Segmentation réseau / VLAN et domotique

Bonjour à tous,

Mon sujet est assez large et je viens discuter avec vous de la sécurisation des réseaux.

Tous les RSSI conseillent à juste titre de segmenter les réseaux, celle ci permet, même à la maison à l’aide de VLANs (Virtual Local Area Networks) d’améliorer la sécurité, la performance et la gestion de vos appareils connectés.

1. Sécurité renforcée

En isolant les appareils sur différents VLANs, vous réduisez les risques d’accès non autorisé ou de propagation de menaces. Par exemple :

  • Si un appareil IoT (domotique) est compromis, les attaquants auront un accès limité uniquement au VLAN domotique, et non à vos appareils sensibles (PC, NAS, etc.).
  • Vous pouvez protéger vos données critiques en limitant la communication entre VLANs avec des règles spécifiques sur votre routeur/pare-feu.

2. Meilleure gestion du trafic réseau

  • Les VLANs permettent de prioriser certains flux de données grâce à des mécanismes comme la QoS (Quality of Service). Par exemple, vous pouvez garantir que vos flux de visioconférence ne soient pas perturbés par des téléchargements lourds effectués par un appareil IoT.
  • Cela évite également que des appareils peu optimisés (comme certains objets connectés) monopolisent inutilement de la bande passante.

3. Protection de la vie privée

Certains équipements IoT envoient régulièrement des données à des serveurs externes (analyse des comportements, télémétrie). En les isolant dans un VLAN, vous empêchez ces appareils de collecter ou d’interagir avec des données sensibles sur votre réseau principal.

4. Meilleure organisation des appareils

En segmentant votre réseau, vous pouvez :

  • Faciliter l’identification et la gestion des appareils connectés (par exemple, un VLAN pour la domotique, un autre pour le bureau, un pour les invités, etc.).
  • Simplifier les diagnostics réseau en réduisant les zones d’investigation en cas de problème.

5. Réduction des risques liés aux invités

Un VLAN dédié aux invités empêche ceux-ci d’accéder à vos appareils personnels ou professionnels. Cela limite les risques qu’un appareil infecté introduit par un invité ne compromette votre réseau principal.

6. Préparation pour les maisons modernes

Avec l’augmentation du nombre d’appareils connectés (IoT, téléviseurs intelligents, caméras de sécurité, etc.), la segmentation devient essentielle pour gérer efficacement un réseau complexe et éviter les conflits d’adresses IP ou d’interférences.

Exemple classique de segmentation pour un domicile de bidouilleur HA

  1. VLAN Bureautique : Pour les appareils critiques comme votre PC, imprimante et NAS.
  2. VLAN Domotique : Pour les appareils IoT comme les caméras, thermostats, ampoules connectées, assistants vocaux.
  3. VLAN Multimédia : Pour les téléviseurs, consoles de jeu, systèmes audio connectés.
  4. VLAN Invités : Pour les appareils des visiteurs, avec un accès limité à Internet uniquement.

Une fois tout cela expliqué, venons en aux modalités pratiques.

Heureux posesseur d’une Routeur Synology depuis des années, j’ai cherché comment on pouvait mettre en place les VLAN, je suis tombé sur plusieurs documentations, mais à chaque fois les écrans de l’interface SRM ne correspondaient pas avec mon interface.
Je me suis rendu compte que Synology avait pris le parti de créer une Version SRM1.3 qui mettait en œuvre toutes ces nouvelles attentes des utilisateurs (plusieurs VLAN, plusieurs SSID…) mais que la version 1.2 était maintenue et la seule disponible (automatiquement) sur le panneau de configuration du routeur.
J’ai cherché et mis à jour en 1.3 mon système et j’ai maintenant toutes les fonctionnalités pour segmenter proprement, cela me semble assez simple à configurer, encore une fois Synology est au dessus du lot.

N’ayant pas de swotch manageable vlan, pour l’instant je démarre doucement sur la segmentation, j’ai créé un SSID Wifi Domotique que j’ai détaché du reste de mon réseau.
Les équipements qui se connecteront au Wifi domotique seront en 192.168.0.x alors que mon réseau est aujourd’hui en 192.168.1.x

Ce SSID est configuré et j’ai connecté dessus, tous les assistants vocaux (Echo, Echo Dot, Echo Flex, echo Show…) tout cela est en place, tout fonctionne parfaitement, mais si j’ai bien compris, les flux sont séparés et isolés. Cela autant pour diminuer le nombre de trame (et d’erreurs) sur chaque réseau que pour la sécurisation. Si un Amazon Echo est attaqué, qu’il ouvre un accès sur mon réseau, l’attaquant n’aura pas accès à mon NAS ou mes caméras via le réseau local.

