Veilig achter het hekwerk
Gescheiden zones in het (draadloze) netwerk
Met een subnet kun je slordig of iets te enthousiast geprogrammeerde IoT- en smarthome-gadgets in een eigen netwerkzone zetten. Daarmee verklein je het risico dat andere apparaten in je netwerk getroffen worden door malware en dat gevoelige data zoals je belastingaangifte in verkeerde handen vallen. De eerste van onze drie voorstellen voor het opdelen van je netwerk kost bovendien niets, alleen wat tijd.
De eerste en eenvoudigste manier om je netwerk op te delen is met behulp van een gastnetwerk. Veel routers hebben dat standaard, maar nog niet geactiveerd. Je kunt het met een enkele muisklik aanzetten, het kost niets en volstaat voor een simpele indeling in twee zones – maar heeft ook wel een paar beperkingen.
Routercascading kost wat meer moeite, maar dan kun je wel tot vier zones maken waarmee je ook de bezoekers in je gastwifi kunt scheiden van het Internet of Things. Je moet dan wel investeren in een tweede wifirouter en eventueel een extra wifirepeater. De meest flexibele oplossing is een multiLAN-router. Die staat nog veel meer zones toe. Een huisarts kan dan bijvoorbeeld het netwerk van zijn praktijk scheiden van het gastnetwerk voor patiënten, het gezinsnetwerk, het smarthomenetwerk en nog een wifinetwerk voor privébezoekers. Het in het voorgaande artikel geschetste Cisco ASAconcept kun je dan niet een op een toepassen, maar via firewallregels wel benaderen.
Maar eerst de meest eenvoudige oplossing. Het vaak aanwezige gastwifi is eigenlijk alleen voor bezoekers bedoeld die je buiten het interne (hoofd)netwerk van je gezin of bedrijf wilt houden. Maar het is
net zo goed geschikt om verdachte IoT-of smarthome-apparaten van de rest van je netwerk te isoleren, zonder ze internettoegang te onthouden.
Bij sommige routers is het gastnetwerk standaard beperkt tot bepaalde toepassingen: internetten via http/https en mailen. Als afzonderlijke IoT-apparaten andere diensten op internet nodig hebben, kun je die beperking met een klik opheffen (zie de afbeelding rechts).
Gasten worden vaak in een aparte gebruikersgroep gezet. De internettoegang van die groep wordt dan bijvoorbeeld aan de hand van een blacklist gefilterd. Als het IoT-verkeer daarop vastloopt, dan kun je de groepsinstellingen aanpassen bij de toegangsprofielen in het internetfilter.
Als bezoekers en IoT het gastwifi delen, dan moet je het dataverkeer tussen de clients zo veel mogelijk blokkeren. Een dergelijke 'client isolation' is niet altijd standaard actief en moet uitgeschakeld blijven als afzonderlijke IoT-apparaten direct met elkaar willen communiceren. Bijvoorbeeld bij het aansturen van de verwarming met thermostaten en temperatuur- en raamsensors.
Als je beide zones in het hele huis wilt gebruiken, dan heb je wifirepeaters nodig die het bereik van beide draadloze netwerken vergroten. Het is bij de aanschaf van een repeater dan ook goed om erop te letten of hij ook met beide wifinetwerken werkt.
Het verplaatsen van de IoT-omgeving naar het gastnetwerk verhoogt de veiligheid, maar heeft ook beperkingen. Multicast-functies zoals UPnP werken niet over netwerkgrenzen heen. Een mediastreamer kan geen mediabron bereiken als die in een andere zone staat. Ook het bepalen van netwerknamen via multicast-DNS (Zeroconf, Bonjour) werkt in de regel alleen binnen dezelfde zone.
Geschakeld netwerk
De simpelste manier om in kleine netwerken drie of meer zones in te richten is met routercascading. De eerste router maakt verbinding met internet en vormt de eerste twee draadloze zones voor bijvoorbeeld IoT en gasten. Van dat eerste netwerk tak je met een tweede router het interne netwerk af met een of twee extra zones voor bijvoorbeeld het gezin of het kantoor. Daar kun je in principe elke router voor gebruiken die een ethernetpoort als WAN-aansluiting heeft.
