DNS Server für IOT VLAN

[ToKa]

Hallo zusammen,

ich habe meine IOT-Geräte alle in einem separaten VLAN, aus dem es keine Kommunikation ins normale LAN / WLAN gibt. Ich bin mir aber unsicher, was ich hinsichtlich DNS Server machen soll. Momentan nutze ich unbound auf der opnsense für alle Netze.

Ist es ratsam für das IOT VLAN unbound die DNS Anfragen beantworten zu lassen oder ist es sinnvoller dem IOT VLAN fest z.B. 1.1.1.1 / 9.9.9.9 als DNS Server per DHCP zuzuordnen?

Beste Grüße

Torsten

[yersinia]

Da du bereits OPNsense, unbound und VLANs nutzt, nutz' doch für dein IoT-VLAN auch den OPNsense DNS. Spricht imho nichts dagegen.
Du kannst doch alle DNS Anfragen umleiten auf dein eigenen DNS (und alle anderen blockieren). Dann kannst du sogar noch weiter gehen und ggf einige domains sperren - Thema adblock, telemetrie, pihole usw..
Es gibt auch freie DNS welche bereits Werbung etc. filtern (und nicht 1.1.1.1 und 9.9.9.9 nutzen - gerade nach der aktuellen Diskussion):
https://www.privacy-handbuch.de/handbuch_93d.htm
https://dnscrypt.info/public-servers

Aber wozu einen öffentlichen DNS nutzen, wenn du bereits unbound auf OPNsense nutzt!?

[ToKa]

Hallo Yersinia,

danke für Deine Antwort. Momentan nutze ich auch im IOT VLAN unbound. Unbound ist mit DNSSEC, DoT und blacklist konfiguriert. Das ist also nicht das Problem.

Meine Frage zielte darauf ab, ob es nicht besser ist, die ganzen IOT Geräte nicht mit unbound kommunizieren zu lassen, um ggf. zu vermeiden, dass die Geräte interne Netzinformationen abgreifen können.

Viele Grüße
Torsten

[yersinia]

Das hat imho erstmal nichts mit dem DNS zu tun. Nutzt du OPNsense auch als Router und vergibst via DHCP IPs?
Du hast bereits ein eigenes VLAN für IoT aufgebaut - ich nehme an, du hast damit auch alle Routen in die Nachbarnetze (andere VLANs) unterbunden bzw. per Firewall blockiert?
Aus deinem IoT-VLAN sollte es nur die Verbindung zum Gateway (und ggf DNS wenn nicht gleiche IP) geben, mehr nicht.

Wie ist denn dein IoT angebunden? Gibt es eine sichere Trennung der VLANs? Oder müssen deine IoT-Geräte das VLAN-Tag selbst generieren?

Wenn IoT aus dem eigenen dedizierten VLAN via (eines gemeinsam genutzten) DNS die Nachbarnetze ausspionieren kann, hast du ganz andere Sorgen...
Zumal kann es immer, auch in OPNsense, nicht gestopfte bzw bekannte Lücken geben, welche aktiv ausgenutzt werden.
Aber hier sind wir, vermutlich, mehr auf theoretischem Terrain unterwegs.

Die Frage ist vielmehr, ob dein IoT Internetzugang benötigt.

[Wernieman]

Einfach mal eine Positiv/Negativ-Liste erstellen

2x DNS
a) Vorteil: Netz X kann nicht DNS-Geräte für Netz Y sehen (Sicherheit)
b) Nachteil: Netze müssen 2 mal gepflegt werden (Administrativer Aufwand)
c) Möglichst viel Trennung der Netze

1x DNS
a) Nachteil: Alle Netze sehen DNS-Mäßig alle Geräte
b) Vorteil: Nur eine Stelle muß gepflegt werden
c) Wenn DNS nicht auf Router: Loch in der Firewall

Habe die Punkte Synonym Benannt.
Ich würde nur 1x DNS verwenden (bzw. tue ich sogar), da ich den Sicherheitsgewinn vom ersten nicht besser sehe gegenüber dem Administrativen Aufwand. Denn manchmal ist auch KISS ein Sicherheitsgewinn, da weniger Fehler gemacht werden können. Allerdings ist der DNS-Server hier auch der "Router" fürs IoT-WLAN-Netz. "Router" deshalb in "", da er eigentlich nicht routet. Die Netze sind getrennt (nix Forwarding), sondern alles, was auf die Geräte zugreift, läuft auf dem Rechner (z.B. FHEM, DNS NTP ...).

Edit
3 Rechtschreibfehler beseitigt

[ToKa]

Hallo,

danke für Eure Rückmeldungen.

Deine Gegenüberstellung Wernieman sind genau die Punkte, die mich beschäftigt haben. Deine Anmerkung zum Aufwand / Nutzen für die doppelte Pflege versus Sicherheitsgewinn verdeutlichen das.

Ich werde aktuell nichts an meiner Konfiguration (1xDNS) inkl aller Sicherheitsfeatures, die unbound / opnsense mitbringt, ändern.

VG
Torsten