Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Submitter: vhartong

Een IsraŽlische startup Dojo-Labs heeft een hardwarematige firewall ontwikkeld die door verbonden te zijn met internetservers leert wat voor gedrag bepaalde apparaten wel of niet mogen vertonen. Na aansluiten monitort de firewall alle via het modem verbonden netwerkstromen

De bedoeling is dat het niet nodig hoeft te zijn om iets te configureren voor de firewall. Het steenvormige apparaatje waarschuwt gebruikers als er afwijkende netwerkactiviteit wordt waargenomen. Alleen bij rode waarschuwingslichten moet een gebruiker zelf iets doen. Vaak zal dat te maken hebben met het aansluiten van een nieuw apparaat binnen een thuisnetwerk en daarmee met de vraag via een app of het verkeer van het onbekende apparaat geblokkeerd of doorgelaten moet worden.

Het doel van Dojo is niet alleen het beveiligen van 'standaard' verbonden apparaten, maar ook internet-of-things-apparaten die nog moeilijker te monitoren en te beveiligen zijn. Daarnaast is de bedoeling dat het apparaat al bestaande apparaten in veel huishoudens, zoals smart-tv's die ineens communiceren met onbekende servers en online diensten, beter in de gaten kan houden.

De Dojo zelf bestaat uit twee onderdelen: een rechthoekig wit gedeelte dat in de netwerkaansluiting geplugd moet worden en het steenvormige deel. Dat laatste deel kan ook verplaatst worden, zodat het op een voor de gebruiker zichtbare plaats staat. Maar het apparaat kan ook een notificatie naar een telefoon sturen.

Het apparaat zelf moet 'veilig' zijn 'door het ontwerp', zegt een van de ontwikkelaars op Techcrunch. Dat betekent dat er naast twee benodigde ethernetpoorten, geen andere poorten inzitten. De gebruiker kan het niet zelf updaten of instellen, alles gaat via het auto-updatemechanisme en het cloudplatform. Volgens de ontwikkelaars is het zelfs niet mogelijk om bij het besturingssysteem te komen door het kastje open te schroeven. De communicatie loopt vanuit het apparaat en niet andersom. Het zou niet mogelijk zijn met een push-request toegang te krijgen.

Het systeem functioneert met behulp van een abonnementssysteem en wordt in eerste instantie verkocht in de Verenigde Staten vanaf maart 2016 voor 99 dollar. Daarna beginnen de abonnementskosten bij 7,99 dollar per maand.

dojo platform

Moderatie-faq Wijzig weergave

Reacties (57)

Ik zal uitleggen waarom ik (nog) niet geloof in dit soort devices.

IPS (intrusion Prevention System) waar dit ondervalt wordt door de grote firewall merken al jaren gebruikt/toegepast in grote/medium grote bedrijfsnetwerken (en providers). Deze merken investeren goud geld aan teams die al die "attack signatures" onderzoeken, uitpluizen om vervolgens in een monitoringssyteem te stoppen die al je traffic monitor'd en een team van mensen heeft zitten die al die attacks moet analyseren.

Je kan monitoren op verschillende lagen van het OSI model en daar heb je ook verschillende soorten attacks voor. om zonder ultra in de diepte te gaan over IPS is het ongekend complex om signatures te herkennen en heb je behoorlijk veel processor capaciteit (sommige vendors gebruiken hier zelfs speciale cpu's voor) nodig om al je traffic op deze attacks te kunnen filteren. (Grote merken zijn F5, Fortinet, Checkpoint enz.)

Daarnaast krijg je van allerlei systemen in je netwerk een bak meldingen op je DOJO, waarbij de gebruiker naast dat ie klikmoe is ook snel swipe moe wordt. Want de definitie ATTACK is wel heel breed.

Ook is het zo dat t gemiddelde huishouden behoorlijk veel internet bandbreedte heeft en je dit dus ook moet filteren, met een apparaat van 100 eu aanschaf en 8 eu abonnement gaat dit NOOIT lukken, 100% zekerheid.

