daar heb ik geen ervaring mee.

(Ik ga hier voorbij aan wat meer specialistische dingen als site-to-site VPN en split tunneling, maar dat lijkt me voor dit verhaal niet zo relevant.)

[ Voor 21% gewijzigd door sOid op 22-12-2024 22:51 ]

@NeutraleTeun ik krijg beetje klep-en-klepel gevoel van je posts, sorry

Gasten wifi heeft niks te maken met die gratis open wifi netwerken (waar je een x tijd gebruik van kan maken totdat je weer een vinkje moet zetten) waar je op doelt. Met gasten wifi word "peer isolation" van je hoofd network (en soms ook van je met wifi verbonden apparaten onderling) bedoelt. Dat houd in dat ze afscheiden zijn van de rest van je apparaten.

Ook is een uitgaande VPN gebruiken compleet kansloos als je je netwerk beter wilt beveiligen.

Ik raad je aan om eens goed in te lezen wat een vlan nu eigenlijk doet, wat peer isolation is en waarvoor een VPN handig kan zijn, maar niet zoals jij hem nu gebruikt

Betere netwerkbeveiliging begint met de basis voor elkaar hebben:
- voor elk apparaat/service een uniek wachtwoord, die je netjes noteerd in een wachtwoord manager die je op een veilige plek opslaat met een lange wachtwoordzin (en vergeet er geen backup van te maken...)
- wifi netwerk beveiligen met wpa2 (wpa1 uitzetten) met ook een voldoende lange en unieke passphrase
- update je apparaten (dus ook je router, telefoon en tablet), geen end of life meuk (zoals windows 7) op je netwerk
- geen poorten openzetten en al helemaal geen apparaten in de DMZ
- gebruik ook binnen je netwerk bij voorkeur moderne protcollen en beveilingsmethoden (dus scp/ssh boven ftp, https boven http, geen samba legacy)
- nogmaals geen oude meuk aan je netwerk hangen, t zal je verbazen hoeveel iot spul geen updates meer krijgt en vervolgens erg hackbaar zijn (zoals recent met EOL Zyxel NAS'en)

Moet je toch echt poorten open hebben, gebruik dan een VPN (maar dan andersom dan hoe je nu doet ). Toch raad ik dat nu ook af, totdat je wat meer van de hoed en de rand weet.

@Frogmen en @sOid
Als een hacker of malware eenmaal access tot een vlan heeft is het extreem simpel om de andere vlan's te bereiken door simpelweg zijn ip packages te "dubbel taggen", dus vlan's gebruiken voor security is niet de de manier.

En als je binnen een vlan een broadcast storm hebt dan ligt de rest van je netwerk ook plat want vlan's voorzien niet in limitering van netwerk capaciteit.

vlan's zijn ontworpen voor functionele afscheiding en niet voor bescherming.

Het grootste risico van IoT apparaten is dat ze geinfecteerd worden en hierna worden ingezet als onderdeel van botnet om internet aanvallen uit te voeren. Dat ze vanuit een IoT een ander apapraat over het LAN gaan hacken is vooral een theoretisch risico en is praktisch nooit het doel in consumenten netwerken.

De beste mitigatie is dus om ze af te sluiten van het internet en daarbij is het gemakkkelijk om ze in een VLAN te stoppen zodat je het hele VLAN van internet kan afsluiten.
Ze in een VLAN stoppen maar internet open laten is redelijk zinloos....

VLAN hopping/double tagging is echt niet zo easy, helemaal niet als het untagged vlans zijn (wat je praktisch altijd toepast op een iot netwerk)

laurens0619 schreef op maandag 23 december 2024 @ 10:14:

De beste mitigatie is dus om ze af te sluiten van het internet en daarbij is het gemakkkelijk om ze in een VLAN te stoppen zodat je het hele VLAN van internet kan afsluiten.
Ze in een VLAN stoppen maar internet open laten is redelijk zinloos....

Grotendeels eens met je post, maar dit is wel kort door de bocht. Sommige IoT is nou eenmaal afhankelijk van clouddiensten. Als ik de internettoegang van mijn Nest thermostaat block, kan ik er dus geen gebruik meer van maken. (Ja oke, de fysieke knop wel, maar daar hebben we het nu niet over )

sOid schreef op maandag 23 december 2024 @ 10:53:
[...]

Grotendeels eens met je post, maar dit is wel kort door de bocht. Sommige IoT is nou eenmaal afhankelijk van clouddiensten. Als ik de internettoegang van mijn Nest thermostaat block, kan ik er dus geen gebruik meer van maken. (Ja oke, de fysieke knop wel, maar daar hebben we het nu niet over )

Klopt
Internet of Things apparaten van Internet afhalen maakt ze in theorie onbruikbaar
De nuance zit hem dan in:
- Apparaten via lokale interfaces gebruiken ipv internet (bv home assistant)
- Filtering toepassen dat er alleen verkeer van/naar de internet servers mogen die bij het apparaat horen

bananasplit schreef op maandag 23 december 2024 @ 09:43:
@Frogmen en @sOid
Als een hacker of malware eenmaal access tot een vlan heeft is het extreem simpel om de andere vlan's te bereiken door simpelweg zijn ip packages te "dubbel taggen", dus vlan's gebruiken voor security is niet de de manier.

En als je binnen een vlan een broadcast storm hebt dan ligt de rest van je netwerk ook plat want vlan's voorzien niet in limitering van netwerk capaciteit.

vlan's zijn ontworpen voor functionele afscheiding en niet voor bescherming.

Is dit niet sterk afhankelijk van de configuratie.

Je bedoelt die broadcast storm?
Nee een vlan heeft geen functionaliteit om resources gebruik te limiteren.
Het gaat er niet om dat die storm tot zijn eigen vlan beperkt blijft, maar dat een broadcast storm alle beschikbare netwerk bandbreedte opeet en er ook voor de andere vlan's niets overblijft.

Gelukkig kunnen de meeste managed switches dat wel, dus dat zou een betere bescherming tegen een broadcast storm zijn.