Duitse overheid adviseert apart wifi-netwerk voor 'slimme' apparaten
Eigenaren van 'slimme' apparaten doen er verstandig aan om er een apart (gast) wifi-netwerk voor te gebruiken, om zo gevoelige activiteiten op andere systemen te beschermen, zo adviseert de Duitse overheid. Het beveiligingsadvies is onderdeel van een reeks maatregelen die het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, in aanloop naar de feestdagen adviseert.
Volgens de Duitse overheidsinstantie kunnen criminelen van onveilige apparaten misbruik maken. "In principe kan elk apparaat verbonden met internet een doelwit voor cybercriminelen zijn, of het nu een smartphone of smart fotolijstje is", aldus het BSI. De organisatie stelt dat veel mensen de veiligheid van 'smart' devices negeren als ze tot aankoop overgaan. Slechts een kwart van de mensen die aan onderzoek deelnam laat de belofte van beveiligingsupdates in de aankoopbeslissing meewegen.
Naast het letten op het updatebeleid adviseert het BSI ook sterke wachtwoorden en waar mogelijk tweefactorauthenticatie voor accounts. "Met een apart (gast) wifi-netwerk dat alleen voor smart devices wordt gebruikt, kunnen consumenten ze scheiden van bijvoorbeeld de computer die ze voor gevoelige activiteiten zoals internetbankieren gebruiken. Een mogelijke infectie met malware kan dan niet van het smart device naar de computer verspreiden", gaat het advies verder. De overheidsinstantie heeft een uitleg online waarin het beschrijft hoe een wifi-gastnetwerk is in te stellen.
Dat is beetje ruk statement.
Ik zou graag horen van het BSI hoe je dan als consument (of zelfs als behoorlijke professional) "veiligheid" werkelijk kunt evalueren van allerhande smart meuk.
"De belofte van beveiligingsupdates" is wel een heel mager criterium - bij telefoons begint het nu door te dringen en is daar bij diverse fabrikanten wat over te vinden in de apparaat specs of in het algemeen.
Maar daarbuiten ?
Slechts inschakelen is onvoldoende. By default erg onveilig blijkt weer...
Nee, dat is het helemaal niet.
Heb je wel eens gekeken naar je (consumenten) router met gasten netwerk functie ?
Of lees je 'gasten netwerk' en denk je alleen maar aan een bedrijf of starbucks setup ?
Op de consumenten routers met 'gasten wifi' is dat gewoon een SSID met eigen (ander) password dat niet bij het "primaire" netwerk kan komen, maar alleen naar Internet kan.
Hoe kom je daarbij?
Een gast netwerk hoeft helemaal niet onbeveiligd te zijn.
Op veel routers kun je een gast netwerk ook met een wachtwoord beveiligen
Precies. Die rommel moet op een vlan zonder uitgang. Maar welke huis tuin en keukengebruiker bouwt dat? Het is niet alleen een probleem dat er verkeer binnen komt op een DMZ/guest deel, maar het phone home gedrag moet ook beteugeld worden.
Daarom zou iedereen een pfSense router + pihole moeten draaien. De meeste hebben geen idee wat daar allemaal in blijft plakken! Maar dat is wensdenken natuurlijk... Laat staan dat iemand ooit zoiets gebruiksvriendelijk gaat maken. Want zoiets is gewoon niet grandma-compatible te krijgen.
Het hele probleem van internet: Clueloosheid. Zolang mensen daar niet fatsoenlijk in worden opgeleid, blijft het zo. Ik zie geen verschil met het rijbewijs. Ik weet dat stevig lichamelijk letsel niet echt te vergelijken is met identiteitsdiefstal maar kiezen kan ik ook niet! Dat is allebei een drama namelijk waar je met wat pech nooit meer vanaf komt.
Dat is beetje ruk statement.
Ik zou graag horen van het BSI hoe je dan als consument (of zelfs als behoorlijke professional) "veiligheid" werkelijk kunt evalueren van allerhande smart meuk.
