¿Cómo diseñar una red doméstica para dispositivos IoT?

23

Estoy tratando de encontrar la mejor manera de diseñar una red doméstica que contenga dispositivos (potencialmente hostiles). Me estoy topando con mis límites de conocimiento de redes.

Tengo dos desafíos.

Dispositivos no seguros

En mi red doméstica tengo una bombilla Lifx WiFi. Lifx no proporciona ninguna seguridad (sin contraseñas), por lo que cualquier otro dispositivo en la LAN puede controlarlo.

Me alegro de que mi teléfono y mi computadora portátil se conecten a la bombilla, pero no quiero que mi televisor tenga acceso a ella. O viceversa.

Dispositivos hostiles

En una vena similar, tengo una alarma de humo WiFi Nest Protect WiFi. Es (teóricamente) posible que un empleado de Nest conecte un túnel al dispositivo y obtenga acceso completo a mi red.

¿Es posible crear una red que permita que un dispositivo se conecte a Internet, pero nada en la LAN?

Diseñar

Entonces, ¿qué tipo de pasos puedo tomar en un enrutador de Internet doméstico para aislar dispositivos que no necesariamente quiero dar acceso completo a mi LAN?

Mis pensamientos son ...

  1. Desconecta los dispositivos. Dicho esto, realmente me gusta poder controlar mi televisor desde mi teléfono.
  2. Crea una subred diferente para cada dispositivo. Mi router me permite crear una red principal y una red invitada. Podría poner todos mis dispositivos semi confiables en una red secundaria, pero perdería la capacidad de controlarlos mientras estoy conectado a la red principal. Además, aún tendrían la capacidad de interferir entre sí.
  3. DMZ? No estoy seguro de esto: ¿aislaría los dispositivos de IoT de la LAN principal y les dará acceso a Internet? Entiendo que los dispositivos estarían totalmente expuestos a la red, y eso le da a cualquiera la capacidad de controlar los dispositivos sin contraseña, ¿verdad?
  4. ¿Algo más ...?

Tengo la sensación de que lo que quiero hacer es imposible. ¿Debería aceptar que los dispositivos en mi red pueden acceder entre sí e intentar asegurar lo que puedo?

    
pregunta Terence Eden 24.03.2016 - 19:26
fuente

6 respuestas

13

Primero debe dividir los dispositivos en clases de conectividad:

  1. Necesita solo una conexión "en la nube" constante para que funcione correctamente
  2. No necesita conexión, a excepción de la configuración / actualizaciones iniciales, necesita conexión local
  3. Necesita tanto una conexión en la nube como una conexión local para funcionar

Si tiene una clase de dispositivos que realmente están basados en la nube (es decir, no utilizan ningún tráfico local, todo debe ir a Internet y volver) crear un SSID y VLAN que segrega el tráfico es una medida simple para asegurarse de que cualquier actividad hostil para la que se pueda reutilizar está protegida de objetivos de alto valor como su servidor de respaldo. Poner dispositivos que necesitan algún tipo de conexión siempre activa en su propia clase los mantiene al margen si existe algún tipo de compromiso remoto de su estructura de comando y control (la nube).

Si aún necesita acceso local a algunos de esos dispositivos, digamos para que su teléfono solo tenga la capacidad de acceder al puerto 80 en su televisor o su bombilla (si es así como funciona el control remoto inteligente) una regla de firewall con estado puede hacer que solo se permitirá su teléfono, solo a ese puerto en el televisor. Si su televisor no necesita acceso a Internet y solo acceso local protegido, esto se incluiría en otra categoría que necesitaría su propio SSID, y si realmente desea que pueda hablar con Internet pero no con otros dispositivos, y que sea completamente independiente. , necesitaría su propio SSID y VLAN, que muchos pueden crearse si es necesario.

Una medida que también podría recorrer un largo camino si su red está sujeta a dispositivos transitorios (es decir, las tabletas o computadoras portátiles familiares que pasan por ahí de vez en cuando) está colocando a esos en una VLAN diferente, como por ejemplo su bombilla inteligente a menos que abra un puerto desde Internet a propósito, no es perjudicial, incluso sin una contraseña, ya que (con suerte) confía en que todos los demás dispositivos de su red no estén bajo control malicioso.

