VLAN, IoT, firewall: vos bonnes pratiques domotique & conseils d'experts?

Avis aux experts: vous êtes nombreux à apporter des réponses pertinentes à des cas particuliers de ce forum. Mais est-ce que vos avis convergent sur ce sujet ? quelles sont les bonnes pratiques ? Je pense que cette question en intéressera plus d’un.

Quelle serait d’après vous une bonne pratique pour organiser un réseau comprenant:
Environ 150 devices domotiques:

• certaines n’ayant pas besoin d’accès internet (ex. lumière connectée)
• certaines ayant besoin d’un accès à internet (ex. caméra eufy)
• certains devices ont besoin de parler à d’autres devices (google home)
  Des serveurs virtuels dans un proxmox:
• jeedom
• NAS
• broker MQTT
  Des PC, mobiles, tablettes ayant besoin d’accéder à internet et aux services domotique locaux.

J’imagine au moins 3 VLANs :

• Réseau Home : PC perso etc… full acces internet et aux autres réseaux
• Réseau NoT (Network of Things) : pas d’acces internet
• Réseau IoT (Internet of Things) : acces internet
  Avec des règles à définir et des devices qui poseront des cas particuliers (google home…).

Quelle organisation de réseau recommanderiez vous d’après votre expérience ?

• Combien / quels VLANs ?
• Quelles règles de routage entre les VLAN?
• Comment gérer le cas des google home ? (routage multicast ?)
• Est ce que les serveurs n’utilisent qu’un port ethernet avec un routage adapté ?
• Les périphériques peuvent ils discuter entre eux ?
• Retours d’expérience: quels sont les devices ayant nécessité des règles spécifiques (google home, xiaomi…) comment avez vous réglé ces problèmes ?

Recommanderiez vous une configuration du réseau (vlans, dhcp, règles) au niveau routeur (DDWRT, Ubiqiti…) ou sur un firewall dédié ?
Si firewall dédié, beaucoup d’entre vous mentionnent PFSENSE ou OPNSENSE. Un produit est il particulièrement adapté à la domotique ?

Bonjour,
J’utilise qu’un seul vlan pour la domotique.
J’ai peu d’équipements Wifi (broadlink, DTU panneaux solaires, station météo, Alexa’s…).
Tout le reste est en Zigbee, Jeedom virtualisé sur Proxmox (plusieurs serveurs en HA).

Il y a plus d’une dizaine de Vlans (autres usages que la domotique) qui sont « gérés » par un firewall OpnSense. Au passage, peu de différences fondamentales entre pfSense et OpnSense, le second étant un fork du premier. Après plusieurs années avec pfSense, je suis passé sur OpnSense que je trouve plus léger, et surtout avec une interface beaucoup moins brouillonne.

Pour les accès extérieurs aux modules et autres, les équipements étant en ip fixe (ou résa DHCP), une règle de filtrage leur permet ou pas d’accéder à internet.

Pour la connexion à Jeedom depuis internet, le flux web passe par un reverse proxy situé en DMZ. C’est ce dernier qui porte la connexion HTTPS et les certificats.

Proxmox te permet aussi de gérer les Vlans et les VM peuvent être affectées aux Vlans spécifiquement.

A partir du moment où tu mets un firewall et des Vlans, tu peux « t’amuser » à séparer les équipements et les flux très finement.

ps: le firewall doit être sur une machine dédiée, installée en dur ou virtualisé, mais pas virtualisé sur le Proxmox où se trouve Jeedom …

Hello @hanglooze,

En phase avec la majorité des remarques de @MaGoo, bien que je ne comprends pas pourquoi le firewall ne pourrai pas être virtualisé ?

Côté wifi, j’ajouterai q’il est possible de faire en sorte qu’avec différentes clé (PSK) ou en fonction de leur adresse MAC, sur le « même » réseau wifi (SSID), tes machines soient dans des vlans différents (selon tes modèles d’AP). J’utilise ça pour facilement isoler les équipements wifi entre eux, sinon il reste la possibilité de configurer le point d’accès pour que les clients wifi ne se voient pas entre eux et doivent obligatoirement repasser par le fw.

