Brandvägg - Ska man arbeta med ip range eller ip för ip

Permalänk
Medlem

Brandvägg - Ska man arbeta med ip range eller ip för ip

Jag kör opnSense men det här tillämpar sig på dem mesta brandväggarna.

Jag har delat upp mitt nätverk i flera vlans:
Lan: router/brandvägg, proxmox med tillhörande vm's så som home assistant
Office (min dator)
IoT(sonos, shelly, tv)
Home (lever familjens enheter så som telefoner, datorer osv)

Vissa vlans tillåts komma åt andra vlans och andra (tex IoT) inte får komma åt något annat vlan. Där behöver jag tillämpa undantag, tex så behöver sonos få komma ut ifrån IoT och komma åt home där telefonerna finns så att dem kan kommunicera sins i mellan.

Där uppstår frågetecknen hur jag bäst tillämpar detta. Om man tar IoT så ska det inte komma åt internet förutom vissa enheter.
Brukar ni försöka att tänka i ip ranges så att tex man vet att mellan 50-100 så ska dem enheterna få komma åt internet och placera tvn där i. Samt 80-120 ska få komma åt home vlanet? Så tex sonos hade fått någon stans mellan 80-100.
Det kanske är lite tydligare i brandväggens regler men det kan ju uppstå problem när man ev fyllt 80-100 och 101-150 är upptaget av andra regler.

Är det då bättre att ge brandväggsregler till varje enhet som ska vara en del i undantaget? Tex ip (sonos) ska få tillgång till internet samt komma åt Home. Samma åt det hållet ska man speca exakta vilka enheterna som den ska få komma åt eller ska hela vlanet vara tillgängligt? Då kanske det är bättre lägga sonos i home vlanet istället? Okej inte så ofta men tex om man skaffar en till mobil så måste man in i brandväggen och ge sonos möjlighet att komma åt den. Det blir ju brandväggsunderhåll så fort en ny enhet kommer in i huset.
Även om jag använder mig av leasing och sätter statiska ipn till en hel enheter så känns det ju inte helt genomtänkt att basera det på ett ip som ev skulle kunna hamna på en annan enhet?

Permalänk
Hedersmedlem

Ta ett steg tillbaka och fundera på varför du har placerat din sonos i ett nät som inte har de egenskaper den behöver för att fungera, tillsammans med en massa andra enheter än de som behöver kunna prata med den.

Vad är det du uppnår genom att göra så?

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem

Specifikt för sonos är det väl en gråzone. Men det blir ju egentligen samma med tvn där tillverkarna kanske inte har dem ambitionerna att uppdatera med säkerhetsuppdateringar efter X år. Därav den behöver ligga i IoT nätverket (tänker jag).
En TV behöver jag kanske inte tvunget nå via mobilerna men själva caset kanske finns att man vill. Smarta tvättmaskiner har man ju nästan undrat vad man ska till men nu med energipriserna gör det att man kanske vill sätta en startid mitt i natten.
Det finns ju rätt många case där man har enheter i IoT som man vill mer med.

Men jag är ingen expert på det här! Men det känns som att hälften av IoT enheterna vill man ge andra behörigheter som internet och access till andra vlans (home främst).
Hur jobbar man bäst med det eller är det så att dem inte ska ligga i IoT?

Permalänk
Hedersmedlem

Det är ju inte fel att dela upp klienter och teknik på det sättet, men jag kan tycka att det är överkurs att göra det i ett hemmanät. På jobbet har vi det så, men där besvarar vi också frågor om sonos, chromecast och liknande med ett enkelt nej.

Jag har valt att ha mobiler, surfplattor och "iot" i samma nät, dels för att det underlättar enormt när nätet ser ut som apparna på dessa förväntar sig, men även för att den typen av enheter brukar vara relativt härdade. De kör normalt inte tjänster som accepterar anslutningar utifrån och är, åtminstone mer än en windowsdator, byggda med en förväntan att nätet de befinner sig i inte är snällt. Risken att din mobil blir hackad via din ringklocka borde alltså vara rätt låg.

