Ik was recent eens een checkup aan't doen van mijn intern netwerk... en vraag me af of het niet wat overdesigned (en, met gevolg, hard(er) to maintain) is.
Heb ik momenteel qua networks:
- WAN: modem van Telenet hangt daar nu aan
- Management: hierop zit mijn network infrastructuur / network management. Enkel accessible vanaf LAN.
- DMZ: voorzien, maar momenteel unused.
- VOIP: Specifiek voor VOIP. Is eigenlijk identiek aan untrusted, maar wegens hardware limitaties van mijn router (USG-3) als je de 2e lan poort gebruikt werd dit een apart netwerk.
- LAN: Intern netwerk, dingen ik die ik in eigen beheer heb. PC's, laptops, ebook readers, gsm's, ...
Alles is toegelaten op dat netwerk. NTP is enkel toegelaten naar mijn eigen NTP server, DNS idem (dus andere DNS traffic wordt geredirect naar interne DNS) - Untrusted: dingen die ik niet in eigen beheer heb (denk maar aan omvormer zonnepanelen)
Is volledig afgeschermd van intern netwerk, enkel DHCP traffic allowed naar de router, voorts enkel internet. Geen incoming traffic, enkel related/established. Ook niet van LAN. - IoT: zaken zoals chromecasts, Ikea TRADFRI hub, Logitech Hub.
Enkel specifieke ip's / poorten zijn toegelaten naar intern netwerk
Ook is NTP/DNS enkel toegelaten naar interne servers. Traffic van LAN is toegelaten. - VPN: incoming VPN gaat daarop, enkel specifieke poorten toegelaten naar andere zaken intern
- Guest: guest vlan voor .. gasten.
In vele opzichten identiek aan untrusted, maar dan op wifi.
Ik vraag me ook af in hoeverre het afschermen van de iot devices die ik heb nuttig is.
(EDIT: management/guest/voip/dmz toegevoegd, die was ik nog vergeten)
Als het op veiligheid aan komt, kan je niet genoeg beheren.