A ce stade, je me rend compte que la prochaine étape sera plus compliquée.
J’ai mis le wifi de mon smartphone sur le SSID domotique et je me rends compte que je ne peux pas imprimer en local (évidemment, l’imprimante n’est pas vue).
Je me demande comment séparer Home Assistant des caméras puis comment séparer Home Assistant de mon PC. Tout cela va me demander de réfléchir ou de créer des ponts avec des règles inter-vlan ou avec du tagging VLAN, je ne maitrise pas encore tout cela mais c’est intéressant de s’y plonger.

Si vous avez lu jusqu’ici, c’est déjà que le sujet vous intéresse, n’hésitez pas à ajouter un emoji car je pense qu’il mérite que nous en parlions. Nous ne pouvons plus imaginer ne plus traiter les questions de sécurité numérique.

Qui d’entre vous a déja segmenté son réseau ?
Comment vous y etes vous pris ?

au plaisir d’en discuter.

9 « J'aime »

Lien pour la mise à jour : Centre de téléchargements - download | Synology Inc.

Bonjour

Ce sujet est intéressant, mais je n’ai pas franchi le pas pour 2 raisons.

  • Je suis pas sûr que mon réseau wifi TP-LINK DECO P9 me permettent de le faire, Peu d’options.

  • Pas sur non plus que je sois en capacité de le faire, j’ai beaucoup de mal avec la gestion réseau.

1 « J'aime »

Salut @Sigalou

Je possède également un routeur synology (rt2600ac).

J’ai commencé la segmentation il y a quelque-temps avec :

  • un réseau (wifi / filaire) principal pour les pc, les serveurs, mobile, tv etc…
  • un réseau (wifi) pour les invités, activé si besoin.
  • un réseau (wifi) Iot (shelly, aspirateur, imprimante 3d, esp).

Avec ça tu te doutes bien qu’il me reste encore des choses à faire :wink:

  • créer un réseau pour les serveurs.
  • migrer les télés vers le réseau Iot.
  • affiner mes règles de pare-feu dans rsm.

En attendant, voici mes règles :

Pour l’instant, je suis en pause sur ce projet, parce que ça prend du temps et que pour la migration de la partie serveur, je veux pouvoir prendre le temps de tout préparer en amont.

Carrément d’accord, et pour se motiver, suffit de jeter un œil dans les requêtes reçues par adguard.

C’est que ça cause pas mal ces machins connectés :stuck_out_tongue:

1 « J'aime »

Oui, comme beaucoup qui ne sont pas arrivé à lire jusqu’ici, je pensais que la sécurité c’était pour les autres puis j’ai vu les attaques sur mon « Threat prevention » (de Syno), je n’utilise pas Adguard pour l’instant.

Merci pour tes règles, je vais me pencher sur cette question des interconneixons entre Vlan, cela semble le plus long à traiter, il faut etre rigoureux.

On garde cette discussion ouverte pour partager sur ce sujet.

1 « J'aime »

Salut
Ce sujet m’intéresse :blush:

J’ai plusieurs questions : vous faites en sorte que les différents VLAN soient hermétiques entre eux ?
Sinon c’est pas vraiment utile.

Mais si c’est hermétique , quid d’une AppleTV qui doit accéder au données stockées sur un NAS si l’AppleTV est dans un VLAN différent du NAS ?
Et quid des équipements iOT qui nécessitent une connexion internet car fonctionnant avec un compte de fabriquant ?

Il faut que ce VLAN ait accès à internet.

Bref c’est ce qui m’empêche de segmenter les réseaux chez moi, en dehors du réseau invité .
Quand j’avais un RT2600ac, j’avais créé un réseau wifi iOT pour les modules Tiko installés par Engie , car ils n’avaient pas besoin d’accéder à mon LAN mais devaient communiquer avec internet .
Mon HA ne commandant pas directement ces modules.

Ayant changé de routeur pour passer sur un GL.iNet Flint 2, je n’ai plus la possibilité (facile j’entends) de créer un autre réseau wifi, alors je le sais mis sur le réseau invité .

