VPN of portforwarding en beveiliging

[the matrix]

@Tech

Hoe grpot is de kans dat kwaadwilligen bij mij willen snuffelen?

 

[Black Tiger]

Onderschat de bruteforce methode niet

Dat doe ik niet, maar ik heb jarenlang ftp en camera's via portforwarding al. Een niet al te kort en niet gemakkelijk wachtwoord doen ook wel wonderen.
En ja, misschien dat het straks erger wordt met ipv6, maar kwaadwillenden zullen hier echt niets vinden. En op de camera's mogen ze wel even mee kijken, niks te zien.

 

[Dr.Z]

Hoe grpot is de kans dat kwaadwilligen bij mij willen snuffelen?

Kijk op dit moment maar eens in de logfile van jouw modem.

Portforwarden heeft een beetje nut. Een app wat zeg maar op poort 550 draait (voorbeeld) kun je mappen naar poort 12345 bijvoorbeeld.
Een eventuele hacker, of eigenlijk een scriptkiddy, (uitleg later) zal dan moeten raden op welke poort jouw applicatie draait.
Heeft de hacker de poort gemapte poort 12345 gevonden, dan komt deze vanzelf op poort 550 terecht waar hij kan beginnen met zijn hackpogingen. Is de applicatie goed gepatcht en beveiligd, dan zal de hacker afhaken, of net zolang zoeken totdat deze een backdoor heeft gevonden in het geval de app interessant genoeg is.
Portforwarding is slechts een extra drempel en wanneer het modem of firewall niet is beveiligd tegen portscanners, dan heeft portforwarden geen enkele zin, want de hacker weet de applicatie toch wel te vinden.

Dit alles gaat tegenwoordig ook automatisch met scripts, vandaar dat ik de term 'scriptkiddy' noem, wat eigenlijk een puber is met teveel puisten om een normaal sociaal leven te leiden en achter de meisjes aan gaat. Hacken is ook een leuke hobby om aan hun bevrediging te komen.

Met de komst van AI, wat nu al op grote schaal wordt ingezet om computersystemen te kraken, is het een harde kluif om jouw netwerkje met computers te beschermen.

Om antwoord te geven op jouw vraag in hoeverre het interessant is om jouw netwerkje te hacken?
....nou, jouw netwerk zit vol apparaten waarmee aanvallen op andere computers op het internet uitgevoerd kunnen worden, zonder dat jij het merkt. ..behalve dat het netwerk iets vertraagd word op sommige momenten.
Slimme lampen, slimme camera's van Aliexpress en andere zogenaamde slimme-shit wat jij in huis hebt, wordt gebruikt. Is het niet nu, dan is het morgen wel, want de kans dat het gebruikt gaat worden door hackers is 100% !!!!
Hier is geen discussie over mogelijk, het gebeurd.

Niemand ontkomt er aan, tenzij je het modem uit zet.

 

[Black Tiger]

Kijk op dit moment maar eens in de logfile van jouw modem.

En dan zul je zien dat het hoofdzakelijk acties zijn van scriptkiddies die niet echt weten waar ze mee bezig zijn.

Daarnaast ligt het echt er aan welke applicaties je hebt draaien. Met een mail- en/of webserver actief zul je veel meer inbraakpogingen zien dan met alleen wat camera's.

De komst van AI is wel een irritant nadeel inderdaad.

want de kans dat het gebruikt gaat worden door hackers is 100% !!!!

De kans dat hackers pogingen gaan ondernemen. Of gebruik maken van lekken als ze er zijn. Ik ben nog aan het wachten tot ze mijn deurbel eens gaan hacken want dat is dus zo'n slim apparaat, net zoals een paar stopcontacten. Maar we zijn nu al een jaartje of 2 verder en nog 0.

Ons interne netwerk zit vol met apparaten, maar daar moet je eerst maar eens in zien te komen, dat gaat dus even niet zomaar. Denk maar aan NAT en dan moet je ook nog eens achter de router in een applicatie inbreken die toegang heeft tot het hele netwerk of de router zelf.