De DOJO zal namelijk 100% statefull inspection moeten doen van alle UDP/TCP packets om deze vervolgens tegen een Signature database te houden om vervolgens de pakketten goed of af te keuren.

Das leuk als 20 connecties hebt met een throughput van 2 mbit...maar als je huishouden een paar IOT devices hebt draaien die allerlei zaken downloaden, te netflixen, te bittorrenten enz. wordt het digitaal horde lopen met je veters aan elkaar vast, gevolg eerste hekje op je bakkes, en je internet snelheid wordt kansloos terug gethrottled omdat de DOJO eerst de pakketjes moet checken.

De grote Firewall vendors rekenen voor een beetje IPS/AV/Application monitoring een paar duizend (zo niet 10k of meer) euro om te filteren (en dan heb ik nog niets gezegd over de jaarlijks terugkerende subscriptions), dus 100 eu voor een kastje tussen je internet verbinding en je thuis netwerk is niet geloofwaardig dan alleen een slim commercieel '-onbekend maakt onbemind ik stuur je een appje marketing product-'.

ik bekijk t sceptisch van een afstandje,....laat eerst maar eens wat getallen/benchmarks zien....
In principe hoef je na de eerste driehonderd BT pakketjes naar dezelfde poort niet alles meer helemaal door te spitten; dat traffic profile kun je bijvoorbeeld gewoon gaan doorlaten. Idem voor dezelfde zwik aan pakketjes tbv Netflix oid die je toch wel heel duidelijk vanaf dezelfde externe IP's binnen ziet komen. Is dit even veilig als de solutions geboden door de grote vendors, zoals jij aanhaalt? Niet echt - zeker niet voor bedrijfsmatig gebruik, maar privť kom je er al een eind mee. Je vangt allicht dat virusje dat aan een of andere wause CnC IRC server wil gaan hangen of die binnenkomende poging te zien of er wat sappige poortjes openstaan, en noem zo nog maar wat voorbeelden op.

De threat profile waar je redelijkerwijs rekening mee moet houden is ook veel lager; het loont bij lange na niet zo zeer om rond te spitten in thuisnetwerkjes als dat het loont als je wat sappige documentjes bij een (uiteraard specifiek targeted) bedrijf kunt inzien.
Het is derhalve ook helemaal niet zinnig voor thuisgebruik even rigoreus in alle verkeer te gaan graven als dat op wat meer profi netwerken nog wel wil voorkomen.

Ik wil zeker niet zeggen dat dit nu per sť een geweldige oplossing is (integendeel, ik deel je scepsis tot op zekere hoogte ook wel!) maar de vergelijking met profi IPS appliances gaat IMO toch wat mank.
Slechts 1 ethernet poort? Hoe zet je die firewall dan tussen je LAN en je WAN?
Was ook mijn eerste gedachte. Als je bijv. met Wireshark verkeer wilt tappen dan moet je al zorgen dat het verkeer DOOR jouw monitoring setup loopt. Even inprikken en meeluisteren op je netwerk heeft geen zin.
Doe ik anders regelmatig en nooit problemen mee. Even instellen in de switch dat je poort een monitoring port is en aangeven welke vlans/poorten je wilt mirroren en klaar.
Je tweede stuk is voor een normale gebruiker al onmogelijk :+ Stel jij dat maar eens even in op een standaard Ziggo routertje ;)
Daar gaat het niet over, het ging er over of het kon of niet, en het kan wel degelijk. Heel simpel zelfs.
Een hub van de oude stapel. Een ARP table flooden op een oude router... Er zijn wel meerdere methoden om het verkeer in een netwerk af te luisteren zonder een gateway te zijn.
Hmm. Ik krijg dat laatst wel gedaan op een standaard Telfort routertje...
Ik ben het principe met je eens, met de aanvulling dat het dan gaat om een intrusion detection system, terwijl een firewall actief verbindingen moet kunnen toestaan en weigeren. Dan is een monitoring poort geen oplossing meer.
Dan stel je 'm in als een one-armed-router, ik zie het probleem nog steeds niet.
Niet nodig hoor. Netwerk adapter in promiscue mode en je kunt alles tappen wat voorbij komt.
Er komt alleen verkeer langs dat voor jou bedoelt is tenzij je je switch zo instelt dat je wilt meeluisteren op andere poorten/vlans.
Daarom dus de promiscue mode, waarbij je eigen netwerkkaart niet langer alles dropt wat niet voor jou bedoeld is.

