Une maison connectée est une réussite remarquable à tous égards une fois pleinement opérationnelle. Une fois le réseau configuré et quelques appareils ajoutés, vous disposez d'une solution très convaincante. Mais pour aller plus loin, vous devrez probablement ajouter davantage d'appareils, et plus vous activerez d'appareils connectés, plus votre réseau domestique sera encombré. Il existe également le risque que des personnes accèdent à vos appareils connectés sans autorisation. Pour remédier à ce problème, il suffit de : Réseaux locaux virtuels (VLAN), ce qui est exactement ce à quoi cela ressemble.
Les appareils domotiques peuvent aller des lumières et prises aux enceintes et capteurs d'alarme, en passant par tout ce qui se trouve entre les deux. S'ils sont sans fil, il y a de fortes chances qu'ils soient intégrés à votre installation. Ces appareils sont parfaits pour améliorer votre quotidien, mais ils comportent des risques. Il y a d'abord les vulnérabilités du firmware, puis la collecte de données, et même les botnets et autres éléments malveillants qui pourraient utiliser votre maison connectée pour semer le chaos. C'est pourquoi j'ai rapidement adopté les VLAN, et pourquoi vous devriez faire de même.
Risques liés à la construction d'une maison intelligente
Appareils Plus et risques de failles de sécurité
Je ne dis pas que tous les appareils domestiques intelligents nouvellement achetés sont intrinsèquement non sécurisés, mais ils sont vulnérables aux attaques et, selon la marque, aux vulnérabilités de leur micrologiciel. Ces appareils sont souvent proposés à bas prix, en grande partie grâce à leur conception, leur fabrication et leur support abordables. Des données de télémétrie peuvent être collectées et envoyées aux serveurs du fabricant, et la publication de correctifs de sécurité et de mises à jour de micrologiciels n'est pas garantie.
Tout comme l’ordinateur de votre réseau domestique, chacun de ces appareils domestiques intelligents peut devenir un nouveau point d’entrée pour les attaquants.
Tout comme un ordinateur connecté à votre réseau domestique, chacun de ces appareils domestiques intelligents peut devenir un point d'entrée pour les pirates. Imaginez le nombre d'appareils que vous possédez avec un système d'alarme complet intégré. Assistant à domicile Avec les enceintes, éclairages, capteurs, prises et autres dispositifs intelligents, la situation peut devenir un véritable labyrinthe, un autre problème lié à l'Internet des objets et aux appareils domestiques connectés. Ces appareils peuvent réellement concurrencer le réseau sans fil et le serveur DHCP si un trop grand nombre d'entre eux nécessitent une adresse IP locale.
J'en ai tenu compte lors de la planification de la mise à niveau de ma maison connectée. Comme pour les appareils invités, ils peuvent être cloisonnés au sein du même réseau local afin de protéger tous les autres appareils connectés. J'ai rapidement configuré VLAN invité Pour permettre à toute personne visitant notre domicile d'accéder au monde extérieur, elle ne peut se connecter à aucun service hébergé localement sans autorisation. Il en va de même pour les appareils domestiques intelligents ; c'est pourquoi j'ai créé un VLAN privé pour eux, et il serait peut-être judicieux qu'ils suivent cet exemple.
Comment les VLAN résolvent (presque) tout
Le monde magique des réseaux privés virtuels
Un réseau local virtuel (VLAN) est un réseau local (LAN) qui s'exécute sur un réseau physique. Il s'agit simplement d'une méthode logique pour diviser un réseau physique, composé de commutateurs, de points d'accès, de pare-feu et de routeurs, en plusieurs instances isolées. Chaque VLAN peut être configuré pour fonctionner indépendamment, ce qui permet d'isoler des périphériques et des points spécifiques du réseau local. Cela ne signifie pas pour autant qu'ils sont totalement indisponibles ; le pontage entre les VLAN est possible s'il est configuré.
L'avantage des VLAN est de permettre aux appareils de se connecter directement à des destinations externes via le routeur ou le pare-feu, sans pouvoir se connecter à quoi que ce soit en interne. Ils sont parfaits pour créer des réseaux invités au sein des entreprises, des hôtels et même de votre domicile. Mais les VLAN peuvent également servir à séparer votre maison connectée et vos appareils IoT du reste du réseau. J'utilise déjà plusieurs VLAN chez moi : un pour les invités, Et un autre pour les caméras de surveillance, et un troisième pour tous les serveurs et l'infrastructure réseau.
