Hur tänker ni konfigurera Nätverket för säkerhet. Använder Ubiquiti

Är dina funderingar begränsade till enheter som du vill ha i nätet, men inte kan lita på? Saker som ringer hem med allsköns insamlad information osv? Eller är du nyfiken på andra säkerhetsaspekter också?

En lösning som ger dig möjlighet att brandvägga portar och protokoll mellan enskilda enheter (inte bara in/ut ur ditt nätverk) är en bra början.

Blev oerhört intresserad av din värmepump, med en Rpi? Berätta mer! \

Haha, vad i helvete. Foliehatten på!

Tycker inte detta är Foliehatt tankar utan bara vettigt om man har kunskapen.

Det finns så klart nivåer på hur krångligt man vill göra det men en bra start är att lägga NAS och andra saker som många skall komma åt i ett VLAN. Sedan alla "Smarta" saker i ett VLAN, här kan jag även tänka mig att ha spelkonsoler. Ett VLAN för datorer (det är inte så farligt krångligt att sätta upp VLAN för olika grupper av datorer så vill om man vill så skadar det inte). Ett VLAN för WiFi (kanske ett WiFi-gästnät också för kompisar på besök)
Sedan hade jag satt en brandvägg mellan dessa VLAN, det behövs inte en separat utan finns det en bra brandvägg för internet så går det bra att använda denna för trafiken mellan VLAN. Syftet är såklart att kunna styra vilka enheter som skall få prata med varandra och begränsar man trafiken till det som skall få gå så stoppar man mycket spridning internt. Bättre brandväggar kan analysera trafiken på en djup nivå och kan se när det sker avvikelser eller det försöker utnyttjas sårbarheter i protokoll eller applikationer men då kommer vi upp i säkerhet som bara ett fåtal av våra kunder kommer upp i. Och det i ett hemmanätverk. Jag har haft det så tidigare men då mest för labb och inte för att jag kände att det behövs.
Jag har flyttat ut på landet landet och får nu leva med VDSL men det skall komma fiber och då blir det riktiga brandväggar igen.

Det du bör fundera på också är vad du har för något i ditt nätverk som dessa opålitliga enheter kan komma åt?

Skickades från m.sweclockers.com

Det är väl inget "foliehatt" över detta?

Nu när man börjar ansluta fler och fler "smarta" enheter, som är byggda helt utan något tänk på säkerhet, så blir det ju mer och mer viktigt att man i alla fall har koll på sitt egna nätverk och aktivitet däri. Hur ska man annars veta ifall sitt nya moderna kylskåp inte är med i något ryskt botnät?

Okey,

Utan att dra en hel uppsats om vad jag hade gjort, men:

Vad har du i nätverket som du vill skydda? Finns det t.ex. bilder och annat som du inte vill bli av med på din NAS?

Många enheter kräver endast tillgång till Internet, t.ex. dina barns gäster och PS4 och den där lilla intressanta Rpi'n till värmepumpen. Chromecasten är lite knivigare då den både behöver tala på det lokala nätverket för att ta emot kommandon, men också ut mot Internet för att ta emot data vid streaming och uppdateringar etc.

Se till så att allt som endast kräver internetåtkomst bara har det, eventuellt utan möjlighet att prata med varandra över ditt nätverk. Dvs, dina gästers telefoner ska inte kunna prata med varandra, och inte heller till NAS eller andra enheter på lanet. SMART-TV borde enligt mig placeras här med, de är och kommer alltid att vara riktiga säkerhetshål.

De enheter som du anser vara viktiga och som behöver kunna komma åt din NAS etc, sätt dem i ett eget nätverk, vill du vara duktig så logga trafiken, antingen med en Rpi om du har en switch som kan köra SPAN (eller en gammal hederlig hub). Detta kan dock, beroende på hur det sätts upp, begränsa den delen av ditt nätverk till 100 mbit. På Rpin finns det väldigt många intressanta program som kan logga trafik, går även att köra via andra enheter och få ut mer.

Kortfattat, ge enheterna precis den tillgången som krävs för deras funktion, ta bort resten och logga gärna. Använd något program för att läsa / tolka loggarna.