HOWTO: SONOS Mikrosegmentierung mit einer WatchGuard Firewall
Immer mehr Geräte mit einer Verbindung zum Internet halten Einzug in unseren Alltag. Egal ob es sich um die „smarte“ Heizungssteuerung, die Steuerung für eine Photovoltaik-Anlage, einen Thermomix oder wie in diesem Beispiel ein Multiroom-Lautsprechersystem handelt – allen Geräten ist gemein das eigentlich niemand genau weiß was da für Daten gesammelt und übertragen werden.
Deshalb ist es nicht nur im Unternehmensumfeld sinnvoll sich Gedanken über Segmentierung oder gar Mikrosegmentierung zu machen.
In diesem Artikel zeigen wir, wie man die Sonos-Lautsprecher aus dem internen Netzwerk in ein eigenes VLAN auslagern kann und trotzdem die Steuerung per Smartphone erlaubt wird. Offiziell ist dieses Szenario von Sonos nicht supportet – es funktioniert aber wenn ein paar Dinge beachtet werden.
Voraussetzungen
In dieser Anleitung wird eine Firebox T45-W-PoE als Perimeter verwendet, eine Sonos One SL ohne Mikrofon/Alexa und ein iPhone mit iOS 18.1 mit der Sonos-App (Version 80.14.09). Auf der Firewall sind 2 Netze definiert:
- Net_INT_LAN-Mobile (10.21.10.0/24)
- Net_INT_SONOS (10.21.14.0/29)
Das iPhone befindet sich mit der Sonos-App im Net_INT_LAN-Mobile, in diesem Beispiel mit der IP 10.21.10.114.
Umsetzung
- VLAN für SONOS anlegen
Der erste Schritt ist das Anlegen eines eigenen Netzwerks für die Sonos-Lautsprecher. Hier wurde ein VLAN mit der ID 14 und einem entsprechend großen Netzsegment erstellt:
Die Sonos in diesem Beispiel kann sowohl über Kabel wie auch über WLAN verbunden werden. Hier ist die Variante mit Kabel zum Einsatz gekommen – für das WLAN ist dann eine entsprechende SSID für das VLAN zu erstellen und die Sonos damit zu verbinden. Für dieses VLAN ist der DHCP-Server aktiviert und die Firebox dient als DNS-Server. - Multicast aktivieren
Die Sonos-App findet die Lautsprecher im Netzwerk mit Hilfe von SSDP und UPnP. Damit das über verschiedene Netze hinweg funktioniert, muss auf der Firebox im Menü Network -> Multicast das Multicast-Routing aktiviert werden:
Nach der Aktivierung werden die beiden Schnittstellen über Add… hinzugefügt, die in das Routing eingezogen werden sollen:
Der Haken bei “RP Candidate” wird bei beiden Schnittstellen aktiviert und das Setup mit OK gespeichert. Die Frage ob die Firewall-Regeln automatisch angelegt werden sollen wird mit JA bestätigt:
Anschließend sollten die folgenden Regeln auftauchen:
- Simple Service Discovery Protocol (SSDP) konfigurieren
Zusätzlich zum Aktivieren des Multicast-Routings wird SSDP benötigt, um die Existenz eines UPnP Gerätes anzuzeigen. Die Sonos-App sucht mit diesem Protokoll nach den Lautsprechern.
Zunächst wird ein Alias mit der Multicast-Adresse 239.255.255.250 angelegt:
Anschließend die Portrange 1900-1903 UDP als Custom Policy Template definiert:
- Firewall-Regeln
Im folgenden Bild sind die notwendigsten Regeln dargestellt, die benötigt werden, um mit dem iPhone den Sonos-Lautsprecher zu steuern und Musik aus dem Internet streamen zu können:
Für die benötigten Policy Types sind Custom Policy Templates angelegt mit den jeweils benötigten Ports.
Eventuell werden weitere Ports benötigt, wenn Musikbibliotheken o.Ä. von Workstations im LAN abgefragt werden sollen. Hier kann die Portliste von Sonos weiterhelfen.
Fazit
Der High-Port-Bereich aus dem Net_INT_SONOS in Richtung Net_INT_LAN-Mobile ist noch sehr groß (im Bild oben die letzte Regel) – evtl. schränkt man hier zusätzlich auf die IP des Mobiltelefons ein.
Dieses Beispiel zeigt, wie man mit ein wenig Aufwand die Sicherheit im Heimnetz erhöhen kann, obwohl eine Netztrennung von Sonos nicht offiziell unterstützt wird.
Überlegenswert ist hier m.E. auch eine Überprüfung von Wisch- und Saugrobotern, Küchenhelfern wie dem ThermoMix, Smarthome-Systemen, Heizungs- und Solaranlagen-Steuerungen und und und…
Das könnte Sie auch interessieren: