Archief - huisnetwerk opzetten: firewall, nas, rack, doomsday,..

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
A

Appleboom

Legacy Member
Dag allemaal,

ik wou eens jullie mening en productadvies voor een thuisnetwerk.

Onlangs heb ik een 19inch managed switch op de kop kunnen tikken. Deze heeft ook POE voor de cameras.

Ik zit nu met router, smart tv, ps4, 3 hotspots, laptops, tablets, smartphones, nest thermostaat, cameras, ... de hedendaagse zaken. Dit draait momenteel op een Bbox en een paar mini switches.

Nu ik die rack mounted switch heb gekocht zou ik alles proper in een server rack willen steken.

Momenteel staan al mijn bestanden op een externe HD, voor de veiligheid. Maar praktisch gezien zou ik het liever op een NAS willen. Ik zou dan ook een NAS willen voor 19inch rack. Maar dan een eenvoudige(goedkopere) type voor particulieren. Hebben jullie een goed voorstel? Ik heb wel schrik voor al die hackers en ransomware toestanden tegenwoordig. Dus dan moet ik goede firewall en antivirus gebruiken?

Momenteel gebruik ik mijn gezond verstand tijdens het surfen en mails lezen. Om de zoveel maand doe ik een clean install en al mijn bestanden staan op een externe HD. Maar ik ben natuurlijk niet de enige op het netwerk hier. Als bijvoorbeeld de babysit onvoorzichtig is op het internet, kan ik al mijn familiefoto's verliezen...

Hoe doen jullie het nu en wat raden jullie aan?

Ik denk dan aan:

een kleine eenvoudige 19 inch rack
firewall?
rackmounted NAS 2 tot 4 HD's (voor opslag, maar misschien ook voor NVR te draaien?)
Antivirus zoals NOD32 (of werkt dat niet echt tegen ransomware?)

Ik lees ook meer en meer over doomsday opstellingen. Wat houdt dat in? Is dat als particulier belachelijk? Ik wil mijn privé bestanden toch ook niet verliezen....
Of kopiëren jullie alles naar de cloud? Dat kunnen ze toch ook hacken en dan de hele wereld je vakantiefoto's bekijken? Ik wil gerust wel een paar euro per maand betalen, als alles veilig zit.



Greetz
Apple
a

apa

Legacy Member
Het risico op hacking is lager voor privé-installaties dan voor bedrijven en overheden. Dat komt simpelweg doordat er doorgaans minder te winnen valt waardoor hackers gewoonlijk minder moeite doen om bij jou in te breken. Bij hacking op privé-installaties, gaan hackers doorgaans voor de "low hanging fruit". Veel privé-installaties zijn namelijk amper beveiligd. Is de beveiliging beter dan die baseline (= de beveiliging die doorgaans in je modem/router zit), dan loop je al een stuk minder kans op hacking.

IMHO is een degelijke firewall daarvoor de beste oplossing. Met "goede firewall" doel ik overigens meer op de instellingen van die firewall dan op de hardware an-sich. Idealiter blokkeer je alle binnenkomend verkeer, behalve datgene wat je expliciet wil toelaten.

Tegen ransomware kan je inderdaad een degelijke anti-virus op je systeem gebruiken. IMHO is de ingebouwde anti-virus in Windows 10 voldoende voor thuisgebruik. Ook tests lijken aan te geven dat die het niet slechter doet dan de meeste alternatieven. Een groot voordeel is dat het goed geïntegreerd is in Windows en minder issues geeft.

