Come progettare una rete domestica per dispositivi IoT?

25

Sto cercando di capire come meglio progettare una rete domestica che contenga dispositivi (potenzialmente ostili). Sto incontrando i miei limiti della conoscenza di rete!

Ho due sfide.

Dispositivi non protetti

Sulla mia rete domestica ho una lampadina Lifx WiFi. Lifx non fornisce alcuna sicurezza (nessuna password), quindi qualsiasi altro dispositivo sulla LAN può controllarlo.

Sono felice che il mio telefono e il mio laptop si colleghino alla lampadina, ma non voglio che la mia TV abbia accesso ad essa. O vice-versa.

Dispositivi ostili

Allo stesso modo, ho un Nest Smoke WiFi Smoke Alarm. È (teoricamente) possibile per un dipendente Nest effettuare il tunneling sul dispositivo e ottenere l'accesso completo alla mia rete.

È possibile creare una rete che consente a un dispositivo di connettersi a Internet, ma nulla sulla LAN?

design

Quindi, che tipo di passaggi posso adottare su un router Internet domestico per isolare i dispositivi che non voglio necessariamente dare pieno accesso alla mia LAN?

I miei pensieri sono ...

  1. Disconnetti i dispositivi. Detto questo, io veramente mi piace essere in grado di controllare la mia TV dal mio telefono!
  2. Crea una sottorete diversa per ciascun dispositivo. Il mio router mi consente di creare una rete principale e una rete ospite. Potrei mettere tutti i miei dispositivi semi-attendibili su una rete secondaria - ma perderei la possibilità di controllarli mentre sono connesso alla rete principale. Inoltre, avrebbero ancora la possibilità di interferire tra loro.
  3. DMZ? Non sono sicuro di questo: isolerebbe i dispositivi IoT dalla LAN principale mentre continuava a fornire loro l'accesso a Internet? Capisco che i dispositivi sarebbero totalmente esposti alla rete - dando a chiunque la possibilità di controllare i dispositivi senza password, giusto?
  4. Qualcos'altro ...?

Ho la sensazione che ciò che voglio fare sia impossibile. Devo solo accettare che i dispositivi sulla mia rete possano accedervi l'un l'altro e cercare di proteggere ciò che posso?

    
posta Terence Eden 24.03.2016 - 19:26
fonte

6 risposte

13

Per prima cosa devi rompere i dispositivi in classi di connettività:

  1. È necessaria una connessione "cloud" costante per funzionare correttamente
  2. Non è necessaria alcuna connessione eccetto configurazione iniziale / aggiornamenti, bisogno di connessione locale
  3. Servono sia una connessione cloud che una connessione locale per funzionare

Se hai una classe di dispositivi che sono veramente basati su cloud (cioè non usano alcun traffico locale, tutto deve andare su Internet e ritorno) la creazione di un SSID e VLAN che segrega il traffico è una misura semplice per assicurarsi che qualsiasi attività ostile che potrebbe essere riproposta per essere riparata da obiettivi di alto valore come il server di backup. Mettere dispositivi che necessitano di una sorta di connessione always-on nella propria classe li tiene fuori se ci sono alcuni tipi di compromessi a distanza della loro struttura di comando e controllo (il cloud).

Se hai ancora bisogno dell'accesso locale ad alcuni di questi dispositivi, per esempio per dare al tuo telefono la possibilità di accedere alla porta 80 della tua TV o della tua lampadina (se è così che funziona il telecomando intelligente) una regola firewall sarà consentito solo il tuo telefono, solo quella porta sulla TV. Se la tua TV non ha bisogno di accesso a Internet e solo di accesso locale protetto, questo ricade in un'altra categoria che avrebbe bisogno del proprio SSID, e se vuoi davvero che sia in grado di parlare con Internet ma senza altri dispositivi, ed essere tutto da solo , avrebbe bisogno del proprio SSID e VLAN, che molti possono essere creati se necessario.

Una misura che potrebbe anche fare molto se la tua rete è soggetta a dispositivi transitori (ad esempio tablet o laptop di parenti che passano di volta in volta) mette solo quelli su una VLAN diversa, poiché ad esempio la tua lampadina intelligente, a meno che tu non apra intenzionalmente una porta da internet in generale, non danneggi nemmeno senza una password dato che tu speri (si spera) che tutti gli altri dispositivi sulla tua rete non siano sotto controllo malevolo.

In questo modo è possibile configurare diversi dispositivi WiFi / router economici che possono essere caricati con OpenWRT o DDWRT. La sfida non è come tirare fuori tutto questo, è come mantenere tutto funzionante senza intoppi e non alzare le mani ammettendo che è più facile vivere sotto lo spettro della rete Armageddon per non dover sbloccare una porta ogni volta gli aggiornamenti dell'app TV del telefono e indica che il firmware della TV non è aggiornato. Se sei come la maggior parte delle persone, indurisci solo ciò che puoi: aggiornamenti automatici o allertati su tutti i dispositivi che lo supportano, regole firewall intelligenti con qualcosa come uPNP disabilitato e poi continua con la tua vita.

    
risposta data 24.03.2016 - 22:00
fonte
6

A seconda del tuo livello di paranoia, puoi ottenere un AP con più SSID mappati per separare le VLAN. Quindi con un firewall o elenchi di accesso, è possibile controllare a cosa ogni VLAN ha accesso. Probabilmente puoi raccogliere dispositivi commerciali usati per non troppi soldi che fanno quello che vuoi.

    
risposta data 24.03.2016 - 19:41
fonte
6

Ho acquistato a tale scopo un Ubiquiti EdgeRouterX e UniFi AP AC LITE.

Il punto di accesso supporta fino a 4 SSID, ognuno va a un'altra VLAN. Ho creato una rete wireless "principale" e "ospite" (che uso anche per i dispositivi non attendibili).

Il router consente l'accesso a Internet per ogni VLAN, ma non consente al traffico di attraversare tra le VLAN, con l'eccezione che posso connettermi dalla rete "principale" al "guest", ma non viceversa.

Penso che questa configurazione sia abbastanza sicura e anche abbastanza economica per le prestazioni. Non ho nemmeno dovuto toccare la CLI. Il controller UniFi deve essere eseguito su un PC solo per configurare i punti di accesso wireless, in seguito possono funzionare senza.

    
risposta data 26.03.2016 - 15:22
fonte
5

Nel tuo caso hai la seguente soluzione:

  1. Acquista un buon router con un buon firewall in grado di supportare più AP.
  2. Segrega la rete in modo da avere l'allarme fumo su una rete e gli altri dispositivi su un'altra (è quello che ho fatto per divertimento e perché volevo eseguire alcuni honeypot sulla strada ... e alcuni IP statici e backup se un fornitore è inattivo)
  3. Acquista 3 router diversi e decenti ne usi uno come punto di ingresso e usa l'altro come AP separati.
  4. Se ti trovi nei dispositivi IoT, acquista alcuni PI collegandoli con un cavo al router e usa gli adattatori Internet USB per creare AP (e non dimenticare di cambiare i valori predefiniti).
risposta data 24.03.2016 - 19:42
fonte
3

Sono andato oltre e ho installato una rete fisica separata per dispositivi IoT. Il mio costruttore ha installato Cat5e per le linee telefoniche e Cat6 per la LAN, e ho utilizzato il telefono per creare la rete cablata IoT con un router separato e punti di accesso WiFi.

A volte porto i dispositivi al test alpha / beta che non sono ancora stati completamente cotti in termini di sicurezza, ma anche le unità alfa sono in genere piuttosto sicure e le esecuzioni di test di produzione. Non mi fido esplicitamente di TUTTI i dispositivi o le infrastrutture esterne degli altri produttori IoT che uso a casa mia.

    
risposta data 25.01.2017 - 20:23
fonte
2

Le altre risposte SSID / VLAN distinte sono davvero la strada da percorrere.

Espandendo queste risposte, penso che ci sia una soluzione ragionevole a basso rischio per preservare la tua convenienza: perché non prendere un altro telefono che non è il tuo telefono per connettersi a quell'AP non trusted (IoT) per controllare la tua TV ecc.? Forse hai un vecchio telefono o puoi trovare qualcosa per eseguire Android? (Questo sarebbe naturalmente più facile con supporto ufficiale per Android su un Raspberry Pi ...)

    
risposta data 08.12.2016 - 22:39
fonte

Leggi altre domande sui tag