Smart-tv veilig maken: gastnetwerk, firewall en meer

Marco den Teuling
0

Inhoudsopgave

De smart-tv is populair – niet ­alleen bij eigenaren, maar ook bij hackers en mediabedrijven. De ene groep misbruikt je tv graag als zombie voor internetaanvallen, de andere heeft het voorzien op je gebruikersprofielen. Gelukkig kun je zelf je smart tv veilig maken op verschillende manieren.

We hebben een soort haat-liefdeverhouding met een smart-tv. Net als een router zit hij op een belangrijke plek in het thuisnetwerk, namelijk recht voor je neus. Maar een smart-tv houdt vaak in detail je kijkgedrag bij, en doet dat in opdracht van de fabrikant of van de mediabedrijven en streamingdiensten. Sommige gaan zelfs zo ver dat ze elke knopdruk op je afstandsbediening registreren. Dat is wel heel erg nieuwsgierig. ­Bovendien bieden fabrikanten van smart-tv’s geen logboekfuncties die melden welke gegevens het apparaat waar naartoe heeft gestuurd.

Dat maakt van smart-tv’s een soort zwarte dozen, en daarmee zijn ze ook aantrekkelijk voor hackers. Als monitoring ontbreekt, wordt malware ook niet bestreden. Hebben hackers een smart-tv eenmaal geïnfecteerd, dan kunnen ze van daaruit zoveel mogelijk andere apparaten in het thuisnetwerk overnemen om uiteindelijk DDoS-aanvallen uit te voeren. Als een smart-tv een camera en een microfoon heeft, is hij ook voor geheime diensten interessant (zo heeft de CIA al eens Samsung-tv’s gebruikt om te spioneren).

smart-tv veilig maken reclame internet privacy hacker virus malware slimme tv.tif

Het is dus een goed idee een smart-tv in toom te houden, zowel als bescherming tegen infecties van buitenaf als om privégegevens binnenshuis te houden. Daar zijn enkele trucs bij de netwerkconfiguratie voldoende voor. Al naargelang de gewenste afscherming en je netwerkkennis zijn daar verschillende niveaus van inperking voor mogelijk. We beschrijven ze globaal op volgorde van complexiteit, te beginnen met de eenvoudigste.

Eenvoudige oplossingen

De meest radicale oplossing: geef je smart-tv helemaal geen internettoegang, niet bekabeld en niet via wifi. Dan hoef je natuurlijk eigenlijk ook geen smart-tv te kopen. Toch zijn er genoeg mensen die ze op die manier gebruiken omdat een tv zonder internetaansluiting nauwelijks meer te krijgen is. De beeldkwaliteit van moderne smart-tv’s is bovendien beter, dus ook zonder actieve internetverbinding zijn ze een prima optie. Een ander voordeel is ook duidelijk: zonder netwerkverbinding ook geen ongecontroleerde gegevensstroom. Maar dat betekent ook: geen gegevenstoegang, geen automatische firmware-updates, geen Netflix en geen lokale netwerktoegang tot NAS of DLNA-server om eigen video’s af te spelen.

Vaak is een eenvoudige truc (de eerstgenoemde oplossing) genoeg om lokale toegang wel toe te staan en alleen internetverkeer te blokkeren.

Kinderbeveiliging

Daar heb je alleen een router met een filterfunctie voor kinderen voor nodig. Die zit op veel routers. Om ervoor te zorgen dat je smart-tv wel mappen op een pc of NAS kan openen, zorg je dat hij dezelfde netwerkinstellingen gebruikt. Activeer op de tv dus de DHCP-configuratie, oftewel het automatisch ophalen van gateway- en DNS-serveradressen van de router. Om de kinderbeveiliging te activeren, gebruik je de webinterface (of app) van de router. Bij een Fritzbox ga je bijvoorbeeld in de webinterface naar ‘Internet / Filters / Parental Controls’. Schakel voor de smart-tv het toegangsprofiel (Access Profile) ‘Blocked’ in en bewaar de wijzigingen.

Het resultaat: de communicatie binnen het LAN werkt probleemloos, maar de smart-tv krijgt geen contact met internet.

Nadelen: het streamen van Netflix en dergelijke wordt geblokkeerd en firmware-updates komen niet door.