Als het niet op functies en performance aankomt, kun je met een apparaat
van zo'n 30 euro al uit de voeten. Maar dan heb je geen IPv6, snelle ethernetpoorten en snel wifi. IPv6 is iets wat je tegenwoordig eigenlijk in alle zones wilt hebben. Daarmee zijn diensten in het interne netwerk, zoals een eigen cloud- of mailserver, veel makkelijker vanuit internet bereikbaar dan met IPv4. Maar voor veel mensen is dit nog niet aan de orde.
IPv6-excursie
Bij Internet Protocol versie 4 scheiden veel routers hun zones met firewallregels. Ze gebruiken voor alle apparaten dezelfde interne IPv4-adresrange. Het is echter veel gebruikelijker om met verschillende IPv4-ranges te werken. Portforwards om interne diensten vanuit internet te kunnen bereiken, zijn vanzelfsprekend voor het hoofdnetwerk in te stellen, niet voor het gastnetwerk.
Bij IPv6 werkt dat anders. Dan kunnen gasten een apart openbaar adresblok (prefix) krijgen – als de provider daarin meegaat. Klanten van XS4ALL en KPN krijgen bijvoorbeeld een /48-prefix, waarmee ze 65.536 /64-subnetten kunnen maken.
Modelkeus
Heb je als eerste router bijvoorbeeld een nieuwere Fritzbox, dan is het handig om er als cascadingrouter ook een te gebruiken. Niet alleen voor de identieke bediening, maar volgens onze ervaring zijn Fritzboxen op dit moment de enige routers voor kleine netwerken die IPv6 op een zodanige manier kunnen doorsluizen dat je ook aan de achterkant een volwaardige internettoegang hebt. AVM heeft de eerder bekritiseerde fouten bij de IPv6-shares inmiddels verholpen. Voor het cascadingvoorbeeld gaan we daarom uit van Fritzboxen. Als je meer geld te spenderen hebt, kun je natuurlijk ook volwaardige IPv6-routers bij b2bleveranciers kopen.
Het Fritzbox-model 4040 (zie c't 6/2012, p.22) van 89 euro leent zich erg goed voor cascading. Het heeft een gigabit-ethernetpoort als WAN-aansluiting, twee wifimodules voor simultaan dualband en vier gigabitpoorten voor het interne netwerk. Grotere modellen met een telefooncentrale en xDSL-modem zouden hier overkill zijn.
Remmen los
Als je op de voorste router bijvoorbeeld een netwerkopslag (NAS) aansluit waar je vanaf de achterste verbinding mee wilt
maken, is de NAT-performance van een router van belang. Een indicatie voor de hierbij haalbare snelheid is de IP-naar-IP NAT-performance.
We hebben een paar steekproeven gedaan. De Fritzbox 4040 gebruikt net als de 7490 met de laatste firmware (6.83) de capaciteit van zijn gigabitpoorten volledig (circa 940 Mbit/s down- en upstream). Daar bleef een 7390 met firmware 6.80 duidelijk bij achter (504/403 Mbit/s). Als je de volle datasnelheid over de grenzen van de zones heen wilt hebben, moet je dus geen oudere of tweedehands gekochte Fritzbox als cascadingrouter gebruiken.
Bij het configureren van de cascading Fritzbox activeer je het IPv6-protocol bij de internetinstellingen en stel je de default-datarates voor down- en uplink op 1.000.000 kbit/s in. Anders wordt de datadoorvoer tussen voorste en achterste zone onnodig afgeremd.
Grenzen aan de cascading
Bij een routercascade vinden tussen de internetverbinding met zijn publieke IPv4-adres en een host in de achterste zone twee adresomzettingen (double NAT) plaats. Dat is hinderlijk voor internettoepassingen die ontworpen zijn voor niet meer dan één NAT. Ook automatische portshares via UPnP of NAT-PMP werken achter een cascadingrouter niet. Daardoor gaan veel online-games de mist in.
Bovendien werkte een VPN-toegang via de router bij een cascade alleen met de internetrouter. Het lukte ons niet om een VPN-toegang met de achterste router op te bouwen, ook niet door de cascadingrouter als exposed host bij de voorste router in te stellen en ook niet via IPv6.
Als je wat verder weg van de routers toegang tot de twee zones via wifi wilt hebben, kun je een repeater gebruiken.
