Best practices voor apart IoT-netwerk

Hier kan je wat ideeen op doen:
https://www.grc.com/sn/files/ubiquiti_home_network.pdf

zelf heb voor zowel gasten als iots een apart vlan.

[ Voor 24% gewijzigd door GarBaGe op 11-06-2020 21:58 ]

het kan wel wat je wil, maar ik zou eens kijken naar een goede firewall. Helaas weet ik niet wat jij allemaal onder IoT laat vallen. Daarnaast ken ik de rest van je netwerk niet. Dus adviseren is lastig

Wat voor mijn beeldvorming goed zou werken is een tekening van je situatie

[ Voor 16% gewijzigd door muppet99 op 11-06-2020 22:03 ]

Wat ik heb geconfigureerd is een apart IoT VLAN met dito SSID. In mijn router* blokkeer ik al het verkeer hiervan richting het grote boze internet. Alle IoT devices praten of met de MQTT broker of met mijn Home-Assistant server richting het management VLAN waar deze zich in bevinden.

Vanuit het Gasten VLAN kun je uiteraard weer enkel het grote boze internet op en niet naar de andere VLAN’s.

*Cisco router met ACL’s en Zone-based FW

Ik heb OPNsense als firewall draaien en meerdere vlans, waaronder een voor IoT devices. Die interface heb ik helemaal dichtgegooid (niet naar mijn interne netwerk, niet naar buiten) op wat controller devices na (zoals Home Assistant).

Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?

Bijvoorbeeld voor de Philips Hue bridge is er net een cruciale update uitgebracht. Of zet je het even open op het moment dat de app aangeeft dat er een update beschikbaar is? Of kan je op de een of andere manier erachter komen met welke specifieke servers verbinding moet worden gemaakt voor updates en laat je alleen die toe?
Of misschien begrijp ik het totaal verkeerd.

@TijsZonderH Om ervoor te zorgen dat je met telefoon/tablet etc. zaken in IoT kan bedienen kan je kijken naar mDNS en avahi daemon. Ik had bijvoorbeeld zo'n avahi daemon draaien op een raspberry pi. Maar inmiddels heb ik een router die het ondersteunt (wel open zetten in de firewall). Op die manier hoef je nooit van SSID te wisselen.

[ Voor 24% gewijzigd door Kasper1985 op 12-06-2020 10:04 ]

Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?

Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?

Sommige dingen vertrouw ik voor geen meter, maar als je nadenkt over de potentiele consequenties zul je ook merken dat de mate van acceptatie van risico hiermee samen hangt.

Zakelijk word risico geformuleerd als kans x impact

Dus als impact of kans op 0 staan is het risico ook 0.

Je hoeft iets dus niet geheel te vertrouwen, zolang het risico maar acceptabel is.

Zelf zie ik een IOT device als een device wat alleen internet connectivity in de cloud nodig heeft om te functioneren om informatie vast te leggen in deze cloud. De clients waarop we deze informatie opvragen maken dus geen contact met de devices die deze produceren maar met de cloud service die het opslaat.

Dan heeft zo een IOT device alleen maar een vertikale verbinding nodig naar internet. Een IOT netwerk beschikt daarmee bij voorkeur over horizontale filtering tussen de clients en word niet gekoppeld aan de reguliere client omgeving.

[ Voor 22% gewijzigd door mash_man02 op 12-06-2020 13:38 ]

Wat ik nu heb gedaan is een oude router aan m'n switch gekoppeld. Dat is het ssid dat ik voor al m'n IoT-apparaten gebruik. Via een switch (Cisco SG250-08) wil ik die scheiden met vlans. So far so obvious, maar is dit een slimme aanpak of denk ik hiermee te simpel?

Het begin heb je zo gemaakt, verschillende vlans voor verschillende doeleinden. De router om verkeer er tussen te routeren. Nu wil je de boel ook beveiligen en zul je moeten werken met access lists. De meeste routers ondersteunen dit wel, niet alle. Het makkelijkste om hiervoor te gebruiken is een firewall, die is er immers voor gemaakt.

Het punt is ook dat ik een Sonos met Alexa heb die vervolgens alle IoT aan moet sturen. Maar die wil ik juist op het standaard netwerk zetten dat ik ook gebruik met m'n laptop en smartphone - ik wil namelijk muziek via wifi kunnen streamen zonder van netwerk te moeten switchen (of beter gezegd, ik wil niet tegen de rest van de familie hoeven uitleggen dat ze dat moeten doen...).

Als jouw router multicast routing ondersteund, moet dit gaan werken.
Als je met ACL's gaat werken om bepaalde verkeersstromen te droppen, kun je entries aanmaken die bijvoorbeeld streamen (via AirPlay of Casting) tussen twee netwerken goed keuren.

Mijn best practices voor een thuis netwerk:

- VLAN voor privé spul (smartphones, laptops, tablets)
- VLAN voor AV (televisie, Apple TV, versterker, ChromeCast)
- VLAN voor gasten
- VLAN voor IoT (deurbel, Philips Hue, Tado)

Access lists op mijn Cisco firewall geven de restricties aan: alle devices hebben restricties op DNS, de privé devices hebben bijna geen restricties, de rest heeft restricties op inter-vlan verkeer en als laatste heb ik restricties op verkeer van buiten naar binnen.

[ Voor 86% gewijzigd door RnB op 12-06-2020 22:25 ]

Kasper1985 schreef op vrijdag 12 juni 2020 @ 10:00:
Ik wil geen topic kapen maar ik ben toch wel benieuwd.
Degene die aangeven dat IoT niet naar buiten mag, hoe doen jullie dat met updates?

Niet, ik draai op mijn sensoren/switches e.d. Tasmota welke ik ansich wel vertrouw maar simpelweg niet naar buiten hoeft te praten. De versie welke ik gebruik heb ik al bijna 2 jaar stabiel draaien en heb zelf geen verdere eisen aan een sensor of switch anders dat hetgeen ze al 2 jaar doen dus.

Updates zijn dus ook niet nodig en mocht dit wel het geval zijn kan dit OTA vanuit het MGMT VLAN, want de IoT devices hebben uiteraard wel een def. gateway ingesteld om o.a. met het MGMT VLAN te kunnen praten.

Frogmen schreef op vrijdag 12 juni 2020 @ 10:43:
Moet je je niet afvragen of IOT wel wil gebruiken als je het eigenlijk niet vertrouwd? Ik snap dat mensen hun IOT netjes in een VLAN zetten etc. Maar dit zijn mensen die snappen wat ze doen, de gevolgen ook snappen en het geheel als hun hobby/ test/ ontwikkel omgeving zien.
Als dit niet het geval is en je wilt ook niet dat het je hobby wordt, stel dan eerst weer mijn begin vraag. Als je ze dan wel wil vertrouwen kies dan gerenommeerde merken met updates etc.. Blijf weg van het goedkope chinese spul, het is niet slecht maar te vertrouwen?

Het is ook gewoon een best-practice. Zaken die niet naar buiten hoeven, gewoon 'isoleren'.