Maar het toepassen van een mirroring port is nog steeds iets heel anders dan een firewall.
Probleem zit niet in de eigen netwerkkaart, maar in de switch: Die zal niet iets naar jouw kaart sturen wat niet voor hem bedoeld is, tenzij je op de switch monitoring aanzet richting jouw poort.
Trechte opmerking, er zitten weldegelijk twee poorten op. En een DC-jack. Is zichtbaar ťťn van de filmpjes op hun website.
Dat staat ook gewoon in het artikel. Goed lezen is ook een kunst.

[Reactie gewijzigd door dezwarteziel op 24 november 2015 16:11]

Te zien op dit filmpje zitten er 2 ethernet poorten op. https://www.youtube.com/watch?v=cONy6jHzQo4.
Ha, ja.. dat is wat lastig met dingen die nog niet af zijn. Wat ik vermoed is dat er bedoeld wordt dat je het apparaat tussen de router en het modem plaatst, dus heb je een ingaande en een uitgaande poort, anders kan het netwerkverkeer niet gemonitord worden... Lijkt mij het meest logisch eigenlijk. Maar ik kan nog geen gebruiksaanwijzing vinden.
Ik heb jarenlang een firewall/router gedraaid op een bak met maar 1 ethernet poort. Waarom zou dat niet kunnen ?
Het kan inderdaad, maar is wel een stuk lastiger in te stellen.
Je kan ook VLAN's bridgen maar dan moet je wel een duurdere switch hebben.
\Daarnaast is de bedoeling dat het apparaat al bestaande apparaten in veel huishoudens, zoals smart-tv's die ineens communiceren met onbekende servers en online diensten, beter in de gaten kunnen houden.
Ik vind het idee interessant maar ik vraag me af of je IoT devices echt kan beveiligen. Je kan het toestaan of niet maar dan werkt je device waarschijnlijk niet meer.
Zou wel willen dat je makkelijk een deep packet inspection kan doen en je goed kan zien wat een IoT device met je gegevens doet. Wat je tv bijvoorbeeld allemaal aan Samsung meld.
Lees het artikel eerst even.
Het apparaat zelf moet 'veilig' zijn 'door het ontwerp', zegt een van de ontwikkelaars op Techcrunch. Dat betekent dat er naast twee benodigde ethernetpoorten, geen andere poorten inzitten.
:| Geeft toch wel een beetje een creepy gevoel dat je een Firewall nodig hebt voor je eigen schakel apparatuur in het huis
Ik heb een betere oplossing die me een veel veiliger gevoel geeft dan een gesloten firewall die zelf ook weer van alles via de cloud doet: gewoon geen 'slimme' apparatuur kopen. Smartphones hebben al bewezen dat je met 'slimme' apparatuur altijd problemen krijgt, waarom zou je dat je hele huis aan willen doen? Voor mij geen schakelaars met wifi of koelkasten die zelf boodschappen gaan bestellen. Ik ben prima in staat zelf een knopje om te halen wanneer ik ergens een apparaat of een lampje aan of uit wil hebben.

