32 replies to this topic

[Erik Slagter]

Hebben jullie dan geen firewall die al het onbekende verkeer (ook van binnen naar buiten) blokkeert? Ik vind dat wel een vereiste voor een veilig netwerk, zéker met dit soort dubieuze "cloud based" doosjes.

[WanWizard]

99.9999% van de mensen heeft een home router, al dan niet van een provider, en die hebben allemaal een default permit van binnen naar buiten, onder het motto "nat is veilig genoeg".

 

Wat met IPv4 al niet zo is, en met IPv6 onzin, want daar heb je geen NAT.

[40H3X]

Imho zou iedereen veel meer tijd en geld moeten willen besteden aan de beveiliging van hun data verkeer. Er gaan nog gekeurde 3 punts sloten op de voor- en achterdeur cq op de fiets, maar dataverkeer....
Het is eigenlijk een gotspe dat internet providers je verplichten hun “kastje” te gebruiken.

[zeeteefje]

Ik heb een router van de provider, maar de 'uitgang' komt binnen op de met firewall beveiligde ingang van m'n FritzBox. Vanuit de provider box is maar één aangesloten device zichtbaar die zich meldt als 'datapipe'. De FritzBox biedt me enkele voip nummers, naast de voip die standaard door de provider geleverd wordt. Daarom kan ik ook relatief simpel alle IOT apparaten op een eigen segment zetten door gewoon de WiFi van de provider box aan te zetten. Die provider box is uiteraard bereikbaar vanuit het netwerk van de Fritz, maar andersom niet. Ik moet alleen nog de moeite nemen om het te doen. Vooralsnog hebben mijn IOT apparaten gewoon geen toegang tot het internet, de weg naar buiten geblokkeerd door de FritzBox.

[WanWizard]

Is dat niet gewoon omdat je twee NAT boxen in cascade zet, en niet omdat er een "default deny all" firewall rule actief is?

[zeeteefje]

Wat, die blokkade? Nee, dat is een optie in de firewall van de Fritzbox. Je kunt extern verkeer van elk individueel aangesloten device blokkeren, of alleen bepaalde protocollen etc. Alleen m'n TV blokkeren werkt niet echt, die werkt al niet meer goed als ik hem slechts één protocol ontzeg, dus die krijgt gewoon geen wifi meer.

[WanWizard]

Ok, mooi. Een van de weinige home routers die dat dus kunnen.

 

Ben zelf nooit zo'n Fritz fan geweest, vanwege zijn brakke VPN implementatie, ik heb er alleen eentje een tijd als VoIP/DECT doos actief gehad.

[Zuppelan]

Ik gebruik ook een Fritsdoosje en één van zijn snaakse functies is dat hij een ISDN S-bus biedt. Op Markplaats worden ISDN-centrales gedumpt voor wat de gek ervoor geeft, dus je kunt zo luxe telefoons hebben.

VPN gebruik ik niet, gewoon IPv6 aangezet (met 6to4, want T-Mobile doet geen native V6). Alle apparaten een publiek adres, al firewallt de Fritzbox nog steeds apparaten die je niet bereikbaar wilt hebben. Mijn Vu+ Ultimo 4K heb ik wel van buiten bereikbaar gemaakt en dat is even aan het idee wennen, maar ik acht een OpenPLi-Linuxontvanger geen groot veiligheidsrisico, mits goed geconfigureerd verdedigt die zichzelf prima. En gezien door die ogen lijkt een VPN opeens een stukje plakband voor het drama dat NAT is.

Edited by Zuppelan, 16 September 2019 - 14:46.

[WanWizard]

VPN's zijn niet alleen nodig om zelf vanaf buiten toegang te krijgen tot je LAN, er zijn nog tal van andere reden.

 

Iedereen die al eens IPSec geprobeerd heeft aan de praat te krijgen tussen een Fritz en een ander merk weet precies wat ik bedoel.

 

En voor de rest, dat moet je vooral zelf weten, maar slim is het niet. Veel boxen draaien met stokoude kernels, vol met vulnerabilities, en veel netwerk services worden gewoon door een python socket aangeboden. Ik heb dus een andere notie van het "veiligheidsrisico"... 

