Jump to content
  • Sign Up
Støtt hjemmeautomasjon.no!

Hjemmenettverk og IOT - hvordan isolerer dere enheter fra internett?


hjemmedude

Recommended Posts

Heihei,

stiller noen spørsmål jeg har tenkt et par ganger.

 

Har helt flat struktur på nettverket hjemme, dvs ingen segregering med vlan/subnet og openwrt router med null åpne porter bortsett fra standard. Altså er wifi, apple tv, chromecast, sonos... Alt er på det samme nettet. Dette er ikke sikkert, men kommer mer til det siden.

 

HA har tilgang på internett mtp installasjon, oppgraderinger osv, kjører som VM på en windows server.

Backup tar jeg manuelt en gang i ny og ne, kopierer vm til en annen harddisk.

Nextcloud kjører også som VM på samme windows server.

Backup av denne til en leverandør i sky skjer kontiunerlig. (40gb eller så).

Selve windows serveren er det ingen backup på, trenger ikke det.

 

Subnet/vlan har jeg lyst å lage slik at man ikke har tilgang på alt når man som gjest er på nettet mitt. Men hvordan løser man det når man bruker wifi i administrasjonsprossessn? Gjestenettverk blir vanskelig pga openwrt og asus os (trodde den støtta openwrt men nei).

Hvor strengt isolerer dere HA fra omverdenen?

Jeg bruker wireguard for å få kontakt med hjemmet (VPN) og eksponerer ikke noe fra HA mot internett - men likevel er HA i kontakt med internett mtp oppgraderinger osv. Er det ikke da sårbart for diverse hackere? 

 

Takk for input, om ikke nødvendigvis svar på spørsmålene mine, deres tanker om dette.

 

Link to comment
Share on other sites

38 minutter siden, hjemmedude skrev:

men likevel er HA i kontakt med internett mtp oppgraderinger osv. Er det ikke da sårbart for diverse hackere? 

Tenker du da på at noen overtar HA sitt nettsted og serverer deg falske oppdateringer?

Ellers antar jeg at din ruter er lagd som alle andre rutere - at når den åpner opp for utgående trafikk så åpner den ikke i samme slengen for inngående trafikk fra hele adresseområdet.

Link to comment
Share on other sites

Jeg brukte openwrt før jeg oppgraderte til Ubiquiti Unifi på trådløssiden.

Såvidt jeg husker så støtter Openwrt både vlan og tilknytning pr. SSID mot vlan.

Men det kommer an på hardwaren også.

Og der er det mye rart.
Noen typer/modeller bruker ett vlan pr. port og bridger mellom disse vilt og uhemmet. Andre har brukbare switcher på kortet som muliggjør bruk av vlan.

Men rett frem plankekjøring blir det uansett ikke.

Og ikke regn med at port-nummereringen bak stemmer med nummereringen i OSet.

 

Når det gjelder oppdelingen av nettverkene;

Chromeplugs og annet som bruker broadcast for å detektere potensielle samtalepartnere bør stå i samme nettverkssegment.
Altså PCer, telefoner, nettbrett og dingser som Chromecast bør har sin egen lekegrind. Det er disse dingsene er også de som er farlige for "IOT"-greiene.

Derfor er det lurt å sette automasjons-servere og administrasjons-grensesnitt til switcher ol. i et eget beskyttet segment.


Om automasjons-server skal snakke med chromeplugs så er en mulighet å ha to interfacer (her regner jeg også ett vlan som ett nettverksinterface).

Om man holder tunga rett i munnen og bruker brannmur-regler på port og IP-nivå så er det fullt mulig å begrense automasjonsserveren til kun å prate med chromeplugs.

 

Smådjevlene ligger i detaljene. Og det er mange detaljer å passe på i slike oppsett.

Absolutt gjennomføringsbart om man er bevæpnet med kunnskaper på NAT, routing, DHCP, vlan, nettmasker/gateways og brannmurregler (som feks. iptables eller nftables) 😉

 

Edited by NilsOF
Link to comment
Share on other sites

Har en 4-5 VLAN og ymse brannmurssoner.. 

