Een internetverbinding gebruik je niet alleen maar om zelf data naar binnen te halen; steeds meer apparaten communiceren ook zelf met de buitenwereld. Daarvoor worden meestal drie methodes toegepast: UPnP, port forwarding en tunneling. Door goed in de gaten te houden hoe de apparaten binnen je netwerk naar buiten communiceren, kun je je privacy handhaven en je security verbeteren. Buitenshuis is je veiligheid net zo belangrijk en kan een vpn-provider zoals NordVPN je veiligheid en privacy verbeteren.
Internetverbindingen worden niet alleen voor computers en smartphones gebruikt, maar ook voor tal van andere slimme apparaten, zoals camera’s, alarmsystemen, keukenapparatuur en thermostaten. Feitelijk zijn het allemaal kleine servers. Dat biedt allerlei handige functionaliteit, maar het is niet altijd even veilig als je die apparaten hun eigen gang laat gaan.
Artikelenreeks
Dat is binnenshuis, maar buitenshuis is veiligheid uiteraard ook belangrijk. Wanneer je gebruikmaakt van andere netwerken loop je kans dat je verkeer afgeluisterd wordt. Dat geldt zeker bij publieke hotspots, waar de man-in-the-middle makkelijk mee kan kijken met jouw verkeer. Door een tunnel op te zetten naar een vpn-provider maak je het kwaadwillenden een stuk lastiger om met je mee te kijken.
UPnP: een groot risico
Het maken van een internetverbinding tussen een apparaat binnen je netwerk naar buiten is nog niet zo simpel. Een van de meest gebruiksvriendelijke methoden is Universal Plug and Play. Dat moet dit proces net zo simpel maken als het inpluggen van een USB-stick in je computer. UPnP is dus gebruiksvriendelijk, maar dat komt niet zonder gevaren.
Security is niet goed meegenomen in de ontwikkeling van deze standaard. De afgelopen jaren hebben hackers al diverse keren de kwetsbaarheden van UPnP blootgelegd. Nieuwe UPnP-stacks bevatten oplossingen voor deze fouten. Helaas heb je daar niet veel aan. Goedkopere nieuwe apparaten maken namelijk vaak nog gebruik van oude stacks mét fouten en oudere apparaten krijgen niet altijd updates. Zeker bij goedkopere apparaten wordt op veiligheidsupdates bezuinigd. Vanwege deze grote risico’s kun je UPnP beter uitschakelen op je router. Het UPnP-protocol is vaak onveilig. Net als bij port forwarding heb je een aantal open poorten aan de buitenkant van je netwerk en ook ben je niet zeker of de fabrikant een veilig protocol gebruikt. Een router met een vpn-verbinding kan hier de veiligheid verhogen.
Port forwarding
Port forwarding is wat minder gebruiksvriendelijk dan UPnP. Feitelijk is het de digitale versie van het doorprikken van verbindingen in de patchkast. Wil je bijvoorbeeld een webserver laten draaien om te spelen met WordPress of een ander cms, dan moet je aan de buitenkant van je router (wan) 80 en eventuele andere benodigde poorten doorlaten naar de poort op het interne ip-adres van je webserver. Met andere woorden: poort 80 wordt doorverbonden naar de poort op het ip-adres dat je definieert in je router of modem.
Internetpoort 80 wordt doorgelaten naar het interne ip-adres van een webserver. Het inregelen op deze manier kan best wat tijd kosten.
In de praktijk worden heel veel poorten gebruikt door apparatuur en software. Dat maakt dat het bijhouden van de poorten in je router best veel werk kan zijn. Ook is het belangrijk om in de gaten te houden of de forwards nog correct zijn. Als je binnen je netwerk werkt met dynamische ip-adressen kan het voorkomen dat je een poort per abuis doorverbindt naar een apparaat dat helemaal niet op die manier met het internet verbonden moet zijn. Dan loop je dus het risico dat apparaten die niet goed beveiligd zijn per ongeluk toegankelijk worden via het net.
Een makkelijke, maar best gevaarlijke methode om te koppelen, is het plaatsen van een apparaat in een dmz. De demilitarized zone is het niemandsland van je router. De meeste consumentenrouters bieden de mogelijkheid om een ip-adres aan te wijzen binnen de router die al het niet-doorgeluste verkeer ontvangt. Het is alleen een goed idee om dit te gebruiken als het apparaat dat je in de dmz plaatst voorzien is van goede, up-to-date beveiliging. Ook is het aan te raden om je slimme apparaten in een apart vlan te plaatsen. Hier geldt dat je ip-adres aan de wan-kant van je router het grootste risico geeft. Door af en toe te wisselen van ip-adres via een vpn-provider verminder je het risico dat je open poorten worden ontdekt.