Dit hele ding is eigenlijk een oplossing voor een luxe probleem. IoT probeert problemen op te lossen die er niet zijn.
Volgens mij is een smartphone nou juist een voorbeeld van een stukje consumentenelektronica waar mensen erg tevreden mee zijn en ook veel gebruiken. Een smarthome is inderdaad luxe net zoals een smartphone. We leven bijna in 2016 en dan is het best wel treurig om te constateren dat de meeste huizen behoorlijk dom zijn en bijvoorbeeld niet eens bewust zijn van de aan- of afwezigheid van de bewoners. Wat voor een huis ben je dan zeg. Systemen zoals verwarming, ventilatie, zonwering en verlichting kunnen efficiŽnter en aangenamer werken als een huis bewustzijn en intelligentie heeft.

Ik ben het met je eens dat je je huis niet in andermans cloud moet stoppen of direct aan internet moet hangen. Het bouwen van een smarthome begint bij het connected maken van systemen en apparaten in huis. Dit moet in de eerste plaats via een lokaal netwerk en niet door die apparaten met een internet of things te verbinden.
Op zich mee eens. Echter, de realiteit is in zoverre weerbarstiger dat de huidige trend is dat leveranciers van IoT-apparatuur een internet-connectie naar buiten verlangen. Het lukt ze nog niet goed om de meerwaarde hiervan over te brengen (met als toppunt de reclame dat je vanaf je vakantie-adres thuis de lichten uit kan doen om een medebewoner te pesten - ik verzin dit niet).

Voor tweakers zijn er andere, complexere oplossingen beschikbaar, maar Jan en alleman zullen voor commodity oplossingen gaan en daar is dit nu eenmaal de norm. Kortom, het is zeer denkbaar dat we over tien jaar met allerlei apparaten in ons huis zitten die onderling met elkaar communiceren, en de bijbehorende interessante data in de cloud opslaan. Het huis wordt misschien dan wel slimmer, de leveranciers profiteren hiervan het meest (zeker als ze het ook nog kunnen slijten met een verplicht abonnement) en hackers krijgen een geheel nieuwe speeltuin.

Dus, ik denk dat het een aardige conclusie is dat dit inderdaad niet per sť het scenario gaat worden waar de gemiddelde huizenbezitter op zit te wachten. Nog even los van de echt toegevoegde waarde van IoT (de eerste slimme thermostaat die daadwerkelijk significant energie bespaard moet nog uitgevonden worden - maar de energiebedrijven zijn blij met alle data, hoor :Y) ).
Als consumenten elektronica (witgoed, etc) meer met domotica kan interfacen dan klik aan/uit kan het nog wat worden. Anders blijft het een veredelde afstandsbediening.
Systemen zoals verwarming, ventilatie, zonwering en verlichting kunnen efficiŽnter en aangenamer werken als een huis bewustzijn en intelligentie heeft.
Als de kleine thuiskomt in de week dat hij bij mij is zet hij de verwarming aan, en als hij bij zijn moeder is zet ik die wel aan als ik thuiskom. In 10 minuten is het warm. Zonwering en ventilatie heb ik niet eens, en als ik niet eens op een verlichtingsschakelaar kan duwen als ik thuiskom, dan ben ik wel echt slecht bezig.
Tsja heb er al last van domotica en wireshark, nu nog een usb transmitter en kan ik eindelijk zien waar die hackers vandaan komen...

Helaas nog geen geld voor 866 mhz usb stick hoe bevalt het autorijden trouwens?
gesloten en dan ook nog een abbonement... laat maar.
Ik zet wel een pfsense firewall op en leer zelf wel wat mijn IoT-devices willen en wat ik toelaat. Dan leer ik er ook nog van.

Die trend van maandelijks betalen zie je steeds meer en an sich lijkt mij dat een beter verdienmodel dan iets 1 keer betalen en dan lopen smeken om updates. Ik wil echter alleen investeren in bedrijven die open-source zijn en er ook zijn voor de gebruikers middels een forum o.i.d.
Dit kan ik niet terugvinden op hun website.

[Reactie gewijzigd door Ravhin op 23 november 2015 14:24]

Dat is de tweaker-way inderdaad.
Ik ken echter genoeg mensen die wel een 'smart-home' willen hebben, maar niet aan security willen denken. Ik heb een deel van het originele artikel gelezen (niet alles), maar juist voor die mensen is dit ontworpen.

