IOT beveiligen met EdgeRouter

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
wimpie3
Premium Member
Premium Member
Berichten: 460
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 53 keer

Ik zou graag mijn IOT apparaten een beetje beveiligen. Momenteel hangt alles gewoon aan een reeks switches die verbonden zijn met een EdgeRouter. Hierdoor hebben de IOT apparaten full internet en kunnen ze ook aan andere apparaten in mijn intern netwerk.

Denken jullie even mee? Ik heb elk IOT apparaat een fixed IP gegeven in de DHCP server. Via de firewall rules zou ik dan kunnen instellen dat de IOT toestellen enkel naar een bepaald IP adres mogen gaan op het internet om hun status te dumpen. Maar het INTERN verkeer blijft dan nog steeds mogelijk, m.a.w. een hacker zou kunnen kijken wat ik allemaal aan pc's op het netwerk heb enzoverder...

Als ik het goed heb begrepen komt intern verkeer zelfs niet op je router toe omdat het wat lager zit, op niveau van de switches. Je kunt met VLANs werken (zit standaard in de EdgeRouter), maar dan heb je OOK managed switches nodig die VLANS ondersteunen. Correct?

Dus eigenlijk gaat wat ik wil helemaal niet zonder nieuwe hardware te kopen?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 208 keer
Bedankt: 152 keer

Ik zou een vaste range definiëren waarbij een firewall-rule bepaalt dat die enkel naar een specifiek IP-adres mogen communiceren. Dat ze intern van alles en nog wat zouden kunnen zien (lees: stelen) maakt op zich niets uit aangezien de data toch niet buiten geraakt (ten minste als er geen SIM-kaartje inzit).
Interne communicatie tussen IoT-devices wordt niet gehinderd door de firewall.
VLANs lijken me in dit geval overkill.
Computer(k)nul
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

Bekabelde IoT devices of draadloze?

Indien bekabeld: kijken of je isolation kan aanzetten op je switchpoorten. Vermoedelijk niet gezien ze ook geen VLAN support hebben.
Indien WiFi: je zou L2 isolation kunnen aanzetten indien dit ondersteund is op je access points. Maar dan kunnen je 'gewone' toestellen ook niet tegen elkaar praten.

IoT brol hoort niet op je gewone LAN, maar dat is mijn idee daarover.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
wimpie3
Premium Member
Premium Member
Berichten: 460
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 53 keer

devilkin schreef:Bekabelde IoT devices of draadloze?

Indien bekabeld: kijken of je isolation kan aanzetten op je switchpoorten. Vermoedelijk niet gezien ze ook geen VLAN support hebben.

IoT brol hoort niet op je gewone LAN, maar dat is mijn idee daarover.
Bekabeld. Geen isolation support op de switches. Dus toch nieuwe hardware kopen dan...
devilkin schreef:IoT brol hoort niet op je gewone LAN, maar dat is mijn idee daarover.
Vind ik ook, maar het moet betaalbaar blijven.

Andere opmerking: hoe moet jan-met-de-pet die niks van informatica kent dit ooit geregeld krijgen? Er zullen alleen maar meer IOT devices komen...
CCatalyst
Elite Poster
Elite Poster
Berichten: 6659
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 18 keer
Bedankt: 386 keer

wimpie3 schreef:Je kunt met VLANs werken (zit standaard in de EdgeRouter), maar dan heb je OOK managed switches nodig die VLANS ondersteunen. Correct?
Je kunt ook een poort van de EdgeRouter specifiek voorbehouden voor IOT. Hang daar dan een unmanaged switch aan en dat is dan voor alles IOT. Ze kunnen dan wel nog met elkaar praten maar niet meer met uw toestellen die niet op het IOT gedeelte zitten. Afh van hoe haalbaar dat is want mogelijks moet je dan veel herbekabelen.
wimpie3 schreef:Dus eigenlijk gaat wat ik wil helemaal niet zonder nieuwe hardware te kopen?
Eigenlijk is een goede managed switch de basis voor een deftig thuisnetwerk/LAN. Niet de router, dat dient in de meeste residentiele omgevingen enkel maar voor de verbinding van/naar internet (ok ok, in de meeste gevallen toch). Gezien je al een EdgeRouter hebt is een EdgeSwitch de meest logische keuze, ook voor UNMS enzo, en je kan die toch vrij goedkoop op de kop tikken. Maar het moet niet, het is geen gesloten ecosystem zoals Unifi. Het mag ook iets anders zijn, VLANs zijn een IEEE protocol dus het werkt samen ongeacht merk.
wimpie3 schreef: Andere opmerking: hoe moet jan-met-de-pet die niks van informatica kent dit ooit geregeld krijgen? Er zullen alleen maar meer IOT devices komen...
Tjah. Zolang IPv4 de norm blijft wordt men van het ergste gespaard inzake inbraken, maar enkel maar "dankzij" NAT dat helemaal geen security feature is. Maar binnen het LAN zelf kunnen die toestellen wel spioneren, zelfs verkeer omleiden. Wie weet op welke schaal dat vandaag gebeurt?
wimpie3
Premium Member
Premium Member
Berichten: 460
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 53 keer