Un quatrième VLAN peut sembler excessif, mais il est important d'y réfléchir si vous souhaitez préserver la sécurité de votre réseau local. Les appareils IoT peuvent être placés sur un réseau invité avec des règles et des conditions spécifiques pour autoriser un certain degré de communication entre les appareils d'autres VLAN. L'objectif est de restreindre au maximum les appareils IoT sans affecter leurs fonctionnalités. Ainsi, nous pouvons ajouter et utiliser n'importe quel équipement en toute sécurité, sans craindre un support obsolète, des mises à jour de firmware infectées et la nécessité de faire confiance à plusieurs entreprises pour protéger leurs produits (et votre réseau local).
Tout commence par un plan solide.
Cartographiez l'ensemble de votre réseau
Avant d'utiliser des VLAN ou même d'en ajouter un autre, comme je l'ai fait pour mon réseau, il est essentiel de cartographier votre réseau local (LAN) domestique. Notez tous les appareils qui seront connectés à vos points d'accès, commutateurs et routeurs. Enregistrez leurs adresses afin de visualiser facilement les appareils couverts par chaque VLAN. Il existe quelques exigences, la première et la plus importante étant l'utilisation de commutateurs gérés. Ce n'est pas obligatoire. Avoir besoin à un commutateur réseau, mais si vous en utilisez déjà un sur votre réseau local, il ne fonctionnera pas avec les VLAN à moins qu'il n'autorise le marquage et la séparation. Commutateurs non gérés Ne fais pas ça, malheureusement.
Ensuite, vous aurez besoin d'un routeur ou d'un pare-feu pour gérer les VLAN. J'utilise et recommande vivement OPNsense. L'accès aux interfaces de gestion de tous les points d'accès et commutateurs devrait également être disponible. Une fois tout cela en place, la configuration des VLAN peut être effectuée en quelques minutes seulement. J'ai d'abord dû créer un nouveau VLAN sur le pare-feu OPNsense avec son propre sous-réseau (192.168.20.0/24 au lieu de 192.168.10.0/24, utilisé par le réseau local principal). Ensuite, et surtout, j'ai dû créer des règles de pare-feu.
Avant de passer à l'utilisation des VLAN ou même d'en ajouter un autre, comme je l'ai fait dans mon réseau, il est nécessaire de cartographier votre réseau local domestique (LAN).
Ces règles autorisaient les appareils IoT et les clients invités à accéder à Internet, mais pas ailleurs sur le réseau. Elles m'ont également permis de configurer des VLAN pour permettre à certains appareils, comme un serveur exécutant Home Assistant, de communiquer avec certains appareils sur d'autres VLAN, comme une caméra de sécurité ou une prise connectée. J'avais presque oublié cette fois-ci la configuration du réseau Wi-Fi SSD pour les produits domotiques. C'était facile à faire avec le système cloud EnGenius, mais cela peut varier selon la marque de votre point d'accès ou de votre routeur.
N'oubliez jamais les tests d'isolation. Rien n'est pire que de voir tous vos VLAN configurés et configurés, et de constater que tout ne fonctionne pas et que tout le monde peut communiquer librement. Utilisez un ordinateur ou un autre appareil pour envoyer un ping à des adresses spécifiques sur d'autres VLAN dont vous savez qu'ils fonctionnent et sont actuellement actifs. Si tout fonctionne, vous devriez pouvoir le faire simplement en appliquant les règles. Une fois cela fait, vous pourrez à nouveau profiter d'un réseau local véritablement isolé et avoir l'esprit tranquille.
Des VLAN pour tous
Les réseaux virtuels ne sont pas réservés aux grandes entreprises ou aux passionnés de technologie. N'importe qui peut les configurer avec les connaissances et le matériel adéquats. La mise en place de vos VLAN demande du temps et des recherches. Cela peut paraître intimidant au début, et vous risquez de faire des erreurs en cours de route, mais le jeu en vaut la chandelle. Dans ma propre configuration, je peux fournir un accès Wi-Fi à mes invités, isoler les diffusions de mes caméras IP, empêcher les appareils IoT de communiquer à des endroits inattendus et mieux contrôler le fonctionnement du réseau.
Les commentaires sont fermés.