Har ulike VLAN for nettverkskomponenter (firewall, switch, ap), et annet for servere, et tredje for klienter, apple tv etc, og et til for IoT-enheter.

 

Har også et eget VLAN for DMZ, der eksponerer HA mot internett via en proxy (HA-en er plassert i et annet VLAN igjen), men har også satt opp MFA + SSL decrypt for å ha god kontroll.

Øverst i brannmursoppsettet så har jeg en regel som sier enkelt og greit deny any any, så må man begynne og åpne opp for trafikken som skal tillates mot internett, men også imellom de ulike vlanene.

Brannmuren jeg benytter er en applikasjonsbasert sak, så jeg tillater da applikasjoner som feks dns, dhcp, web-browsing, websocket etc mot de ulike tjenestene/sonene.

Og land som Russland, Kina og noen andre er blokkert, da forsvinner vanvittig mye drit trafikk...

 

 

Her er noe dritt trafikk som brannmuren har dekryptert og funnet spyware i, og effektivt blokkert.. 

Loggene er fulle av slikt.. 

Spoiler

image.thumb.png.e7004cded060f34f0c41303a1bbdc2fa.png

 

Edited by slippern
Link to comment
Share on other sites

Takk for input! Når det kommer til kompetanse på nettverk og brannmur så er den på et middels nivå tenker jeg. Om jeg hadde en router til med openwrt kunne jeg begynt med vlan. Bruker kun brannmur i router og brannmuren er helt default fra installasjon. Tror brannmur-oppsettet er sikkert nok. Bruker i dag uoffisiell build;

https://divested.dev/unofficial-openwrt-builds/mvebu-linksys/

https://forum.openwrt.org/t/divested-wrt-no-nonsense-linksys-wrt-builds/80522

Fungerer veldig bra, men sikkerhet og personvernmessig aner jeg ikke om dette er top notch eller bånn i bøtta.. :) 

Jeg er ikke redd for at noen hacker HA sånn sett, om de kødder til temperaturen i huset er det irriterende, men jeg vil nødigst måtte oppleve det.

Så første steg tror jeg må være en ny router/AP så alt kjører openwrt, deretter vlan's.

 

App-firewallen din er ganske stilig @slippern. Forstår jeg det riktig at du med å ha HA i eget vlan (dmz-en) og åpne for tilgang til/fra HA via en  proxy (en server på internett?) med MFA(multifactor auth.) og dekryptering av SSL kryptert data til og fra HA, så inspiserer fw-en din dette og blokkerer kryptert data med malware som du viser over? Teskje...

Det får min vpn-tilbake-til-HA-løsning til å virke en smule amatør? :D (er jo det!)

 

Link to comment
Share on other sites

3 timer siden, hjemmedude skrev:

App-firewallen din er ganske stilig @slippern. Forstår jeg det riktig at du med å ha HA i eget vlan (dmz-en) og åpne for tilgang til/fra HA via en  proxy (en server på internett?) med MFA(multifactor auth.) og dekryptering av SSL kryptert data til og fra HA, så inspiserer fw-en din dette og blokkerer kryptert data med malware som du viser over? Teskje...

Det får min vpn-tilbake-til-HA-løsning til å virke en smule amatør? :D (er jo det!)

 

 

Nesten rett, HA står i et eget server-vlan, mens proxyen står i DMZ.

Så om noe skulle bli kompromittert, så er det forhåpentligvis bare proxyen, slik at angriperne ikke kommer inn videre server-vlan osv.

Når det gjelder generell IT-sikkerhet, så er en tommelfinger regel og blokkere alt, også hvite liste det som faktisk trengs..

OpenWRT feks blokkerer alt inngående, men tillater alt utgående som standard.

Men har du ikke en brannmur som opptil lag 7 i OSI modellen er det håpløst/umulig og gjennomføre i praksis.

 

En ting mange misforstår med en brannmur, er at den skal ikke blokkere... Den skal tillate trafikk..

 

Link to comment
Share on other sites

12 timer siden, slippern skrev:

Men har du ikke en brannmur som opptil lag 7 i OSI modellen er det håpløst/umulig og gjennomføre i praksis.

Vel, jeg har ganske mange timer tuklet Palo Alto.

