netwerk beter beveiligen

[blitz10]

Ik wil mijn netwerk beter gaan beveiligen.Ik heb diverse apparatuur aangesloten op een ziggo modem/router. Kan ik nu een router achter de ziggo modem/router plaatsen zodat ik een vpn kan installeren op de nieuwe router.

 

Zo ja, welke router kan ik het beste aanschaffen en is er een beschrijving hoe ik een en ander kan/moet installeren.

21 mei 2018 aangepast door blitz10

[Tonskidutch]

twee routers achter elkaar kan, maar dan moet de eerste al gaan routeren om het ander subnet te bereiken dat ook naar buiten wil, dus dan heb je niets gewonnen

 

[Pionewbie]

De Ziggo modem in bridge mode zetten*, daar router op aansluiten en alle andere apparaten op de router aansluiten. Dus behalve de router (en evt. telefoon) niets op de Ziggo modem aansluiten.

Om VPN op de router te gebruiken moet het een snelle router zijn (processor). Je kan het beste op internet zoeken op "test VPN  router" om een goede keuze te maken.

 

* In oud Ziggo gebied kan je sommige modems (o.a. Connect Box) niet zelf in bridge mode zetten. Je moet dan de helpdesk bellen en het hun laten doen.

[Tonskidutch]

maar is het dan veiliger?

dacht het niet, ik ken ziggo hackers redelijk goed

 

dan opteer je beter voor een pC met linux Firewalld en deze werkt als DNS en DHCP server voor de andere apparaten, maar alles wat naar buiten komt (wan zijdig) wordt gezien

[Michel]

Uiteraard is het in principe veiliger als je zelf een router achter een gebridgde ziggo router plaatst.

 

Die ziggo dingen zijn zeer beperkt, in principe kan 'iedereen' daar op en jij hebt er geen controle over.

 

Als mijn vader ziggo belt dat hij een storing heeft, zegt ziggo 'wij resetten het modem wel even...' en vervolgens kan ik de hele router (inclusief alle reserveringen)  opnieuw inrichten. Ik zou dus zelf ook een eigen router willen en dat ziggo ding in bridge, ben je meten ook van al die ongewenste ziggo draadloze netwerken af.

 

Een eigen router is niet per definitie veilig, maar vrijwel altijd veiliger dat het ziggo modem omdat daar derden op in kunnen loggen en dat moet je niet willen.

Het is dan uiteraard wel zaak dat je een veilige router kiest en die zijn er meer dan voldoende. Mijn persoonlijke voorkeur is Mikrotik, maar dat is voor de standaard consument geen goede keuze. Met een Mikrotik HEX van 55 euro kan je al prima VPN's opbouwen in alle smaken en houd je genoeg power over voor 350 tot 450 Mbit up en down.

 

Mvg,

 

Michel

 

 

[blitz10]

bedankt voor de tip, zijn er nog meer voorkeuren aangaande vpn router ( het liefs in samenwerking met Nord VPN )

[Codx]

De betere vraag is, wat versta JIJ onder het netwerk beveiligen? .

 

Een extra router achter het Ziggo modem kan en net wat Michel zegt, je hebt iets meer eigen controle maar alleen daarvoor moet je het niet doen. En trouwens MicroTik heeft de laatste tijd een hoop ernstige lekken gehad.

 

Wat ik onder beveiliging versta is bijvoorbeeld je netwerk segmenteren, dan kan middels routers, switches maar ook door VLAN's te gebruiken, een veilige zone voor apparatuur zoals je pc's, laptops en minder veilige zone voor IoT apparatuur en bijv een onveilige zone voor als je een server of iets anders draait dat vanaf het internet beschikbaar moet zijn. Maar ja dan heb je wel min of meer zakelijke apparatuur nodig die dit soort functionaliteit ondersteund.  En je moet een goed set met firewall regels aanmaken zodat je apparaten beperkt zomaar naar het internet te kunnen, beter is om alles in de veilige zone door 1 centrale proxy of UTM (Unified Threat Management) te laten lopen die al het verkeer bitje voor bitje controleert en scant op virusssen, malware etc.  Je kunt leuke dingen doen met pi-hole (reclames en andere shit blokkeren via dns blacklisting)  en zo zijn er wel meer dingen.... zoals een apart gast-wifi netwerk

 

Een verbinding via een VPN provider (ander land) maakt je netwerk niet veiliger, het zorgt er alleen voor dat je provider Ziggo het verkeer niet kan afluisteren en je bijv. het sleepnet deels tegengaat.  Zelf een VPN server draaien zorgt er voor dat je als je elders zit met een laptop of je telefoon je verkeer versleuteld via je eigen netwerk verloopt, dat is wel veiliger dan ergens een openbare wifi gebruiken bijv.. 

 

En natuurlijk zorgen dat je up2date bent met beveiligingspatches voor besturingssystemen, software, etc.  Verder goed account en wachtwoord management, 2 factor authenticatie. etc etc/

 

 

 

 

21 mei 2018 aangepast door Codx

[Michel]

39 minuten geleden zei Codx:

...en trouwens MicroTik heeft de laatste tijd een hoop ernstige lekken gehad.

