Beantwoord

Experia V9 firewall - betrouwbaarheid

  • 26 juni 2019
  • 12 reacties
  • 206 keer bekeken

Reputatie 1
Er is recent weer het een en ander gepubliceerd over IoT en security en dan met name over apparaten in privé woningen. Ik overweeg om een WiFi deurbel en een Wifi thermostaat aan te schaffen en later misschien nog meer spullen. Ik zoek apparaten die ik volledig binnen mijn thuisnetwerk kan configureren en bedienen. Dus geen spullen die verbinding moeten maken met externe servers om over de volledige functionaliteit te kunnen beschikken. Als ik de apparaten toch extern, via de smartphone wil bedienen doe ik dat via port forwarding. Het zwakke punt blijft echter dat de meeste apparaten zelf niet echt goed te beveiligen zijn en dus moet ik er volledig op kunnen vertrouwen dat de firewall van de Experia V9 alle boeven buiten houdt. Kan ik daarop vertrouwen of moet ik toch nog een extra firewall in mijn netwerk installeren?
icon

Beste antwoord door Nick83 27 juni 2019, 17:36

Een Rus of Chinees die aan de andere kant van de wereld zit en in probeert te breken, doet dat niet via WiFi. Dus wifi en de beveiliging daarvan doet er hier helemaal niet toe.

De firewall in de Experiabox is prima. Totdat jij poorten open gaat zetten rechtstreeks naar je deurbel toe. Vanaf dat moment is je firewall open. En hoe veilig die firewall dan is doet er dan ook niet zoveel meer toe, hij staat immers open.

Je kunt je beter afvragen of die deurbel veilig is. Want daar komt het dan op aan. Die deurbel moet niet gehackt kunnen worden.

Ikzelf heb een vpn-server draaien. En maar 1 poort open staan: naar de vpn-server toe. Vanaf mijn mobiele foon maak ik verbinding met de vpn-server. Als die verbinding er is, heb ik toegang tot al mijn apparaten op het netwerk. Alsof ik thuis ben en verbonden ben met wifi.

Zodoende hangen dus niet al mijn apparaten aan het internet. Alleen de vpn-server. Die is helemaal ontwikkeld met als doel veilig zijn en word ook regelmatig van updates voorzien. Die deurbel en vele andere apparaten niet. Als je geluk hebt komt er eens een keer een firmware update, maar hoogstwaarschijnlijk later nooit niks meer.

Als je de firewall open zet naar je deurbel, dan is het niet de vraag of die een keer gehackt word, maar meer de vraag wanneer dat gaat gebeuren. En dat geld voor vele andere apparaten ook. Zoals camera's, koelkasten, kachels en noem maar op.
Bekijk origineel

12 reacties

Reputatie 7
Badge +9
Hallo @Sjoerd1953 , behalve de hardwarematige firewall van de modem heb je ook nog de ingebouwde firewall van je computer met Windows 10. Daar gaat het ook niet zo zeer fout. Waar het in de meeste gevallen fout gaat is de slechte wifi-beveiliging.
Je moet WPA2/AES en géén WPA/TKIP in kunnen stellen en een voldoende veilig wachtwoord, dat kan bij de meeste apparaten wel, maar veel wordt ook geïnstalleerd door leveranciers en laten alles standaard staan en dat is vragen om problemen.
Als je die goede wifibeveiliging niet in kunt stellen, dat apparaat niet kopen.
Reputatie 1
Dank je @Jan-D voor je antwoord. Ik maak geen gebruik van de WiFi van de Experia. Ik gebruik een FritzBox als accespoint en DECT centrale. Die maakt gebruik van WPA+WPA2 encryptie. De apparaten die ik wil aanschaffen maken rechtstreeks verbinding met dit accespoint dus de firewall van de pc's in mijn netwerk hebben geen invloed op de security van deze "IoT apparaten". Ik ben dus volledig afhankelijk van de securitymaatregelen die de leveranciers van die apparaten hebben aangebracht - en die zijn dus op zijn best twijfelachtig - en van de betrouwbaarheid van de firewall van de router. Mijn vraag is dus kort door de bocht: hoe betrouwbaar is de firewall van Experiabox V9? Wordt die regelmatig ge-update? Ik zie wel een softwareversie van de Experia zelf maar daar staat geen datum bij en ik kan ook nergens iets vinden over updates van de Experia of van de firewall software.
Reputatie 7
Badge +9
Hallo @Sjoerd1953 , de betrouwbaarheid van de hardwarematige firewall in de modems is gewoon goed, als je daar tenminste niet zelf aan gaat prutsen.
Ik weet niet of de V9 dat ook heeft, binnen de modem, rubriek firewall, de statistische informatie antihacking, staat bij mij bij alles op 0, dus nul pogingen tot inbraak.
Kijk maar eens of jouw modem ook zo'n rubriek heeft onder de tab firewall.
Als jouw IoT-apparaten alleen bekabeld aangesloten worden is de kans op misbruik nihil.
Bovendien is er een KPN-bewakingsteam dat 24/7 de integriteit van het KPN-netwerk monitort en waar nodig bijstuurt en ingrijpt.
Reputatie 5
Badge +4
Een Rus of Chinees die aan de andere kant van de wereld zit en in probeert te breken, doet dat niet via WiFi. Dus wifi en de beveiliging daarvan doet er hier helemaal niet toe.