Riktignok er ikke min erfaring helt fersk, men likevel:

På ett vis likte jeg de veldig godt. På et annet vis hatet jeg de som pesten.

Det er ett supert verktøy for oversikt og content-scanning når den er satt opp som content-scanning firewall mellom fiendtlig (internet) og beskyttet sone.

Som tradisjonell brannmur og router faller den igjennom. 
Men sikkert bra nok i masser for mindre nettverk.

 

Jeg vil påstå at utfordringen i dag ligger mye på DNS-siden.

Nåvel, jeg beveger meg kraftig offtopic nå, så jeg stopper hær 🙂


Ellers er jeg mye enig med @slippern om oppsett.

Bare ikke sluk alt som kommer fra nevnte produsent rått!

 

Edited by NilsOF
Link to comment
Share on other sites

Hvilken software er proxyen, en minimal webserver av et slag?

Har sett en del palo alto via jobb men ikke trykka i det selv. Blir nok uansett uaktuelt i hjemmet, orker ikke og har ikke kapasitet til å drive med det også.. Men openwrt gjør nok jobben på et ok nivå.

Bruker dnscrypt-proxy applikasjon på routeren da :)

 

Link to comment
Share on other sites

7 timer siden, hjemmedude skrev:

Hvilken software er proxyen, en minimal webserver av et slag?

Mener jeg dro kjensel på Palo Alto i slippern sitt innlegg. 
Den er jo en slags proxy, men er kapabel til mere enn http/https.

Slike ting krever hestekrefter, så minimal vil jeg ikke kalle det. 
 

7 timer siden, hjemmedude skrev:

Bruker dnscrypt-proxy applikasjon på routeren da :)

Da har du begynt riktig etter min mening 🙂 .

Dersom du bruker en DNS-provider som filtrerer ut farlige domener så har man øket sikkerheten ganske så mange hakk.

 

Problemet er å slå ihel kryptert DNS trafikk fra innsiden av routeren for deretter å mate dnscrypt-softwaren på routeren med ukrypert DNS trafikk til videre foredling.

Jeg har bare researchet dette til nå, men om man nekter tilgang til internet-servere som tar imot DNS over https (og dets like) så skal i teorien Firefox, MS-greier, Google-greier og andre-greier, falle tilbake til gammeldags DNS.

 

Om man i tillegg har ett eget lokalt DNS-filter så kan man sperre mange anonseservere og trackere.

Pi-hole er en slik "proxy". (Men, det store problemet med Pi-hole er å få tak i kvaltetsikrede black-lister og dermed faller hele stasen med pi-hole samen)

En minimal og enkel DNS-proxy er å sette opp dnsmasq feks.

 

Openwrt bruker vel nftables nå?

I tilfelle kan deler av brannmurreglene som feks. adresse-grupper oppdateres dynamisk av script.

Edited by NilsOF
Link to comment
Share on other sites

@NilsOF

Uten at jeg vet mer enn the basics så bruker jeg cloudflare som dns-provider og et fransk dns provider som backup. Fungerer begge to.

Dnsmasq og dnscrypt-proxy er i alle fall kjente termer fra openwrt-verdenen for min del :)

Kjenner ikke til noe aksesslister for dnscrypt, men det brude jeg nok sette meg litt bedre inn i, kanskje ligger det noe i bakgrunnen og surrer. 

Blacklister kjenner jeg igjen fra adblock som også kjører på routeren, disse oppdateres med script daglig.

 

Et sikrere alternativ er vel vpn-tilkobling fra router til eks. nordvpn, men er ikke helt der enda. :) Liker generelt ikke å ha abonnement for tjenester på internett, er nok en grunn til at jeg ikke har tatt steget dit ennå (ganske tynt argument ja, helt enig).

 

Link to comment
Share on other sites

@hjemmedudesorry, ser jeg har blandet begrepene litt.

Nå jeg nevnte dnscrypt så tenkte jeg på software, ikke på protokoll.

 

Med aksesslister ( farlig begrep jeg har med fra cisco tror jeg) så tenkte jeg på brannmur -funksjonaliteten som i Linux, den gamle iptables og den nyere nftables.