Mais pour d’autres périphériques wifi comme des prises connectées Tuya , je n’ai pas le choix : je les contrôle dans HA via local_Tuya et il doit avoir accès sais prises donc impossible de les mettre dans un réseau wifi spécifique, j’avais essayé avec le RT2600ac à l’époque, et bien sur ça ne fonctionnait pas car HA ne voyait pas les prises.
Je pense qu’avec un VLAN ferait le même effet , non ?

Ou alors je ne comprends pas du tout le fonctionnement des V’ANs.

Ps : ayant passé mon LAN en 2,5GbE avec des switchs non manageable , je ne peux plus gérer les VLaN sur les switchs :sweat_smile:

@MilesTEG1
qu’est ce qui t’a poussé à lâcher le rt2600ac ? c’est un super routeur.
Evidemment, il faut le passer en SRM1.3 comme je l’ai expliqué et tu as tout un tas de nouvelles options génialissimes.

A ce stade de mes recherches, oui, il faut isoler les vlan sinon cela ne sert à rien de les créer et ensuite on définit des liens entre eux via des règles. C’est à ce niveau de test que je suis.

Mes compétences s’arrettent là, je vais me plonger sur ce sujet et n’hésitez pas à partaer ou poser des questions.

Hello,

Equipé d’un routeur Ubiquiti UDM SE, j’ai dés la mise en place de Home Assistant choisi de séparer l’IOT du reste.
J’ai suivi l’article https://www.tech2tech.fr/ubiquiti-configuration-avancee-reseau-vlan-et-firewall-sur-unifi/ après avoir vu une vidéo sur Youtube et l’ai adapté a mon propre besoin.
Le guide est adaptable à d’autre routeurs.

Mon instance Home Assistant est sur mon réseau principal en filaire et quasiment tout mes équipements (environ 60) sont en Wifi sur le VLAN IoT (2 VLAN en réalité un avec et un autre sans accès Internet).

La communication entre l’IoT et le principal est bloqué par des règles dans le firewall sauf si la communication est initiée depuis le réseau principal.

Toutes les requêtes DNS sont en plus redirigées vers mon serveur AdGuard ce qui me permet de surveiller en partie les équipements qui essayent de communiquer avec internet et potentiellement les bloquer. (Certains équipements ont les adresses IP de serveurs inscrites en dur dans leur programme !)

Sur le routeur j’ai également un filtrage GeoIP pour interdire la communication (in et out) vers/depuis certains pays ayants mauvaise réputation et limiter les attaques.

4 « J'aime »

Salut @Lexyan

Tu sais donner le type de « devices » que tu as dans tes réseaux IoT ?

ou a tu trouvé cette liste GeoIP? je veux mettre la meme chose chez moi sur mon routeur unifi

Salut,

En « devices » j’ai :
beaucoup d’esp sur EspHome pour des fonctions spécifiques si je ne trouve pas d’équivalent en Zigbee
des prises avec mesure de consommation
des modules Shelly :

  • VMC
  • certaines lumières et prises
  • grosses consos avec les tores shelly em
  • Chauffe Eau

la chaudière

en Netatmo :

  • la station météo
  • le thermostat/relais pour les vannes thermostatiques → bientôt supprimé lorsque les 2 dernières vannes (sur 8) auront rendus l’âme, en attendant je remet les têtes simples non connectées
  • module iDiamant pour les volets Bubendorff

les micro-onduleurs des panneaux solaires
robot aspirateur
la sonde Ph,ORP,temp de la piscine (Flipr v2 que je ne recommande pas)

ou a tu trouvé cette liste GeoIP? je veux mettre la meme chose chez moi sur mon routeur unifi

C’est une fonctionnalité (module) intégrée d’iptables (firewall linux)

Sur unifi dans Network → Settings → Security tu as l’option Country Restrictions pour un réglage global

Bonjour,

J’ai déjà depuis longtemps plusieurs vlan chez moi :

  • le réseau utilisateurs
  • le réseau invité qui n’a accès qu’à Internet en http/https
  • le réseau de vidéosurveillance (caméra et frigate)
  • le réseau domotique avec l’iot
  • le réseau serveurs (avec tout mes autres services)
  • le réseau d’administration OOB

Ça marche très bien.
Le vlan permet juste de faire la segmentation réseau pour éviter comme tu le dit qu’un élément contaminé servent de rebond pour tout le reste. Ça le limitera au vlan.

