En primer lugar, ¡permítame animarlo y felicitarlo por tener la idea correcta para comenzar usando una VLAN!
Se debe confiar en los dispositivos de IoT con su red y en Internet tanto como en un usuario repetido de drogas se debe confiar detrás del mostrador de la farmacia.
El reciente DDoS que cerró parte de la red de DYN fue causado por dispositivos IoT mal diseñados e infectados. Resumen del análisis de Dyn del ataque del viernes 21 de octubre
- ¿Qué debo descargar o hacer con WiFi gratis?
- ¿Cuál es la mejor aplicación que ofrece llamadas gratuitas a través de wifi?
- ¿El alcance de una conexión WiFi está determinado por la 'más débil' o la 'más fuerte' de las dos antenas WiFi?
- ¿Cuál es la forma completa de wifi?
- ¿Por qué la ubicación en mi departamento en la que puedo captar fácilmente la señal wifi de mi vecino parece cambiar entre la mañana y la tarde (no mueven su enrutador)?
La mayoría de los puntos de acceso inalámbrico de nivel empresarial pueden manejar múltiples SSID, cada uno de ellos a una VLAN única.
Lo que hice para mi red doméstica fue crear un SSID llamado (normalSSIDname-IoT). Lo hace claro y fácil de recordar. (Nota al margen: no oculte sus SSID. Realmente no están ocultos de las personas que pueden entrar, y en realidad hacen que su red sea menos segura para hacerlo)
Ahora que tiene todos sus dispositivos IoT en su propia VLAN de capa 2, no pueden hablar con nada. Eso no es muy útil, así que cree una nueva interfaz en su firewall con la misma VLAN y comience a hacer reglas para permitir un acceso MUY LIMITADO a su Internet y redes internas. Comenzaría por permitir que todo en su red interna acceda a la VLAN IoT, pero no al revés. También dejé que la VLAN de IoT solo hablara con los servidores en Internet que son necesarios.