Identificar y bloquear las puertas de los dispositivos que «llaman a casa».

Hola, como principiante, me preguntaba si hay una manera de encontrar qué puertos usan los dispositivos en la red para «llamar a casa» o salir de la red doméstica. Quiero ver si estos puertos se pueden bloquear a través de los orificios de conexión que estoy ejecutando en mi red. ¿Existe una forma «mejor» de bloquear este tipo de tráfico tanto como sea posible? Gracias de antemano por sus comentarios. EDITAR: Muchas gracias a todos por sus comentarios. Oh. Ideas y sugerencias sorprendentes. Me llevará algún tiempo investigar y aprender todas estas maravillosas ideas y consejos. ¡¡Gracias de nuevo!! ¡¡¡Saludos!!!

¿Te ha resultado útil??

0 / 0

loadnikon

loadnikon

Para esto es literalmente un firewall. Obtenga o construya una caja pfSense (o similar) y vuélvase loco. Si desea mantener el impulso después de eso, obtenga puntos de acceso que admitan la transmisión de múltiples SSID y obtenga todos sus IoT en su propia VLAN. Me complace ayudarlo o responder cualquier pregunta que pueda tener.

dunxd

dunxd

Mi recomendación es que uses tu pihole para hacer una auditoría inicial. Cualquier cosa sospechosa que detectes en una pihole puedes bloquearla a través de ella. Los televisores inteligentes son conocidos por enviar telemetría. Varias listas de bloqueo compatibles con pihole te ayudarán con eso: busque en r / pihole para obtener recomendaciones.

Tenga en cuenta que muchos dispositivos » IoT » de consumo que utilizan WiFi dependen de los servicios en la nube para funcionar, por lo que no querrá bloquearlos, ya que perderá la funcionalidad.

Para la mayoría de los dispositivos de IoT, es mejor evitar los modelos WiFi a menos que exista una razón realmente clara. Elija dispositivos que usen ZigBee, Z-wave, Thread, etc.que funcionen con un controlador como Home Assistant, openHab, SmartThings, Hubitat, etc.

Un firewall de gama alta también puede ayudar, pero en mi humilde opinión, ir por la ruta sin WiFi / IP es el mejor lugar para comenzar

extra_specticles

extra_specticles

Sí, puede usar analizadores de tráfico / rastreadores de paquetes como Wireshark o equivalente para diferentes sistemas operativos

cheesysnipsnap

cheesysnipsnap

Si le da al dispositivo una dirección reservada, puede agregar una regla de registro en su firewall para ver con qué está tratando de chatear

FuzzyToaster

FuzzyToaster

Pihole es solo DNS que debería capturar mucho, pero no todos, pero también te preocupas por qué clientes bloquear, etc.

La solución más fácil es probablemente conseguir un buen enrutador con un firewall incorporado decente, bloquear Internet para un rango de IP y configurar todos sus dispositivos IoT dentro de ese rango (ya sea por reserva estática o DHCP).

LeopardJockey

LeopardJockey

Si ya está ejecutando pihole, las estadísticas son un buen lugar para encontrar dichos dispositivos. En cuanto al bloqueo, puede hacer muchas cosas con pihole, pero si desea bloquear dispositivos que no usan DNS, si solo desea bloquear puertos específicos o, en general, tener más control sobre dispositivos individuales, un firewall será mucho más útil.

olderaccount

olderaccount

Lo inmediato es bloquear todo de forma predeterminada y solo abrir los puertos que necesita

synthead

synthead

Si está buscando bloquear el tráfico de cosas que no desea que lleguen a Internet, entonces debe bloquear un dispositivo de Internet para comenzar y agregar excepciones si lo desea.

defiant_archivium

defiant_archivium

Si puede acceder a algo de forma remota que está usando la nube, no siempre es fácil distinguir las conexiones en la nube de la recopilación de datos

idioteques

idioteques

pregunta tonta aquí …

¿No requiere la automatización del hogar un » teléfono a casa » para que IoT obtenga comandos y demás? La razón por la que pregunto es que mi Google Home está básicamente regado si / cuando mi Internet no funciona.

Si la respuesta a eso ^^^ es sí, ¿los proveedores identifican si / cuándo su dispositivo requiere Internet para funcionar (como, en la caja, o algo así?)

