Gecontroleerd netwerken
Beveiligingsconcepten voor je thuisnetwerk
Veel netwerkapparaten, bijvoorbeeld webcams, zijn zo slecht ontworpen dat hackers ze makkelijk kunnen kapen en zo je thuisnetwerk kunnen bespioneren en overnemen. Maak het hackers een stuk lastiger door concepten op je privénetwerk toe te passen die professionele systeembeheerders hebben ontwikkeld voor bedrijfsnetwerken.
In thuisnetwerken heeft zich bijna onopgemerkt een vergelijkbare ontwikkeling voltrokken als jaren geleden bij bedrijfsnetwerken. Steeds meer apparaten worden in het netwerk opgenomen en ze mogen binnen het netwerk praktisch alles uitspoken. Of daar kwetsbare apparaten bij zitten die hackers als trojaanse paarden kunnen misbruiken, merk je pas als het te laat is. Om dit risico te beperken, worden netwerkapparaten bij bedrijfsnetwerken in groepen ingedeeld en in verschillende netwerkzones geparkeerd. Dan kan bijvoorbeeld Verzending, Inkoop en Voorraad de apparaten van de andere afdelingen niet zien (segmentatie). Dit concept is makkelijk op thuisnetwer ken toe te passen, want het aantal groepen en benodigde apparaten is in die omgeving een stuk kleiner. Daarom zijn de kosten ook lager en kun je dit klusje voor je eigen privénetwerk eenvoudig regelen.
Het ligt meer voor de hand om de infrastructuur af te schermen door hackers sowieso de toegang tot je lokale netwerk te ontzeggen (perimeter security). Maar in je lokale netwerk komen ook systemen terecht waarvan de veiligheid onduidelijk of twijfelachtig is. En zelfs wanneer apparaten in je netwerk in het begin betrouwbaar zijn, kunnen ze door updates toch een risicofactor gaan vormen. Het is daarom beter om goede maatregelen te treffen,
zodat je de grootst mogelijke veiligheid hebt ondanks onbetrouwbare systemen.
Een thuisnetwerk met breedbandrouter en zonder verdere veiligheidsmaatregelen lijkt op een huis dat behalve een voordeur (de router) geen belemmeringen opwerpt. Als je zo'n huis binnenkomt, kun je daarin vrij rondlopen en dingen meenemen. Op dezelfde manier kan iedereen die binnenkomt in het lokale netwerk, ongehinderd daarin rondkijken. Om dat te voorkomen, is het aan te raden je privénetwerk net als een bedrijfsnetwerk op te delen in veiligheidszones. Maar dan met het verschil dat je je thuisnetwerk niet verdeelt in afdelingen, maar in apparaatcategorieën. De tool om je netwerk in zones op te delen is – niet zo verrassend – een firewall. In het eenvoudigste geval bestaat je lokale netwerk uit twee zones: de privézone en de gastenzone.
Twee zones
In de privézone zet je apparaten die je vertrouwt en die toegang moeten krijgen tot je vertrouwelijke gegevens. Dat zijn dus pc's, tablets en smartphones. Tot de netwerkbronnen die ze nodig hebben behoort bijvoorbeeld je NAS met privégegevens.
In de gastenzone komen de apparaten van bezoekers. Die hoeven alleen maar toegang tot internet te krijgen. Daarvoor kun je in veel routers een gastenwifi activeren. Je moet wel in je achterhoofd houden dat de communicatie dan beperkt kan zijn tot standaardprotocollen zoals http(s), smtp(s) en vpn. Dat betekent dat op de apparaten van gasten soms niet alle applicaties werken. Je kunt er ook voor kiezen om zulke apparaten in een onbeperkte zone te plaatsen. Details daarover vind je in het volgende artikel.
Je bent juridisch niet aansprakelijk voor wat vreemden via jouw draadloze verbinding op internet uitspoken. Maar als er iets loos is, zal justitie als eerste bij jou aan komen kloppen omdat het via jouw IPadres is gebeurd (zie [1]). Daarom kun je maar beter ook je gastenwifi met een goed wachtwoord beveiligen – en het wachtwoord regelmatig veranderen. Dit omdat je niet weet aan wie je 'gasten' het wachtwoord naderhand misschien doorgeven.
