web-dev-qa-db-fra.com

Comment concevoir un réseau domestique pour les appareils IoT?

J'essaie de trouver la meilleure façon de concevoir un réseau domestique contenant des appareils (potentiellement hostiles). Je suis dans mes limites de connaissances en réseautage!

J'ai deux défis.

Périphériques non sécurisés

Sur mon réseau domestique, j'ai une ampoule WiFi Lifx. Lifx ne fournit aucune sécurité (aucun mot de passe), donc tout autre appareil sur le LAN peut le contrôler.

Je suis heureux que mon téléphone et mon ordinateur portable se connectent à l'ampoule - mais je ne veux pas que mon téléviseur y ait accès. Ou vice versa.

Dispositifs hostiles

Dans la même veine, j'ai un détecteur de fumée WiFi Nest Protect. Il est (théoriquement) possible pour un employé de Nest de se connecter à l'appareil et d'avoir un accès complet à mon réseau.

Est-il possible de créer un réseau qui permet à un appareil de se connecter à Internet, mais rien sur le LAN?

Conception

Alors, quelle sorte de mesures puis-je prendre sur un routeur Internet domestique pour isoler les appareils auxquels je ne veux pas nécessairement donner un accès complet à mon LAN?

Mes pensées sont ...

  1. Déconnectez les appareils. Cela dit, j' vraiment j'aime pouvoir contrôler mon téléviseur depuis mon téléphone!
  2. Créez un sous-réseau différent pour chaque appareil. Mon routeur me permet de créer un réseau principal et un réseau invité. Je pourrais mettre tous mes appareils semi-fiables sur un réseau secondaire - mais je perdrais la capacité de les contrôler lorsqu'ils sont connectés au réseau principal. De plus, ils auraient toujours la possibilité d'interférer les uns avec les autres.
  3. DMZ? Je ne suis pas sûr de cela - cela isolerait-il les appareils IoT du LAN principal tout en leur donnant toujours accès à Internet? Je comprends que les appareils seraient totalement exposés au net - donnant à quiconque la possibilité de contrôler les appareils sans mot de passe, n'est-ce pas?
  4. Autre chose...?

J'ai le sentiment que ce que je veux faire est impossible. Dois-je simplement accepter que les appareils de mon réseau puissent accéder les uns aux autres et tenter de sécuriser ce que je peux?

34
Terence Eden

Vous devez d'abord diviser les appareils en classes de connectivité:

  1. Besoin juste d'une connexion "cloud" constante pour fonctionner correctement
  2. Pas besoin de connexion sauf pour la configuration/mises à jour initiales, besoin d'une connexion locale
  3. Besoin d'une connexion cloud et d'une connexion locale pour fonctionner

Si vous avez une classe d'appareils qui sont vraiment basés sur le cloud (c'est-à-dire qu'ils n'utilisent pas de trafic local, tout doit aller sur Internet et revenir) en créant un SSID et VLAN that le trafic séparé est une mesure simple pour s'assurer que toute activité hostile pour laquelle il pourrait être réutilisé est à l'abri de cibles de grande valeur comme votre serveur de sauvegarde. Le fait de placer des appareils qui ont besoin d'une connexion permanente dans leur propre classe les maintient à l'écart s'il y a une sorte de compromis à distance de leur structure de commandement et de contrôle (le cloud.)

Si vous avez toujours besoin d'un accès local à certains de ces appareils, par exemple pour donner à votre téléphone la possibilité d'accéder au port 80 de votre téléviseur ou de votre ampoule (si c'est ainsi que fonctionne la télécommande intelligente), une règle de pare-feu dynamique peut imposer que seul votre téléphone , à ce port uniquement sur le téléviseur, sera autorisé. Si votre téléviseur n'a pas besoin d'accès à Internet et uniquement d'un accès local protégé, cela tomberait dans une autre catégorie qui aurait besoin de son propre SSID, et si vous voulez vraiment qu'il puisse parler à Internet mais pas à d'autres appareils, et être tout seul , il aurait besoin de son propre SSID et VLAN, que beaucoup peuvent être créés si nécessaire.

Une mesure qui pourrait également aller très loin si votre réseau est soumis à des appareils transitoires (c'est-à-dire des tablettes ou des ordinateurs portables proches qui tombent de temps en temps) consiste à placer uniquement ceux sur un VLAN différent, car par exemple votre ampoule intelligente, à moins que vous ne le vouliez ouvrir un port à partir d'Internet dans son ensemble, est sans danger même sans mot de passe puisque vous (espérons-le) faites confiance à tous les autres appareils de votre réseau pour ne pas être sous contrôle malveillant.