Met een gastnetwerk en een routercascade kun je internetverkeer wel toestaan, maar voorkom je dat een besmetting van je smart-tv invloed heeft op de rest van je thuisnetwerk. Dat zijn zo’n beetje de meest eenvoudige oplossingen om een netwerk onder te verdelen zoals dat ook bij bedrijfsnetwerken wordt toegepast.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen   Lees eerst verder

Gastnetwerk

Hierbij komt je smart-tv in een apart subnetwerk, het gastnetwerk. Dat is alleen handig als je smart-tv geen toegang hoeft te hebben tot bronnen in het thuisnetwerk. Een gastnetwerk kun je op veel routers makkelijk activeren. Op een Fritzbox activeer je bijvoorbeeld via ‘Home Network / Network / Network Settings’ de optie ‘Guest access enabled for LAN 4’ en daarna sluit je de smart-tv aan op LAN-poort 4 van de router. Daarnaast kun je ook een wifigastnetwerk activeren (via ‘Wireless / Guest Access’).

Het resultaat: je smart-tv wordt gescheiden van alle andere netwerkapparaten, vooral die met vertrouwelijke data. Wordt de tv geïnfecteerd, dan kan die infectie zich niet zomaar verspreiden. Internetverkeer werkt ongehinderd, inclusief firmware-updates en streamen.

Nadelen: je hebt geen toegang tot lokale netwerkbronnen en gegevens kunnen ongehinderd richting internet lekken.

smart-tv veilig maken reclame internet privacy hacker virus malware slimme tv gastnetwerk thuisnetwerk

De meeste routers bieden een enkel gastnetwerk. Als daarin ook andere apparaten zijn opgenomen, kunnen ze elkaar aanvallen. Daarom moet je indien beschikbaar de optie activeren om je accesspoint te isoleren. Daarbij kunnen apparaten wel met internet communiceren, maar niet met elkaar. Voor het wifigastnetwerk activeer je dat op een Fritzbox bijvoorbeeld bij ‘Wifi / Guest Access / Additional settings’. Deactiveer de optie ‘Wireless devices may communicate’. Apparaten op het wifigastnetwerk kunnen dan echter nog wel apparaten in het gast-LAN-netwerk bereiken. Complete accesspoint-isolatie voor wifi en LAN bieden Fritzboxen niet.

De accesspoint-isolatie moet juist uitgeschakeld zijn als je een NAS in het gastnetwerk zet om content naar je smart-tv te streamen. Als die NAS twee netwerkpoorten heeft, kun je de tweede poort gebruiken voor het normale thuisnetwerk. Je moet de poorten dan niet in een bridge-modus laten werken, anders kan malware alsnog contact maken met het thuisnetwerk.

Routercascade

Hierbij zet je een tweede NAT-router achter de eerste om twee gescheiden subnetwerken te creëren. Je smart-tv hang je aan de eerste NAT-router (het eerste subnetwerk), alle overige apparaten (je pc, NAS, printer, tablet, smartphone et cetera) sluit je aan op de tweede NAT-router (tweede subnetwerk).

smart-tv veilig maken reclame internet privacy hacker virus malware slimme tv eigen router cascade

Het resultaat: de smart-tv heeft geen toegang tot apparaten in het tweede subnetwerk, waar zich de apparaten bevinden met vertrouwelijke data. Omgekeerd kunnen apparaten in het tweede subnetwerk wel verbinding maken met de smart-tv omdat NAT verkeer in die richting doorsluist.

Nadelen: netwerkbronnen die via DLNA of Bonjour worden gedeeld zijn niet in het andere subnetwerk zichtbaar, de smart-tv vindt die niet. Automatische port-forwardings in het tweede subnetwerk (UPnP) werken niet. Dat kan problemen veroorzaken met games, maar ook met diensten zoals de (ondertussen door andere producten vervangen) Remote-Control-dienst van Apple ‘Terug naar mijn Mac’. Apparaten uit het tweede subnetwerk kunnen de smart-tv alleen benaderen via het ip-adres.