Sen har jag ett separat nät för servrar, admin-gränssnitt, fildelning via samba och andra högrisksaker, som inte går att ansluta till från det första. admin-nätet kan däremot initiera anslutningar i andra riktningen för att t ex styra eller hämta data från smarta eluttag, elektroniska hundmatare och vad det nu är.

Detta kompletteras av en mDNS-repeater på routern som ser till att annonseringar från t ex chromecast når till admin-nätet, så att min laptop hittar den och kan casta även om jag inte sitter i samma nät.

Men för att svara på din fråga lite mer med antagandet att du vill fortsätta ha den indelning du har, jag hade i så fall hellre filtrerat vilka portar som går att nå och i vilka riktningar anslutningar kan öppnas. Det blir mindre jobb och antagligen säkrare, då du inte behöver lita på att enheterna sitter på de ip du bett dem sitta på. Generellt behöver iot-saker aldrig kontakta klienterna utöver enkla broadcasts om att de finns.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem

För att svara på frågan så skulle jag göra ett regelverk såhär:

Man vill först skapa regler som samtliga enheter skall ha, exempel:
Srcif: ITO srcip: All dstif:wan dstiip:all Service: Https,http etc (om du nu vill göra så)
Sedan skapar man grupper av de object som du exempelvis vill ska nå något specifikt antingen extern eller intern, dvs man definierar förs adressobjeckten (beroende på fw) sen skapar man en grupp av dessa object.
Därefter jobbar man men enskilda objekt.

Permalänk
Medlem
Skrivet av MB:

Specifikt för sonos är det väl en gråzone.[...]

Sonos skall egentligen ligga på ett helt eget VLAN om man vill slippa jitter. eller "jidder". Gapigare protokoll får man leta efter.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av Aphex:

Det är ju inte fel att dela upp klienter och teknik på det sättet, men jag kan tycka att det är överkurs att göra det i ett hemmanät. På jobbet har vi det så, men där besvarar vi också frågor om sonos, chromecast och liknande med ett enkelt nej.

Ja och nej skulle jag säga. Men det är ett växande problem på det sättet att det kommer mer och mer IoT produkter i hemmen samt att befintlig utrustning tids nog blir mer och mer sårbar.

Skrivet av Aphex:

Jag har valt att ha mobiler, surfplattor och "iot" i samma nät, dels för att det underlättar enormt när nätet ser ut som apparna på dessa förväntar sig, men även för att den typen av enheter brukar vara relativt härdade. De kör normalt inte tjänster som accepterar anslutningar utifrån och är, åtminstone mer än en windowsdator, byggda med en förväntan att nätet de befinner sig i inte är snällt. Risken att din mobil blir hackad via din ringklocka borde alltså vara rätt låg.

Barnens mobiler bör ju säkert ligga i ett IoT nätverk om inte annat Sen blir detta oxå någon form av utmaning för att lära sig och då blir det lätt att man kanske överarbetar det.

Skrivet av Aphex:

Men för att svara på din fråga lite mer med antagandet att du vill fortsätta ha den indelning du har, jag hade i så fall hellre filtrerat vilka portar som går att nå och i vilka riktningar anslutningar kan öppnas. Det blir mindre jobb och antagligen säkrare, då du inte behöver lita på att enheterna sitter på de ip du bett dem sitta på. Generellt behöver iot-saker aldrig kontakta klienterna utöver enkla broadcasts om att de finns.

Vågar man lite på portarna då? Kan inte enheter själva egentligen säga vilken port dem ska använda? Det kanske inte är så lätt för en IoT att gissa sig fram till vilken port det ska vara om jag öppnar för vissa portar.
Tex 192.168.20.38:45496 (sonos) -> 192.168.30.10:3500 (mobil)
Sonos ittererar och provar massa portar men det bör väl vara samma range så det kanske ha räckt att öppnat upp så att port 45496 ska få nå port 3500? Istället för ip till ip (alt hela home vlanet)

Permalänk
Medlem
Skrivet av Hansar:

För att svara på frågan så skulle jag göra ett regelverk såhär:

Man vill först skapa regler som samtliga enheter skall ha, exempel:
Srcif: ITO srcip: All dstif:wan dstiip:all Service: Https,http etc (om du nu vill göra så)
Sedan skapar man grupper av de object som du exempelvis vill ska nå något specifikt antingen extern eller intern, dvs man definierar förs adressobjeckten (beroende på fw) sen skapar man en grupp av dessa object.
Därefter jobbar man men enskilda objekt.