Mediazone
In veel netwerken is er al sprake van een derde groep apparaten waar je een aparte zone voor wilt hebben. Dat zijn bijvoor beeld je smarttv of de aan je tv gekoppelde streamingclient. Deze moeten toegang hebben tot lokale muziek en filmverzamelingen en mediatheken op internet. Deze wil je ver weg houden van privégegevens zoals je belastingaangifte. Deze apparaten horen samen met de lokale mediaservers thuis in de mediazone. Ook gamingpc's en consoles kun je hierin kwijt.
De meeste consumentenrouters ondersteunen echter niet meer dan twee zones. Om er meer te krijgen, hoef je gelukkig niet naar een bedrijfsrouter te grijpen. Een voordelig alternatief is de Cisco RV134W (ongeveer 220 euro). Als je niet bang bent om de handen uit de mouwen te steken en je een geschikte router hebt, ben je nog goedkoper uit met het overstappen naar het opensource besturingssysteem OpenWRT voor routers. OpenWRT is gratis en segmenteert het netwerk met behulp van VLAN's en multiSSID's.
Zo gauw je een basis met drie zones hebt, kun je er makkelijk extra zones bij maken. Voor het Internet of Things (IoT) zou je er bijvoorbeeld een aparte zone bij moeten maken. Zulke apparaten hebben hoofdzakelijk toegang tot internet nodig, sommige ook tot andere IoTapparaten in je lokale netwerk.
IoT-zone
Je kunt twee IoTgroepen onderscheiden: apparaten met actuatorfuncties en appara ten met sensorfuncties. Tot de eerste groep behoren lampen, thermostaten en de besturing van rolluiken en zonweringen. Tot de tweede groep behoren rookmelders en temperatuurmeters, en met een beetje goede wil ook spraakassistenten als Amazon Echo en Google Home, omdat die op spraaksignalen reageren. Op het moment is voor al deze apparaten een enkele zone voldoende, maar aan de hand van subgroepen kun je later subzones aanleggen met het oog op toekomstige ontwikkelingen.
Ten slotte zou je voor alle servers die vanuit internet bereikbaar moeten zijn, een zone moeten inrichten (Demilitarized Zone, DMZ). Daartoe behoren bijvoorbeeld web en mailservers die bijvoorbeeld via een DynDNSadres bereikbaar zijn, maar ook eigen cloudopslag.
Bij het inrichten van de zones kun je Cisco's ASAsecuritylevels als leidraad hanteren [2]. Daarin heeft Cisco veiligheidsniveaus van 0 tot 100 gedefinieerd. Het laagste niveau, 0, komt overeen met volstrekt onbeveiligd internet en 100 met een superveilig lokaal netwerk. Elk niveau is door toegestane en niet toegestane communicatieverbindingen gedefinieerd. Daarbij kunnen meerdere zones hetzelfde veiligheidsniveau hebben maar gescheiden zijn, zodat ze elkaar niet kunnen zien. Zo kun je bijvoorbeeld een zone voor privécomputers en een voor zakelijke computers met hetzelfde veiligheidsniveau inrichten.
Toegestane verbindingen worden normaal gesproken vanuit een veilige zone opgebouwd met een apparaat in een minder veilige zone. Dus bijvoorbeeld vanuit je lokale netwerk (level 100) naar de mediazone (50) of naar internet (0). De Cisco ASAfirewalls zijn standaard zo geconfigureerd dat ze verbindingen in deze richting toestaan. Verbindingen in de tegengestelde richting zijn in principe ongewenst en in de firewall standaard geblokkeerd. Daarom zijn regels op basis van ASA meestal overzichtelijk.
Categoriseren
Welke apparaten komen nu in welke zone? Bij apparaten waarvan het gebruik eenduidig is, is dat een makkelijke beslissing. De fileserver met je persoonlijke gegevens komt in de veiligste zone, het lokale netwerk, mobiele internetclients van gasten komen in het gastenwifi – samen met alle apparaten die alleen een internetverbinding nodig hebben zoals Google Home. Mediaapparaten als de smarttv en streamingclients als AppleTV of Googles Chromecast komen in de mediazone, IoTapparaten in de IoTzone.
