Fornuftig oppsett av nettverk

[bjwanvik]

Det er helt sikkert flere enn meg her som har gått til anskaffelse av utstyr som er i stand om å gjøre litt mer enn standardrouteren fra ISP'en, og med tanke på sikkerhet som ble diskutert her for litt siden er jo dette noe vi med "litt over snittet mange duppedingser" bør gjøre best mulig.

 

Jeg har muligens tullet av helt, og har fått tak i uhorvelig mange Aruba aksesspunkter, kontroller for disse, og flere switcher.

De siste dagene har jeg brukt kveldene til å prøve å forstå hvordan dette fungerer, og merker godt både at det er lenge siden jeg har holdt på med avansert nettverk, og at dette utstyret har så voldtsomt med muligheter at det definitivt er mine kunnskaper som blir begrensningen her.

 

 

I mitt hode tenker jeg å splitte dette opp i minst 3 VLAN, ett for IoT, ett for gjester, og ett for autoriserte brukere - det blir vel kanskje 4 det, for serveren må naturligvis kunne nå alt. (Allerede her avdekker jeg vel mangel på kunnskap )

Siden serveren når alt, vil være part i autentisering mot nettverk, styrer hjemmeautomasjon og videoovervåkning bør jo denne være sikker som banken, men er det i praksis mulig samtidig som den må få kommunisere med alt?

 

Hvordan har dere andre løst dette?

[ZoRaC]

27 minutter siden, bjwanvik skrev:

I mitt hode tenker jeg å splitte dette opp i minst 3 VLAN, ett for IoT, ett for gjester, og ett for autoriserte brukere

 

Slik har jeg og @Lazarus gjort det også:

 

 

28 minutter siden, bjwanvik skrev:

Siden serveren når alt, vil være part i autentisering mot nettverk, styrer hjemmeautomasjon og videoovervåkning bør jo denne være sikker som banken, men er det i praksis mulig samtidig som den må få kommunisere med alt?

 

Viktig med patching og brannmur (deny all og åpne det du trenger).  

[Lazarus]

39 minutter siden, bjwanvik skrev:

I mitt hode tenker jeg å splitte dette opp i minst 3 VLAN, ett for IoT, ett for gjester, og ett for autoriserte brukere - det blir vel kanskje 4 det, for serveren må naturligvis kunne nå alt. (Allerede her avdekker jeg vel mangel på kunnskap )

Siden serveren når alt, vil være part i autentisering mot nettverk, styrer hjemmeautomasjon og videoovervåkning bør jo denne være sikker som banken, men er det i praksis mulig samtidig som den må få kommunisere med alt?

 

Hvordan har dere andre løst dette?

Måten jeg har løst dette på er å sette opp en brannmur med strenge begrensninger mellom IOT nettet og server IP. har også et gjestenett  som kan gjøre absolutt null lokalt og kun får DHCP, DNS og internett fra router.

Alle nett har sin egen "cain" på brannmur som har drop all i enden. slik at det som ikke eksplisitt tillates blir blokkert.

 

Har også satt gjestenett til å gå av etter 4 timer, etter at det aktiverers fra hjemmeautomasjonen.

 

Alt er sikret med urimelig vanskelige passord og WPS er deaktivert som standard.

 

har også kryptering på alt som går ut av hus + passordbeskyttelse.

 

se gjerne her for full liste av det jeg kjører: 

 

46 minutter siden, bjwanvik skrev:

sikker som banken

heh.. det er ikke alltid banken skal brukes som et prakteksemplar på sikkerhet... ?

 

Kort og godt så er segmentering og begrensning en god ting. Kryptering og backup er også en ting som foretrekkes.

 

 

[Evelen]

Tror ikke jeg vil gå for å skille IoT og autoriserte brukere.

Hva med tablets på veggen? kontrollere osv? Det kan jo være begge deler liksom.

Så har man f.eks MiLight bridgen min, styres fra Domoticz, men av og til styrer jeg den direkte fra en PC.

 

Nei, nå jeg har jeg alt i ett, men skulle jeg gjort noe hadde jeg eventuelt splittet ut gjest. Jeg har forøvrig det allerede, men gjest er ikke i bruk, slipper alle inn på det vanlige.

[ZoRaC]

21 minutter siden, Evelen skrev:

Tror ikke jeg vil gå for å skille IoT og autoriserte brukere.

Hva med tablets på veggen? kontrollere osv? Det kan jo være begge deler liksom.

Så har man f.eks MiLight bridgen min, styres fra Domoticz, men av og til styrer jeg den direkte fra en PC.

 

Det er jo ikke slik at et skille hindrer all kommunikasjon. Jeg vil ikke at en kaffemaskin, værstasjon, vekt, e.l som sikkert kjører en Linux-variant som aldri blir patchet, skal bli kompromittert og gi uvedkommende mulighet til å angripe PCene mine. Ingen IoT kan kommunisere mot klientene, men jeg har f.eks åpnet for at klienter kan snakke med Harmony hub på den nødvendige porten for at appen skal fungere. 

 

Tablets kjører gjerne et OS som blir patchet. De ville jeg nok kunne ha sammen med andre klienter. 

[Lazarus]

Mitt oppsett tillater tilgang fra klient til IOT men ikke fra IOT til klient. Og ikke minst IOT har ikke tilgang til internett uten at jeg manuellt tillater det. Tilkoblinger som er etablert får fortsette. Så har klient tatt kontakt med IOT device, så får den svare.

[ZoRaC]

7 minutter siden, Lazarus skrev:

Mitt oppsett tillater tilgang fra klient til IOT men ikke fra IOT til klient. Og ikke minst IOT har ikke tilgang til internett uten at jeg manuellt tillater det. Tilkoblinger som er etablert får fortsette. Så har klient tatt kontakt med IOT device, så får den svare.

 

Omtrent samme her.  

Jeg tillater port 80 og 443 ut for IoT som default, men mest fordi jeg fant ut at nesten alle mine enheter kommuniserer mot en eller annen tjeneste på nett.