Ja jag har regler för specifika vlans. Så nu behöver jag göra undantagen. Antar att en form av motsvarighet till grupperna kan vara alias i opnSense. Dvs jag har en lista med ipn som jag lägger inom ett specifikt alias som jag sen använder i brandväggsreglerna.
Det blir oundviklig att inte behöva gå in i brandväggen på något sätt och modifiera grupperna/aliasesna när man ev skaffa nya enheter. Man kommer aldrig komma ifrån det om man inte gör så att man lägger det inom samma vlan som en annan i tråden föreslog.

Permalänk
Medlem
Skrivet av Aphex:

Ta ett steg tillbaka och fundera på varför du har placerat din sonos i ett nät som inte har de egenskaper den behöver för att fungera, tillsammans med en massa andra enheter än de som behöver kunna prata med den.

Vad är det du uppnår genom att göra så?

Hade gärna placerat i ett separat ssid men då unifi begränsar antal ssid man kan skapa upp så "måste" jag placera enheter som jag egentligen vill göra olika saker med i samma nät.
Men jag kanske ska sträcka mig dit att sonos faktiskt skulle kunna få bo i home vlanet.

Jag ser det mycket ur perspektivet med säkerheten som iot enheter kanske inte får via uppdateringar när det blir lite äldre eller för den delen antalet enheter som det lätt kan bli. Har man 100 iot enheter så är ju risken större att någon av dem har brister än om man bara har 5 st. Det jag menar är att även om 50 enheter har egenskapar som skiljer sig mot dem andra 50 som gör att dem 50 ska ligga i home vlanet så utsätter jag ju mina viktiga enheter i home vlanet för en större risk genom att placera 50 iot produkter där.
Samtidigt om dem ligger kvar i iot och om jag öppnar upp så att dem 50 enheterna ska nå säg mobilerna i home nätverket så får jag väl mer eller mindre samma säkerhetsrisk som om dem legat i home nätverket eller?

Permalänk
Hedersmedlem
Skrivet av MB:

Ja och nej skulle jag säga. Men det är ett växande problem på det sättet att det kommer mer och mer IoT produkter i hemmen samt att befintlig utrustning tids nog blir mer och mer sårbar.

Barnens mobiler bör ju säkert ligga i ett IoT nätverk om inte annat Sen blir detta oxå någon form av utmaning för att lära sig och då blir det lätt att man kanske överarbetar det.

Vågar man lite på portarna då? Kan inte enheter själva egentligen säga vilken port dem ska använda? Det kanske inte är så lätt för en IoT att gissa sig fram till vilken port det ska vara om jag öppnar för vissa portar.
Tex 192.168.20.38:45496 (sonos) -> 192.168.30.10:3500 (mobil)
Sonos ittererar och provar massa portar men det bör väl vara samma range så det kanske ha räckt att öppnat upp så att port 45496 ska få nå port 3500? Istället för ip till ip (alt hela home vlanet)

Om mobilen i exemplet inte har någon app igång som tar emot information på port 3500 så spelar det ingen roll, enheten som kontaktar den kommer inte kunna påverka mobilen på något sätt eftersom paketen som kommer dit kastas.

Mobila enheter har sällan portar öppna för anslutningar de inte själva initierat, undantaget det fall där du startat en app som lyssnar efter annonseringar från enheter i samma nät, där de oftast berättar saker som att ”på den här adressen finns enheten ’köksradio’ som du kan skicka ljud till”.

Dessa annonseringar, broadcasts, är lokala och du kommer därför behöva hantera dem på något sätt när du flyttar sändare och mottagare av dem till olika nät. Det räcker inte att tillåta kommunikationen i en brandvägg utan du kommer behöva sätta upp en eller flera sorters proxy för att få över informationen mellan näten.

Det är därför jag tycker du krånglar till nätverket i onödan, när det trots allt handlar om enheter som ska kunna prata med varandra och när du inte verkar ha en klar bild av vad det är för slags hot du vill skydda dina mobila enheter från.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion