Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Sikre wifidingser (ihvertfall sånn passelig)


gert

Anbefalte innlegg

De fleste dingsene mine er zigbee, og de fleste dingsene som går via wifi er flashet med esphome, slik at jeg er ganske trygg på både sikkerheten, og at de ikke gjør noe "galt" med vilje. Men enkelte dingser kommer jo bare i wifiversjon med proprietær firmware, og i tillegg må de ha internettilgang fordi de ikke kjører noe lokalt API. Disse føler jeg kanskje jeg burde ha noe mer  kontroll på, enn jeg har i dag. Jeg kan være ganske nerdete på det meste, men akkurat nettverksoppsett, ruting, brannmur m.m. har jeg aldri vært helt fortrolig med.

 

Jeg har jo likevel ikke lyst til at dingsene mine skal bli en del av botnett, eller bli kompromittert på annet vis og i verste fall gi tilgang til hjemmenettverket, andre smartdingser e.l. vil gjerne ha noen tips til om jeg tenker sånn ca riktig her, og gjerne tips (og lenker til guider). Jeg kjører openwrt på en TP-Link Archer C2600-ruter btw.

 

I dag kjører IOT-dingser primært på et eget wifinett, som ikke får lov å snakke med resten av nettverket mitt. Men de har fri tilgang til  hverandre, og de har fri tilgang til internett, så nyttige botnet-deltakere kan de fortsatt bli.

 

Vaskemaskin, varmtvannsbereder, utendørs smartplugg:

Jeg anser disse for å utgjøre en svært begrenset risiko. Vaskemaskinen (en LG) må være skrudd på for å kunne kommunisere med. Noe sensitive data inneholder den jo heller ikke. Varmtvannsberederen (Høiax Connected) er innenfor reklamasjonstid i fem år til, og har vel fysiske sikkerhetsanstaltninger som sikrer at den ikke kan bli en trykkoker-bombe. Den utendørs smartpluggen styrer en lyslenke. Ikke akkurat kritisk.

 

Bør jeg gjøre noen ytterligere sikkerhetsforanstaltning på slike dingser? Er det verdt jobben med å lage egne brannmurregler for hvem av dem som kun lar dem kommunisere med whitelistede IP-er e.l. Er det verdt styret? Bør de isoleres fra andre dingser på IoT-nettverket (og i tilfelle hvordan)?

 

Dørlås (Yale L3)

Kjøres på samme IoT-nettverk som alle andre dingser. Antar at et eventuelt angrep på disse låsene vil komme via Yale/August sin skyløsning og ikke lokalt. Men den bør kanskje likevel isoleres fra resten av IoT-dingsene? Hvordan, i tilfelle?

 

Kamera (Tapo C200)

Når vi er hjemme er kameraet vendt mot veggen, og i tillegg strømløst. Nr vi er hjemmefra, har det strøm, og er vendt mot inngangsdøren. Kjøres på samme IoT-nettverk som alle andre dingser. Antar også her at et eventuelt angrep på kameraet vil komme via leverandørens skyløsning og ikke fra andre dingser lokalt, eller tileldige angrep på nettet (antar dette ikke er direkte kontaktbart fra nett, som utgangspunkt. Men kameraet bør kanskje  isoleres fra resten av IoT-dingsene?

 

TV (Phillips 55OLED803 - Android TV)

Denne er per i dag koblet på det "ordentlige" wifinettverket. Må jo ha relativt fri internettilgang, den skal jo streame fra diverse apper. Er på hjemmenettet pga. problemer med casting og streaming når den er på eget nettverk. Tips.

 

Forventer ikke at noen skriver en lang og detaljert redegjørelse på alt dette altså, men om noen har noen generelle tips, tas det imot med takk.

Lenke til kommentar
Del på andre sider

Du er nok ikke helt blank på nettverk siden du allerede har litt isolasjon, forhåpentligvis på egne VLAN.

Jeg kjenner ikke TP-linken, men misstenker at den ikke er helt passende til oppgaven.  TP-link har heller ikke det beste ordet på seg for å holde tett i dagens tøffe internet miljø.
Kanskje pfsense eller den nære slektningen (også pfettellerannet) er noe å se på?

 

Men, ja, isoler det du er redd for, eller bare har iffy følelser for.

Skadebegrense med å sette tak på båndbredde, sikre med kryptert DNS ut fra din gateway til en DNS-leverandør som filtererer, aktivt bruke brannmurregler osvosv.

Bare husk at WiFi ikke bør ha flere enn tre-fire SSIDer pr. radio på pr. aksesspunkt.

 

Viktigst av alt:  

 1: holde alt av programmvare oppdatert

 2: hold oversikten!

 

Mange ganger bør man isolere tinger og tanger fordi det ikke er mulig å få sikkerhetsfikser også. 

 

Endret av NilsOF
Lenke til kommentar
Del på andre sider

NilsOF skrev (12 timer siden):

Jeg kjenner ikke TP-linken, men misstenker at den ikke er helt passende til oppgaven.  TP-link har heller ikke det beste ordet på seg for å holde tett i dagens tøffe internet miljø.

 

Han kjører jo OpenWRT på den, altså en annen firmware enn den som kom med ruteren. Jeg har vanskelig for å se at det skal være noen dårligere løsning enn mye annet.

Lenke til kommentar
Del på andre sider

Lage spesifike brannmur regler kan bli jobb og følge opp, eks når døra plutselig ikke får kontakt med serveren - om leverandøren bytter IP.

Legg de IoT på forskjellige VLAN via AP. 
TVn hadde jeg knyttet til hjemmenettverket med tanke på streaming som du skriver. 
Når hver av enhetene er på VLAN kan man ta jobben, om man vil med og lage ekstra brannmur regler.

Virker som du har gjort mye av jobben allerede :D

Lenke til kommentar
Del på andre sider

ogagits skrev (På 12.11.2022 den 0.12):

Lage spesifike brannmur regler kan bli jobb og følge opp, eks når døra plutselig ikke får kontakt med serveren - om leverandøren bytter IP.

Legg de IoT på forskjellige VLAN via AP. 
TVn hadde jeg knyttet til hjemmenettverket med tanke på streaming som du skriver. 
Når hver av enhetene er på VLAN kan man ta jobben, om man vil med og lage ekstra brannmur regler.

Virker som du har gjort mye av jobben allerede :D

Hehe, det er jo i og for seg det jeg vil høre, men man kommer jo innimellom over artikler fra folk som går veldig langt i å sette opp relativt rigide brannmurregler og alt mulig annet. Openwrt bør nok være up to the task, og jeg husker relativt ofte på å sjekke om det kommer en oppdatering. Men tenker jo f.eks. på om jeg burde sørge for at dingsene på IoT-trådløsnettet ikke kan snakke med hverandre. Og har litt lyst til å begrense TV-en litt også, jeg stoler ikke akkurat på atPhillips er kjapt ute med (sikkerhets)oppdateringer. Egentlig en uting at smart-tvfunksjonaliteten skal ligge i selve TV-en, spør du meg.

 

 

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.