Varios dispositivos Wifi / Router económicos que pueden cargarse con OpenWRT o DDWRT se pueden configurar de esta manera. El desafío no es cómo lograr todo esto, es cómo mantener todo funcionando sin problemas y no levantar las manos admitiendo que es más fácil vivir solo bajo el espectro del Armageddon de la red para no tener que desbloquear un puerto cada vez las actualizaciones de la aplicación de TV de su teléfono, y dice que el firmware de su TV ya no está actualizado. Si eres como la mayoría de las personas, solo endureces lo que puedes: actualizaciones automáticas o alertas en todos los dispositivos que lo admiten, reglas de firewall inteligentes con algo como uPNP deshabilitado, y luego continúas con tu vida.

    
respondido por el Jeff Meden 24.03.2016 - 22:00
fuente
6

Dependiendo de su nivel de paranoia, puede obtener un AP que tenga múltiples SSID asignados a VLAN separadas. Luego, con un firewall o listas de acceso, puede controlar a qué tiene acceso cada VLAN. Probablemente pueda adquirir dispositivos comerciales usados por no demasiado dinero para hacer lo que quiere.

    
respondido por el Ron Trunk 24.03.2016 - 19:41
fuente
6

Para este fin, compré un Ubiquiti EdgeRouterX y UniFi AP AC LITE.

El punto de acceso admite hasta 4 SSID, cada uno va a otra VLAN. He configurado una 'red' principal 'inalámbrica' y 'invitado' (que también utilizo para dispositivos que no son de confianza).

El enrutador permite el acceso a Internet para cada VLAN, pero no permite que el tráfico cruce entre las VLAN, con la excepción de que puedo conectarme desde la red 'principal' al 'invitado', pero no al revés. p>

Creo que esta configuración es bastante segura y también bastante barata para el rendimiento. Incluso no tuve que tocar el CLI. El controlador UniFi tiene que ejecutarse en una PC solo para configurar los puntos de acceso inalámbricos, luego pueden funcionar sin él.

    
respondido por el filo 26.03.2016 - 15:22
fuente
5

En su caso, tiene la siguiente solución:

  1. Compre un buen enrutador con un buen firewall que admita múltiples AP.
  2. Segregue la red para que tenga la alarma de humo en una red y los otros dispositivos en otra (eso es lo que hice por diversión y porque quería ejecutar algunos honeypots en el camino ... y algunas IP estáticas y copias de seguridad si un proveedor está caído)
  3. Los 3 enrutadores diferentes y decentes usan uno como punto de entrada y el otro como AP separados.
  4. Si está en los dispositivos de IoT, compre algunos PI, conéctelos con un cable en el enrutador y use los adaptadores de internet USB para hacer puntos de acceso (y no olvide cambiar los valores predeterminados).
respondido por el Lucian Nitescu 24.03.2016 - 19:42
fuente
3

Fui un paso más allá e instalé una red física separada para dispositivos IoT. Mi constructor instaló Cat5e para las líneas telefónicas y Cat6 para la LAN, y utilicé el teléfono para construir la red cableada de IoT con un enrutador y puntos de acceso WiFi separados.

A veces llevo a los dispositivos al hogar para pruebas alfa / beta que aún no se han desarrollado completamente en términos de seguridad, pero incluso las unidades alfa generalmente son bastante seguras y se ejecutan pruebas de producción. No confío explícitamente en TODOS los dispositivos o infraestructuras externas de los otros fabricantes de IoT que utilizo en mi hogar.

    
respondido por el AaronK 25.01.2017 - 20:23
fuente
2

Las otras respuestas distintas de SSID / VLAN realmente son el camino a seguir.

Ampliando esas respuestas, creo que existe una solución razonable de bajo riesgo para preservar su conveniencia: ¿por qué no comprar otro teléfono que no sea su para conectarse a ese AP no confiable (IoT) para ¿Controlando tu TV, etc.? Tal vez tienes un teléfono viejo, o puedes encontrar algo para ejecutar Android? (Por supuesto, esto sería más fácil con soporte oficial para Android en una Raspberry Pi ...)

    
respondido por el ZX9 08.12.2016 - 22:39
fuente

Lea otras preguntas en las etiquetas