Para responder OP: Si estuviera interesado / preocupado por bloquear el acceso, probablemente configuraría mi Sophos (Firewall) para bloquear puertos Y agregar los dominios a mi servidor DNS para enviar paquetes a una dirección IP ficticia.

kigmatzomat

kigmatzomat

Si su enrutador no es compatible con vlans o tiene reglas de firewall realmente limitadas (o isp bloqueadas) y no tiene liquidez y resulta que tiene algunos enrutadores wifi antiguos por ahí (o obtiene algunos gratis después de las rebajas en enrutadores realmente antiguos), puede utilizar una variante del método » tres enrutadores «.

………Internet

………… |

……. (firewall de puerto externo activado)

…….. Enrutador de puerta de enlace (wifi desactivado)

……… /

(Cortafuegos desactivado) (puerto externo – cortafuegos activado)

iot wifi. Wifi privado para teléfonos, etc.

Esta versión mantiene su iot completamente aislado de su red de usuarios y al mismo tiempo le permite conectarse a la nube para una funcionalidad completa.

Para bloquearlo completamente de Internet pero aún dejar pasar los comandos locales,

Internet & lt; – & gt; (firewall de puerto externo activado) Gateway wifi & lt; – & gt; barrera iot (firewall de puerto externo activado) – & gt; (firewall desactivado) iot wifi

Básicamente, gira un enrutador al revés para apuntar el firewall a todo el IoT. Esto permite que sus aplicaciones locales aún puedan controlarlas, pero atrapa todo el iot detrás de un firewall de todo, incluido Internet. Y dado que casi no habrá tráfico pasando a través de los enrutadores y casi todo el iot es de la frecuencia de 2.4ghz, pueden ser hardware viejo / malo.

Business_Downstairs

Business_Downstairs

Yo uso pfsense, dns no captará todo. Compré una cámara de reposabrazos barata y solo permite la configuración a través de su aplicación. La puse en un Vlan que no tiene acceso a Internet o al resto de la red y No pude verlo a través de la aplicación, aunque pude verlo a través de un flujo rtsp. Verifiqué los registros de pfsense y la cámara estaba tratando de ir a dos direcciones IP diferentes en una ubicación de AWS en Maryland, en las afueras de Washington DC. Entonces, por alguna razón, no puedo mirar mi cámara usando su aplicación aunque estoy conectado a ella en mi red local. Si permito una conexión a esos dos servidores, entonces puedo usar la aplicación, tanto dentro como fuera de mi red, que no quiero. De todos modos, no hace ningún tipo de búsqueda de dns porque las direcciones IP están codificadas en el firmware.

videostorm1

videostorm1

Muchas respuestas geniales aquí.

Pero en mi opinión, deberías mirarlo desde un ángulo diferente. Es realmente difícil bloquear / auditar todos los dispositivos que tiene. Un mejor enfoque es simplemente mantener la información confidencial (básicamente cualquier cosa muy útil para el robo de identidad o el ataque de ransomware) INACCESIBLE para su red general. Nos gusta pensar que podemos hacer de nuestras LAN un lugar seguro, pero eso requiere mucha vigilancia constante. Es mejor tener buenos hábitos de seguridad pero considerar su LAN al menos algo insegura.

El método más simple es el almacenamiento fuera de línea (los discos duros externos solo se conectan cuando están en uso) al que se accede desde una PC » limpia » (sin navegación / aplicaciones inseguras / USUARIOS inseguros :))

Y tener copias de seguridad, también normalmente no accesibles a través de la red.

Mucho más fácil de mantener, fácil de explicar a otros miembros del hogar, etc.

También puede mantener una partición NAS en línea que esté completamente encriptada y protegida contra PW para un acceso más conveniente si lo prefiere, pero tenga copias de seguridad fuera de línea ya que el ransomware todavía tiene algunos vectores al respecto.

JDMils

JDMils

No bloquear puertos, todos los programas usan los mismos puertos en la mayoría de los casos. Bloquear DNS. El timbre de mi puerta accede a la nube a través de ring.com, por lo que configuraría mi dispositivo con una IP estática, usando la reserva de dirección MAC si es necesario, y bloquee desde ese io a la dirección DNS a través del enrutador.

Los comentarios están cerrados.