Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Aankoopadvies voor zo veilig mogelijke router voor Ziggo aansluiting

16-02-2015, 10:54 door Anoniem, 15 reacties
Mijn huidige router (D-Link DIR 655) is oud en vertrouw ik niet meer vwb het veiligheid: afgelopen jaren zijn een flink aantal beveiligingslekken geopenbaard en de firmware wordt niet meer bijgewerkt.

Daarom ben ik op zoek naar een nieuwe router waarvan de firmware regelmatig wordt bijgewerkt. Dat is het belangrijkste requirement. Ideaal zou zijn als deze ook nog een aantal gigabit aansluiting en snel wifi heeft, maar dat is secundair en kan eventueel ook gerealiseerd worden door achter de 'veilige' router nog een router te zetten die die behoefte invult.

Ik overweeg zelf een router met een open source firmware, zoals DD-WRT of OpenWRT, maar heb daar zelf geen ervaringen mee.

Als je zelf een zo veilig mogelijke router zou moeten kiezen, voor welk merk / firmware zou je dan gaan?
Reacties (15)
16-02-2015, 15:04 door Anoniem
Alternatieve firmwares zijn altijd gedoe want je moet maar net hardware hebben die ondersteund wordt, maar de informatie is wel te vinden. Met vaak enig zoeken, dat dan weer wel. En dat gebrek aan ervaring? Gewoon beginnen. Inlezen, machientje op de kop tikken, proberen. Kost even tijd, dat dan weer wel.

Persoonlijk zou ik voor minstens iets gaan waar OpenWRT op draait, maar liever iets waar een mij vertrouwd systeem op loopt, zoals een der *BSDs. Dat beperkt de keuze vrij sterk, zoals alix en soekris machientjes, of bijvoorbeeld een ubiquiti edgerouter, of desnoods een low-power peecee bordje.

Dit omdat ik uiteindelijk volledige controle wil hebben over wat er op zo'n machientje draait. Kan dat niet dan blijf je altijd met onzekerheid over de beveiliging achter, of erger nog, je weet zeker dat je onveilig bent. Zo heb ik hier een apparaat vol met software onder de GPL maar de fabrikant geeft de source niet vrij en wil geld voor toegang tot updates en zelfs handleidingen. Wat betekent dat allerlei gaten noodgedwongen ongepatcht blijven. Het mag niet maar zie ze maar eens tot inkeer te bewegen.

Maargoed, ik wil dus controle. Dat kost best moeite en ook zelfs geld omdat je niet zomaar de goedkoopste rommel kan kopen. Is dat ook wat jij wil?
16-02-2015, 16:58 door Anoniem
of je bouwed gewoon een oude pc om als router.. zo lang het 2 netwerk interfaces heeft ben je der al..

Of je bouwed een nieuwe dat natuurlijk ook een optie.. Maar in mijn optiek zijn beide te technisch voor je als je bovenstaande vraag steld.
16-02-2015, 17:48 door Anoniem
Door Anoniem: Of je bouwed een nieuwe dat natuurlijk ook een optie.. Maar in mijn optiek zijn beide te technisch voor je als je bovenstaande vraag steld.

Dank voor je antwoord! Je hebt gelijk dat voor mij een machine neerzetten met 2 poorten niet een optie is. Niet omdat het te technisch is, maar omdat ik er 1) niet heel veel tijd in wil steken, 2) weinig ervaring mee heb en daarom de kans op fouten substantieel is wat waarschijnlijk 'gevaarlijker' is vwb veiligheidsrisico dan dat ik een goed onderhouden community built pak.

Goed risico management omvat ook weten wat je zelf niet kan / wil en dat mitigeren met een passende maatregelen. In mijn geval is de passende maatregel niet opnieuw het wiel uitvinden maar mijn oor te luisteren leggen bij een community die er waarschijnlijk veel meer verstand en ervaring mee heeft. Dan kan ik alsnog toetsen dmv een 'reality check' of de aangedragen oplossingen aan mijn eisen voldoen.

Nogmaals dank voor je input!
16-02-2015, 18:06 door Anoniem
Door Anoniem: Maargoed, ik wil dus controle. Dat kost best moeite en ook zelfs geld omdat je niet zomaar de goedkoopste rommel kan kopen. Is dat ook wat jij wil?

Dank voor je reactie. Ik wil dezelfde richting als jij, maar dan wel minder vergaand. Een beetje moeite en geld vind ik geen probleem, maar met mate. Daarom lijkt mij een community supported built een goede best practice. Tijd heb ik zeer beperkt. Geld iets meer.

