Een slim apparaat bevat tenminste een microcontroller die via software een of een berg aan zaken kan regelen. Alleen voor het apparaat zelf – denk aan een slimme lamp – of voor aan een apparaat gekoppelde apparaten. Denk aan bijvoorbeeld een multiroom audiosysteem waarvan alle componenten onderling gegevens uitwisselen. Veel van die slimme apparaten zijn via wifi (en soms via een netwerkkabel) gekoppeld aan jouw thuisnetwerk. En via dat thuisnetwerk kunnen ze ook contact maken met internet. ‘Handig’, horen we je nu denken, ‘voor updates of bedienen op afstand’. Klopt, zeker zolang er nog updates geleverd worden. Maar dat houdt vaak al verrassend snel op, terwijl de gemiddelde slimme lamp nooit een enkele update te zien krijgt.
Het aantal slimme, connected apparaten in een gemiddeld huishouden groeit gestaag, dat mag geen nieuws heten. Wat een hoop mensen echter nog altijd niet ziet is, dat deze 24/7 aan internet hangende apparatuur – zeker op termijn – een groot veiligheidsrisico vormen. Je kunt dat wat indammen door alles wat ‘slim’ en connected is, aan een afzonderlijk netwerk te hangen.
Sneaky dataverzamelaars
Veel ernstiger is, dat een leger aan goedkope merkloze slimme apparaatjes woonkamers en kantoren veroveren. Het is niet de eerste en zal zeker ook niet de laatste keer zijn, dat ontdekt wordt dat een IP-camera, een lamp (daar is ie weer) of zelfs een tv net iets te veel gebruikersgegevens verzamelt en doorstuurt naar z’n maker. Of probeert op slinkse wijze allerlei netwerkverkeer te onderscheppen en analyseren. Gadgets van Chinese makelij blijken bijvoorbeeld telkens weer geladen te zijn met twijfelachtige spyware.
Op naar een veilige oplossing
We kunnen nog pagina’s vol schrijven over de nadelen van continu aan internet hangende apparaten, maar focussen ons liever op mogelijke oplossingen. Wat in ieder geval moet gebeuren, is het scheiden van netwerken. Een apparaat alleen blokkeren op basis van een IP-adres biedt niet de gewenste veiligheid. Geavanceerde routers – vaak bedoeld voor meer zakelijk gebruik – ondersteunen het opzetten van een of meerdere VLAN’s. Waarbij VLAN staat voor Virtueel LAN. Heel mooi, maar dit soort routers zijn vaak duurder dan de gemiddelde exemplaren. Gelukkig zijn er ook veel routers die guest access bieden. Zo’n gastennetwerk is feitelijk ook niks anders dan een gescheiden VLAN, alleen kun je er dit keer maar één van instellen. Voor thuisgebruik echter meer dan voldoende! Voordeel van een guest netwerk op eenvoudiger routers bedoeld voor thuisgebruik en kleine bedrijfjes is bovendien dat het aanzetten een eitje is.
Instellen van een gastnetwerk, op een Fritz!Box
Laten we eens kijken naar een Fritz!Box alhier, een 7530 om precies te zijn. Na inloggen bij de webinterface klik je in de kolom links onder Wi-Fi op Guest Access. Schakel dan in het paneel rechts de optie Guest access enabled in. Zorg dat je vervolgens beslist de optie Private Wi-Fi guest access selecteert! Kies je voor een Public Wi-Fi hotspot, dan kan de hele wereld straks bij je apparaten die je koppelt aan het gastnetwerk, een beduidend minder en z’n doel redelijk voorbij schietend idee.
Scroll een stukje naar beneden en verzin een naam voor je gastnetwerk, bijvoorbeeld Smart of iets onschuldigers. Kies onder Encryption voor WPA2 + WPA3. Heb je een ouder (antiek…) slim apparaat dat niet met deze versleutelstandaarden overweg kan, dan adviseren we je met klem om daar echt afscheid van te nemen. WPA in z’n oorspronkelelijke uitvoering is extreem onveilig en makkelijk te kraken. Een draadloos netwerk waar via WPA aan gekoppeld kan worden wil je anno nu echt niet meer in de lucht houden.
Stevig wachtwoord
Vul tot slot een stevig wachtwoord in in het daarvoor bestemde veld. Gebruik bij voorkeur een wachtwoordgenerator en wachtwoordbeheerder om het wachtwoord te bewaren. Lastig om in te tikken de eerste keer (al volstaat copy-paste meestal als een smart device een webinterface heeft), geven we toe. Maar anderzijds hoef je het per apparaat maar één keer te doen, waarna je er geen omkijken meer naar hebt. Ga voor extra veiligheid, waar het prijskaartje van wat lastiger invoeren aanhangt.