 

Men, ja, jeg ønsker meg også ett rammeverk som kan putte litt logikk inn i DNS-filtreringen.

 

Jeg skal oppdatere min forrige post.

 

Edit: forøvrig så spiller det liten rolle hvilken protokoll (dnscrypt, https ) man krypterer DNS ut i fra router.

Edited by NilsOF
Link to comment
Share on other sites

Benytter nginx som proxy, brannmuren er en Palo.

 

Ingenting på nettverket får lov å sende dns request til ukjente servere.

Kun proxyen og AdGuard som får lov, benytter da Quad9.

Samsung TV-en feks er veldig gla i og sende data til google sine DNS-er.

Tillater heller ikke protokollen quic (lar seg ikke inspisere) og kryptert dns.

  • Like 1
Link to comment
Share on other sites

  • 1 year later...

Henter denne frem igjen.

Har to openwrt routere der en er satt opp som et akesspunkt, det funker veldig bra med mitt minimale oppsett.
Har frem til i dag brukt wireguard VPN hjem til HA når det trengs, men det er litt krøkkete. Har sett flere som skryter av cloudflare tunnel for remote access, og jeg lurer på å driste meg utpå dette. Har sett et på youtube-filmer om dette.

Man må bruke mfa og et godt passord siden HA blir tilgjengelig via cloudflare på internett, men man begrenser tilgangen til cloudflare sine nettverk.

Noen som har forsøkt dette?

everything smart home

Cloudflare tunnel to HA with extra security - reddit

Link to comment
Share on other sites

  • 4 months later...

Tok i bruk cloudflare for en tid tilbake og det har fungert meget bra for HA. 

Sikkerhetsmessig har jeg ikke notert meg noen forsøk med mislykkede pålogginger i HA. Har i tillegg MFA aktivert.

 

Omsider også tatt steget til VLAN på hjemmenettet!

Har da to VLAN, vanlig hjemmenett og gjest.

I openwrt verden er IOT nettet avskåret internett, men man kan forwarde trafikk fra hjemmenett til denne sonen. Det tenker jeg er lurt. 

 

Har et par spørsmål til forumet 🙂

 

1. xiaomi støvsugeren styres via HA integrasjon (og den er web-basert). Den kan muligens hackes med custom rom osv, men er det andre gode måter å begrense den på?

 

2. POW-u amsleser henter jeg i blant oppdateringer til fra https://github.com/UtilitechAS/amsreader-firmware/releases/tag/v2.2.8

Vil jeg i de tilfellene den skal oppgraderes flytte den til et wifi/vlan for med WAN aksess og kjøre oppdatering før den flyttes tilbake til IOT? Høres ut som en overkommelig plan.

 

3. Hvor ville dere plassert disse tjenestene/enhetene:

Underholdning; Chromecast, Apple tv, Sonos-er,

Sikkerhet; Homely alarm,
Luft; Netatmo, airthings, ventilasjonsanlegg flexit,

Hjemme-enheter; Laptoper, server med HA og nextcloud VM-er, printer, mobiltelefon, nettbrett

 

 

Link to comment
Share on other sites

  • 1 month later...

Oki, jeg skal prøve å gi ett slags svar.. 😉


- ikke tenk "iot" eller "wan" eller "dmz"

 

Har man noe man skal beskytte så gjør man det.

Noe skal ha tilgang til internet og noe skal absolutt ikke ha det.

 

Selv driver jeg å pønsker på å dele opp hjemmenettet enda mere, det holder ikke med fire SSIDer som er begrensningen på min Unifi trådløs lengre..

..eller mere korrekt, flere enn to SSIDer belaster WiFien med uforholdsmessig mye overhead i forhold til nyttetrafikk.

 

Og Ubiquiti Unifi støtter ikke flere enn fire SSIDer og muligens ikke flere enn 4 VLAN på noen av aksesspunktene jeg har heller.. (jeg har ikke kvalitetsikret dette!).

 

Nå lurer jeg på hva jeg ville frem til .. 😄

Vi har alle noen begrensninger, enten tekniske eller kunnskapsmessige. Og begge deler er helt Ok!

I praksis er det å ha kontroll det viktigste 🙂

 

Edited by NilsOF
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.