Ook heb ik al even gezocht op ubiquiti en dat ziet er degelijk uit. Volgende stap wordt verdiepen en inschatting maken van hoeveeltijd configureren gaat kosten. En natuurlijk kijken of er nog alternatieven uit deze draad rollen.
16-02-2015, 21:51 door Euro10000
Kant en klaar router kopen, en uitzoeken hoelang deze nog geupdate wordt.
Of,
Kant en klaar router, met andere software erop, uitzoeken of dit gemakkelijk gaat, en hoelang hier de updates blijven komen, hier denk ik vermoedelijk langer dan bij een standaard router.
Of,
Zelf bouwen, zoals ik gedaan hebt, met pfsense, goede updates, veel filters om internet te filteren(kost wel inwerk tijd, de filters). Je hebt wel een aantal dagen nodig om dit te leren, binnen korte tijd loopt de router wel, maar dan zonder filters, de filters hoeft niet, maar is wel veiliger.(http://tweakers.net/pricewatch/355764/gigabyte-ga-c1037un-eu/specificaties/ deze moederbord heeft 2 netwerkkaarten en onboard cpu, die zuinig is, en toch alle filters aankan van pfsense).
Of,
Pfsense of andere manier doen, maar door iemand, itc-er laten bouwen en installeren.

Je wilt zelf controle houden, maar dat zal altijd tijd kosten.
16-02-2015, 22:05 door Erik van Straten
AVM.de brengt voor haar Fritz!box modem/routers regelmatig updates uit, maar helaas zijn die hard nodig. Begin 2014 zat er een gemeen lek in, en recentelijk verscheen http://seclists.org/bugtraq/2015/Jan/103.

Hoewel AVM ook voor de laatstbeschreven kwetsbaarheid een fix gemaakt heeft, zijn niet alle problemen opgelost die in die Bugtraq melding worden genoemd: nl. het gebruik van 1024 bit RSA keys, en erger, MD5 als signature algoritme bij de distributie van firmware updates.

Absoluut geen schoonheidsprijs dus. Maar ik vraag me af of er fabrikanten zijn die het beter doen...
16-02-2015, 22:13 door Anoniem
Heb je al eens gekeken op http://tweakers.net/categorie/560/modems-en-routers/producten/ en dan gesorteerd op "meest bekeken"? De interessantste routers blijven een langere tijd in de bovenste regionen staan. Dat kan zijn vanwege
hoge prestaties/veel features. Maar bijv. ook vanwege acceptabele waar voor je geld, bijv. de TP-Link TL-WR1043WD(v2).
Lijkt een beetje op wat je had, maar een stuk moderner. Heeft inmiddels twee fw-updates gehad zag ik, dus de allersufste en meest storende bugs zullen er inmiddels wel uit zijn(?), en klaar voor OpenWRT (voor als geen nieuwe fw meer uitkomt)

Routers die i.h.a. slecht bevallen (kwa veiligheid of op wat voor manier dan ook) zul je niet snel bovenin die lijst vinden. De lijst wordt eigenlijk hoofdzakelijk door de interesse van de community bepaald. Een soort "marktwerking" zeg maar voor wat doorsnee tweakermensen "wel een interessante/gewilde router" vinden. In Tweakers kun je ook meteen specificaties en reviews lezen.

Puur op veiligheid kiezen blijft altijd moeilijk: kwetsbaarheden laten zich niet voorspellen, en "de beste breister laat ook wel eens een steek vallen". Je kunt gaan voor lange fw-ondersteuning, maar daar betaal je meestal voor in de aanschafprijs.
Een alternatief kan zijn: een model met lagere aanschafprijs en bijv. twee jaar fw-ondersteuning en daarna koop je weer een nieuwe router die met de laatste stand van de techniek is uitgerust. Bij een router van €40 kost dat je ca. een stuiver per dag. Voor dat bedrag kun je zelf nog niet eens één kop koffie per dag zetten voor jezelf. Dus waar praten we over. ;)
16-02-2015, 22:23 door [Account Verwijderd]
Ik weet niet of het volgende (zie link) misschien iets voor jouw is?

https://www.sitecom.com/nl/openwrt/363

Ik weet niet hoe het precies in elkaar zit en hoe het met updates zit, maar is toch wel interesant denk ik om er even naar te kijken.

Eventueel kun je ook kijken naar gewoon een Sitecom router welke beschikt over Sitecom cloudsecurity.

https://www.sitecom.com/nl/sitecom-cloud-security/347

Wederom weet ik niet hoevaak Sitecom updates uitbrengt voor routers met Sitecom cloud security.