Koppel aan het nieuwe netwerk
De overige instellingen in de Fritz!Box betreffende het gastnetwerk zijn voor ons doel niet zo heel interessant, klik dus op Apply om de instellingen door te voeren. Als je nu via bijvoorbeeld je smartphone eens kijkt wat er zoal aan wifi-netwerken beschikbaar is, zie je het nieuwe netwerk in de lucht. Koppel er maar aan en je ziet dat je direct toegang tot internet hebt enzovoort. Echter: wil je bijvoorbeeld ándere netwerkapparaten in huis (een NAS, je streamer enzovoort) benaderen, dan zie je dat die niet beschikbaar zijn. En dat is precies wat we wilden bereiken: die zijn namelijk op je standaardnetwerk te vinden en niet op het gastnetwerk!
Apparaten verhuizen
Nu is het tijd om álle slimme apparaten naar het gastnetwerk te verhuizen. Het best werkt dat door ze het standaard wifi-netwerk te laten vergeten en te koppelen aan het nieuwe. Hoe dat precies werkt verschilt vanzelfsprekend per apparaat. Mogelijk heb je de handleiding nodig, een configuratietool of is er een webinterface beschikbaar. In het laatste geval is vaak eveneens voorzien in een ingebouwd help-bestand wat het allemaal net wat makkelijker maakt. Apparaten voorzien van een beeldscherm(pje) – denk aan een tv – zijn veelal via het apparaat en de afstandsbediening of druk/aanraakknoppen in te stellen. Overigens: we noemen dat vergeten van het standaardnetwerk niet voor niets, daarmee voorkom je dat een apparaat toch weer inlogt op het standaardnetwerk.
Nadelen (die creatief oplosbaar zijn)
Is alles eenmaal gekoppeld, dan bedien je alle apparaten als vanouds. Met één verschil: je smartphone of tablet met daarop apps die dingen als een streamer, je lampen of een rolgordijn besturen moet dan wel ook aan dat gastnetwerk gekoppeld worden. Dat is dan meteen het meer onhandige deel van deze oplossing. Qua veiligheid is het een enorme verbetering, maar je blijft wel schakelen tussen netwerken. Een overweging is om een goedkope smartphone (liefst wel van een A-merk en geen Chinees fantasiemerk) aan te schaffen. Prik er geen SIM-kaart in, want dit wordt namelijk je universele controller voor al je connected en (of) slimme apparaten. Installeer hier alle benodigde apps op en gaan. De meer technisch begaafden zouden ook kunnen overwegen een Raspberry Pi in te richten en deze met een (aanraak)scherm op een strategische plek in de huiskamer op te hangen; via een webbrowser kunnen dan via de webinterfaces van allerlei apparaten zaken bediend worden.
Om te checken welke apparaten precies aan je gastnetwerk gekoppeld zijn, klik je in het verticale menu links (in de webinterface van de Fritz!Box, wederom) onder Home Network en dan op Mesh. Scroll helemaal naar beneden tot het kopje All connected devices in the guest network. Voilà.
Maar ik heb geen Fritz!Box…
Heb je geen Fritz!Box, dan is er geen man overboord. Enige vereiste is, dat jouw router een gastnetwerk ondersteund (of VLAN’s, maar da’s weer iets voor een ander artikel). Als dat het geval is, moet je simpelweg via de webinterface inloggen en op zoek gaan naar de instellingen voor het gastnetwerk. In principe zal de werkwijze daarvoor nauwelijks afwijken van wat in dit artikel beschreven is. Alleen zal het er allemaal net iets anders uitzien en zullen opties net wat anders heten. Is het gastnetwerk eenmaal geactiveerd, dan is er qua gebruik verder geen enkel verschil meer. Heeft jouw router geen optie voor het opzetten van een gastnetwerk, en je wilt dit idee toch graag toepassen, dan is het zaak om uit te kijken naar een nieuwe router. En goed op te letten (lees de specs, check de verpakking, vraag na et cetera) voor aankoop. Heb je eenmaal de juiste router in handen, dan kan de pret beginnen.
Sommige routers bieden verder naast een wifi-gastnetwerk ook de optie om één van de beschikbare ethernetpoorten aan het gastnetwerk te koppelen. Door daar dan weer een switch aan te hangen kun je ook bekabelde slimme apparaten aan het gastnetwerk hangen (met als voordeel vaak een hogere en stabielere doorvoersnelheid).
Reacties (10)