IT & Domotique : comment sécuriser son LAN ? Fermé

Question

Bonjour à tous,

Venant d’emménager dans un nouveau logement, j’ai décidé de me (re)lancer dans la domotique, mais cette fois en utilisant principalement des produits compatibles Google Home, le Nest Hub sera mon centre de contrôle. 

Auparavant j’avais monté un Raspberry avec Jeedom (+ modules Zwave et Zigbee), et pas mal de devices mixant les protocoles et fabricants, tout ça piloté via un design Jeedom. 
Ça fonctionnait pas trop mal dans l’ensemble, mais ça me demandait beaucoup trop de temps en installation/configuration, en maintenance (manque de stabilité..) et surtout j’ai eu du mal à le rendre agréable à utiliser pour ma femme :D 

Mon retour d’expérience là-dessus ça serait ‘Keep it smart and simple’. 
Pas envie de remonter une usine à gaz…

J’ai déjà quelques idées sur ce que je veux implémenter en termes fonctionnels, et quels matériels je veux utiliser. 
Mais la question primordiale selon moi et qui me fait défaut, c’est comment sécuriser tout ça ?

Derrière max box j’utilise un routeur Wifi flashé avec Tomato firmware, qui me laisse un peu de latitude dans les réglages. 
La plupart de mon parc (70% d’objets connectés) sera sans-fil, principalement en Wifi. 

J’avais dans l’idée de créer des VLANs qui seraient chacun bridgés sur des réseaux Wifi différents, mais tous hébergés sur mon routeur. Avec quelques règles de routage pour permettre à nos téléphones de s’en servir par exemple. 

Par exemple 1 VLAN ‘Office’ pour nos laptops/PC/printer, un autre ‘IT’ pour mon NAS et peut-être d’autres devices par la suite (Raspberry etc), un autre ‘invité’ qui lui ne discuterait avec personne à part Internet, un ‘Mobiles’ pour nos périphériques mobiles (tels, tablettes), et un dernier pour les objets connectés (Nest, Nest mini, prises, modules récepteur portail, etc.)

Mais j’ai des doutes sur le fait de diffuser autant de SSID qu’on peut capter autour de chez moi… ça peut donner envie j’imagine :(

J’ai tendance à penser que c’est aussi très light niveau sécurité, et que je risque de me prendre la tête sur le routage, sachant que tout ce beau monde va devoir discuter ensemble dans la majorité des cas. 

Les fonctions de pare feu offertes par le routeur/firmware sont plutôt light à priori. 
On peut créer un portail captif mais je ne connais pas assez pour juger de l’utilité ?
J’entends de + en + parler de SaaS ou du moins d’outils pour gérer et sécuriser les objets connectés, certes plutôt destinés aux entreprises. 

Quel est votre avis sur cet aspect sécurité dans nos maisons qui sont de plus en plus exposées et insuffisamment sécurisées ?
Qu’avez-vous mis en place chez vous ?

J’aimerais éviter qu’un simple ‘Ok Google ouvre le portail’ crié depuis l’extérieur suffise à n’importe qui pour entrer chez moi :D
Ou accessoirement qu’un simple piratage de l’un des réseaux Wifi suffise à faire des mouvements latéraux pour ensuite accéder à l’ensemble de mon infra et donc nos data, ce qui serait pratiquement pire qu’une intrusion physique. 

Merci pour vos lumières, au plaisir d’échanger avec vous !

brupala · Answer

Salut,
un serveur Pfsense devrait être adapté à ça, 
mais sur le fond, Domotique et sécurité ne feront jamais bon ménage, je pense, c'est trop bourré d'appareils qui se connectent à l'internet pour y stocker des données personnelles, on ne sait pas trop où.
Je n'ai encore pas vu de RGPD en domotique, mais en même temps, c'est un domaine qui ne m’intéresse guère.
A part une station météo Netatmo, je n'en utilise pas pour l'instant, bien que j'ajouterai bientôt une gestion de production solaire Comwatt, signe des temps .

dhyd · Answer

bjr
Je cite "J’aimerais éviter qu’un simple ‘Ok Google ouvre le portail’ crié depuis l’extérieur suffise à n’importe qui pour entrer chez moi" .
.
La domotique, c'est très bien et ça facilite bien des choses, donc comme beaucoup de personnes, j'ai pas mal d'appareils qui sont commandés par ce biais que ce soit avec Google Home ou Alexa (j'ai les 2).
Mais à ce jour, je n'ai pas trouvé le moyen de restreindre certaines commandes vocales sensibles comme tu l'exposes. Rien de rien.
La seule façon que j'ai trouvé, c'est de dissocier les appareils sensibles des autres et de les mettre sur un compte dont on ne donne pas l'accès à Google Home ou Amazon Alexa donc ils n'apparaissent pas dans les commandes vocales mais ils sont commandables depuis l'application qui leur est dédiée depuis un smartphone.
J'ai aussi donné des noms bien spécifiques pour faire certaines commandes avec des appareils de contre sécurité, du genre au lieu de Ouvre portail, tu donnes un autre nom que Portail, à toi de voir ce qui correspondrait le mieux.
Donc voilà comment j'ai résolu ce problème de commande vocale pour les appareils dits sensibles.
Mais si tu as une autre solution, je suis preneur aussi de l'astuce.

Informadream · Answer

Merci pour vos réponses :)

Je vais me pencher sur pfSense, j’en avais déjà entendu parler en effet. 

Concernant les commandes vocales je n’ai malheureusement pas non plus de solution jusque-là.
Le problème de dissocier c’est qu’on perd le côté centralisé et donc facile d’utilisation (femme, enfant)
Pas vraiment envie de devoir dégainer le téléphone pour ouvrir le portail (ma femme ne le fera pas c’est sûr). 

S’il n’y a vraiment aucune solution qui préserve la facilité d’utilisation, je préfère encore sacrifier le confort au profit de la sécurité, donc tant pis pour le portail connecté. 

Mais à la rigueur pour moi c’est un moindre mal, c’est pas la plus grosse problématique. 
Je préfère me concentrer d’abord sur la sécurisation de mon infra, on verra pour les commandes vocales ‘plus tard’

IT & Domotique : comment sécuriser son LAN ?

3 réponses

Discussions similaires