Succes
17-02-2015, 11:52 door Anoniem
Heb zelf deze:
http://www.miniserver.it/firewall/apu-firewall-entry-level-3-nic-wifi.html
waarbij de 2GB iets goedkoper is:
http://www.miniserver.it/home-page-products/apu-firewall-entry-level-3-nic-2gb-ram-wifi.html
of helemaal leuk zelfbouw:
http://www.miniserver.it/system-kit/kit-apu-1d4.html

Met daarop
- Pfsense 2.2 (FreeBSD 10.1-RELEASE-p4) - https://www.pfsense.org
- Snort 2.9.7.0 met Snort VRT Rules ($30 per jaar) en de gratis Emerging Threats Open Rules.
- VPN met een exit in Duitsland.
- HTTP verkeer gaat encrypted via VPN naar buiten.
- Unbound DNS Resolver met DNSsec. Gaat encrypted via VPN naar buiten.
- HTTPS verkeer gaat niet over VPN maar gelijk via WAN want dat is al encrypted. (En echt anoniem is het toch niet als je vervolgens aanmeld bij de dienst dioe HTTPS gebruikt)
- WIFI 802.11na (5gh)
- Een apart SSID voor gast toegang met captive portal en ticketsysteem (12 uur internet)
- Country Blocking. Alleen een paar Europeesche landen hebben toegang tot de services in mijn DMZ (OpenVPN server en Owncloud op PI)
- OpenVPN server. Toegang met persoonlijk certificaat en gebruikersnaam en wachtwoord. Dit zodat al het verkeer van mijn telefoon geencrypt naar huis gaat en vanuit daar via VPN weer encrypt het internet op!
- Verbruik idle 11w, load 14w.

Kost je wel 2 weekenden configuratie werk maar dan heb je ook wat :)
17-02-2015, 14:04 door Anoniem
Wat je inzet is voornamelijk afhankelijk van de behoefte aan beveiliging. Een waslijst aan beveiligingsopties heeft over het algemeen geen zin voor gewoon privégebruik omdat dan de kosten niet meer in verhouding staan. Een nieuwe consumenten router met redelijke prijs/prestatie zal volstaan.

Gaat het om bedrijfsmatig gebruik waarbij vertrouwelijke gegevens worden bewerkt dan heeft het meer zin te kijken naar oplossingen met firewalls, proxies, IPS etc. Ik zou dan aanraden te kijken naar Universal Threat Management zoals beschikbaar van bijvoorbeeld Fortinet en Sophos.

Wil je privé toch meer veiligheid dan zou je kunnen kijken naar Sophos UTM home edition. Deze is gratis en te installeren op een goedkope PC configuratie. Ik heb het bijvoorbeeld geïnstalleerd op een systeem met een Bay Trial J1900 met 2GB RAM en een 60GB SSD en een extra ethernet kaart. Kosten ca. euro 250, stroomgebruik 10-20watt en wel wat werk om het geheel te configureren.
17-02-2015, 14:23 door Anoniem
Als het alleen een router is en dus geen modem gedeelte, neem een mikrotik.
Kun je zelf bepalen of je wel of niet gigabit poortjes wil of of je wifi wilt..

Ze hebben kant en klare doosjes of die je zelf nog in elkaar zet (bijvoorbeeld mogelijkheid tot meerere wifi radio's).

Software wordt regelmatig bijgewerkt....
Met je eisen zou een RB951G-2HnD al voldoende zijn.. Een uit de RB20xx serie ook..
19-02-2015, 04:59 door Anoniem
Ik beveel je een Belkin Router aan !!
Bevalt erg veilig gevoel.
FD7238 Belkin Router beveel ik je aan voor ziggo.
19-02-2015, 13:24 door Anoniem
Door Anoniem: Ik beveel je een Belkin Router aan !!
Bevalt erg veilig gevoel.
FD7238 Belkin Router beveel ik je aan voor ziggo.
Ik had ooit een Belkin Pre-N router (http://www.belkin.com/PYRAMID/documents/External/P74304du_A_F5D8230du4_man.pdf) gekocht, wegens de goede aangevelingen.
Nadat ik mijn wachtwoord in de URL voorbij zag komen, ging ik verder kijken.
Daarnaast nog een paar Cross Site Scripting-lekken gevonden in de webinterface.
Ik heb Belkin er nog over ingelicht, maar geen reactie en geen fix :(

Voor mij geen Belkin meer!
19-02-2015, 19:45 door Anoniem
Een router is nooit veilig als je deze niet goed beveiligt. des te meer van die routers er verkocht zijn hoe het risico dat men die probeert te kraken.

bovendien zou ik een router nooit vertrouwen

Goede Firewall werkt wel enigszins.

Ik zou een dail-up modem 28.8 k aanbevelen met wireshark zodat je al het verkeer kan monitoren en je verbinding niet snel genoeg is om al je privé gegevens te kapen voor je het door heb.
19-02-2015, 21:18 door BaseMent
Gewetensvraag. Als je het modem van je provider al niet kan vertrouwen, dan de internet verbinding in z'n geheel niet. Waar maak je je zorgen om?
Grootste zorg zou wat mij betreft zijn je thuisnetwerk, dus achter het modem. Dan is het wellicht handig om achter het modem van je provider je eigen modem of router te plaatsen. Je hebt dan geen gezeur over werking van je lij, of je telefoontoestel en je kan doen wat je zelf verstandig vindt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.