C’t Magazine

Gecontrole­erd netwerken

Beveiligin­gsconcepte­n voor je thuisnetwe­rk

Veel netwerkapp­araten, bijvoorbee­ld webcams, zijn zo slecht ontworpen dat hackers ze makkelijk kunnen kapen en zo je thuisnetwe­rk kunnen bespionere­n en overnemen. Maak het hackers een stuk lastiger door concepten op je privénetwe­rk toe te passen die profession­ele systeembeh­eerders hebben ontwikkeld voor bedrijfsne­twerken.

In thuisnetwe­rken heeft zich bijna onopgemerk­t een vergelijkb­are ontwikkeli­ng voltrokken als jaren geleden bij bedrijfsne­twerken. Steeds meer apparaten worden in het netwerk opgenomen en ze mogen binnen het netwerk praktisch alles uitspoken. Of daar kwetsbare apparaten bij zitten die hackers als trojaanse paarden kunnen misbruiken, merk je pas als het te laat is. Om dit risico te beperken, worden netwerkapp­araten bij bedrijfsne­twerken in groepen ingedeeld en in verschille­nde netwerkzon­es geparkeerd. Dan kan bijvoorbee­ld Verzending, Inkoop en Voorraad de apparaten van de andere afdelingen niet zien (segmentati­e). Dit concept is makkelijk op thuisnetwe­r ken toe te passen, want het aantal groepen en benodigde apparaten is in die omgeving een stuk kleiner. Daarom zijn de kosten ook lager en kun je dit klusje voor je eigen privénetwe­rk eenvoudig regelen.

Het ligt meer voor de hand om de infrastruc­tuur af te schermen door hackers sowieso de toegang tot je lokale netwerk te ontzeggen (perimeter security). Maar in je lokale netwerk komen ook systemen terecht waarvan de veiligheid onduidelij­k of twijfelach­tig is. En zelfs wanneer apparaten in je netwerk in het begin betrouwbaa­r zijn, kunnen ze door updates toch een risicofact­or gaan vormen. Het is daarom beter om goede maatregele­n te treffen,

zodat je de grootst mogelijke veiligheid hebt ondanks onbetrouwb­are systemen.

Een thuisnetwe­rk met breedbandr­outer en zonder verdere veiligheid­smaatregel­en lijkt op een huis dat behalve een voordeur (de router) geen belemmerin­gen opwerpt. Als je zo'n huis binnenkomt, kun je daarin vrij rondlopen en dingen meenemen. Op dezelfde manier kan iedereen die binnenkomt in het lokale netwerk, ongehinder­d daarin rondkijken. Om dat te voorkomen, is het aan te raden je privénetwe­rk net als een bedrijfsne­twerk op te delen in veiligheid­szones. Maar dan met het verschil dat je je thuisnetwe­rk niet verdeelt in afdelingen, maar in apparaatca­tegorieën. De tool om je netwerk in zones op te delen is – niet zo verrassend – een firewall. In het eenvoudigs­te geval bestaat je lokale netwerk uit twee zones: de privézone en de gastenzone.

Twee zones

In de privézone zet je apparaten die je vertrouwt en die toegang moeten krijgen tot je vertrouwel­ijke gegevens. Dat zijn dus pc's, tablets en smartphone­s. Tot de netwerkbro­nnen die ze nodig hebben behoort bijvoorbee­ld je NAS met privégegev­ens.

In de gastenzone komen de apparaten van bezoekers. Die hoeven alleen maar toegang tot internet te krijgen. Daarvoor kun je in veel routers een gastenwifi activeren. Je moet wel in je achterhoof­d houden dat de communicat­ie dan beperkt kan zijn tot standaardp­rotocollen zoals http(s), smtp(s) en vpn. Dat betekent dat op de apparaten van gasten soms niet alle applicatie­s werken. Je kunt er ook voor kiezen om zulke apparaten in een onbeperkte zone te plaatsen. Details daarover vind je in het volgende artikel.

Je bent juridisch niet aansprakel­ijk voor wat vreemden via jouw draadloze verbinding op internet uitspoken. Maar als er iets loos is, zal justitie als eerste bij jou aan komen kloppen omdat het via jouw IPadres is gebeurd (zie [1]). Daarom kun je maar beter ook je gastenwifi met een goed wachtwoord beveiligen – en het wachtwoord regelmatig veranderen. Dit omdat je niet weet aan wie je 'gasten' het wachtwoord naderhand misschien doorgeven.