[Sagitarius †]

Ik gebruik ook een Fritsdoosje en één van zijn snaakse functies is dat hij een ISDN S-bus biedt. Op Markplaats worden ISDN-centrales gedumpt voor wat de gek ervoor geeft, dus je kunt zo luxe telefoons hebben.

VPN gebruik ik niet, gewoon IPv6 aangezet (met 6to4, want T-Mobile doet geen native V6). Alle apparaten een publiek adres, al firewallt de Fritzbox nog steeds apparaten die je niet bereikbaar wilt hebben. Mijn Vu+ Ultimo 4K heb ik wel van buiten bereikbaar gemaakt en dat is even aan het idee wennen, maar ik acht een OpenPLi-Linuxontvanger geen groot veiligheidsrisico, mits goed geconfigureerd verdedigt die zichzelf prima. En gezien door die ogen lijkt een VPN opeens een stukje plakband voor het drama dat NAT is.

Dat is voor mij ook de reden dat ik nog een Fritzbox 7490 gebruik naast mijn Asus AC3200, aan de S0 bus hangt hier nog steeds een Gesko ISDN centrale als telefoon centrale met 6 toestellen, hij beschikt over een ingebouwde Dect centrale en Voip maken dit een fantastische apparaat voor dit soort dingen, maar ook als router doet ie het prima met zijn 4 Gb ethernet aansluitingen en dualband Wifi.

Ook (open) VPN doet het er prima op en niet te vergeten is zelfs bruikbaar als Oscam server, welke betaalbare router heeft dit?

Edited by Sagitarius, 16 September 2019 - 16:08.

[Zuppelan]

En voor de rest, dat moet je vooral zelf weten, maar slim is het niet. Veel boxen draaien met stokoude kernels, vol met vulnerabilities, en veel netwerk services worden gewoon door een python socket aangeboden. Ik heb dus een andere notie van het "veiligheidsrisico"...

Pythonsockets is aan gedacht, er draait iptables. Wie de webif of ssh kan hacken mag het proberen en inderdaad is dat iets minder veilig dan een VPN is, maar dan moet je wel een professioneel hacker treffen die weet wat hij aan het hacken is en de Enigma2-broncode erbij hebben. Als je mijn ipv6-prefix weet dan is er nog steeds een kans van 1 op 2⁸⁰ om het ipv6-adres te raden en uitgaand verkeer van het apparaat is niet van nut, want ipv6-privacy-extensions maken dat ip-adres volledig onbruikbaar voor ingaand verkeer naar de ontvanger. Kortom, ik lig er totaal niet wakker van.

[40H3X]

Hier zijn de Fritz'n (7170 en 7581), die ik van de provider heb gekregen, nog nooit uit hun doos geweest, om meerdere redenen;

• Ik heb een voorkeur voor een Intel chipset als NIC
• Ik wil geen "All in One", dus WiFi in combi met een router en/of VoIP  (ik snap dat sommige providers je er toe dwingen en wat ik daar van vind heb ik al gezegd )

Daarnaast staan op mijn router wensen lijstje, veel zaken die niet met de meeste consumer grade produkten kunnen, dan moet je al naar een enterprise network solution. Gelukkig zijn er, net als bij DVB/C/T ontvangers open source oplossingen, die heel flexibel zijn en @Sagitarius, die dus afgezien van de prijs voor de hardware, "kostenloos" zijn.

 

....maar ieder zijn ding

Edited by 40H3X, 17 September 2019 - 08:36.

[Erik Slagter]

99.9999% van de mensen heeft een home router, al dan niet van een provider, en die hebben allemaal een default permit van binnen naar buiten, onder het motto "nat is veilig genoeg".

 

Wat met IPv4 al niet zo is, en met IPv6 onzin, want daar heb je geen NAT.

 

Niemand zegt dat je daar zelf geen kastje tussen mag zetten. Maar, inderdaad, gebrek aan inzicht op dit vlak is wat dat betreft echt een probleem en dé grote oorzaak van alle DOS attacks en SPAM.

 

Ik vind het raar dat iedereen snapt dat je de deuren en ramen op je huis goed moet beveiligen, maar bij computer-netwerk-zaken is dat allemaal te ver van ons bed en teveel moeite.