Repeaters uit de Fritz!WLAN-serie zijn het beste geïntegreerd in het Fritzboxecosysteem en met een druk op de knop te koppelen. Ze geven beide wifi's door. Er is ook een repeater met een ethernetpoort die het hoofdnetwerk doorgeeft in deze opstelling.
Heb je beide zones ook via ethernetkabels nodig, dan kun je weer een Fritzbox 4040 gebruiken. In de repeater-modus kan hij het gastnetwerk ook via zijn LAN4-aansluiting beschikbaar stellen. Oudere Fritzboxen als het 3390model bieden alleen het hoofdnetwerk aan.
Multi-zoning
Door meerdere routers te cascaderen kun je wel veel zones creëren, maar dat gaat dan gepaard met meer hardwarecomplexiteit. Met een multi-LAN-router gaat dat simpeler. Dergelijke apparaten zie je met name bij fabrikanten van apparatuur voor grote bedrijfsnetwerken, maar er zijn ook modellen voor netwerken van kleine bedrijven.
Een 1781VAW van Lancom, die 16 netwerken aanstuurt, kost meer dan 600 euro. De xDSLWLAN-router RV134W van Cisco haalt in elk geval nog vier zones en kost ruim 230 euro. Daartussenin zit bijvoorbeeld de Asus BRT-AC828 van 450 euro (zie pagina 30 in deze c't). Die biedt maximaal 6 draadloze gastnetwerken.
Je kunt met software als OpenWRT en pfSense op een goedkope consumentenrouter of routermoederbord ook zelf een multi-LAN-router maken. Maar vooral bij dualstack-functies met IPv4 en IPv6 ontaardt dat snel in allerlei gedoe op detailniveau, niet iets voor een gelegenheidsbeheerder.
Als voorbeeld voor een kleine multizone-installatie hebben we een Draytek Vigor2860ac-B genomen omdat die met het geïntegreerde wifimanagement 20 Draytek accesspoints kan aansturen. Met een prijs van 285 euro is hij eveneens betaalbaar. De iets duurdere VoIP-versie heeft alleen een basisaansluiting voor twee analoge telefoons en is daarmee in elk geval een geschikte back-up voor een SIP-telefooninstallatie.
Casco
De via de browser aangestuurde configuratiepagina's van de Vigor2860ac hebben een jaren 90 uitstraling, maar zijn wel functioneel. De 2860ac kan behalve een echte DMZ (De-Militarized Zone voor servers) zes zones in het LAN bedienen. Die router en de bijbehorende accesspoints uit Drayteks 900-serie kunnen op dit moment maximaal vier draadloze zones per multi-SSID aanmaken. Daarmee kun je bijvoorbeeld twee interne wifinetwerken voor de praktijk en het gezin, een gastwifi voor de patiënten en een draadloos netwerk voor IoT-gadgets opzetten.
Om de zones in het bekabelde netwerk te scheiden, heb je switches nodig die met VLAN's overweg kunnen [1,2]. Die zijn in Gigabit-ethernetversies met 24 poorten voor minder dan 200 euro te koop. Wil je VoIP-telefoons of accesspoints via de LAN-kabel van energie voorzien (Power over Ethernet), dan moet je een paar honderd euro meer uitgeven voor PoE-switches. Die hebben meestal een ventilator. Door de geluidsproductie horen ze daarom meer in een netwerkruimte thuis. Als je hooguit drie of vier apparaten via de LAN-kabel van stroom wilt voorzien, kun je een normale switch ook uitbreiden met losse, ventilatorloze PoE-injectors.
Goed taggen
Het administrator-VLAN (meestal VID 1) laat je bij de voor accesspoints gereserveerde poorten zonder tag. Dan kunnen nieuwe accesspoints zonder individuele configuratie via dhcp een ip-adres krijgen en via het wifibeheer van de router geconfigureerd worden. Voor een betere veiligheid hang je aan het administrator-VLAN geen productienetwerk, maar laat je het op zichzelf staan. Er zijn immers genoeg VLAN-ID's mogelijk (2 tot 4094). (jmu)
Door meerdere routers te cascaderen kun je veel zones creëren, maar met een
multi-LAN-router gaat dat simpeler