Smart-tv veilig maken: gastnetwerk, firewall en meer

De smart-tv is populair – niet ­alleen bij eigenaren, maar ook bij hackers en mediabedrijven. De ene groep misbruikt je tv graag als zombie voor internetaanvallen, de andere heeft het voorzien op je gebruikersprofielen. Gelukkig kun je zelf je smart tv veilig maken op verschillende manieren.

We hebben een soort haat-liefdeverhouding met een smart-tv. Net als een router zit hij op een belangrijke plek in het thuisnetwerk, namelijk recht voor je neus. Maar een smart-tv houdt vaak in detail je kijkgedrag bij, en doet dat in opdracht van de fabrikant of van de mediabedrijven en streamingdiensten. Sommige gaan zelfs zo ver dat ze elke knopdruk op je afstandsbediening registreren. Dat is wel heel erg nieuwsgierig. ­Bovendien bieden fabrikanten van smart-tv’s geen logboekfuncties die melden welke gegevens het apparaat waar naartoe heeft gestuurd.

Dat maakt van smart-tv’s een soort zwarte dozen, en daarmee zijn ze ook aantrekkelijk voor hackers. Als monitoring ontbreekt, wordt malware ook niet bestreden. Hebben hackers een smart-tv eenmaal geïnfecteerd, dan kunnen ze van daaruit zoveel mogelijk andere apparaten in het thuisnetwerk overnemen om uiteindelijk DDoS-aanvallen uit te voeren. Als een smart-tv een camera en een microfoon heeft, is hij ook voor geheime diensten interessant (zo heeft de CIA al eens Samsung-tv’s gebruikt om te spioneren).

Het is dus een goed idee een smart-tv in toom te houden, zowel als bescherming tegen infecties van buitenaf als om privégegevens binnenshuis te houden. Daar zijn enkele trucs bij de netwerkconfiguratie voldoende voor. Al naargelang de gewenste afscherming en je netwerkkennis zijn daar verschillende niveaus van inperking voor mogelijk. We beschrijven ze globaal op volgorde van complexiteit, te beginnen met de eenvoudigste.

De meest radicale oplossing: geef je smart-tv helemaal geen internettoegang, niet bekabeld en niet via wifi. Dan hoef je natuurlijk eigenlijk ook geen smart-tv te kopen. Toch zijn er genoeg mensen die ze op die manier gebruiken omdat een tv zonder internetaansluiting nauwelijks meer te krijgen is. De beeldkwaliteit van moderne smart-tv’s is bovendien beter, dus ook zonder actieve internetverbinding zijn ze een prima optie. Een ander voordeel is ook duidelijk: zonder netwerkverbinding ook geen ongecontroleerde gegevensstroom. Maar dat betekent ook: geen gegevenstoegang, geen automatische firmware-updates, geen Netflix en geen lokale netwerktoegang tot NAS of DLNA-server om eigen video’s af te spelen.

Vaak is een eenvoudige truc (de eerstgenoemde oplossing) genoeg om lokale toegang wel toe te staan en alleen internetverkeer te blokkeren.

Kinderbeveiliging

Daar heb je alleen een router met een filterfunctie voor kinderen voor nodig. Die zit op veel routers. Om ervoor te zorgen dat je smart-tv wel mappen op een pc of NAS kan openen, zorg je dat hij dezelfde netwerkinstellingen gebruikt. Activeer op de tv dus de DHCP-configuratie, oftewel het automatisch ophalen van gateway- en DNS-serveradressen van de router. Om de kinderbeveiliging te activeren, gebruik je de webinterface (of app) van de router. Bij een Fritzbox ga je bijvoorbeeld in de webinterface naar ‘Internet / Filters / Parental Controls’. Schakel voor de smart-tv het toegangsprofiel (Access Profile) ‘Blocked’ in en bewaar de wijzigingen.

Het resultaat: de communicatie binnen het LAN werkt probleemloos, maar de smart-tv krijgt geen contact met internet.

Nadelen: het streamen van Netflix en dergelijke wordt geblokkeerd en firmware-updates komen niet door.

Met een gastnetwerk en een routercascade kun je internetverkeer wel toestaan, maar voorkom je dat een besmetting van je smart-tv invloed heeft op de rest van je thuisnetwerk. Dat zijn zo’n beetje de meest eenvoudige oplossingen om een netwerk onder te verdelen zoals dat ook bij bedrijfsnetwerken wordt toegepast.

Gastnetwerk

Hierbij komt je smart-tv in een apart subnetwerk, het gastnetwerk. Dat is alleen handig als je smart-tv geen toegang hoeft te hebben tot bronnen in het thuisnetwerk. Een gastnetwerk kun je op veel routers makkelijk activeren. Op een Fritzbox activeer je bijvoorbeeld via ‘Home Network / Network / Network Settings’ de optie ‘Guest access enabled for LAN 4’ en daarna sluit je de smart-tv aan op LAN-poort 4 van de router. Daarnaast kun je ook een wifigastnetwerk activeren (via ‘Wireless / Guest Access’).

Het resultaat: je smart-tv wordt gescheiden van alle andere netwerkapparaten, vooral die met vertrouwelijke data. Wordt de tv geïnfecteerd, dan kan die infectie zich niet zomaar verspreiden. Internetverkeer werkt ongehinderd, inclusief firmware-updates en streamen.

Nadelen: je hebt geen toegang tot lokale netwerkbronnen en gegevens kunnen ongehinderd richting internet lekken.