Tunneling
Een andere methode om diensten te koppelen is tunneling. Thuis heb je een dynamisch ip-adres en dat is niet zo praktisch als je van buiten een verbinding wil leggen naar je thuisadres. Het ip-adres kan immers veranderen en dat moet je bijhouden. Via dynamische ip-diensten kun je dat verhelpen. Met tunneling wordt op een server van de fabrikant van het product een verwijzing bijgehouden naar jouw thuisnetwerk. Sommige producten, zoals Synology QuickConnect, zijn transparant over deze methode, maar veel andere apparaten verbergen deze truc in de app. Ook hier geldt dat er een risico is, want er wordt wel een veilige verbinding gebruikt, maar het is de vraag wat het apparaat precies doet. Helaas zijn veel fabrikanten hier schimmig over. Daarnaast gebruiken niet alle fabrikanten veilige protocollen voor de versleuteling van de tunnel. Hier geldt dat een vpn-verbinding meer zekerheid biedt over de kwaliteit van de encryptie van de tunnel.
Zo werkt tunneling bij Synology QuickConnect
Een vpn-dienst is een handige aanvulling
Een vpn-dienst is een belangrijke aanvulling op je veiligheid. Door een beveiligde verbinding op te zetten met bijvoorbeeld NordVPN kun je man-in-the-middle-aanvallen tegengaan. Vooral bij het gebruik van openbare of andere netwerken is het aan te bevelen om je verkeer te versleutelen. Denk bijvoorbeeld aan een vakantie in het buitenland, waar het regime zich wellicht niet zoveel aantrekt van je veiligheid en privacy. Al maakt het gebruik van een vpn je daar soms wel verdacht. Ook thuis kan het een voordeel bieden, omdat je ook daar je anonimiteit ermee kunt vergroten.
Door een vpn-verbinding op te bouwen vanuit je router bescherm je alle apparaten in je netwerk
Daarnaast kun je een vpn-verbinding ook gebruiken om het verkeer vanaf je eigen thuisnetwerk te versleutelen. Hiermee wordt dat verkeer anoniemer en kan de fabrikant of eventuele tussenpartijen die voor je iot-apparatuur worden ingezet het verkeer minder makkelijk naar je herleiden. Om hiervan gebruik te maken heb je een OpenVPN-client nodig in je router. Heeft je router die functie niet, dan kun je eventueel OpenWRT of DD-WRT installeren op je router, of een pfSense-firewall aan je netwerk toevoegen. Bijkomend voordeel is dat na de installatie van een vpn op je router ál je apparaten in huis zijn beveiligd.
Beveiliging is prioriteit
Heb je niet de mogelijkheid om dat te gebruiken, dan is het belangrijk om na te denken of je écht UPnP aan moet hebben staan. De veiligheidsrisico’s van dit protocol zijn erg groot. Zet het daarom liever uit! Port Forwarding is veiliger, want daarmee weet je wat er precies gebeurt. Hier geldt wel bij dat je goed in de gaten moet houden of de forwards goed zijn geconfigureerd. Dat kost dus meer tijd om te onderhouden. Het principe van tunneling is vrij gebruiksvriendelijk en veiliger, maar niet altijd transparant. Het is daarom belangrijk om goed in de gaten te houden welke apparaten naar buiten communiceren, en als ze dat doen of dit verkeer veilig is. Regelmatig je netwerkverkeer monitoren en in de gaten houden wat al die apparaten in je netwerk precies doen is het devies. Voeg je een nieuw apparaat toe? Hou het verkeer tegen het licht en bedenk hierbij: meer apparaten betekent al snel meer risico’s.
Buitenshuis geldt dus ook dat je de veiligheid in de gaten moet houden. Zeker in openbare netwerken. Een vpn-dienst zoals NordVPN waarmee je je verkeer kunt versleutelen komt dan van pas. Daarnaast kun je binnenshuis gebruikmaken van een vpn-dienst om je locatie te maskeren en veilige tunnels op te zetten, en dat biedt voordelen bij bijvoorbeeld downloaden en het vinden van aanbiedingen. Check hier de aanbiedingen van NordVPN om je veiligheid te vergroten. Daarnaast heeft NordVPN ook een Cyber Monday-actie: 68% korting + 3 maanden gratis. Deze actie vind je hier.
Welke ervaringen heb jij met de beveiliging van je thuisnetwerk en slimme apparaten? Gebruik jij een vpn buiten de deur of ook thuis? Welke oplossingen gebruik jij? Heb je tips voor andere tweakers, deel ze dan hieronder.
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij NordVPN en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].