Internetverkeer filteren

Een efficiënte manier om internettoegang te controleren is het uitfilteren van DNS-requests voor ongewenste domeinen. Die domeinen worden dan verzameld op een zwarte lijst (blacklist). Zo kun je bij smart-tv’s bijvoorbeeld het wegvloeien van data beperken. Die techniek wordt ook veel gebruikt om verbindingen te blokkeren met opdringerige advertentienetwerken, zoals adkeeper.com.

Blacklist

Veel thuisrouters kunnen DNS-requests filteren en op die manier verhinderen dat bepaalde internetdomeinen bereikt worden. Een blacklist is doorgaans beperkt tot een bepaald aantal domeinen, bijvoorbeeld 500. Dat is genoeg voor de belangrijkste. Je kunt kant-en-klare blacklists downloaden. Dat zijn tekstbestanden die je met een eenvoudige teksteditor kunt bewerken. Om reclameservers te blokkeren is 500 items wel een beetje mager – en bovendien wijzigen die servers vaak van domeinnaam.

Het resultaat: je smart-tv kan ongehinderd communiceren op het LAN, de communicatie naar buiten is eenvoudig te beperken. Je kunt het filter ook gebruiken om het surfgedrag van je kinderen te reguleren.

Nadelen: het bijhouden van zo’n blacklist is bewerkelijk, de filteropties zijn beperkt en de apparaten in het lokale netwerk worden niet tegen elkaar beschermd.

Pi-hole

Pi-hole is een uitgebreider DNS-filter dat op een Raspberry Pi draait en de huidige verbindingspogingen weergeeft in een grafische interface. Die kun je een browser vanaf elke pc in het lokale netwerk openen. Er zijn talloze blacklists beschikbaar voor Pi-hole die door de community worden bijgewerkt. Je kunt ze combineren en met een muisklik aanpassen aan je wensen.

Pi-hole kun je combineren met een gastnetwerk of routercascade. Er zijn erg veel kant-en-klare blacklists voor Pi-hole. Gebruiker Akamaru heeft ze ingedeeld op categorie en ze zijn er voor allerlei toepassingen.

smart-tv veilig maken reclame internet privacy hacker virus malware slimme tv DNS Pi-hole

Pi-hole als DNS-proxy. Ongewenste DNS-aanvragen worden niet doorgestuurd naar buiten.

Je kunt Pi-hole voor je thuisnetwerk inzetten, maar veel smart-tv’s gebruiken toch Googles DNS-servers, ook al is binnen het netwerk een Pi-hole als lokale DNS-server ingesteld. In dat geval doet Pi-hole niets. Je hebt dan wat netwerkkennis nodig om een firewall zo in te stellen dat DNS-requests actief omgeleid worden naar de lokale DNS-server. Die mogelijkheid ontbreekt op de meeste thuisrouters. De Raspberry Pi biedt een alternatief: je zet hem in als router voor de smart-tv en gebruikt zijn firewall (iptables). De smart-tv verbind je voor het gemak via wifi met een Raspberry Pi 3B+ en de ethernetpoort van de Pi hang je aan de router.

Hoe je Pi-hole voor je smart-tv instelt lees je in c't mrt/2019

Veilig tv kijken

Zoals je hiervoor hebt gezien, zijn er allerlei oplossingen voor een smart-tv veilig maken. Die variëren van heel eenvoudig tot vrij complex.

Het is hoe dan ook goed om na te denken over de beveiliging van je slimme tv. Zeker als je bedenkt dat moderne tv’s vaak heel lang mee gaan en fabrikanten vaak na verloop van tijd geen updates meer uitbrengen voor oudere modellen. Als je met Windows 7 niet meer internet op gaat omdat er geen beveiligingsupdates meer komen, zou je dat eigenlijk ook niet met je niet geüpdatete tv moeten doen.

(Dušan Živadinović, c’t magazine)

 

Lees uitgebreide achtergrondinfo en vergelijkende reviews in c't okt/2019

Deel dit artikel

Lees ook

Malware bekijken zonder risico, via je browser

Met de online sandbox any.run kun je malware bekijken zonder risico, via je browser. Vaak krijg je daar veel informatie mee boven water – en het is no...

Windows overzetten naar een nieuwe pc: tips en voorbereidingen

Er zijn verschillende manieren voor Windows overzetten naar een nieuwe pc, die allemaal hun voor- en nadelen hebben. We bekijken mogelijke opties.

Interessant voor jou

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er