Wat er dan nog overblijft zijn smartphones, tablets en pc's. Deze gebruik je meestal voor meerdere toepassingen, en dat kan wisselen. Bovendien wil je daarmee toegang hebben tot alle andere apparaten in je lokale netwerk. Aangezien de firewall toegang vanuit een hogere zone naar een lagere standaard toestaat, wijs je ze gewoon toe aan de zone met het hoogste securitylevel.
Als producten door updates nieuwe communicatiefuncties krijgen, ligt het voor de hand ze te verkassen om de nieuwe functies te kunnen gebruiken. Zou bijvoorbeeld Amazon Echo een functie krijgen om video's vanuit bronnen in je thuisnetwerk af te spelen, dan wil je hem toegang geven tot je mediaserver. Maar je moet hem niet in de mediazone plaatsen, omdat je dan het zoneconcept oprekt. Je kunt hem beter in een zone zetten waarin hij in zijn eentje zit en behalve internet alleen de mediaserver kan zien. En als je de veiligheid wat wilt opschroeven, kun je afzien van de nieuwe optie en hem gewoon in de IoTzone laten.
Je moet bij IoTapparaten sowieso goed opletten. De meeste leveren hun data alleen aan de cloud en alleen van daaruit kan de bijbehorende smartphone app de data ophalen. Een echte communicatie van IoTapparaat naar smartphone is dat niet. Maar sommige apps willen ook rechtstreeks over je lokale netwerk met het IoTapparaat communiceren.
Voor de eenvoudigste indeling met twee veiligheidszones heb je genoeg aan een – wat de firewall betreft – eenvoudige consumentenrouter. Heb je meer zones nodig, dan ga je snel denken aan een hardwarefirewall. Maar een veel goedkopere oplossing is het achter elkaar plaatsen van meerdere routers (cascading). Sluit gewoon een tweede router met zijn ethernet WANpoort aan op een netwerkpoort van de eerste router. Stel de tweede router met het menu voor de internettoegang zo in dat hij zijn WANIPadres krijgt via DHCP. Hij krijgt dat dan van de eerste router.
Aan de eerste router koppel je de servers die vanuit internet bereikbaar moeten zijn. En daarvoor stel je portforwarding op de eerste router in. Dat is dan de DMZ. Op de eerste router activeer je ook het gastnetwerk. Op de tweede router sluit je alle overige apparaten van je lokale netwerk aan. Als je wilt en als je op de tweede router ook een gastnetwerk kunt activeren, dan kun je daar bijvoorbeeld IoTapparaten of gamingpc's op aanmelden.
Hoe meer routers, des te langer de cascade en hoe meer zones je kunt opzetten. Maar dat wordt snel onoverzichtelijk en het energieverbruik neemt met elke extra router toe. Daar komt nog bij dat de verschillende zones vaak niet in het draadloze netwerk te vinden zijn. Doehetzelvers grijpen daarom liever naar compacte pcbare bones en zetten daarop een van de gangbare routerdistributies (zoals Sophos UTM Home Edition, IPCop, SmoothWall, IPFire of pfSense, zie de link onderaan dit artikel).
Risico's en bijwerkingen
Alle apparatuur waar je data op opslaat, moet meegenomen worden in een regelmatige backupcyclus. Voor andere apparatuur heb je genoeg aan een eenmalige backup van de configuratie, die je bij veranderingen kunt updaten.
Bij het backuppen moet de fileserver vanuit je lokale netwerk toegang hebben tot de apparaten waar de gegevens op staan – dat is conform het ASAconcept. Zou dat technisch niet werken, dan kun je beter niet de firewallregels aanpassen om de verbinding naar de andere kant toe open te zetten, want daarmee ondermijn je de scheiding in zones. Plaats dan de backupserver in een zone met een lager securitylevel, waar de apparaten met eveneens lagere levels toegang toe hebben. Dat kan betekenen dat je een tweede NAS nodig hebt om bijvoorbeeld backups van gaming en werkpc's te kunnen maken, als deze in verschillende zones zitten. (jmu)