Kotiverkon turvallisuus

[McMaster]

Heips, vähän uutena kotiverkon rakentamisessa ja ehkä tullut lisättyä tavaraa turhan vauhdilla ilman, että on täyttä käsitystä vielä kaiken tietoturvasta ja siihen kaipaisin osaavampien näkemystä jos jotain kannattaisi parantaa.
Listaan tähän vähän miten verkko ja järjestelmät on kyhätty.

Ensimmäisenä on ZTE MC7010 5G siltaavana jossa Elisan 1000Mb 5G+ julkisella IP:llä.
Sisällä 3x Deco XE75.
Yhdestä on jaettu 5 portin kytkimellä lisää piuhapaikkoja kodin viihde laitteille.

Raspberry pi 4B jossa Open media vault NAS ja Plex media serveri.

Sitten on toinen pi 4B jossa Home Assistant pyörimässä.

Lisäksi vielä vanha Dell Optiplex 790 jossa Ubuntu asennettuna ja siinä pyörii Immich ja audiobookshelf.

Millään ( HASS, OMV, immich, audiobookshelf ) ei ole suoraa pääsyä ulos eikä niihin suoraa pääsyä sisään. Oon asentanut decoon OpenVPN:n jolla pääsen sisäverkkoon ulkoa käsiksi. Lisäksi Decossa pyörii Security+ palvelu (en tiedä onko tämä turha).

Eli pitäisikö tässä vielä jotain laittaa lisäksi? Adguard varmaan tulee vielä Delliin pyörimään. Onko muuta mitä pitäisi huomioida?

 

[peapurek]

Varmaan tuohon 7010 ja decojen väliin joku oikea reititin/palomuuri , jos ei ole luottoa tplinkkiin

 

[exorcist]

Tosiaan jonkun oikean reititin/palomuurin lisäys. Esim. vaikka OPNSensen lisäys on jo hyvä alku.
Samalla miettisin verkon segmentointia, esim. IOT puolen / servereiden jaottelua omaan verkkoon, oikeat tietokoneet omaansa jne. Säännöt sitten näiden mukaan.
WLAN:sta ei ollut puhetta mutta tämän suojauksen varmistus. Jos näissä langattomissa verkoissa jotain muuta IoT / kodinkone laitteita niin nämä omaan WLANiin.

Sitten yleisesti laitteiden päivitykset kuntoon / automaattiseksi.

 

[McMaster]

IoT:tä on jonkin verran, ja Decolla niille saa oman wlanin. Tätä en tosin ole tehnyt koska wlanissa olevat IoT laitteet on käytännössä pari kameraa ja pari wifi pistorasiakytkintä. Kameralta olen jo estänyt pääsyn nettiin, saman vois tehdä kytkimillekin. Muuten kaikki zigbee:tä ja ne tietysti omalla verkollaan ja HASS on piuhalla kiinni Decossa. Lähinnä mietityttää miten eri palvelujen käyttäminen menee jos IoT on omassa verkossa ja esim. tietokoneet ja puhelimet omassa. Sitten pitäisi käyttää puhelimella vaikka audiobookshelfiä ja VPN on vaan tuohon tietokoneverkkoon. Meneekä se jollain porttien uudelleen ohjauksella tms.? Aika ummikko oon tosiaan syvemmästä verkkojen sielunelämästä.

 

[McMaster]

Löytyis tollanen TP-Link AC1750 C7 reititin, olisiko tuosta mihinkään palomuurina?

 

[McMaster]

Tosiaan jonkun oikean reititin/palomuurin lisäys. Esim. vaikka OPNSensen lisäys on jo hyvä alku.
Samalla miettisin verkon segmentointia, esim. IOT puolen / servereiden jaottelua omaan verkkoon, oikeat tietokoneet omaansa jne. Säännöt sitten näiden mukaan.
WLAN:sta ei ollut puhetta mutta tämän suojauksen varmistus. Jos näissä langattomissa verkoissa jotain muuta IoT / kodinkone laitteita niin nämä omaan WLANiin.

Sitten yleisesti laitteiden päivitykset kuntoon / automaattiseksi.

Mites ton opnsensen kanssa. Voinko esim. asentaa tuohon Delliin ja sieltä käyttää sitä, vai pitäisikö tuo jotenkin saada ZTE:n ja Decon väliin?

 

[pulatunnus]

Löytyis tollanen TP-Link AC1750 C7 reititin, olisiko tuosta mihinkään palomuurina?

Taitaa olla aika perus koti wifi palomuurireitin.

Riippuu vähän mitä sillä tavoittelet. Alussa puhut Iot laitteista, niiden verkosta, ja muusta sälästä, jos haluat verkot erilleen, niin voihan tuota käyttää siinä hyväksi. Jos Iot laitteet (niiden verkko) ei tarvi nettiyhteyttä, niin ne tuon perään. Jos ne tarvii, niin sitten vähän tutkia tuon purkin palomuuria mahdollisuuksia, saako siellä kuinka hyvin estettyä nettiliikenteen pois lukien se mitä tarvitset.

Sinulla ilmeisesti mobiilinetti, missä irtoo vain yksi IPv4 ja vaikka operaattori tukisia IPv6 niin sekin vähän työlästä. Eli et voi pelkällä kytkimellä jakaa nettiä, vaan yhden reittimen takana privaatti verkko ja sen perään sitten Iot, ja kotiverkko, niin vähän sitten miettiä kumpi nyt tarvii tiukempaa palomuuri, vai laitatko kummallekkin omansa.

Onko IoT verkko lähinnä hupia, eli ei ohjaa, mitään kriittistä, ei mitään erityisen huolella suojattavaa sisältöä, esim kameroita mitkä eivät ehdottomasti saa vuotaa. ja siellä on kaikenlaista sälää jotka voi olla riskikamaa jo ihan alkujaan. Ajan sitä takaa että lähinnä se toinen kotiverkko pitää suojata vihamieliseltä IoT verkolta.