Daarom dat ik dus wel aangaf dat het nog maar eens afwachten was hoe dat met ipv6 ging werken omdat je met ipv6 geen forwards meer nodig hebt. Je zet gewoon de poort op het gebruikte ip open en dan is het rechtstreeks bereikbaar. Dus dat kan in het begin zeker even wat linker zijn.

 

[Dr.Z]

Wie weet is jouw deurbel al een klein onderdeel van een botnet, of kunnen andere mensen al meekijken zonder dat je er erg in hebt.
Misschien is jouw slimme stopcontact al onderdeel van een chinees monitoringplatform om data te verzamelen over jouw stroomgebruik, en vooral, wanneer jij stroom gebruikt.
Deze pakketjes zijn dusdanig klein te noemen dat je er vrijwel niets van merkt.

Gaat jouw slimme deurbel ergens via een cloud, dan is het een grote kans dat er 3en meekijken en dat er data naar een server gestuurd gaat worden waarvan jij eigenlijk niet wil dat deze daar heen gaan.
En BT, monitor jij actief alle data wat van en naar jouw deurbel gaat en stopcontacten?

Ok, dit is dan geen hacken, maar toch is het een vorm van datasharing.

Ik heb een sony/android tv ooit gekocht en had de verhalen al gehoord wat voor data er verstuurd ging worden wanneer je het toestel voor het eerst aanzette. Dat was echt interessant!

..ok, iets offtopic..

Maar feit is dat er in zekere zin niet actief gehackt wordt op poorten, apps en op de directe machine, maar dat de gebruiker zelf middels een trojan de boel open zet.
Dit overkwam een klant afgelopen week en de pc werd via een vaag mailtje gehackt. Klant had geen bijlages geopend of iets aangeklikt, alleen het mailtje gelezen waarbij de mailbox geïnfecteerd raakte en er een bitcoinminer werd geïnstalleerd.
Alleen het mailtje bekijken was genoeg, ondanks alle patches, beveiligingsupdates en al, het gebeurde gewoon.
(ok, klanten hebben meestal een "selectief geheugen" wat dit soort dingen betreft, dus ik ga er vanuit dat er wel iets werd geopend )


en ja, ik ben paranoia wat computers betreft

 

[Tech]

Ik deel die paranoia met je
Mensen zijn veel te naïef en denken dat ze niet interessant zijn en er niets te halen valt maar vergeten dat ze deel kunnen uitmaken van bijvoorbeeld een botnet welke gebruikt kan worden om een ddos aanval te ondersteunen.
Die deurbel hoef je je geen zorgen over te maken, die heeft geen forwarding nodig, die stuurt al van alles naar een derde partij en het is voor kwaadwillenden een koud kunstje die packets te misbruiken om in je netwerk te komen, dat regelt je router immers want er komen pakketten binnen met de juiste headers…..
Ik heb zulke dingen ook hoor, alleen in een v-lan zonder gateway dus kan dat verkeer niet naar buiten maar kan ik er wel bij via een VPN.

 

[freggel1]

@Tech, zo'n ddos aanval heb ik meegemaakt een tijdje geleden.

Ik had een stuk of 3 van die wifi-camera's van Ali.
2 had ik er geïnstalleerd op een plek waar ik nog niets had hangen. [ het andere systeem is bedraad].
maar vrij kort na de installatie van die dingen kreeg ik een brief van Ziggo dat er vanaf mijn ip een ddos aanval was geweest, ik kreeg 3 dagen de tijd om dat zelf uit te zoeken waar vandaan, en het op te lossen.

Ik begreep er eerst niks van, maar al snel viel mijn Franc, die draadloze camera's meteen weggedaan, en nooit meer iets gehoord van Ziggo.

 

[Black Tiger]

Camera aanval heb ik inderdaad ook wel elders meegemaakt. En die waren inderdaad gebruikt als botnet. Dat merkte je wel, hele netwerk ging over zijn nek.
En dat waren geen Ali camera's maar Hikvision van volgens mij bijna 200 of bijna 300 euro per stuk.
Echter.... die waren een aantal jaren oud en Hikvision doet ook maar 2 jaar firmware updates. Was dus niets meer van te krijgen.
We hebben toen besloten de toegang van buiten dicht te zetten en de camera's alleen nog op de NAS en de telefoon en ipad via intern netwerk te gebruiken.