Nieuw device gevonden, berichtje in de app, wat mag dit device wel/niet doen?
Device dat ineens iets heel anders gaat doen, wat gaan we hiermee doen?

Simpel ja/nee principe. juist voor de absoluut-niet-tweaker is dat een mooie en elegante oplossing (die ongetwijfeld ook wel wat foutjes heeft).

Over dat abonnement. Ieder merk firewall/UTM heeft een abonnementsvorm. Daar sta ik niet meer van te kijken.
Het gesloten, tjah, ze doen aan een stukje security by obscurity, dat geeft mij ook geen heel prettig gevoel, van de andere kant, als ze zelfs claimen dat er geen 'ongebruikte poorten' op het device zitten waarmee je zou kunnen proberen te verbinden als je het apparaat open sloopt, is er wel een beetje nagedacht over de beveiliging.

[Reactie gewijzigd door walteij op 23 november 2015 14:53]

En dat zie ik dus ook niet zitten. Hoeveel mensen hebben niet in Windows Vista toestemming gegeven aan virii en trojans om te installeren om ze 'klikmoe' waren? Dat zie ik nu ook gebeuren met het systeem wat de ontwerpers voor ogen hebben. Zeker in het begin zal de 'steen' verzoeken uitspuwen van IoT waarvan je geen idee hebt of je het moet toestaan of niet. En kan je een beslissing 'revoken'? Geen idee, weet je wat, laat maar toe.
Er zijn een aantal layers aan beveiliging die je nodig hebt als consument "Henk en Ingrid":
  • beveiliging tegen internet - deze wordt vaak als door de ISP geleverd (XS4ALL heeft er zelfs zelfinstelbare levels in)
  • beveiliging in huis - wederom de ISP via een vooraf geconfigureerde router of modem
Als Henk/Ingrid zal het je boeien als je IoT contact maakt, je wil alleen maar volledige functionaliteit van je TV/koelkast/scheerapparaat. Het zijn juist de tweakers die dit zelf willen aanpassen, die er interesse/kennis in hebben en die markt kan zichzelf prima bedruipen. IMHO een nicheproduct waar geen niche voor is.

[Reactie gewijzigd door Ravhin op 23 november 2015 14:38]

Ik heb weinig tot geen argumenten tegen je bezwaren. Sterker nog, ik deel ze eigenlijk wel :).
Ik denk echter wel dat als onderdeel van het abonnement de leverancier een aantal templates zal hebben voor type devices (Nest, Panasonic Smart TV's, verschillende type DLNA devices, NAS en ga zo maar door). Voor die devices zou je dus niet lastig gevallen horen te worden.
En dan kan het wel een toegevoegde waarde hebben voor 'Henk en Ingrid'. Want dan worden ze alleen maar lastig gevallen bij onbekende apparaten, of apparaten die iets doen wat niet standaard is.
Als je veilig wil spelen moet je apparaten als koelkast / TV / scheerapparaat NIET met internet verbinden, alleen je lokale netwerk. Dat zijn immers potentiele veiligheidslekken.
Dan kun je nog steeds online films naar je TV streamen met bijv. een DLNA server of EZcast aan je TV zolang je apparaat met wel internet de stream aanbiedt.
M'n koelkast en scheerapparaat zit in een aparte VLAN... ik wil die dingen net NIET in m'n eigen LAN... wie weet wat voor data capturen ze daar en sturen ze door zonder dat ik het weet ?
M'n koelkast en scheerapparaat zit in een aparte VLAN... ik wil die dingen net NIET in m'n eigen LAN... wie weet wat voor data capturen ze daar en sturen ze door zonder dat ik het weet ?
Juist en daarom die apparaten niet met internet verbinden.
Het probleem is dat sommige toestellen gewoon niet werken dan (vandaar dat m'n voorkeur er ook nog steeds naar uitgaat dergelijke toestellen niet te kopen), dus als het dan toch moet zet ik ze in een aparte VLAN (dan kunnen ze al geen andere dingen bespioneren).
Ik haak af bij al die systemen (Tone, Nest, etc) bij het woord abonnement of nadat ik het specifiek met moeite heb kunnen vinden. Het is heel leuk om het eerste half jaar precies te weten wat men precies gebruikt, echter interesseert het niemand. Dat duurzame interesseert ook niemand tenzij het geld bespaard. En dat laatste doet het ook niet, omdat je knap moet verstoken voordat je 10 euro per maand kunt besparen.