Côté LAN, tu peux aussi faire du « private vlan » et utiliser ça pour faire tout le cloisonnement de tes équipements au sein d’un même vlan+SSID domotique, les échanges étant peu importants et peu volumineux, c’est particulièrement adapté, mais nécessite un bon suivi.

Pour le Multicast, il y a principalement du mDNS (Bonjour, Zeroconf, Avahi, etc c’est globalement la même chose). Soit tu n’en a pas besoin, soit il faut le router/commuter. Certains routeur peuvent directement le laisser passer ou le router, sinon il faut rajouter un service sur une machine pour retransmettre les datagrammes.

Dans tous les cas, c’est une bonne idée de séparer entre eux les PC, mobiles, imprimantes, enceintes, TV, NAS, serveurs etc et autres machines de bureau, des objets connectés souvent un peu troués et assez intrusifs (scan du réseau et des ports ouverts, en cas de compromition de la société qui les gère, l’attaquant a accès chez toi !), ainsi que des passerelles domotique. Le modèle de Perdue est assez efficace pour classifier et segmenter les endpoints.

A voir jusqu’à quel niveau tu veux pousser la paranoïa.

Bad

Bonjour

Sujet intéressant, j’avais aussi au début séparé tout sur différents vlan, iot full cloud d’un côté et le reste de l’autre. Pour maintenant revenir à tout sur le même réseau pour plusieurs raisons :

• j’ai quasiment plus rien de full cloud donc j’ai besoin de pouvoir communiquer avec eux en lan direct (j’ai que un nas pour tout faire tourner chez moi)
• la gestion est beaucoup plus simple
• j’ai repensé la sécurité, au lieu de faire un mur autour d’un groupe d’équipements je sécurise chaque équipement (firewall), j’ai aussi mis en place un honeypot (merci unifi) ainsi que l’ips avec pas mal de géo IP interdite aussi (dans les 2 sens)
• j’ai par contre interdit internet a pas mal d’équipements pour limiter encore plus le risque

C’est pas aussi bien que les vlan mais nettement plus simple. Par contre pour tous ce qui est fichier utilisateur (tous ce qui permettait une usurpation d’identité par exemple) je suis en train de migrer sous icloud en full encryption. Déjà ça me décharge d’une grosse partie de la gestion de la sécurité interne et de tous ce que j’ai lu apple ne blague pas trop avec ça. Ensuite même si un attaquant arrive à rentrer dans mon réseau il ne trouvera pas grand chose au final.

Merci à tous les trois pour vos réponses. C’est très intéressant, effectivement vous avez évoqué plein de solutions sans vlan.
Par ailleurs je note plusieurs points très intéressants:

@MaGoo: je note que:

• OPNSense est plus léger et avec une meilleure interface que PFSense
• proxmox permet d’assigner les VLANs aux VMs
• le fw doit être physiquement séparé du proxmos qui host jeedom.

@Bad: je note que certains APs peuvent:

• servir plusieurs VLANs sur le même SSID.
• interdire aux clients de se voir entre eux (config AP et VLAN privé)
• pour le multicast je vais me documenter sur tes pistes: mDNS soit routé soit par ajout de service sur une machine pour retransmettre les datagrammes.

Dans mon cas je pense que le VLAN s’impose car j’ai environ 200 ip sur mon réseau sinon j’aurais fait comme toi @Loic .
Je serais intéressé par les témoignages de ceux qui ont mis cela en place, notamment pour séparer l’IoT du reste.

• vos retours d’expérience sur les VLANs et problèmes rencontrés avec des appareils domotiques spécifiques ? quid du broker MQTT ?
• la gestion des VLANs par DD-WRT est elle suffisante ou faut il installer un OPNSense ?
• 1 VLAN pour les IoT + règles pour interdire accès internet ? ou 2 VLAN pour les IoT, l’un avec internet, l’autre sans ?

Slt

Sujet très intéressant

J’ai une vision plus comme Loïc : jeedom est là en tant que passerelle sécurisée donc il n’y a que jeedom au travers des dns qui a accès au web
Tout les reste est isolé ( camera, Shelly…) sauf Google home forcément

Le point d’entrée est mon routeur ASUS en DMZ depuis la box internet et adguard en parallèle qui filtre tous

Pourquoi pas le virtualiser mais pas sur le même hyperviseur que le reste … sinon, c’est l’hyperviseur qui risque d’être compromis et dès lors, le firewall sera facilement contourné.
Ça revient à installer une super porte blindée très épaisse sur une cloison en placo …

Hello,

Alors, oui, il ne faut pas rendre accessible l’interface d’administration de l’hyperviseur (ou du firewall) sur internet.

Mais si Internet rentre par un vlan qui est directement connecté à une interface du firewall en VM, je ne vois vraiment pas comment une compromission de l’hyperviseur peut être possible, c’est étanche entre le FW et l’hyperviseur.

Et je ne vois pas trop comment mettre un firewall en amont d’une machine virtuelle dans un cloud public, sans que ce soit une VM. C’est parfaitement supporté et recommandé.

Bad

Dans un cloud, l’architecture et la configuration est stricte, donc, virtualiser un firewall OK mais pour bosser dans le milieu, souvent, ce sont des machine physiques et pas virtuelles qui sont installées aux endroits stratégiques. Au final, on voit un firewall cloud mais ça s’appuie sur une infra physique. Certains constructeurs proposent des solutions virtualisées pour les entreprises.

Chez un particulier, on a la box puis on installe un hyperviseur (Proxmox, ESx, etc…) et par économie matérielle et conso électrique, on mets tout sur la même machine.
Là, il suffit d’une compromission de l’hyperviseur (c’est arrivé encore il y a peu sur ESXi), ben ton firewall peut être contourné.

L’idéal: La box → Firewall physique → switch manageable → VM et tout ce qui va bien avec les bons Vlans

Merci pour vos avis. Après avoir épluché l’ensemble des sujets abordant ce topic, dans mon cas, avec un réseau encombré par 200 ip, le VLAN me semble une bonne idée.
Je serais bien intéressé par le retour d’expérience de ceux qui ont mis cela en place.

Je pense mettre en place les VLANs suivants:

• invités
• HOME: PCs, mobiles, google home, chromecast, TV (uniquement par internet pas par l’ISP), imprimantes, NAS
• IoT : caméras eufy, four, aspi, nabaztag mqtt
• NoT: devices MQTT, lampes xiaomi, commandes volets, prise lavee linge / sèche linge, sonoff, ESP-easy, valves connectées…

IoT et NoT seaient en réalité dans le même VLAN, sur des plages dhcp fixes différentes définies dans OPNsense. La première ayant accès à internet mais pas la seconde.

• J’hésite à créer un vlan de plus pour le management du réseau (switchs, routeurs, cpl, …). Est ce vraiemnt intéressant ?

J’ai mis les devices chromecast sur le réseau home pour pouvoir caster depuis mon mobile.
Jeedom doit être à la fois sur home et sur IoT. Avec deux interfaces réseau? ou des règles de routage ?

Qu’en pensez vous ?
Merci

Salut,
Que le sujet segmentation du réseau est une usine à gaz sans fin, qui prendra toujours la tête et qu’on a tendance à refaire sans arret car on le dégrade dans le temps pour du nouveau besoin ou un pb de confort coté usage. Voila t’en arrive à un jeedom bi patte (home/ Iot) comme ça m’arrive à chaque fois dans le principe ça sert à rien de mettre du vlan si tu as ce lien … sauf avoir une rupture protocolaire

Merci pour ta contribution, tu m’as bien aidé.

