Cualquier persona que intente configurar una red doméstica "segura" con dispositivos "inteligentes" tendrá que comprometerse sobre la seguridad o sobre la facilidad de uso.
Yo diría que lo primero que debe hacer es segmentar su red en al menos 2, posiblemente 3 o más.
Uno para el acceso a datos desde dispositivos informáticos de usuario final (EUC, por sus siglas en inglés) razonablemente protegidos (incluidos equipos de escritorio, computadoras portátiles, tabletas y móviles). Esta red no debe permitir ninguna conectividad de entrada (configuración de firewall estándar). También podría considerar la posibilidad de segmentar su red Wi-Fi, aunque esto puede ser una molestia, ya que es posible que los dispositivos con conexiones cableadas e inalámbricas no puedan comunicarse entre sí sin una configuración adicional. Sin duda, considere un SSID Wi-Fi invitado.
Este segmento también se usará para dispositivos de medios: estos necesitan acceso a Internet, pero serán menos seguros ya que reciben actualizaciones con menos frecuencia (tal vez nunca) y los proveedores tienen malos hábitos con su privacidad. También puede segmentar estos dispositivos si no necesita mucho acceso desde los dispositivos EUC y eso es ciertamente preferible.
El segundo segmento principal sería para dispositivos IoT. Por lo general, nunca debe permitir que estos accedan directamente a Internet. Por supuesto, si ha comprado dispositivos que solo funcionan a través de un servicio de Internet, está bastante lleno allí, esos dispositivos tendrían que ir a su segmento principal, pero al menos debería considerar configurar reglas de firewall que solo permitan hablar a dispositivos específicos. a puntos finales de servicios específicos. Se puede permitir que todos los demás dispositivos de IoT se comuniquen entre sí, pero no a Internet; bueno, no directamente de todos modos. Considere un centro de origen de algún tipo en el que pueda controlar el tráfico de forma segura; en realidad, esa es una pregunta aparte. Si necesita acceder a dispositivos IoT desde dispositivos EUC, configure el enrutamiento específico para permitir eso.
En mi propia configuración, los dispositivos de IoT tienen acceso a una Raspberry Pi que ejecuta Node-RED, que es el concentrador. Esa Pi tiene acceso de salida a Internet pero no hay acceso de entrada. Para alertas externas, uso un "bot" de Telegram que proporciona seguridad de extremo a extremo sin la necesidad de reglas de firewall. El robot derivado de Node-RED llega a los servidores de Telegram, lo que permite comunicaciones seguras y bidireccionales.
Nunca compro dispositivos IoT que requieren servicios externos para funcionar. Esto no solo puede comprometer la seguridad, sino que también significa dispositivos inútiles si / cuando el proveedor pierde interés o deja el negocio. Puedo hacer una excepción en algún momento para un "orador inteligente" como Alexa o Google Home. Pero eso no estaría controlando nada importante en la casa.
Las cámaras Wi-Fi son otra fuente de problemas de seguridad. De nuevo, aconsejaría no conectarlos directamente a internet. Trátelos como dispositivos IoT y use un centro seguro para actuar como un proxy si realmente necesita acceso externo al video. También puede ser posible usar nuevamente un bot de Telegram para enviar videos de forma segura.