CCatalyst schreef: Je kunt ook een poort van de EdgeRouter specifiek voorbehouden voor IOT. Hang daar dan een unmanaged switch aan en dat is dan voor alles IOT. Ze kunnen dan wel nog met elkaar praten maar niet meer met uw toestellen die niet op het IOT gedeelte zitten. Afh van hoe haalbaar dat is want mogelijks moet je dan veel herbekabelen.
Bedankt voor de tip, ik heb het uiteindelijk zo opgelost en het werkt! Machtig toestel, die EdgeRouter, maar niet zo simpel voor iemand zonder veel netwerkkennis.
CCatalyst schreef:Maar binnen het LAN zelf kunnen die toestellen wel spioneren, zelfs verkeer omleiden. Wie weet op welke schaal dat vandaag gebeurt?
Inderdaad! Dat zou ik ook graag 'ns weten...
Wuter
Plus Member
Plus Member
Berichten: 203
Lid geworden op: 23 mei 2012, 20:18
Uitgedeelde bedankjes: 19 keer
Bedankt: 11 keer

Hier ook een edgerouter.

Heb hier 3 vlans gemaakt namelijk 1 voor internet (gsm, laptop, nas, ed), 1 voor IoT en 1 voor managment.

- internet vlan geen toegang tot toestellen in de IoT en managment vlan.
- IoT vlan geen toegang tot toestellen in de internet en managment vlan, L2 Isolation en een VPN naar buiten toe.
- managment vlan dat deze wel aan de toestellen geraakt in de andere vlans, ook enigste mogelijkheid om in de gui van de router en de switch te geraken.

Maak wel gebruik van een managed switch om gebruik te kunnen maken van vlans.
wimpie3
Premium Member
Premium Member
Berichten: 460
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 53 keer

Heb al m'n domme switches weggegooid en vervangen door UniFi 5 poorts bakjes. WAT een verademing! Heerlijke software, alles wérkt gewoon goed. Had dat al veel eerder moeten doen.

Mijn enige opmerking: die 5 poorts bakjes kosten 30 euro, zeer betaalbaar. Maar van zodra je boven de 5 gaat: aiaiai... ik heb een 5 pack gekocht voor de prijs waarvoor ik niet eens een 8 poorts switch kon vinden. Een beetje minder mooi want hier en daar moest ik een 8 switch vervangen door 2x5, maar goed, het werkt. Waar zit de logica bij Ubiquiti in die prijzen?
DarkV
Elite Poster
Elite Poster
Berichten: 2798
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 88 keer
Bedankt: 112 keer

wimpie3 schreef:Maar van zodra je boven de 5 gaat: aiaiai... ik heb een 5 pack gekocht voor de prijs waarvoor ik niet eens een 8 poorts switch kon vinden. Een beetje minder mooi want hier en daar moest ik een 8 switch vervangen door 2x5, maar goed, het werkt. Waar zit de logica bij Ubiquiti in die prijzen?
Van zodra je kijkt naar UBNT switches met meerdere poorten hebben deze vaak PoE of SFP(+) poorten.

Trouwens 2 x 5 poorten is iets totaal anders dan 1 x 8 poorten ! Concreet... bij 2 x 5 poorten, als je van switch A, poort 1 copieerd naar switch B poort 1 en tegelijk van switch A poort 2 naar switch B poort 2... dan haal je maar de helft van je snelheid in het beste geval. Indien deze vier poorten op één switch zitten dan halen beide copieer acties netjes de volle 1 Gbps.

De Flex mini heeft trouwens beperkingen wat VLAN configuraties betreft (geen custom port profiles) !
CCatalyst
Elite Poster
Elite Poster
Berichten: 6659
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 18 keer
Bedankt: 386 keer

wimpie3 schreef:Waar zit de logica bij Ubiquiti in die prijzen?
8-poort heeft PoE en PoE+ wat duurdere componenten/chipset/licensing/heat management vereist, meer tijd nodig heeft voor fabricage/testing en, niet onbelangrijk, meteen een marktsegment bereikt dat doorgaans al wat meer wil betalen.

En zoals DarkV al aanhaalt is de chipset in de Flex idd een goedkopere variant die niet alle features van een standaard Unifi switch ondersteunt, alhoewel dat in jouw geval niet uitmaakt denk ik.
wimpie3
Premium Member
Premium Member
Berichten: 460
Lid geworden op: 22 dec 2004, 14:17
Uitgedeelde bedankjes: 5 keer
Bedankt: 53 keer

Intussen heb ik ook mijn wifi access points vervangen door Ubiquiti AC LT bakjes. Ik kan nu alles keurig beheren vanuit de Windows applicatie. Mijn vraag: is er ook een Android app waarmee je hetzelfde kunt doen?
DarkV
Elite Poster
Elite Poster
Berichten: 2798
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 88 keer
Bedankt: 112 keer

wimpie3 schreef:Mijn vraag: is er ook een Android app waarmee je hetzelfde kunt doen?
Ja, die is er... https://play.google.com/store/apps/deta ... l=en&gl=US
Plaats reactie

Terug naar “Netwerken en Security”