Firewallová pravidla pro IoT hračky

[iot_man]

V mé domácí LAN mám několik IOT zažízení (IP kamery, AV receiver, IPTV set top box, projektor, tiskárnu apod.). Většinou jsou to proprietární systémy u kterých nikdy nevíte, co dělají.

Samozřejmě mám tyto zařízení na separátní 802.1Q VLAN. Firewall pravidlo pro IOT->WAN mám reject with icmp admin prohibited.

Nicméně tato zařízení občas potřebují šáhnout někam do netu, typicky pro aktualizaci firmware, ntp, dns apod. Jak toto řešíte? Sniffujete, co dělají a vytváříte výjimky?

[Reklama]

[?]

V mé domácí LAN mám několik IOT zažízení (IP kamery, AV receiver, IPTV set top box, projektor, tiskárnu apod.). Většinou jsou to proprietární systémy u kterých nikdy nevíte, co dělají.

Samozřejmě mám tyto zařízení na separátní 802.1Q VLAN. Firewall pravidlo pro IOT->WAN mám reject with icmp admin prohibited.

Nicméně tato zařízení občas potřebují šáhnout někam do netu, typicky pro aktualizaci firmware, ntp, dns apod. Jak toto řešíte? Sniffujete, co dělají a vytváříte výjimky?

Takovej problém ty restriktivní pravidla vypnout při údržbě, updatech a podobně? Snad nechceš, aby se ti IoT sračky updatovaly kdy se jim zachce. To pak pak můžeš mít vykradenej barák nebo zamrzlou vodu, protože se nějaká IoT sračka updatovala, nebo se po update už neprobrala nebo je potřeba odslouhlasit nový licenční podmínky...

[jeho lordstvo]

Takovej problém ty restriktivní pravidla vypnout při údržbě, updatech a podobně? Snad nechceš, aby se ti IoT sračky updatovaly kdy se jim zachce. To pak pak můžeš mít vykradenej barák nebo zamrzlou vodu, protože se nějaká IoT sračka updatovala, nebo se po update už neprobrala nebo je potřeba odslouhlasit nový licenční podmínky...

To si děláte zadek? IoT hračku co by se mi sama od sebe updatovala a ještě by mi zamrzla na bodě mrazu z tohodle teplýho důvodu bych si nekoupil.. Neuvěřitelný co dokáží všichni ti "výrobci" vymyslet..

[uf]

Kromě nového firmware všechno ostatní může poskytovat domácí server a IoT nemají co lézt ven. A firmware by taky mělo být možné stáhnout domů a instalovat místně pod dozorem.

[dan]

nemám iptv a pro domací automatizaci používám home assistant který běží na lokálním serveru. takže moje IoT krabičky nepotřebují k funkci spojení ven a jsou od internetu úplně odřízlé. Dns mám lokální, jednou za čas když mám "updatovací sobotu" a instaluju updaty na routery, atd, tak i v IoT síti povolím přístup do internetu a po instalaci updatů zase zakážu.

[Reklama]

[PetrM]

Je problém těch VLAN udělat několik? Něco totiž potřebuje ven (TV, IPTV,...), něco nechceš pustit ven (tiskárna, NAS,...).

Co může ven ať se koukne ven (TV ať se klidně aktualizuje), u ostatního přece není problém před updatem přepíchnout kabel do sítě, která může ven a pak ho vrátit. Jeden volný port na switchi se vždycky najde, nebo se dá měnit na chvíli tag na konkrétním portu.

[iot_man]

Je problém těch VLAN udělat několik? Něco totiž potřebuje ven (TV, IPTV,...), něco nechceš pustit ven (tiskárna, NAS,...).

Určitě není problém jich udělat třeba 1000. Přepíchávat kabely nebudu, je to jen o enable/disable pravidla ve fw.

Spíš mě zajímalo, jestli nemáte někdo lepší nápad...

[SB]

Je problém těch VLAN udělat několik? Něco totiž potřebuje ven (TV, IPTV,...), něco nechceš pustit ven (tiskárna, NAS,...).

Když mi nevadí, že se ty šunky budou vidět (či šmírovat) navzájem, není nutně třeba jim vyrábět extra VLANy, stačí je narvat do jedné podsítě (v případě samostatných portů přímo z routeru není třeba ani VLAN) a filtrovat na fireválu dle jednotlivých IP.

...není problém před updatem přepíchnout kabel do sítě, která může ven a pak ho vrátit...

Ale fuj! Co to je za řešení? Není nutno si hned vyčvachtat port a mít fyzický přístup. Na to stačí pár pravidel na fireválu (nebo lépe jedna větev) a občas je vypnout.