Het enige dat enigszins interessant is, is een systeem die remote je verwarming aan/uit zet voor geval je alleen woont en soms wat later thuis komt.
Inzicht in je verbruik kan heel handig zijn. Ook bediening op afstand is een fijne feature. Maar voor een beetje tweaker is het echt niet nodig om dat allemaal via een online site van een ander te laten lopen. Ik heb zelf CV-bediening, energie-, en allerlei overige metingen, lampen schakelen etc geÔmplementeerd op een rpi en alleen benaderbaar via een vpn, dus alles in eigen beheer. Als (bijv.) de Nuon mijn data in wil zien, nemen zij maar een abonnement bij mij :P
Toevallig heb ik vorige week met hetzelfde doel een RPI aangeschaft. Ben begonnen met de temperatuur sensor en dat gaat stapje voor stapje verder.
Zoiets als de Cujo https://www.indiegogo.com...n-t-get-hacked-get-cujo#/
Wat ik me dan afvraag moet zoiets niet ertussen zitten? zoals mijn sophos utm, die zit tussen ziggo modem en switch.
Of doet deze soort van wireshark packet sniffing.

[Reactie gewijzigd door thalantis op 23 november 2015 14:28]

Meer fabrikanten zijn met zoiets bezig. Ik kwam deze tegen: https://www.f-secure.com/en/web/home_global/home. Ook een abonnementsvorm. Hoewel iets anders. Heeft voor en nadelen. Deze scant dan weer voornamelijk op virussen en malware zonder dat je op al je apparaten virusscanners hoeft te installeren. Ook erg gemakkelijk.

Ik verwacht dat er meer van dit soort oplossingen het komende jaar gaan komen.
Dus om controle over de apparaten in je eigen netwerk te houden, moet je een apparaat aanschaffen waar je zelf niet in kunt, zijn software uit de cloud haalt, en dingen doet op jouw netwerk waar je geen controle over hebt, maar zich wel tussen al je netwerkverkeer nestelt. Van een bedrijf uit Israel. En vervolgens mag je daarvoor per maand ook nog eens betalen.
Dat hoeft niet, je kan ook een server ervoor zetten en daar een adaptive firewall toepassen.
Het verschil is dat men laten geloven het nodig en nieuw is (net zoals de term cloud, de techniek bestaat al flink aantal jaren).
Wordt wel heel interessant om een back-door te vinden in hun update server...
De gebruiker kan het niet zelf updaten of instellen, alles gaat via het auto-updatemechanisme en het cloudplatform.
Dit stelt mij toch niet helemaal gerust. Ik bedoel ik weet dat er genoeg mensen zijn die niet updaten. Maar om je updates automagisch te laten doen. Waarschijnlijk ook weer een 'magisch kastje' waar je niets kunt inzien van de onderliggende code.

Het speelt overigens wel in op een goede hoek. Veel internet-of-things apparaten krijgen niet of nauwelijks updates. Het laatste wat je wilt is dat je smartlamp of koelkast vatbaar blijkt te zijn voor een oude heartbleed achtige exploit of iets. Dat je netwerk wordt gekraakt omdat je smartlamp nooit een update heeft gekregen.
Kun je dan niet beter een RPi met OS/Software X (geen idee welke software het beste presteert) kopen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True