¿Cómo diseñar una red doméstica para dispositivos IoT?

Primero debe dividir los dispositivos en clases de conectividad:

1. Necesita solo una conexión "en la nube" constante para que funcione correctamente
2. No necesita conexión, a excepción de la configuración / actualizaciones iniciales, necesita conexión local
3. Necesita tanto una conexión en la nube como una conexión local para funcionar

Si tiene una clase de dispositivos que realmente están basados en la nube (es decir, no utilizan ningún tráfico local, todo debe ir a Internet y volver) crear un SSID y VLAN que segrega el tráfico es una medida simple para asegurarse de que cualquier actividad hostil para la que se pueda reutilizar está protegida de objetivos de alto valor como su servidor de respaldo. Poner dispositivos que necesitan algún tipo de conexión siempre activa en su propia clase los mantiene al margen si existe algún tipo de compromiso remoto de su estructura de comando y control (la nube).

Si aún necesita acceso local a algunos de esos dispositivos, digamos para que su teléfono solo tenga la capacidad de acceder al puerto 80 en su televisor o su bombilla (si es así como funciona el control remoto inteligente) una regla de firewall con estado puede hacer que solo se permitirá su teléfono, solo a ese puerto en el televisor. Si su televisor no necesita acceso a Internet y solo acceso local protegido, esto se incluiría en otra categoría que necesitaría su propio SSID, y si realmente desea que pueda hablar con Internet pero no con otros dispositivos, y que sea completamente independiente. , necesitaría su propio SSID y VLAN, que muchos pueden crearse si es necesario.

Una medida que también podría recorrer un largo camino si su red está sujeta a dispositivos transitorios (es decir, las tabletas o computadoras portátiles familiares que pasan por ahí de vez en cuando) está colocando a esos en una VLAN diferente, como por ejemplo su bombilla inteligente a menos que abra un puerto desde Internet a propósito, no es perjudicial, incluso sin una contraseña, ya que (con suerte) confía en que todos los demás dispositivos de su red no estén bajo control malicioso.

Varios dispositivos Wifi / Router económicos que pueden cargarse con OpenWRT o DDWRT se pueden configurar de esta manera. El desafío no es cómo lograr todo esto, es cómo mantener todo funcionando sin problemas y no levantar las manos admitiendo que es más fácil vivir solo bajo el espectro del Armageddon de la red para no tener que desbloquear un puerto cada vez las actualizaciones de la aplicación de TV de su teléfono, y dice que el firmware de su TV ya no está actualizado. Si eres como la mayoría de las personas, solo endureces lo que puedes: actualizaciones automáticas o alertas en todos los dispositivos que lo admiten, reglas de firewall inteligentes con algo como uPNP deshabilitado, y luego continúas con tu vida.

Dependiendo de su nivel de paranoia, puede obtener un AP que tenga múltiples SSID asignados a VLAN separadas. Luego, con un firewall o listas de acceso, puede controlar a qué tiene acceso cada VLAN. Probablemente pueda adquirir dispositivos comerciales usados por no demasiado dinero para hacer lo que quiere.

Para este fin, compré un Ubiquiti EdgeRouterX y UniFi AP AC LITE.

El punto de acceso admite hasta 4 SSID, cada uno va a otra VLAN. He configurado una 'red' principal 'inalámbrica' y 'invitado' (que también utilizo para dispositivos que no son de confianza).

El enrutador permite el acceso a Internet para cada VLAN, pero no permite que el tráfico cruce entre las VLAN, con la excepción de que puedo conectarme desde la red 'principal' al 'invitado', pero no al revés. p>

Creo que esta configuración es bastante segura y también bastante barata para el rendimiento. Incluso no tuve que tocar el CLI. El controlador UniFi tiene que ejecutarse en una PC solo para configurar los puntos de acceso inalámbricos, luego pueden funcionar sin él.

En su caso, tiene la siguiente solución:

1. Compre un buen enrutador con un buen firewall que admita múltiples AP.
2. Segregue la red para que tenga la alarma de humo en una red y los otros dispositivos en otra (eso es lo que hice por diversión y porque quería ejecutar algunos honeypots en el camino ... y algunas IP estáticas y copias de seguridad si un proveedor está caído)
3. Los 3 enrutadores diferentes y decentes usan uno como punto de entrada y el otro como AP separados.
4. Si está en los dispositivos de IoT, compre algunos PI, conéctelos con un cable en el enrutador y use los adaptadores de internet USB para hacer puntos de acceso (y no olvide cambiar los valores predeterminados).

Fui un paso más allá e instalé una red física separada para dispositivos IoT. Mi constructor instaló Cat5e para las líneas telefónicas y Cat6 para la LAN, y utilicé el teléfono para construir la red cableada de IoT con un enrutador y puntos de acceso WiFi separados.

A veces llevo a los dispositivos al hogar para pruebas alfa / beta que aún no se han desarrollado completamente en términos de seguridad, pero incluso las unidades alfa generalmente son bastante seguras y se ejecutan pruebas de producción. No confío explícitamente en TODOS los dispositivos o infraestructuras externas de los otros fabricantes de IoT que utilizo en mi hogar.

Las otras respuestas distintas de SSID / VLAN realmente son el camino a seguir.

Ampliando esas respuestas, creo que existe una solución razonable de bajo riesgo para preservar su conveniencia: ¿por qué no comprar otro teléfono que no sea su para conectarse a ese AP no confiable (IoT) para ¿Controlando tu TV, etc.? Tal vez tienes un teléfono viejo, o puedes encontrar algo para ejecutar Android? (Por supuesto, esto sería más fácil con soporte oficial para Android en una Raspberry Pi ...)