Het belang van backups wordt steeds onderschat. Backups kunnen je gegevens niet enkel redden van storage-crashes, maar ook van ransomware, blikseminslag en brand. Voor de veiligheid van je data is het belangrijk dat je een backup fysiek gescheiden houdt van je infrastructuur. Dat doe je vandaag met je externe HD (tenminste als je die loskoppelt van je PC tussen backups). Persoonlijk had ik nooit de discipline om op geregelde tijdstippen mijn backups bij te werken.
Daarom ben ik op zoek gegaan naar een alternatief. Ik heb zelf een NAS ineengeknutseld die OpenMediaVault draait als OS (is een dedicated Linux distro voor NAS-gebruik dat volledig via een web-interface beheerd wordt). Op die NAS draai ik een andere Anti-Virus software dan op de PC's.
Op de NAS en de diverse PC's in huis draai ik dan SyncThing die folders synchroniseert (vergelijkbaar met werking OneDrive of DropBox, maar zonder externe partij). Alle bestanden in die folders worden op die manier gesynchroniseerd met de overige systemen. Ik heb SyncThing zó ingesteld dat die verschillende oudere versies bijhoudt van bestanden bij wijzigingen (zo kan ik terug naar een oudere versie, mocht de recentste versie corrupt zijn geraakt).
Bijkomend heb ik SyncThing geïnstalleerd bij naaste familie (die niet in de buurt woont) met een eigen HD in hun PC. Op die manier bekom ik een off-site kopie van mijn belangrijkste bestanden, zonder er extra naar te hoeven omkijken (werkt overigens in twee richtingen: naaste familie heeft op die manier ook een off-site backup van hun data).
Ik besef dat mijn setup geen volwaardig backup betreft, maar het vraagt nagenoeg geen aandacht eens het goed is opgezet en het biedt een betere beveiliging dan hetgeen ik voorheen had...

De disks in mijn NAS draaien bewust niet in RAID. Mijn NAS bevat momenteel een SSD (dient als OS en cache-disk) naast 3 WD-Red 4TB schijven en een vierde/oude WD-Green 2TB. Een van de WD-Reds gebruik ik als parity-disk middels SnapRAID (SnapRAID is *geen* RAID: de parity-disk wordt niet online bijgewerkt, maar door een batch-job die je regelmatig moet laten draaien). Met die SnapRAID opstelling kan mijn setup de dood van een enkele disk overleven (de data van die disk valt te recupereren) zonder data-verlies. Voordeel van die opstelling is dat de verschillende schijven niet even groot hoeven te zijn, dat je de disks als single-disks kunt mounten op een ander systeem en je niet afhankelijk bent van een specifieke RAID-controller (IMHO een groot probleem bij gebruik van RAID-controllers in consumenten-elektronica). Nadeel is dat het niet online is: je kan m.a.w. de recentste wijzigingen aan je bestanden verliezen bij een crash.

Alle PC's in huis sturen een wake-on-lan signaal door naar de NAS bij het opstarten. De NAS is zó ingesteld dat die pas uitvalt als alle andere systemen op het LAN uitstaat. Op die manier hoeft de NAS niet 24/24 aan te staan en hoef ik enkel te wachten tot die is opgestart na de wake-on-lan vóór ik eraan kan.

Voor remote-access naar mijn thuisnetwerk, gebruik ik een VPN verbinding. Daarvoor heb ik een router gekozen waarin de VPN host functie voorzien is (handig omdat die router zowieso 24/24 draait). Op die manier hoef ik geen extra poorten open te zijn naar mijn LAN op de firewall, buiten die voor de binnenkomende VPN-verbindingen (die uiteraard volledig gecrypteerd zijn op basis van eigen ondertekende certificaten).

Hopelijk heb ik je hiermee toch wat ideeën aangebracht.
Het opzetten van dit geheel heeft me heel wat tijd gekost, vooral met het kiezen van de verschillende stukken hardware en (vooral) software en met het op elkaar afstemmen van de verschillende onderdelen.
Ik ben zelf IT'er van beroep (analyst/programmeur/project-leider) en moet wel toegeven dat je hier best enige kennis en ervaring voor nodig hebt. Heb je dat er niet voor over, dan kies je IMHO best voor betaalde oplossingen (zoals Amazon S3 voor backups, ...).
F

Five-seveN

Legacy Member
Appleboom zei:
Dag allemaal,

ik wou eens jullie mening en productadvies voor een thuisnetwerk.

Onlangs heb ik een 19inch managed switch op de kop kunnen tikken. Deze heeft ook POE voor de cameras.

Ik zit nu met router, smart tv, ps4, 3 hotspots, laptops, tablets, smartphones, nest thermostaat, cameras, ... de hedendaagse zaken. Dit draait momenteel op een Bbox en een paar mini switches.