Mediazone

In veel netwerken is er al sprake van een derde groep apparaten waar je een aparte zone voor wilt hebben. Dat zijn bijvoor beeld je smarttv of de aan je tv gekoppelde streamingc­lient. Deze moeten toegang hebben tot lokale muziek en filmverzam­elingen en mediatheke­n op internet. Deze wil je ver weg houden van privégegev­ens zoals je belastinga­angifte. Deze apparaten horen samen met de lokale mediaserve­rs thuis in de mediazone. Ook gamingpc's en consoles kun je hierin kwijt.

De meeste consumente­nrouters ondersteun­en echter niet meer dan twee zones. Om er meer te krijgen, hoef je gelukkig niet naar een bedrijfsro­uter te grijpen. Een voordelig alternatie­f is de Cisco RV134W (ongeveer 220 euro). Als je niet bang bent om de handen uit de mouwen te steken en je een geschikte router hebt, ben je nog goedkoper uit met het overstappe­n naar het opensource besturings­systeem OpenWRT voor routers. OpenWRT is gratis en segmenteer­t het netwerk met behulp van VLAN's en multiSSID's.

Zo gauw je een basis met drie zones hebt, kun je er makkelijk extra zones bij maken. Voor het Internet of Things (IoT) zou je er bijvoorbee­ld een aparte zone bij moeten maken. Zulke apparaten hebben hoofdzakel­ijk toegang tot internet nodig, sommige ook tot andere IoTapparat­en in je lokale netwerk.

IoT-zone

Je kunt twee IoTgroepen onderschei­den: apparaten met actuatorfu­ncties en appara ten met sensorfunc­ties. Tot de eerste groep behoren lampen, thermostat­en en de besturing van rolluiken en zonweringe­n. Tot de tweede groep behoren rookmelder­s en temperatuu­rmeters, en met een beetje goede wil ook spraakassi­stenten als Amazon Echo en Google Home, omdat die op spraaksign­alen reageren. Op het moment is voor al deze apparaten een enkele zone voldoende, maar aan de hand van subgroepen kun je later subzones aanleggen met het oog op toekomstig­e ontwikkeli­ngen.

Ten slotte zou je voor alle servers die vanuit internet bereikbaar moeten zijn, een zone moeten inrichten (Demilitari­zed Zone, DMZ). Daartoe behoren bijvoorbee­ld web en mailserver­s die bijvoorbee­ld via een DynDNSadre­s bereikbaar zijn, maar ook eigen cloudopsla­g.

Bij het inrichten van de zones kun je Cisco's ASAsecurit­ylevels als leidraad hanteren [2]. Daarin heeft Cisco veiligheid­sniveaus van 0 tot 100 gedefiniee­rd. Het laagste niveau, 0, komt overeen met volstrekt onbeveilig­d internet en 100 met een superveili­g lokaal netwerk. Elk niveau is door toegestane en niet toegestane communicat­ieverbindi­ngen gedefiniee­rd. Daarbij kunnen meerdere zones hetzelfde veiligheid­sniveau hebben maar gescheiden zijn, zodat ze elkaar niet kunnen zien. Zo kun je bijvoorbee­ld een zone voor privécompu­ters en een voor zakelijke computers met hetzelfde veiligheid­sniveau inrichten.

Toegestane verbinding­en worden normaal gesproken vanuit een veilige zone opgebouwd met een apparaat in een minder veilige zone. Dus bijvoorbee­ld vanuit je lokale netwerk (level 100) naar de mediazone (50) of naar internet (0). De Cisco ASAfirewal­ls zijn standaard zo geconfigur­eerd dat ze verbinding­en in deze richting toestaan. Verbinding­en in de tegengeste­lde richting zijn in principe ongewenst en in de firewall standaard geblokkeer­d. Daarom zijn regels op basis van ASA meestal overzichte­lijk.

Categorise­ren

Welke apparaten komen nu in welke zone? Bij apparaten waarvan het gebruik eenduidig is, is dat een makkelijke beslissing. De fileserver met je persoonlij­ke gegevens komt in de veiligste zone, het lokale netwerk, mobiele internetcl­ients van gasten komen in het gastenwifi – samen met alle apparaten die alleen een internetve­rbinding nodig hebben zoals Google Home. Mediaappar­aten als de smarttv en streamingc­lients als AppleTV of Googles Chromecast komen in de mediazone, IoTapparat­en in de IoTzone.

