Inteligentny dom to niezwykłe osiągnięcie, niezależnie od jego skali, gdy jest w pełni funkcjonalny. Po skonfigurowaniu sieci i dodaniu kilku urządzeń, zyskujesz bardzo atrakcyjne rozwiązanie. Jednak aby przenieść je na wyższy poziom, prawdopodobnie będziesz musiał dodać więcej urządzeń, a im więcej urządzeń inteligentnego domu aktywujesz, tym bardziej przeciążona będzie Twoja sieć domowa. Do tego dochodzi ryzyko nieautoryzowanego dostępu do urządzeń inteligentnego domu. Wszystkim tym można zaradzić, Wirtualne sieci LAN (sieci VLAN), co jest dokładnie tym, na co wskazuje nazwa.
Urządzenia inteligentnego domu to m.in. oświetlenie, wtyczki, głośniki, czujniki alarmowe i wszystko pomiędzy. Jeśli obsługują łączność bezprzewodową, istnieje duże prawdopodobieństwo, że będą częścią inteligentnego domu. Urządzenia te doskonale poprawiają jakość życia, ale wiążą się z pewnym ryzykiem. Po pierwsze, istnieją luki w zabezpieczeniach oprogramowania układowego, następnie gromadzenie danych, a nawet botnety i inne złośliwe oprogramowanie, które mogą wykorzystać Twój inteligentny dom do siania spustoszenia. Dlatego szybko przerzuciłem się na sieci VLAN i Ty też powinieneś.
Ryzyko związane z budową inteligentnego domu
Plus urządzenia i ryzyko naruszenia bezpieczeństwa
Nie twierdzę, że wszystkie nowo zakupione inteligentne urządzenia domowe są z natury niebezpieczne, ale są podatne na ataki i, w zależności od marki, na luki w zabezpieczeniach oprogramowania sprzętowego. Urządzenia te są często dostępne w niskiej cenie, głównie ze względu na przystępną cenę konstrukcji, produkcji i wsparcia. Dane telemetryczne mogą być gromadzone i przesyłane na serwery producenta, a nie ma gwarancji, że poprawki zabezpieczeń i aktualizacje oprogramowania sprzętowego zostaną udostępnione.
Podobnie jak komputer w Twojej sieci domowej, każde z tych inteligentnych urządzeń domowych może stać się nowym punktem wejścia dla atakujących.
Podobnie jak komputer w sieci domowej, każde z tych inteligentnych urządzeń domowych może stać się nowym punktem wejścia dla atakujących. Wyobraź sobie, ile urządzeń posiadasz z wbudowanym kompletnym systemem alarmowym. Asystent domowy Z inteligentnymi głośnikami, oświetleniem, czujnikami, wtyczkami i wieloma innymi urządzeniami, może to stać się labiryntem, co stanowi kolejny problem w przypadku Internetu Rzeczy i inteligentnych urządzeń domowych. Urządzenia te mogą skutecznie konkurować o sieć bezprzewodową i serwer DHCP, jeśli zbyt wiele z nich wymaga lokalnego adresu IP.
Wziąłem to pod uwagę planując modernizację mojego inteligentnego domu. Podobnie jak w przypadku urządzeń gościnnych, można je podzielić na partycje w tej samej sieci lokalnej, aby chronić wszystkie inne urządzenia w sieci. Szybko skonfigurowałem Gościnna sieć VLAN Aby zapewnić dostęp do świata zewnętrznego każdemu, kto odwiedza nasz dom, nie może on łączyć się z żadnymi lokalnymi usługami bez pozwolenia. To samo dotyczy inteligentnych urządzeń domowych, dlatego stworzyłem dla nich prywatną sieć VLAN i dobrym pomysłem może być, aby poszli w ich ślady.
Jak sieci VLAN rozwiązują (prawie) wszystkie problemy
Magiczny świat wirtualnych sieci prywatnych
Wirtualna sieć LAN (VLAN) to sieć LAN działająca na bazie sieci fizycznej. To po prostu logiczny sposób podziału sieci fizycznej, składającej się z przełączników, punktów dostępowych, zapór sieciowych i routerów, na wiele odizolowanych instancji. Każdą sieć VLAN można skonfigurować tak, aby działała niezależnie, co pozwala na odizolowanie od siebie poszczególnych urządzeń i punktów w sieci LAN. Nie oznacza to jednak, że są one całkowicie niedostępne; mostkowanie między sieciami VLAN jest możliwe, jeśli jest odpowiednio skonfigurowane.
Sieci VLAN umożliwiają urządzeniom bezpośrednie łączenie się przez router lub zaporę sieciową z urządzeniami zewnętrznymi, bez możliwości łączenia się z czymkolwiek w obrębie sieci. To doskonałe rozwiązanie do tworzenia sieci dla gości w firmach, hotelach, a nawet w domu. Sieci VLAN mogą być również przydatne do oddzielenia inteligentnego domu i urządzeń IoT od reszty sieci. Korzystam już z kilku sieci VLAN w domu, w tym jednej dla gości. I jeszcze jeden dla kamer monitorującychi trzecia dla wszystkich serwerów i infrastruktury sieciowej.