Plusieurs appareils Wifi/routeur peu coûteux qui peuvent être chargés avec OpenWRT ou DDWRT peuvent être configurés de cette façon. Le défi n'est pas de savoir comment retirer tout cela, c'est de faire en sorte que tout fonctionne bien et de ne pas lever les mains en admettant qu'il est plus facile de simplement vivre sous le spectre du réseau Armageddon afin de ne pas avoir à débloquer un port à chaque fois les mises à jour de l'application TV de votre téléphone indiquent que le firmware de votre téléviseur est désormais obsolète. Si vous êtes comme la plupart des gens, vous durcissez ce que vous pouvez: des mises à jour automatiques ou alertées sur tous les appareils qui le prennent en charge, des règles de pare-feu intelligentes avec quelque chose comme uPNP désactivé, puis poursuivez votre vie.

16
Jeff Meden

J'ai acheté à cet effet un Ubiquiti EdgeRouterX et UniFi AP AC LITE.

Le point d'accès prend en charge jusqu'à 4 SSID, chacun va vers un autre VLAN. J'ai mis en place un réseau sans fil "principal" et "invité" (que j'utilise également pour les appareils non fiables).

Le routeur autorise l'accès à Internet pour chaque VLAN, mais ne permet pas au trafic de traverser les VLAN, à l'exception que je peux me connecter du réseau `` principal '' à `` l'invité '', mais pas l'inverse.

Je pense que cette configuration est assez sécurisée et aussi assez bon marché pour les performances. Je n'ai même pas eu à toucher la CLI. Le contrôleur UniFi doit fonctionner sur un PC uniquement pour configurer les points d'accès sans fil, plus tard, ils peuvent fonctionner sans lui.

9
filo

Selon votre niveau de paranoïa, vous pouvez obtenir un AP qui a plusieurs SSID mappés sur des VLAN distincts. Ensuite, avec un pare-feu ou des listes d'accès, vous pouvez contrôler à quoi chacun VLAN a accès. Vous pouvez probablement récupérer des appareils commerciaux d'occasion pour pas trop d'argent et faire ce que vous voulez.

6
Ron Trunk

Dans votre cas, vous avez la solution suivante:

  1. Achetez un bon routeur avec un bon pare-feu qui peut prendre en charge plusieurs points d'accès.
  2. Séparez le réseau afin d'avoir l'avertisseur de fumée sur un réseau et les autres appareils sur un autre (c'est ce que j'ai fait pour le plaisir et parce que je voulais exécuter des pots de miel en cours de route ... et des IP statiques et des sauvegardes si un fournisseur est vers le bas)
  3. Achetez 3 routeurs différents et décents, utilisez l'un comme point d'entrée et utilisez l'autre comme points d'accès séparés.
  4. Si vous êtes dans les appareils IoT, achetez certains PI, connectez-les avec un câble au routeur et utilisez des adaptateurs Internet USB pour créer des points d'accès (et n'oubliez pas de modifier les paramètres par défaut).
5
Lucian Nitescu

Je suis allé plus loin et j'ai installé un réseau physique distinct pour les appareils IoT. Mon constructeur a installé Cat5e pour les lignes téléphoniques et Cat6 pour le LAN, et j'ai utilisé les pistes téléphoniques pour construire le réseau câblé IoT avec un routeur séparé et des points d'accès WiFi.

Je ramène parfois des appareils à la maison pour des tests alpha/bêta qui n'ont pas encore été complètement cuits en termes de sécurité, mais même les unités alpha sont généralement assez sécurisées et les tests de production s'exécutent. Je ne fais pas explicitement confiance à TOUS les appareils ou infrastructures externes des autres fabricants IoT que j'utilise chez moi.

3
AaronK

Les autres réponses SSID/VLAN distinctes sont vraiment la voie à suivre.

En développant ces réponses, je pense qu'il existe une solution raisonnable à faible risque pour préserver votre confort: pourquoi ne pas obtenir un autre téléphone qui n'est pas votre téléphone pour se connecter à cet AP non fiable (IoT) pour contrôler votre téléviseur, etc.? Peut-être que vous avez un vieux téléphone ou que vous pouvez trouver quelque chose pour faire fonctionner Android? (Ce serait bien sûr plus facile avec support officiel pour Android sur un Raspberry Pi ...)

2
ZX9