Toutefois, la majorité des vlan ne sont pas airgap et ont besoin de communiquer avec d’autres vlan ou internet. D’où l’important du routeur.
Mais si tu route tout entre les réseaux, la segmentation vlan a peu d’intérêt.
Donc deux possibilités :

  • ton routeur est aussi un firewall et tu autorise spécifiquement les machines et les ports qui ont besoin de discuter ensemble
  • Tu joue avec des PBR (Policy Based Routing) pour mettre des routes un peu plus fine sur ton routeur pour que ça limite aux machines qui ont besoin de se parler

Clairement la première solution est la plus pratique et administrable.

Après il faut penser à certain système qui ne savent communiquer que dans le même réseau. Par exemple le protocole bonjour/ssdp d’Apple fait ses annonces dans un même réseau donc par défaut, compliqué pour HomeKit et les impression en AirPlay. Même chose pour les télé Samsung il me semble. Bref plusieurs font ça et moi par chance j’ai mon routeur/firewall qui sait gérer ça en prenant les annonces dans un réseau et les renvoyer dans d’autres. Comme ça tout fonctionne bien.

Donc attention, segmenter c’est bien et je le recommande, mais il faut avoir conscience de comment fonctionne tout votre traffic pour savoir qui vous devez mettre avec qui dans un même vlan au risque d’avoir des choses qui ne fonctionne plus

Ca je sais; mais la liste des pâys, comment l’as tu determiné?

Tu n’as bloqué que le traffic tcp/udp, pas le icmp (ping) . tu penses que ce n’est pas utile ?

J’ai commencé par les plus probables :Chine, Russie et pays affiliés
puis j’ai regardé dans les logs de sécurité (Insight->Flows->Threats) d’où provenaient les tentatives de connexion pour bloquer le reste
Voyageant peu j’ai également une règle pour n’autoriser que les connexions provenant de France pour l’accès extérieur (port 443) vers mon serveur.

Je l’ai laissé surtout pour que mon « Uptime-Kuma » puisse « travailler ».

Après, je ne suis pas certain que d’un pt de vue sécu ce soit très grave.

1 « J'aime »

@Sigalou
Oui c’est un super routeur mais plus au gout du jour niveau caractéristiques techniques.
J’ai une freebox pop, avec un débit internet de 2,5GbE sur le port connecté au routeur.
Sauf que le rt2600ac ne gérait pas ce débit, ni aucun de ses ports réseau.

Je cherchais donc un routeur capable de prendre ce débit de 2,5GBps en WAN et aussi au moins un port en LAN de ce débit, tout en ayant un wifi au moins aussi bon que celui du rt2600ac.

Et Synology ne propose toujours pas de routeur ayant un port 2,5GbE en WAN et un autre en LAN.
Du coup je me suis résolu à changer de marque.

Il n’existe que peu de routeur ayant au moins 2 ports multigig comme je le veux…
GL.iNet en avait un, pas trop cher, et très performant, donc j’ai pris le Flint2.
Je ne regrette pas du tout.
Je sais que j’ai perdu l’OS SRM, qui bien que terriblement pratique (et Threat Prevention), n’évoluait pas beaucoup, et était relativement lent/mou…
Ha il y a aussi le fait que Synology boude continuellement le protocole Wireguard (probablement parce qu’ils ont de vieux vieux kernels) et je commençais à en avoir assez de ne pas pouvoir profiter de ce protocole.

Bref, avec le Flint2, j’ai le débit max autorisé par le port 2,5GbE de la freebox, et un wifi bien plus performant que celui du RT2600ac : dans la pièce la plus loin du routeur, et avec le plus de murs/cloisons/dalle béton, je capte super bien en 5GHz, là où avec le RT j’avais des pertes de connexion en 2,4GHz.

C’est bien ce qu’il me semblait alors ^^
Il faut cloisonner et les empêcher de communiquer entre eux et avec le LAN.
Mais je ne saurais pas comment faire pour n’autoriser que certaines communications…

Merci pour tes explications.
J’ai fait le pari d’avoir un bon réseau stable, 2.5G ne me semble inutile en reseau perso, mais je comprends ta recherche d’excellence ou ta frustration d’avoir un étranglement.
Je suis en 5Ghz en wifi sur le Syno, avec un petit 2.4Ghz pour les équipements domotiques non compatibles 5Ghz, il en reste encore beaucoup

Je suis dessus, c’est finalement assez simple, il faut penser pare-feu et donc créer des règles, cette page par exemple explique bien le partage d’une imprimante sur un autre vlan (ce dont j’avais besoin)

Non, pour superviser c’est pratique, seul défaut c’est si on scanne ton réseau, on trouve les équipements qui répondent au ICMP. Effectivement pas dramatique je pense.

1 « J'aime »