Maar ik ben niet zo paranoia, weet ongeveer wel wat er kan gebeuren en weet ook wel dat men zat kan stelen van camera's die alleen via een app werken. Zo eentje heb ik ook (naast de deurbel), en die staat dan ook regelmatig uit.
Als er drukte wordt gemaakt op mijn netwerk dan zie ik dat vrij snel want dan gaan meer lampjes op mijn switch knipperen of harder. Ik kan via die switch wel verkeer monitoren maar mij boeit dat gewoonweg niet.
Als er iets is waar ze niet bij mogen komen scherm ik dat echt wel goed genoeg af.

 

[Dr.Z]

Zelf heb ik alles zoveel mogelijk in eigen beheer. Met name de camera's willen dat ik via een cloud inlog, maar dat heb ik kunnen tackelen door domoticz te gebruiken op mijn Synology.
De firewall heb ik ook voorzien van zeer beperkte uitgaande data en log op afstand in via de OpenVPN server-app op de synology om naar de camera's te kijken.
Soms wat omslachtig en eigenlijk is dit meer omdat ik dan kan loggen wat er exact gebeurd met de uitgaande data van de "internet of things".

@Tech Wat je zegt, mensen zijn wat naief, maar wat kunnen zij anders? Mensen willen iets en nemen al die blabla over veiliheid voor lief...
Het is alsof tegen beter weten in de auto zonder gordel te gaan racen op een circuit en dan plank gas in de bochten.
Het kan lang goed gaan.....

 

[sat-ed]

Ik ben druk chinees aan het leren en de rest staat gewoon met een 220 schakelaar uit.
Susc6 met het proberen te misbruiken van apparatuur dat geen spanning heeft.
Onze verdere apparaten zijn geen slimme dus hebben helemaal geen web verbinding nodig.
Verder staat er 1 ding open en dat moet je net weten te vinden.
Als dat gebeurt is het jammer en stekker er uit.
Intern kun je niet zonder inlog ergens bij ,soms lastig maar dat vind ik dus mijn auto gordel.

 

[Dr.Z]

...was het niet dat sommige apparaten al zijn gehackt voordat er gevraagd word om in te loggen.
Dit is trouwens geen grap, want een hack gebeurt doormiddel van achterdeurtjes in de software.
Geen sleutel (inlog en wachtwoord) nodig maar gewoon binnenlopen.

Overigens, de beste beveiliging voor windows is een account zonder inlognaam en wachtwoord. De systeembeheerders onder ons weten waarom dat is.
Het is alleen wel zo dat iedereen fysiek in de computer kan komen, dus hangslot op het stopcontact.

 

[the matrix]

Leuke wending dit topic, mss een apartectopic van.Maken. Er is voldoende interesse.

 

[the matrix]

Nu heb ik in mijn router de Portforwarding van Home assist via vpn gezet.

Maar nu snap ik niet hoe ik extern home assist moet aanroepen.

Tevens krijg ik bij problemen hulp van mijn zoon en die kan er nu ook niet bij.

 

[Dr.Z]

Heb je een client vpn aangezet waarbij je moet inloggen via een vpn server, of is het juist een vpn server die word aangezet in home-assist? Ik heb vrijwel geen ervaring met homeassist trouwens.
Als ik mij niet vergis heeft @Tech dat wel.

 

[the matrix]

de externe toegang tot Home assist loopt via

https://nickname.duckdns.org/poortnummer.

duckdns.org houdt ook bij als mijn provider de router een nieuw IP address geeft.

 

[Tech]

Je maakt een denkfout, als je een VPN verbinding naar huis hebt, heb je die externe toegang niet meer nodig maar verbind je gewoon alsof je thuis in je netwerk zit.

