Beste tweakers,
Ik heb inmiddels een aardige verzameling smart home-apparaten; camera's, hubs, speakers, plugs, verlichting, rookmelders, weerstations, TV, NAS, Homey. Het hele idee van een smart home is natuurlijk dat al die apparaten met elkaar kunnen communiceren. Dat impliceert dat ze dus allemaal op hetzelfde netwerk zitten.
Mijn vraag is dan ook: Hoe kun je dit nou het beste inrichten? Of eigenlijk beter; ik heb zelf iets bedacht en wat vinden jullie daarvan?
Inleiding
Ik heb talloze artikelen gelezen over VLAN's speciaal voor IoT-devices of strakke firewalls om deze tomeloze bende in bedwang te houden. Waar ik echter steeds tegenaan loop, is dat je uiteindelijk functionaliteit verliest. De google nesthub (WiFi) kan niet meer praten met de Hue-bridge (ethernet). Hue is niet meer te bedienen buitenshuis. De apps op je smartphone werken niet meer met de bekabelde apparatuur.
Ook hier op tweakers staan er enkele posts over dit onderwerp. De meningen zijn zeer uiteenlopend. Van zeer paranoia tot "Google vertrouw ik echt wel".
De hamvraag is natuurlijk: "Wat wil je nou precies beveiligen"? In mijn geval zijn dat in elk geval mijn PC, mijn NAS én mijn smartphone. Verder zijn er natuurlijk zaken die je in de gaten wilt houden, zoals het luistergedrag van je slimme speakers, het kijkgedrag van je camera's en of er geen apparaten aan het DDOS-en zijn.
Dankzij een Man In The Middle-attack op mijn speakers, hubs en camera's (Google Nest) weet ik dat deze spullen niet meeluisteren of kijken, als ik niet verwacht dat ze dat doen. Via Deep Packet Inspection op mijn Edge-router, kan ik ook zien welke apparaten veel data verzenden of ontvangen.
Ook op de Edge-router heb ik een firewall die alle inkomend verkeer blokkeert, behalve related-established en invalid. Mijn WiFi-wachtwoord deel ik met niemand (ik heb een gastennetwerk) en is behoorlijk sterk.
Huidige situatie
Op dit moment heb ik twee VLAN's. Eentje voor WiFi/IoT en eentje voor trusted. Het idee was om die te scheiden middels een firewall, maar ik heb zonder die firewall al problemen om dingen met elkaar te laten praten. Bij nader inzien denk ik dan ook dat dit behoorlijk overkill is en dat het simpeler kan.
Mijn idee
Als ik op mijn Edgerouter een class-B subnet aanmaak, bijvoorbeeld 172.16.0.1/22, dan heb ik de beschikking over de adressen 172.16.0.1 - 172.16.3.254. Met firewallregels is het dan eenvoudig om bijvoorbeeld de NAS op 172.16.3.1 af te schermen van alles op 172.16.0.* en 172.16.1.*. Mijn PC en telefoon op 172.16.2.* krijgen dan wel toegang tot de NAS.
Ik zou zelfs een soort DMZ kunnen maken op 172.16.0.* voor bijvoorbeeld de pihole en de homeassistand-pi, of andere servers.
Is dit te simpel gedacht? Zijn er nog andere overwegingen die meespelen? Hoe hebben jullie dit opgelost?
Ik heb inmiddels een aardige verzameling smart home-apparaten; camera's, hubs, speakers, plugs, verlichting, rookmelders, weerstations, TV, NAS, Homey. Het hele idee van een smart home is natuurlijk dat al die apparaten met elkaar kunnen communiceren. Dat impliceert dat ze dus allemaal op hetzelfde netwerk zitten.
Mijn vraag is dan ook: Hoe kun je dit nou het beste inrichten? Of eigenlijk beter; ik heb zelf iets bedacht en wat vinden jullie daarvan?
Inleiding
Ik heb talloze artikelen gelezen over VLAN's speciaal voor IoT-devices of strakke firewalls om deze tomeloze bende in bedwang te houden. Waar ik echter steeds tegenaan loop, is dat je uiteindelijk functionaliteit verliest. De google nesthub (WiFi) kan niet meer praten met de Hue-bridge (ethernet). Hue is niet meer te bedienen buitenshuis. De apps op je smartphone werken niet meer met de bekabelde apparatuur.
Ook hier op tweakers staan er enkele posts over dit onderwerp. De meningen zijn zeer uiteenlopend. Van zeer paranoia tot "Google vertrouw ik echt wel".
De hamvraag is natuurlijk: "Wat wil je nou precies beveiligen"? In mijn geval zijn dat in elk geval mijn PC, mijn NAS én mijn smartphone. Verder zijn er natuurlijk zaken die je in de gaten wilt houden, zoals het luistergedrag van je slimme speakers, het kijkgedrag van je camera's en of er geen apparaten aan het DDOS-en zijn.
Dankzij een Man In The Middle-attack op mijn speakers, hubs en camera's (Google Nest) weet ik dat deze spullen niet meeluisteren of kijken, als ik niet verwacht dat ze dat doen. Via Deep Packet Inspection op mijn Edge-router, kan ik ook zien welke apparaten veel data verzenden of ontvangen.
Ook op de Edge-router heb ik een firewall die alle inkomend verkeer blokkeert, behalve related-established en invalid. Mijn WiFi-wachtwoord deel ik met niemand (ik heb een gastennetwerk) en is behoorlijk sterk.
Huidige situatie
Op dit moment heb ik twee VLAN's. Eentje voor WiFi/IoT en eentje voor trusted. Het idee was om die te scheiden middels een firewall, maar ik heb zonder die firewall al problemen om dingen met elkaar te laten praten. Bij nader inzien denk ik dan ook dat dit behoorlijk overkill is en dat het simpeler kan.
Mijn idee
Als ik op mijn Edgerouter een class-B subnet aanmaak, bijvoorbeeld 172.16.0.1/22, dan heb ik de beschikking over de adressen 172.16.0.1 - 172.16.3.254. Met firewallregels is het dan eenvoudig om bijvoorbeeld de NAS op 172.16.3.1 af te schermen van alles op 172.16.0.* en 172.16.1.*. Mijn PC en telefoon op 172.16.2.* krijgen dan wel toegang tot de NAS.
Ik zou zelfs een soort DMZ kunnen maken op 172.16.0.* voor bijvoorbeeld de pihole en de homeassistand-pi, of andere servers.
Is dit te simpel gedacht? Zijn er nog andere overwegingen die meespelen? Hoe hebben jullie dit opgelost?