IoTデバイスのホームネットワークを設計する方法は?
(潜在的に敵意のある)デバイスを含むホームネットワークを設計する最善の方法を考え出そうとしています。ネットワーキングの知識の限界に突き当たります!
私には2つの課題があります。
安全でないデバイス
私のホームネットワークには、Lifx WiFi電球があります。 Lifxはセキュリティ(パスワードなし)を提供しないため、LAN上の他のデバイスがそれを制御できます。
スマートフォンとラップトップが電球に接続できるのは嬉しいですが、テレビから電球にアクセスしたくありません。またはその逆。
敵意のあるデバイス
同様に、私はNest Protect WiFi煙警報器を持っています。 Nestの従業員がデバイスにトンネルしてネットワークに完全にアクセスすることは(理論的には)可能です。
デバイスがインターネットに接続できるネットワークを作成できますが、LANには何も接続できませんか?
デザイン
では、国内のインターネットルーターで、LANへのフルアクセスを必ずしも許可したくないデバイスを分離するには、どのような手順を踏めばよいでしょうか。
私の考えは...
- デバイスを取り外します。そうは言っても、私は本当に自分の電話から自分のテレビを制御できるのが好きです!
- デバイスごとに異なるサブネットを作成します。私の ルーター では、メインネットワークとゲストネットワークを作成できます。準信頼デバイスをすべてセカンダリネットワークに配置することはできますが、メインネットワークに接続している間は、デバイスを制御できなくなります。さらに、彼らはまだお互いに干渉する能力を持っているでしょう。
- DMZ?私はこれについて確信がありません-IoTデバイスをメインLANから分離し、インターネットアクセスを提供しますか?デバイスが完全にネットにさらされることを理解しています-パスワードなしのデバイスを制御する機能をだれにでも与えます、そうですか?
- 他に何か…?
やりたいことは無理だと感じています。ネットワーク上のデバイスが互いにアクセスし、セキュリティで保護できるかどうかを確認するだけでよいですか?
まず、デバイスを接続のクラスに分類する必要があります。
- 適切に機能するには、一定の「クラウド」接続のみが必要です
- 初期構成/更新以外の接続は不要、ローカル接続が必要
- クラウド接続とローカル接続の両方が必要
本当にクラウドベースのデバイスのクラスがある場合(つまり、ローカルトラフィックを使用しない場合、すべてがインターネットに出入りして戻ってくる必要があります)SSIDを作成し、VLAN thatトラフィックを分離することは、それが転用される可能性のある悪意のあるアクティビティがバックアップサーバーなどの高価値のターゲットから保護されることを確認するための簡単な手段です。コマンドと制御構造(クラウド)のある種のリモート侵害。
これらのデバイスの一部へのローカルアクセスが必要な場合は、スマートフォンのTVまたは電球(スマートリモートが機能している場合)のポート80にのみアクセスできるようにすると、ステートフルファイアウォールルールでスマートフォンのみに適用できます、テレビのそのポートにのみ許可されます。 TVがインターネットアクセスを必要とせず、保護されたローカルアクセスのみを必要とする場合、これは独自のSSIDを必要とする別のカテゴリに分類されます。また、本当にインターネットに接続できるが他のデバイスは必要なく、それ自体がすべてである場合、独自のSSIDとVLANが必要です。必要に応じて、多くのSSIDとVLANを作成できます。
ネットワークが一時的なデバイス(つまり、親戚のタブレットやラップトップが時々落ちてくる)の影響を受ける場合にも、長い道のりになる可能性がある1つの対策は、意図的にしない限り、たとえばスマート電球などの別のVLANにそれらを置くことですネットワーク上の他のすべてのデバイスが悪意のある制御を受けないように(うまくいけば)信頼できるため、インターネット全体からポートを開くことは、パスワードがなくても害はありません。
OpenWRTまたはDDWRTでロードできるいくつかの安価なWifi /ルーターデバイスは、この方法で構成できます。課題は、これをすべて取り除く方法ではなく、すべてをスムーズに機能させ、常にポートのブロックを解除する必要がないように、ネットワークArmageddonの妖怪の下に住むほうが簡単であることを認めずに手を放さない方法です。スマートフォンのTVアプリが更新され、TVファームウェアが古くなっていると表示されます。ほとんどの人と同じように、できることを強化するだけです。それをサポートするすべてのデバイスでの自動更新またはアラート更新、uPNPなどを無効にしたスマートファイアウォールルールを使用して、生活を続けます。
その目的でUbiquiti EdgeRouterXとUniFi AP AC LITEを購入しました。
アクセスポイントは最大4つのSSIDをサポートし、それぞれが別のVLANに接続します。 「メイン」のワイヤレスネットワークと「ゲスト」を設定しました(信頼できないデバイスにも使用します)。
ルーターはすべてのVLANのインターネットアクセスを許可しますが、トラフィックがVLAN間を通過することを許可しません。ただし、「メイン」ネットワークから「ゲスト」に接続できますが、その逆はできません。
この設定はかなり安全で、パフォーマンスもかなり安いと思います。 CLIに触れる必要もありませんでした。 UniFiコントローラーは、ワイヤレスアクセスポイントをセットアップするためだけにPCで実行する必要があります。後で、ワイヤレスアクセスポイントはなくても動作します。
パラノイアのレベルに応じて、複数のSSIDが個別のVLANにマッピングされたAPを取得できます。次に、ファイアウォールまたはアクセスリストを使用して、各VLANがアクセスできるものを制御できます。おそらく、必要なことを行うにはあまりにも多くのお金のために使用済みの商用デバイスを拾うことができます。
あなたの場合、あなたは次の解決策を持っています:
- 複数のAPをサポートできる優れたファイアウォールを備えた優れたルーターを購入します。
- ネットワークを分離して、1つのネットワークに煙警報器があり、他のデバイスに別のデバイスがあるようにします(これは私が楽しみにしていたことであり、途中でハニーポットを実行したかったためです...プロバイダーが静的IPとバックアップの場合)ダウン)
- 3つの異なる適切なルーターを購入すると、1つをエントリポイントとして使用し、もう1つを別のAPとして使用します。
- IoTデバイスを使用している場合は、いくつかのPIを購入してルーターのケーブルで接続し、USBインターネットアダプターを使用してAPを作成します(デフォルトを変更することを忘れないでください)。
さらに一歩進んで、IoTデバイス用に別の物理ネットワークをインストールしました。私のビルダーは電話回線用にCat5eを、LAN用にCat6をインストールし、電話回線を使用して、個別のルーターとWiFiアクセスポイントを備えたIoTの有線ネットワークを構築しました。
私は時々、セキュリティの面で完全に焼き付けられていないデバイスをアルファ/ベータテストに持ち帰りますが、アルファユニットでさえ、通常はかなり安全で、実稼働テストを実行します。自宅で使用している他のIoTメーカーのすべてのデバイスや外部インフラストラクチャを明示的に信頼していません。
他の明確なSSID/VLANの答えは、実際に進むべき道です。
それらの答えを拡張して、あなたの利便性を維持するための合理的な低リスクの解決策があると思います:あなたの電話ではない他の電話を接続してみませんかテレビなどを制御するための信頼できない(IoT)APに多分あなたは古い電話を持っていますか、あなたはAndroidを実行するために何かを見つけることができますか? (これはもちろん Androidの公式サポート ...の公式サポートで簡単になります)