Heb je IoT-apparaten in huis die je niet helemaal vertrouwt? Je hoeft niet meteen de bezem er doorheen te halen. In deze workshop geven we je tips om de risico’s te beperken.

Gertjan Groen

Het is natuurlijk heel praktisch als slimme apparaten in je netwerk ‘hangen’, maar het brengt ook kwetsbaarheden met zich mee. Je kunt er namelijk niet altijd op vertrouwen dat de apparaten (alleen) doen wat ze menen te doen. In het artikel IoT beveiligen geven we daar wat voorbeelden van. In het gemiddelde thuisnetwerk is het heel lastig om die kwetsbaarheden uit te sluiten. Apparaten hebben bijvoorbeeld vaak vrij spel om verbindingen naar buiten te leggen. We geven je in deze workshop tips om de risico’s te beperken.

bridge 2
ZigBee is een veilig protocol, maar een hub of bridge kan wel kwetsbaarheden bevatten

GEBRUIK VEILIGE TECHNOLOGIEËN 
Het ligt misschien voor de hand, maar geef de voorkeur aan technologieën die speciaal voor thuisautomatisering zijn ontwikkeld, zoals ZigBee en Z-Wave of dect, dat door AVM in de Fritz!Box wordt gebruikt. De apparaten werken hierbij met strikte protocollen en staan los van de rest van je netwerk. Bedenk wel dat een hub of bridge, die zorgt voor de verbinding met je netwerk, nog wél kwetsbaarheden kan bevatten.

huebridge 2
Zorg dat ook de firmware van hubs en bridges up-to-date is!

WERK DE FIRMWARE BIJ
Slimme apparaten werken met firmware die door de fabrikant hopelijk goed wordt onderhouden, zodat lekken worden gedicht. Veel fabrikanten zien hier helaas laks mee. Weet dan ook: als er wel een keer een update is, zal daar een goede reden voor zijn! Het is raadzaam de firmware ook zelf goed bij te houden. Ze worden namelijk meestal niet automatisch geïnstalleerd. Denk hierbij ook aan je router! Voor hubs en bridges, als onderdeel van je ZigBee- of Z-Wave-netwerk, ligt dat misschien minder voor de hand, maar ook hier is het verstandig. Zo zijn er al eens kwetsbaarheden in de Hue-bridges van Philips gevonden die via firmware zijn gedicht. Om te zien of je Hue-bridge up-to-date is, open je de Hue-app, ga je naar Instellingen en kies je Software-update. Je leest in Versie-informatie ook wát er is vernieuwd. 

accountipcamera 2
Verander bij onder andere ip-camera’s direct het standaardwachtwoord naar iets krachtigers

VERANDER STANDAARDWACHTWOORDEN 
Om het je gemakkelijk te maken, bieden slimme apparaten vaak een strandaard gebruikersnaam en wachtwoord waarmee je (de eerste keer) kunt inloggen bij het apparaat. Dit geldt in het bijzonder voor ip-camera’s. Helaas veranderen veel gebruikers dit wachtwoord niet. Soms vraagt het apparaat er zelf om, maar anders moet je dit zelf actief veranderen naar een sterker wachtwoord.  Sommige ip-camera’s hebben als standaard gebruikersnaam bijvoorbeeld ‘admin’ zonder wachtwoord. Nog veiliger is het om de gebruikersnaam ‘admin’ te vermijden. Om het wachtwoord te wijzigen, log je in via een browser en ga je voor deze camera in de gebruikersinterface naar Settings. Onder Basic Settings en User Accounts kun je gebruikers accounts en privileges veranderen. Let op dat bij deze camera na een harde reset het standaard account weer actief is!

p2p 2
Via de gebruikersinterface kun je de p2p-functionaliteit uitzetten

VOORKOM P2P-VERBINDINGEN 
Fabrikanten van ip-camera’s willen het jou zo gemakkelijk mogelijk maken om de beelden van je bewakingscamera op afstand via internet te bekijken. Ze laten de ip-camera daarvoor een p2p (peer-to-peer)-verbinding opzetten, als middel om op afstand eenvoudig in te kunnen loggen. Helaas wordt het hackers ook gemakkelijk gemaakt als die verbindingen niet goed zijn beveiligd, of als fabrikanten laks zijn om kwetsbaarheden aan te pakken. Bovendien is het scannen van een qr-code op de camera zelf of het overnemen van een identificatienummer vaak genoeg om de beelden te kunnen bekijken. De beste oplossing – vaak aangehaald door beveiligingsexperts – is om dit soort onveilige apparaten gewoon niet te kopen. Als je ze wel hebt en veilig wilt gebruiken, is een eerste ver betering het uitzetten van de p2p-functionaliteit. Bij de (veilige) Foscam R4M log je in via een browser. Ga dan naar Settings, dan naar Network en vervolgens naar P2P. Haal het vinkje bij Enable P2P weg.