"De belofte van beveiligingsupdates" is wel een heel mager criterium - bij telefoons begint het nu door te dringen en is daar bij diverse fabrikanten wat over te vinden in de apparaat specs of in het algemeen.
Maar daarbuiten ?
Als het wordt gemanaged in de cloud dan niet doen….
Denk aan hue, fritzbox etc
Dat is niet waar, ook een gastnetwerk kun je beveiligen in je router met WPA-2 encryptie met een sterk wachtwoord.
Nee, het is alleen apart segment binnen je netwerk. Gewoon gesloten. Ik weet niet zo goed hoe je erbij komt dat het open zou zijn, het gaat niet om een gastennetwerk bij een organisatie.
Een gasten wifi hoeft niet open te zijn en zeker niet onbeveiligd
Dit is inderdaad een matig advies en er hoort wel wat meer uitleg bij inderdaad. Een gasten-WiFi bij consumenten is vaak niet meer dan een tweede SSID. En dan schiet je er weinig mee op. Je wil een apart gecompartimenteerd netwerk hebben, echter alleen duurdere modems zoals FritzBox ondersteunen dat.
En dan heb je de volgende uitdaging, veel van die apparaten kan je met je smartphone bedienen, maar dan moet je in hetzelfde netwerk zitten. Dus moet je met je smartphone omschakelen naar de onbeveiligde LAN om het appraat te bedienen en vervolgens weer terug naar je "veilige" LAN/WiFi. Troep zoals malware kan op die manier nog steeds je "veilige" netwerk besmetten.
Wat de BSI hier doet, is een verantwoordelijkheid die fabrikanten hebben afwentelen op de consument. Mogelijk hebben ze het in Duitsland nog niet meegekregen, maar vanuit Europa is de Cyber Resilience Act van kracht geworden. Binnenkort zijn leveranciers/winkels/verkopers/fabrikanten gewoon aansprakelijk voor de Cyberveiligheid van hun producten. Waarschijnlijk verdwijnt er dan veel Action en Ali-meuk van de markt. Zie: https://www.channelconnect.nl/security-en-privacy/europese-cyber-resilience-act-officieel-ingegaan/
Ook op een gastennetwerk kun je een (sterk) wachtwoord zetten.
Zou dat sowieso doen om te voorkomen dat anderen via je gastennetwerk zomaar kunnen interneten.
Hoezo is gasten wifi open en onbeveiligd, op mijn router kan ik een gasten wifi beschikbaar stellen met een WPA2 password... Hierdoor is mijn normale netwerk gescheiden van mijn gasten netwerk...
Ik kan hierdoor ook mijn gasten een wifi password geven zonder dat ze kunnen verbinden met mijn eigen netwerk...
Dat is beetje ruk statement.
Ik zou graag horen van het BSI hoe je dan als consument (of zelfs als behoorlijke professional) "veiligheid" werkelijk kunt evalueren van allerhande smart meuk.
"De belofte van beveiligingsupdates" is wel een heel mager criterium - bij telefoons begint het nu door te dringen en is daar bij diverse fabrikanten wat over te vinden in de apparaat specs of in het algemeen.
Maar daarbuiten ?
Mee eens. Dit moet gewoon door een centrale overheid (EU) afgedwongen worden d.m.v. regelgeving voor de fabrikant, net zoals bij allerlei andere apparaten regels gelden voor veiligheid.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist SOC
AIVD
Als security analist werk je mee om de relevante logging- en dreigingsinformatie binnen het SOC beschikbaar te maken. Ben je net afgestudeerd en wil je je verder ont-wikkelen op het gebied van cyber security? Wil jij aan de hand van cyber threat intelligence op jacht naar de meest ge-avanceerde aanvallers? Dan is ons Security Operations Center de plek voor jou!
Senior Security Analist SOC
AIVD
Als senior security analist SOC analyseer je de security monitoring data die we op ons platform verzamelen en ontwikkel je detectie use-cases die wijzen op verdacht gedrag op onze netwerken en systemen. Heb je veel netwerk, sysadmin of software development-ervaring, met een wens je richting security te ontwikkelen? Dan is ons Security Operations Center de plek voor jou!
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.