De meeste routers bieden een enkel gastnetwerk. Als daarin ook andere apparaten zijn opgenomen, kunnen ze elkaar aanvallen. Daarom moet je indien beschikbaar de optie activeren om je accesspoint te isoleren. Daarbij kunnen apparaten wel met internet communiceren, maar niet met elkaar. Voor het wifigastnetwerk activeer je dat op een Fritzbox bijvoorbeeld bij ‘Wifi / Guest Access / Additional settings’. Deactiveer de optie ‘Wireless devices may communicate’. Apparaten op het wifigastnetwerk kunnen dan echter nog wel apparaten in het gast-LAN-netwerk bereiken. Complete accesspoint-isolatie voor wifi en LAN bieden Fritzboxen niet.

De accesspoint-isolatie moet juist uitgeschakeld zijn als je een NAS in het gastnetwerk zet om content naar je smart-tv te streamen. Als die NAS twee netwerkpoorten heeft, kun je de tweede poort gebruiken voor het normale thuisnetwerk. Je moet de poorten dan niet in een bridge-modus laten werken, anders kan malware alsnog contact maken met het thuisnetwerk.

Routercascade

Hierbij zet je een tweede NAT-router achter de eerste om twee gescheiden subnetwerken te creëren. Je smart-tv hang je aan de eerste NAT-router (het eerste subnetwerk), alle overige apparaten (je pc, NAS, printer, tablet, smartphone et cetera) sluit je aan op de tweede NAT-router (tweede subnetwerk).

Het resultaat: de smart-tv heeft geen toegang tot apparaten in het tweede subnetwerk, waar zich de apparaten bevinden met vertrouwelijke data. Omgekeerd kunnen apparaten in het tweede subnetwerk wel verbinding maken met de smart-tv omdat NAT verkeer in die richting doorsluist.

Nadelen: netwerkbronnen die via DLNA of Bonjour worden gedeeld zijn niet in het andere subnetwerk zichtbaar, de smart-tv vindt die niet. Automatische port-forwardings in het tweede subnetwerk (UPnP) werken niet. Dat kan problemen veroorzaken met games, maar ook met diensten zoals de (ondertussen door andere producten vervangen) Remote-Control-dienst van Apple ‘Terug naar mijn Mac’. Apparaten uit het tweede subnetwerk kunnen de smart-tv alleen benaderen via het ip-adres.

Een efficiënte manier om internettoegang te controleren is het uitfilteren van DNS-requests voor ongewenste domeinen. Die domeinen worden dan verzameld op een zwarte lijst (blacklist). Zo kun je bij smart-tv’s bijvoorbeeld het wegvloeien van data beperken. Die techniek wordt ook veel gebruikt om verbindingen te blokkeren met opdringerige advertentienetwerken, zoals adkeeper.com.

Blacklist

Veel thuisrouters kunnen DNS-requests filteren en op die manier verhinderen dat bepaalde internetdomeinen bereikt worden. Een blacklist is doorgaans beperkt tot een bepaald aantal domeinen, bijvoorbeeld 500. Dat is genoeg voor de belangrijkste. Je kunt kant-en-klare blacklists downloaden. Dat zijn tekstbestanden die je met een eenvoudige teksteditor kunt bewerken. Om reclameservers te blokkeren is 500 items wel een beetje mager – en bovendien wijzigen die servers vaak van domeinnaam.

Het resultaat: je smart-tv kan ongehinderd communiceren op het LAN, de communicatie naar buiten is eenvoudig te beperken. Je kunt het filter ook gebruiken om het surfgedrag van je kinderen te reguleren.

Nadelen: het bijhouden van zo’n blacklist is bewerkelijk, de filteropties zijn beperkt en de apparaten in het lokale netwerk worden niet tegen elkaar beschermd.

Pi-hole

Pi-hole is een uitgebreider DNS-filter dat op een Raspberry Pi draait en de huidige verbindingspogingen weergeeft in een grafische interface. Die kun je een browser vanaf elke pc in het lokale netwerk openen. Er zijn talloze blacklists beschikbaar voor Pi-hole die door de community worden bijgewerkt. Je kunt ze combineren en met een muisklik aanpassen aan je wensen.

Pi-hole kun je combineren met een gastnetwerk of routercascade. Er zijn erg veel kant-en-klare blacklists voor Pi-hole. Gebruiker Akamaru heeft ze ingedeeld op categorie en ze zijn er voor allerlei toepassingen.

Pi-hole als DNS-proxy. Ongewenste DNS-aanvragen worden niet doorgestuurd naar buiten.

Je kunt Pi-hole voor je thuisnetwerk inzetten, maar veel smart-tv’s gebruiken toch Googles DNS-servers, ook al is binnen het netwerk een Pi-hole als lokale DNS-server ingesteld. In dat geval doet Pi-hole niets. Je hebt dan wat netwerkkennis nodig om een firewall zo in te stellen dat DNS-requests actief omgeleid worden naar de lokale DNS-server. Die mogelijkheid ontbreekt op de meeste thuisrouters. De Raspberry Pi biedt een alternatief: je zet hem in als router voor de smart-tv en gebruikt zijn firewall (iptables). De smart-tv verbind je voor het gemak via wifi met een Raspberry Pi 3B+ en de ethernetpoort van de Pi hang je aan de router.

Zoals je hiervoor hebt gezien, zijn er allerlei oplossingen voor een smart-tv veilig maken. Die variëren van heel eenvoudig tot vrij complex.

Het is hoe dan ook goed om na te denken over de beveiliging van je slimme tv. Zeker als je bedenkt dat moderne tv’s vaak heel lang mee gaan en fabrikanten vaak na verloop van tijd geen updates meer uitbrengen voor oudere modellen. Als je met Windows 7 niet meer internet op gaat omdat er geen beveiligingsupdates meer komen, zou je dat eigenlijk ook niet met je niet geüpdatete tv moeten doen.

(Dušan Živadinović, c’t magazine)