J'essaie de trouver la meilleure façon de concevoir un réseau domestique contenant des appareils (potentiellement hostiles). Je suis dans mes limites de connaissances en réseautage!
J'ai deux défis.
Périphériques non sécurisés
Sur mon réseau domestique, j'ai une ampoule WiFi Lifx. Lifx ne fournit aucune sécurité (aucun mot de passe), donc tout autre appareil sur le LAN peut le contrôler.
Je suis heureux que mon téléphone et mon ordinateur portable se connectent à l'ampoule - mais je ne veux pas que mon téléviseur y ait accès. Ou vice versa.
Dispositifs hostiles
Dans la même veine, j'ai un détecteur de fumée WiFi Nest Protect. Il est (théoriquement) possible pour un employé de Nest de se connecter à l'appareil et d'avoir un accès complet à mon réseau.
Est-il possible de créer un réseau qui permet à un appareil de se connecter à Internet, mais rien sur le LAN?
Conception
Alors, quelle sorte de mesures puis-je prendre sur un routeur Internet domestique pour isoler les appareils auxquels je ne veux pas nécessairement donner un accès complet à mon LAN?
Mes pensées sont ...
J'ai le sentiment que ce que je veux faire est impossible. Dois-je simplement accepter que les appareils de mon réseau puissent accéder les uns aux autres et tenter de sécuriser ce que je peux?
Vous devez d'abord diviser les appareils en classes de connectivité:
Si vous avez une classe d'appareils qui sont vraiment basés sur le cloud (c'est-à-dire qu'ils n'utilisent pas de trafic local, tout doit aller sur Internet et revenir) en créant un SSID et VLAN that le trafic séparé est une mesure simple pour s'assurer que toute activité hostile pour laquelle il pourrait être réutilisé est à l'abri de cibles de grande valeur comme votre serveur de sauvegarde. Le fait de placer des appareils qui ont besoin d'une connexion permanente dans leur propre classe les maintient à l'écart s'il y a une sorte de compromis à distance de leur structure de commandement et de contrôle (le cloud.)
Si vous avez toujours besoin d'un accès local à certains de ces appareils, par exemple pour donner à votre téléphone la possibilité d'accéder au port 80 de votre téléviseur ou de votre ampoule (si c'est ainsi que fonctionne la télécommande intelligente), une règle de pare-feu dynamique peut imposer que seul votre téléphone , à ce port uniquement sur le téléviseur, sera autorisé. Si votre téléviseur n'a pas besoin d'accès à Internet et uniquement d'un accès local protégé, cela tomberait dans une autre catégorie qui aurait besoin de son propre SSID, et si vous voulez vraiment qu'il puisse parler à Internet mais pas à d'autres appareils, et être tout seul , il aurait besoin de son propre SSID et VLAN, que beaucoup peuvent être créés si nécessaire.
Une mesure qui pourrait également aller très loin si votre réseau est soumis à des appareils transitoires (c'est-à-dire des tablettes ou des ordinateurs portables proches qui tombent de temps en temps) consiste à placer uniquement ceux sur un VLAN différent, car par exemple votre ampoule intelligente, à moins que vous ne le vouliez ouvrir un port à partir d'Internet dans son ensemble, est sans danger même sans mot de passe puisque vous (espérons-le) faites confiance à tous les autres appareils de votre réseau pour ne pas être sous contrôle malveillant.
Plusieurs appareils Wifi/routeur peu coûteux qui peuvent être chargés avec OpenWRT ou DDWRT peuvent être configurés de cette façon. Le défi n'est pas de savoir comment retirer tout cela, c'est de faire en sorte que tout fonctionne bien et de ne pas lever les mains en admettant qu'il est plus facile de simplement vivre sous le spectre du réseau Armageddon afin de ne pas avoir à débloquer un port à chaque fois les mises à jour de l'application TV de votre téléphone indiquent que le firmware de votre téléviseur est désormais obsolète. Si vous êtes comme la plupart des gens, vous durcissez ce que vous pouvez: des mises à jour automatiques ou alertées sur tous les appareils qui le prennent en charge, des règles de pare-feu intelligentes avec quelque chose comme uPNP désactivé, puis poursuivez votre vie.
J'ai acheté à cet effet un Ubiquiti EdgeRouterX et UniFi AP AC LITE.
Le point d'accès prend en charge jusqu'à 4 SSID, chacun va vers un autre VLAN. J'ai mis en place un réseau sans fil "principal" et "invité" (que j'utilise également pour les appareils non fiables).
Le routeur autorise l'accès à Internet pour chaque VLAN, mais ne permet pas au trafic de traverser les VLAN, à l'exception que je peux me connecter du réseau `` principal '' à `` l'invité '', mais pas l'inverse.
Je pense que cette configuration est assez sécurisée et aussi assez bon marché pour les performances. Je n'ai même pas eu à toucher la CLI. Le contrôleur UniFi doit fonctionner sur un PC uniquement pour configurer les points d'accès sans fil, plus tard, ils peuvent fonctionner sans lui.
Selon votre niveau de paranoïa, vous pouvez obtenir un AP qui a plusieurs SSID mappés sur des VLAN distincts. Ensuite, avec un pare-feu ou des listes d'accès, vous pouvez contrôler à quoi chacun VLAN a accès. Vous pouvez probablement récupérer des appareils commerciaux d'occasion pour pas trop d'argent et faire ce que vous voulez.
Dans votre cas, vous avez la solution suivante:
Je suis allé plus loin et j'ai installé un réseau physique distinct pour les appareils IoT. Mon constructeur a installé Cat5e pour les lignes téléphoniques et Cat6 pour le LAN, et j'ai utilisé les pistes téléphoniques pour construire le réseau câblé IoT avec un routeur séparé et des points d'accès WiFi.
Je ramène parfois des appareils à la maison pour des tests alpha/bêta qui n'ont pas encore été complètement cuits en termes de sécurité, mais même les unités alpha sont généralement assez sécurisées et les tests de production s'exécutent. Je ne fais pas explicitement confiance à TOUS les appareils ou infrastructures externes des autres fabricants IoT que j'utilise chez moi.
Les autres réponses SSID/VLAN distinctes sont vraiment la voie à suivre.
En développant ces réponses, je pense qu'il existe une solution raisonnable à faible risque pour préserver votre confort: pourquoi ne pas obtenir un autre téléphone qui n'est pas votre téléphone pour se connecter à cet AP non fiable (IoT) pour contrôler votre téléviseur, etc.? Peut-être que vous avez un vieux téléphone ou que vous pouvez trouver quelque chose pour faire fonctionner Android? (Ce serait bien sûr plus facile avec support officiel pour Android sur un Raspberry Pi ...)