Mits je het goed doet is het niet spannend.
Inderdaad. Maar dat “goed doen” is nou net de crux. Hoe doe je security goed? We zien dagelijks dat zelfs die-hard specialisten - ook bij Microsoft, Logius, Facebook, etc. etc. - het ook niet weten. En dan denk je het “goed” te doen, ontdekt een Rus op zijn zolder kamertje een gapend gat in Apache. Er zijn er maar 1932 (!) bekend: https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html
en dat is dan de meest gebruikte webserver software. Hoeveel is niet bekend? De NSA heeft ‘s-werelds grootste datacenter in Utah niet om Solitaire te spelen…
Mits je het goed doet is het niet spannend.
Inderdaad. Maar dat “goed doen” is nou net de crux. Hoe doe je security goed? We zien dagelijks dat zelfs die-hard specialisten - ook bij Microsoft, Logius, Facebook, etc. etc. - het ook niet weten. En dan denk je het “goed” te doen, ontdekt een Rus op zijn zolder kamertje een gapend gat in Apache. Er zijn er maar 1932 (!) bekend: https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html
en dat is dan de meest gebruikte webserver software. Hoeveel is niet bekend? De NSA heeft ‘s-werelds grootste datacenter in Utah niet om Solitaire te spelen…
En dat is precies de kern van mijn betoog, dank je.
Oke, maar zijn de gevaren vooral voor het apparaat met het ip waarnaar je de port forward, of zijn die gevaren dan voor iedereen op de wifi van de router?
Oke, maar zijn de gevaren vooral voor het apparaat met het ip waarnaar je de port forward, of zijn die gevaren dan voor iedereen op de wifi van de router?
Dat lijkt me duidelijk. Als je je voordeur open zet, kan een inbreker naar je woonkamer maar ook naar je slaapkamer. Tenzij je elke ruimte apart ook goed beveiligd. Maar dan had je die “goede” beveiliging beter op de voordeur kunnen aanbrengen…
Dus mocht een kwaadwillende bij je binnen wandelen is de schade afhankelijk van de beveiliging op elk device in het netwerk. Omdat je vaak geen goed inzicht hebt in kwetsbaarheden van elk device, is een goede voordeur erg belangrijk.
Ik weet niet hoe goed de beveiliging is van mijn Mac Mini in mijn netwerk bijvoorbeeld, dus hou ik de voordeur dicht. Geen poorten open naar binnen, zelfs niet voor mijn provider. Ook voor hun heb ik alle diensten afgesloten.
We dwalen wat af, security gerichte vragen kunnen beter naar bijvoorbeeld security.nl.
Ik heb een eigen router achter de router van KPN. Al mijn apparaten zitten achter die 2de router. Maar de webserver waar ik poort 80 en 443 naar open gezet heb zit wel rechstreeks aan de router van KPN. Voor de eigen router dus. Al zouden ze hem hacken kunnen ze nog niet zo denderend veel.
Ik heb een eigen router achter de router van KPN. Al mijn apparaten zitten achter die 2de router. Maar de webserver waar ik poort 80 en 443 naar open gezet heb zit wel rechstreeks aan de router van KPN. Voor de eigen router dus. Al zouden ze hem hacken kunnen ze nog niet zo denderend veel.
DMZ. Goed idee. Wel heb je dan nu dubbel NAT. Dat heeft wat nadelen, maar als je geen drang voelt om poorten in je netwerk open te zetten, geen benaderbaar NAS wil e.d., kan het een oplossing zijn. Wel onderhoud aan die webserver in de DMZ out-of-band doen of via een goed beschermde toegang. Doe je dat onderhoud vanuit je netwerk is er op dat moment natuurlijk een brug tussen de DMZ en je interne devices.
Ik heb een eigen router achter de router van KPN. Al mijn apparaten zitten achter die 2de router. Maar de webserver waar ik poort 80 en 443 naar open gezet heb zit wel rechstreeks aan de router van KPN. Voor de eigen router dus. Al zouden ze hem hacken kunnen ze nog niet zo denderend veel.
DMZ. Goed idee.
Nee. Ik gebruik geen DMZ. Ik heb alleen de poort van OpenVPN geforward in de KPN router naar de 2de router.
Wel heb je dan nu dubbel NAT. Dat heeft wat nadelen, maar als je geen drang voelt om poorten in je netwerk open te zetten, geen benaderbaar NAS wil e.d., kan het een oplossing zijn.
Ik draai op de 2de router een vpn server. Vanaf mijn mobiel of laptop kan ik daar vanaf elders op inloggen. Vervolgens heb ik toegang tot al mijn apparaten. Via RDP/VNC kan ik alle Windows en Linux system (met grafische omgeving) zo bedienen. Inloggen met SSH op Linux systemen, toegang tot bestanden op de NAS, printen op de WiFi printer. Echt alles werkt. Alsof je thuis ben.
Ik heb een eigen router achter de router van KPN. Al mijn apparaten zitten achter die 2de router. Maar de webserver waar ik poort 80 en 443 naar open gezet heb zit wel rechstreeks aan de router van KPN. Voor de eigen router dus. Al zouden ze hem hacken kunnen ze nog niet zo denderend veel.
DMZ. Goed idee.
Nee. Ik gebruik geen DMZ. Ik heb alleen de poort van OpenVPN geforward in de KPN router naar de 2de router.
Wel heb je dan nu dubbel NAT. Dat heeft wat nadelen, maar als je geen drang voelt om poorten in je netwerk open te zetten, geen benaderbaar NAS wil e.d., kan het een oplossing zijn.
Ik draai op de 2de router een vpn server. Vanaf mijn mobiel of laptop kan ik daar vanaf elders op inloggen. Vervolgens heb ik toegang tot al mijn apparaten. Via RDP/VNC kan ik alle Windows en Linux system (met grafische omgeving) zo bedienen. Inloggen met SSH op Linux systemen, toegang tot bestanden op de NAS, printen op de WiFi printer. Echt alles werkt. Alsof je thuis ben.
Yep, ik gebruik RealVNC voor hetzelfde intern en Splashtop Anywhere Access voor remote toegang.
Tot ze root toegang op je eigen router hebben en ze via arp kunnen zien wat er nog meer in je netwerk huist. Maar goed, het is een extra vector die overwonnen moet worden.