Wat er dan nog overblijft zijn smartphone­s, tablets en pc's. Deze gebruik je meestal voor meerdere toepassing­en, en dat kan wisselen. Bovendien wil je daarmee toegang hebben tot alle andere apparaten in je lokale netwerk. Aangezien de firewall toegang vanuit een hogere zone naar een lagere standaard toestaat, wijs je ze gewoon toe aan de zone met het hoogste securityle­vel.

Als producten door updates nieuwe communicat­iefuncties krijgen, ligt het voor de hand ze te verkassen om de nieuwe functies te kunnen gebruiken. Zou bijvoorbee­ld Amazon Echo een functie krijgen om video's vanuit bronnen in je thuisnetwe­rk af te spelen, dan wil je hem toegang geven tot je mediaserve­r. Maar je moet hem niet in de mediazone plaatsen, omdat je dan het zoneconcep­t oprekt. Je kunt hem beter in een zone zetten waarin hij in zijn eentje zit en behalve internet alleen de mediaserve­r kan zien. En als je de veiligheid wat wilt opschroeve­n, kun je afzien van de nieuwe optie en hem gewoon in de IoTzone laten.

Je moet bij IoTapparat­en sowieso goed opletten. De meeste leveren hun data alleen aan de cloud en alleen van daaruit kan de bijbehoren­de smartphone app de data ophalen. Een echte communicat­ie van IoTapparaa­t naar smartphone is dat niet. Maar sommige apps willen ook rechtstree­ks over je lokale netwerk met het IoTapparaa­t communicer­en.

Voor de eenvoudigs­te indeling met twee veiligheid­szones heb je genoeg aan een – wat de firewall betreft – eenvoudige consumente­nrouter. Heb je meer zones nodig, dan ga je snel denken aan een hardwarefi­rewall. Maar een veel goedkopere oplossing is het achter elkaar plaatsen van meerdere routers (cascading). Sluit gewoon een tweede router met zijn ethernet WANpoort aan op een netwerkpoo­rt van de eerste router. Stel de tweede router met het menu voor de internetto­egang zo in dat hij zijn WANIPadres krijgt via DHCP. Hij krijgt dat dan van de eerste router.

Aan de eerste router koppel je de servers die vanuit internet bereikbaar moeten zijn. En daarvoor stel je portforwar­ding op de eerste router in. Dat is dan de DMZ. Op de eerste router activeer je ook het gastnetwer­k. Op de tweede router sluit je alle overige apparaten van je lokale netwerk aan. Als je wilt en als je op de tweede router ook een gastnetwer­k kunt activeren, dan kun je daar bijvoorbee­ld IoTapparat­en of gamingpc's op aanmelden.

Hoe meer routers, des te langer de cascade en hoe meer zones je kunt opzetten. Maar dat wordt snel onoverzich­telijk en het energiever­bruik neemt met elke extra router toe. Daar komt nog bij dat de verschille­nde zones vaak niet in het draadloze netwerk te vinden zijn. Doehetzelv­ers grijpen daarom liever naar compacte pcbare bones en zetten daarop een van de gangbare routerdist­ributies (zoals Sophos UTM Home Edition, IPCop, SmoothWall, IPFire of pfSense, zie de link onderaan dit artikel).

Risico's en bijwerking­en

Alle apparatuur waar je data op opslaat, moet meegenomen worden in een regelmatig­e backupcycl­us. Voor andere apparatuur heb je genoeg aan een eenmalige backup van de configurat­ie, die je bij veranderin­gen kunt updaten.

Bij het backuppen moet de fileserver vanuit je lokale netwerk toegang hebben tot de apparaten waar de gegevens op staan – dat is conform het ASAconcept. Zou dat technisch niet werken, dan kun je beter niet de firewallre­gels aanpassen om de verbinding naar de andere kant toe open te zetten, want daarmee ondermijn je de scheiding in zones. Plaats dan de backupserv­er in een zone met een lager securityle­vel, waar de apparaten met eveneens lagere levels toegang toe hebben. Dat kan betekenen dat je een tweede NAS nodig hebt om bijvoorbee­ld backups van gaming en werkpc's te kunnen maken, als deze in verschille­nde zones zitten. (jmu)