Nu ik die rack mounted switch heb gekocht zou ik alles proper in een server rack willen steken.
Klik om te vergroten...
Een server rack om wat in te steken? 1x rack mounted switch? Klinkt me nogal overkill. Een gewoon houten kastje kan ook al.
Ik ken teveel racks waar 1x 19'' toestel in zit en de rest ligt los op dat toestel, niet echt proper. Of koop er een shelve bij, een mooi deurtje... maar kost al snel wat.

Momenteel staan al mijn bestanden op een externe HD, voor de veiligheid.
Klik om te vergroten...
Bedoel je dat je de backups van uw bestanden op een externe HD staan hebt, want anders is daar niet veel veiligheid aan hoor.

Maar praktisch gezien zou ik het liever op een NAS willen. Ik zou dan ook een NAS willen voor 19inch rack.
Klik om te vergroten...
Opnieuw, een NAS op zich heeft geen enkel nut naar veiligheid toe. Alleen als uw bestanden ook nog eens op uw PC staan ja, dan wel.
Maar een NAS is kwetsbaar voor aanvallen terwijl een externe HD dat niet is, aangezien de NAS steeds online is. De oplossingen van apa hierboven beschermen daar wel tegen.

Ik heb wel schrik voor al die hackers en ransomware toestanden tegenwoordig. Dus dan moet ik goede firewall en antivirus gebruiken?
Klik om te vergroten...
Zeer goede vraag, zeker als je met NAS gaat werken die continue online is of misschien zelfs vanaf extern bereikbaar.
Volgens mij een zeer onderschat item.

Niet alleen voor bescherming tegen websites en virussen, maar ook bijvoorbeeld voor ad-blocking, web content filtering...

Particulieren voelen zich vaak de grootste IT specialisten want ze hebben een NAS, camera's, backups... maar van firewalls kent men vaak minder.
De antivirus in Windows, gecombineerd met het gebruiken van een geupdate Chrome en het vermijden van torrents, verouderde email clients, en illegale downloads, zal u normaal genoeg beschermen.

Momenteel gebruik ik mijn gezond verstand tijdens het surfen en mails lezen. Om de zoveel maand doe ik een clean install en al mijn bestanden staan op een externe HD. Maar ik ben natuurlijk niet de enige op het netwerk hier. Als bijvoorbeeld de babysit onvoorzichtig is op het internet, kan ik al mijn familiefoto's verliezen...
Klik om te vergroten...
Uw babysit zou nooit op uw persoonlijke pc mogen zitten, en als ze dat wel doet dan met haar eigen account, dat geen installatierechten heeft enzovoort.
Bij voorkeur zit ze dus niet op uw pc en ook niet op uw wifi netwerk maar op een gast netwerk.
Dat staat nog los van antivirus, dat moet je eerst al oplossen nog voor je andere veiligheid gaat aanpakken.

Hoe doen jullie het nu en wat raden jullie aan?
Klik om te vergroten...
- pc instellen met verschillende gebruikersprofielen, waarbij er geen admin profiel gebruikt wordt bij het gebruiken van de pc
- backups instellen naar een 2de schijf die in de pc zit, naar de cloud, of naar een NAS
- wifi voor gasten aanmaken, wat geen toegang heeft tot uw normaal netwerk
- firewall, beste wat je kan doen is pfsense box maken in een minipc, maar er bestaan ook handigere zoals ubiquiti, daar heb ik zelf geen ervaring mee
- antivirus, vooral zien dat uw windows alle updates heeft, windows defender en alle opties aan. chrome gebruiken in plaats van edge.
- Als je een nas hebt: ook automatisch updates van de nas laten doen. apart wachtwoord voor instellen. File historiek/snapshots instellen.

Backups naar de cloud, kosten ook niet overdreven veel. Er zijn zoveel mogelijkheden, bijvoorbeeld onedrive.

Bij het selecteren van een cloud backup, zou ik wel een kiezen die ook 'backups' maakt van hetgeen in de cloud staat. Bijvoorbeeld als je een bestand wist in de cloud, dat er nog een cloud prullenbak is die nog 1 week blijft bestaan en die niet kunnen gewist worden. Of die snapshots bijhoudt elke dag, 7 dagen. iCloud heeft dit bijvoorbeeld niet. Maar er zijn andere cloud providers die dit wel hebben.
z

zephir

Legacy Member
Beetje toevoegingen boven de al nuttige informatie hierboven...

