Bonjour
j’ai changé de routeur pour un truc performant (openwrt) et maintenant je peux créer des VLAN, plusieurs wifi ssid different etc
j’ai comme projet de sécuriser le tout en séparant mon LAN de ma domotique.
je pensais a un truc genre :
IoT → accès internet (je réfléchi à même couper internet vu que tous mes devices sont cloudless) , communication impossible avec le LAN ou autre VLAN
Guess WIFI → idem internet OK, isolé de tout le reste
LAN + WIFI LAN → internet ok, communiqué avec le vlan IoT ok
Je voulais savoir si quelqu’un a déjà fais ça ? et si ça semble cohérent, ce qu’il faudrait faire ou ne pas oublier de faire etc
je suis pas un expert réseau, mais je me débrouille
Ce que tu veux faire est surement faisable avec OpenWRT.
Et c’est des organisations qui se rencontrent souvent.
Mais j’aurais tout de même une question, généralement la recommandation de faire un VLAN dédié IoT c’est pour isoler les appareils potentiellement vulnérables ou venant de fabricants trop curieux. Ce n’est pas pour le plaisir de faire des routages pour pouvoir accéder à sa domotique. Si tu n’as rien qui passe par le cloud, je ne vois pas ce que ça sécuriserait au final.
Salut.
Sur le principe ça ne sert effectivement à rien. Par contre on commence à voir régulièrement des firmwares iot modifiés pour faire un botnet
Pas forcément besoin de beaucoup puissance pour faire du ddos, l’important c’est le nombre…
Les probabilités de se faire piéger ne sont pas énormes mais c’est pas exclu quand même
Non ce n’est pas une prise de tête en « sécurité » il faut faire des compromis entre sécurité « forte » et ergonomie utilisateur !
J’ajouterai à ta liste un LAN dédié à l’IoT.
Je connais quelques rssi qui seraient pas vraiment d’accord. De l’automatisation avec du MFA ça n’avait pas l’air de poser un souci sur le côté pas pratique
Quand je dis sécurité forte ce n’était pas dans le sens authentification forte.
Oui les RSSI veulent un max de sécu, mais ce n’est pas eu qui font le MCO, si pour une modification tu doit te connecter sur 5 serveurs de rebond/bastions, faire ouvrir un flux sur 3 FW … c’est pas super exploitable !
Sinon le moyen le plus sécurisé de protéger ton serveur contre les attaques réseaux c’est de le débrancher du réseaux ;). Il y a un juste milieu/compromis à trouver, des process, de l’outillage et du monitoring à mettre en place (et à le suivre).
sinon comme indiquer cela va commencer a etre une usine a gaz…
Au pire si tu a un firewall laisse tous dans le même subnet mai creer un vlan dedier avec des pool dhcp différent et tu fait les règle dans le firewall directement…
après entre nous si des boite comme la NSA, CIA FBI, Etc… se font pirater c’est pas avec nos routeur ou autre qu’on ne le sera pas…
Isoler la domotique sur un réseau me semble pertinent à partir d’une certaine taille, je pense qu’à partir d’une vingtaine d’équipement cela commence à avoir un intérêt. Sans aborder l’aspect sécurité, isoler la domotique des broadcasts du lan n’est pas une mauvaise idée. Par contre s’il y peu d’équipement dans ton Lan cela n’a pas de sens.
Personnellement je ne segmente pas les réseaux et je bloque la majorité de mes équipements IP de domotique vis à vis d’Internet avec une simple LiveBox.
Juste une remarque sur les SSID, les constructeurs proposent en général 8 ou 16 SSID possible mais recommande d’en limiter le nombre. Plus on diffuse de SSID et plus on a d’occupation radio.
Donc Neji, ton architecture est cohérente, il faut quelques connaissance pour la mettre en place mais c’est abordable avec de la motivation. Par contre, ce n’est pas sûr que tu en ai vraiment besoin
en « sécurité » il faut faire des compromis entre sécurité « forte » et ergonomie utilisateur !
De l’automatisation avec du MFA ça n’avait pas l’air de poser un souci sur le côté pas pratique