   

 

Opdelen van je netwerk met virtuele netwerken

             
               

Een professionele manier om apparaten die je niet vertrouwt, af te zonderen van de rest van je netwerk, is het opdelen van je netwerk in verschillende virtuele netwerken. We noemen ze vlans ofwel virtual lans. Fysiek heb je nog steeds één netwerk, maar het verkeer zelf blijft gescheiden. Daar zorgt een soort vlaggetje in elk datapakketje voor. Het is ook hoe bedrijven dat aanpakken voor bijvoorbeeld verschillende interne afdelingen. Het is voor de meeste gebruikers wel een complexe verandering. En er is nog een struikelblok: jouw apparatuur moet het ondersteunen en dat is niet heel gangbaar. Dat begint bij de router, het beginpunt van je thuisnetwerk. Maar ook de switches, die het verder verdelen, moeten deze mogelijkheid ondersteunen. En daar komen ook de toegangspunten voor wifi nog bij, als je ook daar een scheiding wenst. Bij enkele consumentenrouters kun je met vlans werken door alternatieve firmware te gebruiken zoals dd-wrt of OpenWRT. Zakelijke routers ondersteunen het meestal wel, maar zijn veel lastiger te configureren. Dat geldt ook voor op software gebaseerde routers als pfSense of OPNsense. Voor zulke software volstaat een oude computer met meerdere netwerkpoorten. En wat de switches betreft, volstaan de eenvoudigste modellen niet, maar heb je zogenoemde managed switches nodig. 
Heb je eenmaal een scheiding met virtuele netwerken, dan kun je in je router strikte firewallregels per netwerk of zelfs per apparaat instellen. Op de switches stel je vervolgens per poort in tot welk netwerk het behoort. Zo kun je bijvoorbeeld een apart netwerk voor niet-vertrouwde IoT-apparaten maken, waar je ip-camera’s en dergelijke op indeelt. En daarnaast een vertrouwd netwerk voor onder andere je computer en printer. Vervolgens maak je firewallregels om bijvoorbeeld te bepalen dat normaal alleen de apparaten  op het vertrouwde netwerk internettoegang hebben en daarnaast zowel onderling als met apparaten op het niet-vertrouwde netwerk mogen ‘praten’, ofwel verbinding mogen maken. 
Vervolgens blokkeer je al het uitgaande verkeer voor apparaten op het niet-vertrouwde netwerk. Die hebben dan geen internettoegang en kunnen de apparaten op het vertrouwdenetwerk niet zelf bereiken. Voor een enkel apparaat zal je (tijdelijk) een uitzondering kunnen maken, bijvoorbeeld als internettoegang nodig is voor een firmware-update. 

modem 5436144 2Maak je zo’n scheiding, dan wil je dat waarschijnlijk niet alleen op het vaste netwerk, maar ook op wifi. De meeste IoTapparaten werken immers draadloos. Dat geldt bijvoorbeeld voor de meeste ip-camera’s, ook al werken ze eigenlijk beter als je ze via een netwerkkabeltje aansluit. Bij toegangspunten die vlans ondersteunen, kun je twee aparte ssid’s instellen. Je hebt dus eigenlijk twee wifinetwerken, of zelfs meer als je dat wenst. Ook dit vraagt om een zakelijk routermodel, bijvoorbeeld van Ubiquiti. 


Routers voor consumenten ondersteunen het opdelen van je netwerk meestal niet

POORTEN BLOKKEREN 
Bij enkele obscure ip-camera’s heeft het uit zetten van de p2p-functionaliteit – als dat al kan – geen effect. In dat geval is het beter om de gebruikte udp-poorten te blokkeren. Dat geldt voor diverse modellen met de p2p-dienst genaamd iLnkP2P, waarvan bekend is dat deze lekken heeft. Bij deze dienst kun je poort 32100 blokkeren. Of en hoe makkelijk je dat kunt doen, hangt vooral af van je router. Bij sommige routers kun je via het mac-adres apparaten blokkeren, maar meestal ontzeg je ze dan helemaal toegang tot het netwerk. Bij de Fritz!Box kun je via de opties voor ouderlijk toezicht de internettoegang blokkeren voor afzonderlijke apparaten of tijdslimieten voor toegangsprofielen configureren. We raden je aan de uitgebreide instructies voor jouw Fritz!Box erbij te pakken. Daarvoor ga je naar https://nl.avm.de/ service. Kies je routermodel, ga naar de Knowledge Base en zoek op Ouderlijk Toezicht. Hier lees je hoe je een toegangsprofiel kunt maken, dat je daarna aan apparaten toe kunt kennen.