Sécurité domotique et vie privé

Bonjours,

Est-ce que certain d’entre vous on sécurisé leurs domotique avec des VLAN ou avec un parefeu (pfsense) ou un accès distant en vpn, ou est ce que tout le monde connecte ses capteurs (plein de failles) sur le même réseau que les ordinateurs, téléphones, …

Merci d’avance

Salut, si je ne me trompe pas, ce n’est pas plutôt les Gateway qui se connecte à internet ? Perso je privilégie tout ce qui reste local où le fait maison, genre zigbee2mqtt et je suis tranquille. @Totof pourra sûrement mieux te répondre sur le sujet je pense.

Salit @alex,

Perso, je ne connecte absolument pas tout ça sur mon réseau par principe pour séparer les utilisation mais surtout afin de ne donner aucun access possible a tout ce qui est domotique a internet et le lan.

La configuration que j’ai est comme ceci :

  • un point d’accès hostapd sur le rasbperry avec un ssid domo
  • le pare-feu shorewall qui bloque toute requête de l’interface wifi domotique vers le lan du rasoberry

Ainsi tout les devices wifi se connecte sur celui du rasoberru ou est Gladys, mais ne peuvent en aucun cas aller vers internet ou le lan.

Pour ce qui est des devices en RJ , eux sont sur un lan mutualiser, mais bloquer dans le pare-feu et ne peuvent aller sur internet ou requêter sur le lan.

Il va falloir que je les passe sur le rasoberry avec une carte réseau USB afin de regrouper les périphérique domotique sur le rasoberry afin d avoir le filtrage au même endroit.

Pour l’accès distant, je passe par un vpn wireguard sur un serveur qui me donne accès a tous les réseau de chez moi.

Wireguard n’est pas encore dans les dépôts stables et il faut activer un module au niveau du kernel (qui sera intégré dans le noyaux cet été a priori) mais il est pleinement fonctionnelle ^^

Je n’ai pas eu beaucoup de temps récemment, mais je peux éventuellement faire un Tuto de A a Z sur l’installe de Gladys, wireguard, shorewall et hostapd.

Par contre certain device type xiaomi ne veulent pas se connecté au réseau si elles n’ont pas internet de souvenir. Il faut donc ouvrir internet puis refermer ^^

1 « J'aime »

Salut @Totof,

C’est très intéressant ce que tu expliques, j’avais justement l’idée de créer un point d’accès Wifi dédié à la domotique pour y couper l’accès à internet.

Je cherchais notamment des interrupteurs connectés abordables, en alternative aux Céliane By Netatmo de Legrand, et j’ai vite compris que le Wifi serait presque incontournable (j’ai vu des interrupteurs de la marque Zemismart en Wifi surtout et quelques un en Zigbee). Donc pas le choix de créer ce réseau wifi dédié à la domotique.

Comment gères-tu les mises à jour OTA de tes équipements connectés ?
Tu actives puis désactive internet temporairement ?

Salut @lmilcent

Effectivement ça va être l’idée, même si je n ai jamais encore fait de mise a jours de devices jusqu’à aujourd’hui.

J’avais fait une petite installe domotique, puis je viens de redémenager , donc je vais repartir sur une base propre.

La différence que je vais avoir avec avant, c’est un réseau full vlans. Pour le moment j’en ai identifié 14 :sweat_smile:

Vu que je vais refaire l’installation, je ferais une doc / tuto au cas ou cela intéresse quelqu’un.

1 « J'aime »

Tu utilises quel routeur pour gérer les vLans ?
Pourquoi tu en as autant :scream: ? Un vLan par capteur ?

J’ai deux serveurs qui vont être en cluster, un a l’étage et un au rdc.
J’ai une connexion vdsl + une box 4g, et via shorewall, je fais de l’agrégation de lien / séparation du trafic suivant les devices sources vers la 4g ou vdsl.

C’est directement mes serveurs qui gère les vlans, servent de parefeu et les switch derrière. Du coup ça le fait un VLAN par utilisation : Domotique, lan, vdsl, LTE, dmz-ext, net-interne, clusters etc etc :smile:

Vu que j’auto hébergés tous mes services, mail, cloud & co, ça fait une petite redondance :slight_smile: