Privacy & Cookies
Deze site maakt gebruik van cookies. Door verder te gaan, gaat u akkoord met het gebruik ervan. Meer informatie, waaronder hoe u cookies kunt beheren.
Twintig jaar geleden begon breedbandinternet opgang te maken en mensen wilden de mogelijkheid om meer dan één computer op hun nieuwe verbinding aan te sluiten, dus werden thuisnetwerkrouters van Linksys en andere verkopers populair. Dit was in de tijd dat DSL- en kabelbedrijven je dwongen het MAC-adres van je computer te klonen om het bedrijf wijs te maken dat je slechts ÉÉN apparaat op hun systeem had aangesloten. Deze vroege routers hadden niet al te veel ingebouwde beveiliging, maar boden netwerk adres vertaling (NAT) en deden in principe het werk.
Toen werd “wifi” een ding en draadloze routers werden toegevoegd aan de mix. Ik denk dat iedereen op een gegeven moment een Linksys WRT-54G moest bezitten (dat was de langst continu geproduceerde draadloze router, van Linksys als onafhankelijk bedrijf, tot nadat LinkSys was overgenomen door Cisco, tot terug toen Linksys ophield onderdeel van Cisco te zijn).
Er is dus geen reden anders dan “the hell of it” dat iemand zijn eigen router en firewall-apparaat moet bouwen. Er is echter veel voldoening in het doen van dingen voor “the hell of it.” Natuurlijk maken de gepubliceerde lijsten met bekende exploits op software van leveranciers die worden gebruikt door verschillende geavanceerde aanhoudende bedreigingen (APT’s) en andere kwaadaardige cyberactoren het nemen van meer controle over uw hardware/software/netwerk een verstandige stap.
Voor een standaard router/firewall heb je een computer nodig met twee netwerkinterfacekaarten (NIC’s). Een kan bedraad ethernet zijn, een kan draadloos zijn als je alleen van plan bent om een draadloos netwerk te hebben, hoewel mijn voorkeur uitgaat naar ten minste twee ethernet NIC’s. Mijn persoonlijke router/firewall is zo’n compacte industriële computer uit China met vier gigabit NIC’s van het merk Intel, die ik twee jaar geleden voor een zacht prijsje heb gekocht. Maar letterlijk elke PC met twee NICs voldoet op dit punt, omdat de software om een router/firewall te draaien zo licht is.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, zijn slechts enkele van de distributies die kunnen werken om een oude computer in een router/firewall te veranderen. Als je een oude router hebt die niet langer door de fabrikant wordt ondersteund voor software updates, zou ik naar OpenWRT kijken als de eerste keuze om de firmware te flashen om door de gemeenschap ondersteunde beveiligingsupdates te krijgen. Ironisch genoeg draaien veel commerciële routers in het lagere prijspunt al OpenWRT of een kleine variatie erop.
So….wat raad ik eind 2019 aan? Wel als je een echte PC met x86 processor (32 of 64 bit) wil gebruiken raad ik opnsense aan, en als je iets anders wil gebruiken dan OpenWRT als je kan. De uitzondering hierop is als u Ubiquiti-apparatuur gebruikt, die is gebouwd om hun versie van software op basis van VyOS uit te voeren (hoewel VyOS alleen opdrachtregel is, geen handige webinterface), dus vertrouwd raken met VyOS is waarschijnlijk beter voor die ene situatie.
Dingen die u MOET doen als u uw eigen apparaat bouwt.
Zet uw eigen virtuele privénetwerk (VPN) op dat u kunt gebruiken om terug te tunnelen naar uw thuisnetwerk terwijl u op reis bent. Hiermee kunt u openbare wifi op een veel veiligere manier gebruiken, omdat uw verkeer versleuteld van uw mobiele apparaat helemaal teruggaat naar uw router / firewall. Aangezien de overheid en het bedrijfsleven al weten dat u betaalt voor een internetdienst thuis, zien ze u vanuit huis surfen, en kunnen snuffelaars uw rekeningen, creditcard- of bankpasnummers, of andere gevoelige gegevens niet buitmaken. Het nadeel is iets minder performance, maar beveiliging heeft ALTIJD een performance hit.
Welke VPN software moet je gebruiken? Ik gebruik momenteel OpenVPN omdat het gebundeld is met pfsense, dat ik al gebruik. OpenVPN heeft ook client apps voor smartphones (die je kunt downloaden in de desbetreffende app store) en het heeft veel ondersteuning van de industrie/community. Het nadeel van OpenVPN is dat het niet echt gebruiksvriendelijk is om op te zetten (ik moest het client configuratiebestand handmatig bewerken om mijn laptopverbinding werkend te krijgen), en de verbindingstoepassingen zijn niet altijd de meest stabiele. Er is veel ophef over Wireguard als oplossing, en Wireguard is in de kernel van veel Linux distro’s opgenomen. Het nadeel van Wireguard is dat het nog steeds een “werk in uitvoering” is in termen van software ontwikkeling en dat ze nog steeds werken aan een stabiele 1.0 release (wat betekent dat als je nu adopteert je in wezen een beta tester bent).
Dus…waarom zou je je eigen router bouwen en je eigen VPN opzetten? Het is echt gewoon “for the hell of it” of u niet wilt betalen een maandelijkse vergoeding aan een commerciële VPN-service. Ik raad geen “gratis VPN” diensten aan omdat ik vermoed dat het allemaal pogingen zijn van verschillende staatsactoren om inlichtingen te verzamelen (voornamelijk China). Wat betreft de betaalde VPN-diensten die beloven niet naar je verkeer te kijken, ga ervan uit dat ze liegen (paranoia in communicatie is een GOED ding). En wat betaalde VPN-diensten betreft: caveat emptor.
Meer achtergrondinformatie over de gevaren van gratis en betaalde VPN-diensten: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Als u uw netwerk al hebt ingesteld zoals u wilt, en gewoon extra beveiliging wilt toevoegen met uw eigen VPN, is de oude TLS-oplossing (Traffic Layer Security) voor VPN’s met een Raspberry Pi met een laag vermogen een geweldige optie: https://pimylifeup.com/raspberry-pi-vpn-server/ en u kunt een OpenVPN-client gebruiken voor uw tunneling behoeften als u onderweg bent.
Samenvattend, veel van deze projecten zijn niet “gratis” in termen van hardware, frustratie, of tijd. Sommigen van hen hebben een leercurve. Maar het zijn allemaal goede dingen om te doen om uw informatiebeveiliging te verbeteren.