Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

pfSense & Splitting av IoT og Sikkert Nettverk


norsemanGrey

Anbefalte innlegg

Jeg har akkurat satt opp en pfSense maskin med WAN fra Altibox. Videre er det koblet til to Amplifi HD rutere jeg har satt i Bridge mode (slik at de essensielt fungerer som rene aksess punkter) til hver sin port på pfSense maskinen. Disse portene er knyttet til hvert sitt subnet (SEC og IOT). Jeg har gjort det slik fordi jeg ønsker bedre sikkerhet på nettet med seperasjon mellom IoT ting og vanlig maskiner med lagringsmedium og personlig informasjon. Men jeg kunne trengt litt input og forslag til hvordan jeg skal konfigurere dette videre i forhold til hva jeg skal plassere på hvilket nett, brannmur-regler osv. Derfor lurer jeg på om det er noen her inne som har et liknende oppsett eller har erfaring med dette? 

Lenke til kommentar
Del på andre sider

Et lite tips er å splitte det i vlan. Da trenger du kun bruke en port på pfsensen, Og kabling ut til aksesspunkter blir enklere.

Aksesspunktene kan da også kjøre èn ssid per vlan. 

Når det gjelder brannmurregler så ville jeg isolert disse nettene 100%, og kun åpnet opp management etterhvert som behovet melder seg.

 

Har selv pfsense og unifi

  • Like 1
Lenke til kommentar
Del på andre sider

Jeg har to Ampifi HD rutere og jeg er ganske sikker på at de ikke støtter vLan derfor er jeg nødt til å bruker subnet. Jeg har delt nettet mitt i to x.x.x.0 - 127 og x.x.x.128 - 255. Hver ruter er som sagt satt opp som AP og har hver sin SSID.

 

Ang. brannmur så må det kanskje være mulig for det sikre nettet å snakke med IoT nettet men ikke andre veien. Jeg tenker spesielt i forhold til Chromecast enheter osv som skal ligge på IoT nettet, men må kunne castes til fra enheter på det sikre nettet.

 

Dette er det jeg tenker i forhold til fordeling av enheter på nettene.

 

Sikker Nettverk:

- Servere

- Laptoper / Stasjonære

- Mobiler

- Alarm System

- Annet med lagring / personlig innhold

 

IoT Nettverk

- Chromecast / Google Home / Google Assistant Enheter

- Smart TV

- XBOX / Playstation

- Kindel

- WiFi Releer / Brytere / Ovner

- IoT Hubber (e.g. Philips Hue Hub)

 

Jeg har en Ubuntu server som kjører diverse Dockere, deriblant Home Assistant. Denne har en ConBee 2 stick som snakker med alle ZigBee enhetene i huset, men også portainer, reverse proxy, og noen andre web servicer.  Jeg er litt usikker på hvilket nett jeg skal plassere denne i siden den er tett knyttet til IoT, men samtidig vil jeg at det skal være skjermet for angrep.

Lenke til kommentar
Del på andre sider

  • 3 måneder senere...

Jeg har gjort tilsvarende, men har en applikasjonsbasert firewall som gjør noe jobben lettere, da jeg hvitelister applikasjonen og blokkerer alt annet, prøver og oppnå Zero-Trust så langt det lar seg gjøre

 

Har 4 VLAN idag med tilhørende brannmurssoner, mgmt, klient, IoT og DMZ.

 

I mgmt-nettet ligger brannmur, AP, switch etc.. All trafikk blir hvitelistet.

 

I DMZ sonen ligger web-serveren, denne kjører proxy inn mot HomeAssistant, all trafikk er hvitelistet + SSL inbound decryption..

Her ser du noen av ulumskhetene brannmuren har tatt knekken på idag.. 

image.thumb.png.6f064e097c2e31424034496ebd13431f.png

HA, Apple TV, ChromeCast, Smart TV befinner seg alle i klient VLAN-et, for og kunne dra nytte av broadcast/auto discovery/AirPlay funksjonaliteten.

Klient VLANet har tilgang inn i mgmt vlan (Ikke best practice hensyn sikkerhet), men fader så kjekt 🙂

Har lenge hatt en plan om og sette opp en egen VPN, slik at jeg logger meg på VPN for å få tilgang til mgmt-nettet..

 

IoT-nettet skal all trafikk hvitelistet:

Xiaomi robotstøvsugeren er veldig gla i og prate med internett, så IP-ene 18.196.0.0/15, 101.33.0.0/17 + Amazon Webservices er åpnet opp for med applikasjonene SSL, unkown udp og en custom app jeg måtte lage, dette er også den eneste dingsen jeg har måttet åpnet opp for at den skulle fungere.. 

IoT-nettet har også en egen skjult WPA3 SSID.

 

Jeg har ellers noen regler som tillater at DNS-serveren som kjøres på HA inn i de ulike nettene, da med DNS som applikasjon på regelen.

All utgående DNS til andre servere enn intern DNS blir effektivt blokkert, ufattelig mange dingser som vil bruke Google sin DNS istedet for lokal.

Lokal DNS-server får igjen kun lov å prate med Quad9 serverne.

 

 

I ditt tilfelle så ville jeg ha hatt et eget nett for servere / innhold med personlig info, og kun latt de enhetene som trenger tilgang til dette få det, igjen, hvitelisting.. 🙂

 

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.