Overigens heb ik de VPN client ook nog zo ingesteld dat alle verkeer over die VPN gestuurd wordt, dus al het verkeer loopt via je gateway van thuis daardoor de DNS dus ook wat weer het reclame verkeer blokkeert, Pi-hole doet dan ook uitstekend zijn ding

 

[Black Tiger]

Met name de camera's willen dat ik via een cloud inlog

Zo'n camera heb ik ook en dat gebruik ik ook niet. Dat wil echter niet zeggen dat de Chinees die camera niet toch kan benaderen. Of je moet echt een firewall hebben die alle uitgaand verkeer blokkeert, want die zetten zelf wel een poort naar buiten open.
Zo naïef ben ik nu ook weer niet.

V.w.b. wat je zegt over Windows, dat is de eerste keer dat ik dergelijke onzin hoor. Verklaar je eens nader?
Want "vroegah" als je geen wachtwoord op je admin had kon je via de C$ naar binnen. Met wachtwoord gaat dat feest echter niet door. Dus hoezo veiliger zonder wachtwoord?

We raken echter nogal wat off-topic dus even nieuw onderwerp van gemaakt.

 

[Dr.Z]

Haha, ik had ook niet anders verwacht.

Nou, het verhaal wil, en dan heb ik het over de periode dat windows 7 net uit kwam, dat wanneer er geen wachtwoord is maar alleen een gebruikersnaam, je op geen enkele manier het systeem van buitenaf kon benaderen.
Om eerlijk te zijn heb ik dat destijds uitgetest en inderdaad was het systeem niet te benaderen vanaf het netwerk.
Je kon een gebruikersnaam invoeren, maar zonder wachtwoord kon je het vergeten en dat was juist het mooie, er was geen wachtwoord.
Maar, eigenlijk weet ik niet hoe dat nu zit.

Hier ga ik zeker op terugkomen wanneer ik weer eens een windows machine ga bouwen.
Dit gezegd hebbende moet er wel een inlognaam en wachtwoord ingevoerd worden, simpelweg omdat je niet verder komt in de installatie.
Maar toch, ik kom er op terug.

 

[Black Tiger]

Maar, eigenlijk weet ik niet hoe dat nu zit.

Zouden we eens moeten testen, volgens mij had ik er met W7 ook geen problemen mee om er gewoon in te komen.
Inderdaad weet ik wel dat als er geen wachtwoord was, er problemen konden zijn met shares, dus je was niet als client ingelogd en dan was die pc op de gewone manier via het netwerk niet bereikbaar.
Maar via de standaard admin share wel voor zover mijn herinnering reikt. Maar dat is wel te testen, leuke en interessante materie.
Zou me niet verbazen als Microsoft daar op een gegeven moment iets tegen gedaan heeft of dat er een wijziging heeft plaats gevonden dit doet, misschien juist op basis van het feit dat zoveel gebruikers geen wachtwoord ingaven.
Dus dat is leuk om eens te testen.

Overigens had ik laatst een Windows 10 installatie, gewoon standaard maar wel lokaal account en bij wachtwoord kon ik gewoon kiezen voor "overslaan". Was nochthans gewoon een officiële Microsoft iso, c.q. usb stick gemaakt via die Microsoft tool.

 

[Dr.Z]

Overigens had ik laatst een Windows 10 installatie, gewoon standaard maar wel lokaal account en bij wachtwoord kon ik gewoon kiezen voor "overslaan"

Oh, dat kan dus tegenwoordig weer.
Wanneer de wifi aan staat, vaak met een laptop, dan is het praktisch onmogelijk om geen account aan te maken en dit te skippen. Laat ik het zo zeggen dat dit mij nog niet is gelukt omdat de laptop een wifi zag en geen reden zag om zonder wifi verder te gaan.
Tijdens een laptopinstallatie moest ik in de auto stappen en ergens een afgelegen gebied in rijden om de laptop zonder windows-account te installeren.

Met een pc is het makkelijker omdat er dan nog geen drivers voor de lan-kaart zijn geladen.

Tussen haakjes, met moderne moederborden is het lastig om windows 10 te installeren. De bios eist windows 11..