Ik zou 2 zaken onderscheiden:
- Je "endpoints", dat zijn je toestellen die op het netwerk aangesloten zijn
- Je netwerkinfrastructuur

Voor endpoints is het best dat je die fysiek beveiligt zodat ze niet fysiek toegankelijk zijn voor mensen met slechte bedoelingen of minder optimale digitale "hygiëne" (kinderen, soms partners of andere huisgenoten of frequente bezoekers). Voor die laatste geef je best geen admin access maar enkel een reguliere gebruiker. Voor alle toestellen pas je minstens beveiliging met een sterk wachtwoord toe. Ik gebruik Bitdefender om op elk van die pc's en mac's een actieve virus en malware-beveiliging uit te rollen die ik centraal kan monitoren. Daar zit ook een device firewall in.

Op de mac's (macbook pro's) die uit huis gaan pas ik drive encryptie toe.

Ik heb een 2-bay synology NAS in raid 1 (mirror) waar ik dus 1 drive van kan verliezen. Die bevat niet kritieke data die niet op andere machines staat, duplicaten van andere machines (manueel) en back-ups van de macs via time machine. Die NAS synct belangrijke shares en folders naar Backblaze B2. Dat kost me 2-3 euro per maand voor traffic en opslag. Daarmee heb ik minstens 3 versie van elke file, waarvan 1 off-site. Een disaster recovery vanuit B2 kost wat meer, maar dat is dan maar zo en dat komt niet vaak voor...

De NAS en een NUC met PLEX / ROON hebben bepaalde ports geforward via de firewall, en hebben hun standaard admin accounts gewist en vervangen door iets custom met MFA.
Die firewall zit in een Ubiquiti USG 3P. Mijn bedraad netwerk is wat anders geconfigureerd dan standaard, en ik heb 2 WiFi SSID's. 1 Voor mijzelf en mijn gezinsleden. 1 Guest dat logisch gescheiden is (ander subnet) van alle andere toestellen in mijn netwerk. Het heeft een paswoord dat ik kan geven aan een guest en die kan dan (met beperkte bandbreedte) op het internet zonder dat die iets intern ziet van mij. Ik heb WiFi opgezet met 2 Ubiquiti AP's, een AC-pro en een AC-LR. Ik gebruik 2 managed 8 poort switchjes van Ubiquiti, 1 met POE en 1 zonder. Er zit ook een controller op. NAS, NUC, Gateway, modem, core switch en een powerline adapter zitten op een zware HP ups die ik via de NAS kan uitlezen en die een trigger kan geven voor een safe shutdown als na 2u of zo die UPS leeg zou zijn. Mits vervanging van 1 switch, kan ik ook mijn WiFi bij een power out online houden, voor zover de Telenet kasten in de straat dan nog werken natuurlijk...

De firewall in de gateway staat ook goed dicht, op de poorten voor de NAS, de NUC en de Ubiquiti controller na. Er zit een functie in voor actieve threat detection, maar die throttled mijn throughput te veel omdat die cpu daarvoor eigenlijk te zwak is. Een steviger model zal er nog wel eens van komen... Ik heb nu 300Mb down, 30 up en met die functie op haal ik maar 90 down of zo... Ik ben heel tevreden van Ubiquiti. Alhoewel ik wel in IT zit, is complete config van een een dedicated pfsense box of zo niet iets waar ik heel blij van wordt. Ubiquiti Unifi is enterprise class, maar heeft een heel goede gui die het toch wat gemakkelijker en aangenamer maakt dat via commandline opzetten.

Is dat waterdicht? Neen, maar bovengemiddeld dicht wel. Ik ben niet bestand tegen attacks die zero day vulnerabilities in Synology DSM, Win 10, Ubiquiti firmware of PLEX servers zouden targetten, maar ik heb wel altijd verschillende fysieke kopies van al mijn data, ook offsite en redelijke bescherming tegen diefstal, inclusief die van mijn identiteit.

Nog een laatste: "hacking" op de klassieke manier komt vandaag veel minder voor dan social engineering zoals phising. Gebruik MFA voor belangrijke accounts, gebruik unieke paswoorden en idealiter een vault zoals lastpass, 1password, Dashlane, etc...
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan