Come progettare una rete domestica per dispositivi IoT?

Per prima cosa devi rompere i dispositivi in classi di connettività:

1. È necessaria una connessione "cloud" costante per funzionare correttamente
2. Non è necessaria alcuna connessione eccetto configurazione iniziale / aggiornamenti, bisogno di connessione locale
3. Servono sia una connessione cloud che una connessione locale per funzionare

Se hai una classe di dispositivi che sono veramente basati su cloud (cioè non usano alcun traffico locale, tutto deve andare su Internet e ritorno) la creazione di un SSID e VLAN che segrega il traffico è una misura semplice per assicurarsi che qualsiasi attività ostile che potrebbe essere riproposta per essere riparata da obiettivi di alto valore come il server di backup. Mettere dispositivi che necessitano di una sorta di connessione always-on nella propria classe li tiene fuori se ci sono alcuni tipi di compromessi a distanza della loro struttura di comando e controllo (il cloud).

Se hai ancora bisogno dell'accesso locale ad alcuni di questi dispositivi, per esempio per dare al tuo telefono la possibilità di accedere alla porta 80 della tua TV o della tua lampadina (se è così che funziona il telecomando intelligente) una regola firewall sarà consentito solo il tuo telefono, solo quella porta sulla TV. Se la tua TV non ha bisogno di accesso a Internet e solo di accesso locale protetto, questo ricade in un'altra categoria che avrebbe bisogno del proprio SSID, e se vuoi davvero che sia in grado di parlare con Internet ma senza altri dispositivi, ed essere tutto da solo , avrebbe bisogno del proprio SSID e VLAN, che molti possono essere creati se necessario.

Una misura che potrebbe anche fare molto se la tua rete è soggetta a dispositivi transitori (ad esempio tablet o laptop di parenti che passano di volta in volta) mette solo quelli su una VLAN diversa, poiché ad esempio la tua lampadina intelligente, a meno che tu non apra intenzionalmente una porta da internet in generale, non danneggi nemmeno senza una password dato che tu speri (si spera) che tutti gli altri dispositivi sulla tua rete non siano sotto controllo malevolo.

In questo modo è possibile configurare diversi dispositivi WiFi / router economici che possono essere caricati con OpenWRT o DDWRT. La sfida non è come tirare fuori tutto questo, è come mantenere tutto funzionante senza intoppi e non alzare le mani ammettendo che è più facile vivere sotto lo spettro della rete Armageddon per non dover sbloccare una porta ogni volta gli aggiornamenti dell'app TV del telefono e indica che il firmware della TV non è aggiornato. Se sei come la maggior parte delle persone, indurisci solo ciò che puoi: aggiornamenti automatici o allertati su tutti i dispositivi che lo supportano, regole firewall intelligenti con qualcosa come uPNP disabilitato e poi continua con la tua vita.

A seconda del tuo livello di paranoia, puoi ottenere un AP con più SSID mappati per separare le VLAN. Quindi con un firewall o elenchi di accesso, è possibile controllare a cosa ogni VLAN ha accesso. Probabilmente puoi raccogliere dispositivi commerciali usati per non troppi soldi che fanno quello che vuoi.

Ho acquistato a tale scopo un Ubiquiti EdgeRouterX e UniFi AP AC LITE.

Il punto di accesso supporta fino a 4 SSID, ognuno va a un'altra VLAN. Ho creato una rete wireless "principale" e "ospite" (che uso anche per i dispositivi non attendibili).

Il router consente l'accesso a Internet per ogni VLAN, ma non consente al traffico di attraversare tra le VLAN, con l'eccezione che posso connettermi dalla rete "principale" al "guest", ma non viceversa.

Penso che questa configurazione sia abbastanza sicura e anche abbastanza economica per le prestazioni. Non ho nemmeno dovuto toccare la CLI. Il controller UniFi deve essere eseguito su un PC solo per configurare i punti di accesso wireless, in seguito possono funzionare senza.

Nel tuo caso hai la seguente soluzione:

1. Acquista un buon router con un buon firewall in grado di supportare più AP.
2. Segrega la rete in modo da avere l'allarme fumo su una rete e gli altri dispositivi su un'altra (è quello che ho fatto per divertimento e perché volevo eseguire alcuni honeypot sulla strada ... e alcuni IP statici e backup se un fornitore è inattivo)
3. Acquista 3 router diversi e decenti ne usi uno come punto di ingresso e usa l'altro come AP separati.
4. Se ti trovi nei dispositivi IoT, acquista alcuni PI collegandoli con un cavo al router e usa gli adattatori Internet USB per creare AP (e non dimenticare di cambiare i valori predefiniti).

Sono andato oltre e ho installato una rete fisica separata per dispositivi IoT. Il mio costruttore ha installato Cat5e per le linee telefoniche e Cat6 per la LAN, e ho utilizzato il telefono per creare la rete cablata IoT con un router separato e punti di accesso WiFi.

A volte porto i dispositivi al test alpha / beta che non sono ancora stati completamente cotti in termini di sicurezza, ma anche le unità alfa sono in genere piuttosto sicure e le esecuzioni di test di produzione. Non mi fido esplicitamente di TUTTI i dispositivi o le infrastrutture esterne degli altri produttori IoT che uso a casa mia.

Le altre risposte SSID / VLAN distinte sono davvero la strada da percorrere.

Espandendo queste risposte, penso che ci sia una soluzione ragionevole a basso rischio per preservare la tua convenienza: perché non prendere un altro telefono che non è il tuo telefono per connettersi a quell'AP non trusted (IoT) per controllare la tua TV ecc.? Forse hai un vecchio telefono o puoi trovare qualcosa per eseguire Android? (Questo sarebbe naturalmente più facile con supporto ufficiale per Android su un Raspberry Pi ...)