 

 

Kan je dat iets beter onderbouwen want Mikrotik heeft de afgelopen maanden maar één 'lek' gehad voor zover ik weet en dat was dat als je de boel toch al onveilig had ingericht je zonder wachtwoord toegang kon verkrijgen. Maar dus alleen als je toch al zaken open had staan die dicht horen te staan en standaard ook dicht staan.

 

Misschien heb ik iets gemist?

 

Je overige tips zijn verder uitstekend

[Psychosammie]

Goede tips ja, maar voor Jan met de korte achternaam nauwelijks te doen.

[Codx]

1 uur geleden zei Michel:

 

Kan je dat iets beter onderbouwen want Mikrotik heeft de afgelopen maanden maar één 'lek' gehad voor zover ik weet

 

 

volgens hier zijn er meer lekken geweest:  https://www.security.nl/posting/559795/MikroTik+dicht+actief+aangevallen+lek+in+routersoftware

 

1 uur geleden zei Psychosammie:

Goede tips ja, maar voor Jan met de korte achternaam nauwelijks te doen. 

 

Daarom vraag ik wat hij onder beveiliging verstaat...   en als je wilt beveiligen moet je je eigen er in verdiepen en niet zomaar wat roepen/doen als je nauwelijks begrijpt hoe het werkt..  Er zijn overigens wel kant en klare apparaatjes die je netwerk min of meer kunnen monitoren en ook op de consument zijn gericht maar of het echt zoden aan de dijk zet....

[Michel]

19 uur geleden zei Codx:

 

volgens hier zijn er meer lekken geweest:  https://www.security.nl/posting/559795/MikroTik+dicht+actief+aangevallen+lek+in+routersoftware

 

Dat is dus dat probleem dat je via de winbox tool misbruik kon maken van de router indien je de winbox poort wereldwijd open had staan. Dat doet dus geen mens want die firewall je natuurlijk.

[mati]

Voor wie meer wil weten over Mikrotik kan ik het volgende boek aanbevelen [je illegale link/auteursrechtenschending] is uiteraard verwijderd.

 

Het boek heet: RouterOS by Example

Auteur: Stephen Discher

 

 

[Gast catw]

Als je dan denkt dat alles veiliger is dan moet je dit even lezen op NU.NL dan weet je dat het wat moeilijker zal worden in de toekomst.

'Russen infecteren half miljoen apparaten met spionagemalware'

Gepubliceerd: 23 mei 2018 16:26

 

Het netwerkbedrijf Cisco Systems waarschuwt dat hackers zeker een half miljoen routers en opslagapparaten hebben geïnfecteerd. Daar zou de Russische overheid achter zitten.

 

Dat meldt Reuters op basis van Cisco Systems.

Beveiligingsonderzoekers van Cisco stellen vrijwel zeker te zijn dat de Russische overheid achter de verspreiding van de schadelijke software zit. De malware, die VPNFilter wordt genoemd, zou op minstens 500.000 apparaten in 54 landen zijn geïnstalleerd.

Cisco verdenkt Rusland, omdat er regels in het programma worden gebruikt die in het verleden ook te vinden waren in cyberaanvallen op de VS. De aanvallen werden destijds gelinkt aan Rusland.

Via VPNFilter kunnen hackers toegang krijgen tot geïnfecteerde computers. Daarna kunnen ze volgens Cisco onder meer worden ingezet voor spionage of het uitvoeren van aanvallen op andere computers en netwerken.

Oekraïne

VPNFilter zou met name in Oekraïne in hoog tempo veel computers besmetten. Cisco denkt dat Rusland mogelijk een aanval op het land voorbereidt.

Het is niet duidelijk hoe de apparaten besmet raken. Het gaat om routers van Linksys, Mikrotik, Netgear en TP-link en om NAS-systemen van Qnap. Cisco adviseert gebruikers om de apparaten terug te zetten naar de fabrieksinstellingen om de malware te verwijderen.

[Pionewbie]

Citaat

Gebruikers kunnen malware van router halen na inbeslagname c&c-server door FBI

 

Doordat de Amerikaanse inlichtingendienst FBI een command&control-server in beslag heeft genomen, is het mogelijk om de malware die in de afgelopen tijd een half miljoen gebruikers heeft getroffen, te deactiveren door de router te rebooten.

Hele bericht op Tweakers

24 mei 2018 aangepast door Pionewbie

[Michel]

Op 24-5-2018 om 06:51 zei catw:

...Het gaat om routers van Linksys, Mikrotik, Netgear en TP-link en om NAS-systemen van Qnap. Cisco adviseert gebruikers om de apparaten terug te zetten naar de fabrieksinstellingen om de malware te verwijderen.

 

Nogmaals, dit is wel alleen potentieel van toepassing op mikrotik als je firmware 6.38.5 of eerder gebruikte (13 maanden oud) en je poort 80 van je router en/of de winbox poort open had staan.

Dat is normaal gesproken niet het geval, want die firewall je, dat doet de router zelfs standaard in de wizard.