Hello,

Pourquoi ne pas créer 2 vlans ? Le but des vlans est aussi de limiter les connexions possibles entre les appareils, et les rebonds en cas de compromition.

Pour moi, Jeedom (comme la plus part des serveurs), n’est pas conçu pour fonctionner avec 2 interfaces réseau, je déconseille fortement cette implémentation.

Donc il faut que tu choisisses dans quel réseau (vlan) tu le mets et que tu utilises le routage + filtrage sur ton FW pour laisser passer les flux utiles.

Bad

Dans ce monde là … chacun place son curseur où il peut suivant le temps que ça prends, connaissance des equipements, le budget etc. Sachant qu’il n’y pas de solution miracle, juste pas faciliter la tache à l’attaquant.
Mais oui si tu peux te permettre de filtrer en sortie toute la mer… de certains equipements, ça le fait, via vlan ou autre … les choses qui n’ont pas besoin du net … pas de raison d’ouvrir .
Ensuite t’as tout le bordel des protocoles de découverte, toute façon t’es quasi obligé de les mettre dans ton home si tu veux pas passer ta vie à switcher d’AP ou tripoter tes rules fw.
L’essentiel dans l’histoire c’est peut être d’assurer les bases, blinder au max tes accés aux matos d’admin (routeur, hyperviseur, fw, nas etc) … la totale
Dans le principe, le jeedom (qui contient bcp de creds) doit être un appareil de confiance donc dans le vlan home qui lui accède au reste … le home qui contient aussi les tablettes des gamins, le laptop de madame, ton tel avec de l’appli moisie … des appareils/users tout aussi fiable que ton ampoule flashy venant d’ali express ,faut peut etre tout chiffrer en sortie alors + proxy, filtrage ip/mac + fw en local sur les devices dans le home, de l’ids + l’exploitation des logs … welcome, le fameux curseur à placer , bon courage

ps: suis en pleine reflexion sur ce sujet là aussi actuellement, pour refonte encore et encore. Suis pas IT sécurité mais système, je gratte le sujet comme toi. Tout en ayant conscience que le mieux serait de ne pas avoir de jeedom, d’appareils connectés, tout en wifi guest et un core qu’en filaire et se passer du reste.

Simple info qui profitera sûrement à d’autres :

icloud a une faiblesse à connaître
(une faille ? Mais on peut-on parler de faille quand c’est un choix ? Ici celui de faciliter la vie des utilisateurs) :
Si quelqu’un mémorise/film le code de votre iPhone, puis vous le vol, vous pouvez perdre l’accès à iCloud !
Il faut donc profiter de la reconnaissance d’empruntes / visage pour utiliser un code « long » et faire attention en public.

Voir cet article du Wall Street Journal
https://www.wsj.com/articles/apple-iphone-security-theft-passcode-data-privacya-basic-iphone-feature-helps-criminals-steal-your-digital-life-cbf14b1a

Un grand merci pour ce sujet passionnant et bonne journée à tous.

Salut
J’ai pas accès a l’article mais oui je pense comprendre si quelqu’un déverrouille l’iphone il peut tout faire, d’ou le faite que la reconnaissance faciale/emprunte digital est plus sécurisé. C’est normalement ce que 99% des utilisateurs doivent faire. Pour le moment j’ai que un macbook air et je tape rarement le code sauf qu démarrage après c’est toujours a l’emprunte digital.

Effectivement apple pourrait corriger facilement en demander pour les truc critique soit un double code soit code + autre verification.

Pas de soucis avec un mac
Le code de l’ordi ne suffit pas à modifier le code du compte iCloud.
Par contre celui d’un téléphone OUI, sans avoir à connaître l’ancien !

Bonjour
Chez Apple, pour toutes modifications de sécurité (biométrie, mot de passe, etc…), il y a une demande de code et une demande d’autorisation (IP et localisation) qui apparaît sur tous les périphériques Apple (je sais c’est pour pousser à acheter Apple)
Il faut juste activer la double authentification.