De firewall in de Experiabox is prima. Totdat jij poorten open gaat zetten rechtstreeks naar je deurbel toe. Vanaf dat moment is je firewall open. En hoe veilig die firewall dan is doet er dan ook niet zoveel meer toe, hij staat immers open.

Je kunt je beter afvragen of die deurbel veilig is. Want daar komt het dan op aan. Die deurbel moet niet gehackt kunnen worden.

Ikzelf heb een vpn-server draaien. En maar 1 poort open staan: naar de vpn-server toe. Vanaf mijn mobiele foon maak ik verbinding met de vpn-server. Als die verbinding er is, heb ik toegang tot al mijn apparaten op het netwerk. Alsof ik thuis ben en verbonden ben met wifi.

Zodoende hangen dus niet al mijn apparaten aan het internet. Alleen de vpn-server. Die is helemaal ontwikkeld met als doel veilig zijn en word ook regelmatig van updates voorzien. Die deurbel en vele andere apparaten niet. Als je geluk hebt komt er eens een keer een firmware update, maar hoogstwaarschijnlijk later nooit niks meer.

Als je de firewall open zet naar je deurbel, dan is het niet de vraag of die een keer gehackt word, maar meer de vraag wanneer dat gaat gebeuren. En dat geld voor vele andere apparaten ook. Zoals camera's, koelkasten, kachels en noem maar op.
Reputatie 7
Badge +27
Hoi Sjoerd, goede vraag! Nick legt het uitstekend uit en dit lijkt me verreweg de beste optie. De firewall in de Experia Box is niet de oplossing voor onveilige apparatuur binnen het netwerk maar meer bedoeld voor bescherming van aanvallen van buitenaf. Kies vooral voor apparatuur met een goede reputatie en een goed updatebeleid.
Reputatie 1
Hallo @Nick83 Bedankt voor je antwoord. Heel nuttig. Ik had al eens wat gelezen over het opzetten van een eigen VPN server op een Raspberry PI. Onder andere op deze pagina:

https://www.strato.nl/server/vpn-server-inrichten-met-raspberry-pi-en-openvpn/

Ik neem aan dat je zoiets bedoelt? Ik zal me eerst eens verder in gaan verdiepen voordat ik apparatuur ga aanschaffen.
Reputatie 5
Badge +4
Ja zoiets bedoel ik.
Reputatie 1
Hallo @Nick83 @Joran

Ik heb toch nog een vraag. Ik heb een aantal tutorials bekeken op YouTube en één van de zaken die steeds genoemd wordt is dat je ofwel een vast IP adres moet krijgen van je provider, ofwel een dynamisch DNS adres moet instellen in je router. KPN geeft voor zover ik weet geen vast IP adres aan niet zakelijke gebruikers en ik kan in het administrator scherm van de Experia V9 nergens iets vinden waar ik dit kan instellen. Hoe hebben jullie dat gedaan?
Reputatie 5
Badge +4
In de praktijk heb je gewoon een vast ip adres bij KPN. Sterker nog: er is hier op dit forum in een ander topic momenteel iemand die graag een ander ip wil en dat niet krijgt.
Reputatie 1
@Nick83 Nogmaals bedankt. Dan ga ik er mee aan de slag.
Reputatie 7
Badge +27
Klopt. We noemen het geen vast IP adres omdat het in theorie kan veranderen. In de praktijk gebeurt dit nooit. Alleen als je overstapt naar een andere lijntechniek (van koper naar glasvezel) of als je verhuist kán het IP-adres veranderen maar ook dan blijft het vaak gelijk.

Mocht het ip-adres wel eens veranderen is het een kwestie van het nieuwe IP-adres gebruiken om je apparaten van buitenaf te benaderen. Ook geen heel groot issue 🙂
Reputatie 1
Om het verhaal netjes af te ronden: ik heb een Raspberry Pi met openVPN geinstalleerd. Dat stelde eigenlijk heel weinig voor - ik maakte gebruik van PiVPN - en alles werkt naar volle tevredenheid. Nogmaals bedankt voor alle adviezen.

Reageer