Utilité d'un routeur VLAN + Switch pour sécuriser une maison (avec NAS et domotique)

[Tortueux]

Bonjour

Je suis en train d'installer un NAS. Cela semble simple.
En passant je lis partout que mon NAS prend en charge Home Assistant via Docker, et que c'est top pour gérer les automatisations domotiques. Je regarde un peu et en effet ça semble vraiment cool. Je vois qu'il y a pleins de choses à faire.

Je discute avec mon IA préférée qui m'explique comment configurer tout cela.

Mais quand je m'interroge sur la sécurité de tout cela, je me demande si une caméra connectée (ou un aspirateur ou une ampoule) connue pour ne pas être une forteresse, ne risque pas de servir de cheval de troie pour infecter/visiter mon NAS.

Et là mon IA me répond que c'est un risque majeur, bien connu, et qu'il me faut impérativement un routeur couplé à un switch "intelligent" pour créer des VLAN et ainsi "isoler" les appareils domotiques sur un VLAN différent de celui du NAS.

Sur le papier ca me semble logique, mais en pratique ça coûte un prix démentiel quand même (je vois des routeurs+ switch à 500€ et il faut que je rajoute un émetteur ethernet>wifi à distance car la box est au fond du garage)

Je parcours les forums, dont celui ci, et j'ai l'impression que c'est quand même surtout un truc de réseaux d'entreprise.

Ma question est donc:

-Un routeur + Switch n'est il pas exagéré pour protéger une maison classique?

ET
-SI la répons est oui, comment protéger les données du NAS malgré un docker Home Assistant qui lui discute avec toute la domotique de la maison (appelée à augmenter).

Merci.
-----

[Forhorse]

Tu devrais plutôt aller poser la question sur le forum de la communauté française de Home Assistant https://forum.hacf.fr/

Je suis pas un pro de la sécurité informatique (loin de là) mais ça dépend surtout du type d'appareils que tu connectes sur ton réseau et du protocole utilisé : si c'est du wifi / lan tu as potentiellement plus de risques de "backdoors" que sur des protocoles purement domotiques. Et moins de risques avec des firmware open source qu'avec des firmwares propriétaire de provenance douteuses (coucou Tuya...)

Perso j'utilise beaucoup de truc en DIY avec des firmwares open sources.
Les seuls trucs que j'ai isolé c'est mes caméras qui sont dans un VLAN séparés qui ne peut pas accéder à internet. Et pour faire ça j'ai pas investi des centaines d'euros... Pour mon usage je vois pas l'utilité d'un routeur en plus de la box opérateur. L'IPv4 et le NAT des box apporte déjà une sécurité suffisante pour le commune des mortels. En IPv6 c'est une autre histoire mais mon offre internet est encore en IPv4 donc je ne me suis pas posé la question.
Et pour le VLAN, j'ai fait ça avec un "smart switch" à moins de 150 € (qui fait aussi office de source POE pour mes caméras et certains équipement réseau)

[Tortueux]

Merci pour votre retour. J'avais lu que le smart switch n'était pas suffisant pour isoler des réseaux et que le routeur était complémentaire. Je n'y connais pas grand chose.

Derrière votre smart switch vous avez un émetteur wifi qui gère plusieurs vlan je suppose?

[Forhorse]

Non, mes caméras sont en Ethernet + POE sur leur propre VLAN, le seul autre équipement connecté à ce VLAN c'est mon NAS pour que Frigate puisse recevoir les flux vidéos.
Tous les autres équipement réseau de la maison sont sur un LAN "normal" derrière la Livebox. Comme la maison est grande (et surtout que les murs sont épais) j'ai 2 AP wifi pour couvrir tous les besoins, mais ils sont sur le LAN "normal", ça n'a rien a voir avec les histoires de VLAN.
lI y a une séparation "physique" entre les 2 LAN (mon NAS à 2 cartes réseaux) c'est le switch qui gère la séparation parce qu'il offre cette possibilité, mais j'aurais très bien pu faire cette séparation en utilisant 2 switchs différents (c'est juste moins souple)

[A voir en vidéo sur Futura]