Czwarta sieć VLAN może wydawać się przesadą, ale warto ją rozważyć, jeśli chcesz zachować bezpieczeństwo swojej sieci lokalnej. Urządzenia IoT można umieścić w sieci gościnnej z określonymi regułami i warunkami, aby umożliwić pewien poziom komunikacji między urządzeniami w innych sieciach VLAN, ale celem jest maksymalne ograniczenie urządzeń IoT bez wpływu na ich funkcjonalność. W ten sposób możemy bezpiecznie dodawać i używać dowolnego sprzętu, redukując obawy związane z przestarzałą obsługą, zainfekowanymi aktualizacjami oprogramowania sprzętowego i zaufaniem wielu firmom w kwestii ochrony ich produktów (i sieci lokalnej).
Wszystko zaczyna się od solidnego planu.
Zmapuj całą swoją sieć
Zanim przejdziesz do korzystania z sieci VLAN lub dodania kolejnej, tak jak ja zrobiłem to w mojej sieci, konieczne jest zmapowanie domowej sieci lokalnej (LAN). Zapisz wszystkie urządzenia, które będą podłączone do punktów dostępowych, przełączników i routerów. Zapisz ich adresy, aby łatwo zobaczyć, które urządzenia są objęte zasięgiem każdej sieci VLAN. Istnieje kilka wymagań, z których pierwszym i najważniejszym jest korzystanie z zarządzanych przełączników. Nie musisz… potrzebować do przełącznika sieciowego, ale jeśli używasz go już w swojej sieci lokalnej, nie będzie on działał z sieciami VLAN, jeśli nie umożliwi tagowania i separacji. Przełączniki niezarządzane Niestety, nie rób tego.
Następnie potrzebny będzie router lub zapora sieciowa do obsługi sieci VLAN. Używam i gorąco polecam OPNsense. Dostęp do interfejsów zarządzania wszystkimi punktami dostępowymi i przełącznikami powinien być również możliwy. Dzięki temu konfiguracja sieci VLAN zajmie zaledwie kilka minut. Najpierw musiałem utworzyć nową sieć VLAN na zaporze OPNsense z własną podsiecią (192.168.20.0/24 zamiast 192.168.10.0/24, używanej przez główną sieć LAN). Następnie, co najważniejsze, musiałem utworzyć reguły zapory sieciowej.
Zanim przejdziesz do korzystania z sieci VLAN lub nawet dodasz kolejną, tak jak ja to zrobiłem w swojej sieci, konieczne jest zmapowanie domowej sieci lokalnej (LAN).
Reguły te umożliwiały urządzeniom IoT i klientom-gościom dostęp do internetu, ale nie do innych części sieci. Umożliwiły mi również skonfigurowanie sieci VLAN, aby umożliwić niektórym urządzeniom, takim jak serwer z uruchomionym Home Assistant, komunikację z określonymi urządzeniami w innych sieciach VLAN, takimi jak kamera bezpieczeństwa czy inteligentna wtyczka. Tym razem prawie zapomniałem o skonfigurowaniu sieci Wi-Fi SSD dla inteligentnych produktów domowych. Było to łatwe dzięki systemowi chmurowemu EnGenius, ale może się różnić w zależności od marki posiadanego punktu dostępowego lub routera.
Jedną rzeczą, o której nigdy nie należy zapominać, jest testowanie izolacji. Nie ma nic gorszego niż skonfigurowanie i skonfigurowanie wszystkich sieci VLAN, a potem uświadomienie sobie, że to nie działa, a wszyscy mogą się swobodnie komunikować. Użyj komputera lub innego urządzenia, aby wysłać ping na określone adresy w innych sieciach VLAN, o których wiesz, że działają i są aktualnie aktywne. Jeśli wszystko działa, powinieneś móc to zrobić, po prostu stosując odpowiednie reguły. Po wykonaniu tej czynności możesz ponownie cieszyć się prawdziwie odizolowaną siecią LAN i spokojem ducha.
Sieci VLAN dla wszystkich
Sieci wirtualne nie są zarezerwowane tylko dla dużych korporacji i maniaków technologii. Każdy może je skonfigurować, dysponując odpowiednią wiedzą i sprzętem. Uruchomienie sieci VLAN wymaga trochę czasu i badań. Początkowo może się to wydawać zniechęcające i można po drodze popełnić błędy, ale korzyści są tego warte. W mojej własnej konfiguracji mogę zapewnić dostęp do Wi-Fi gościom, odizolować transmisje z kamer IP, uniemożliwić urządzeniom IoT komunikację w nieprzewidzianych lokalizacjach i mieć większą kontrolę nad tym, co dzieje się w sieci.
Możliwość dodawania komentarzy nie jest dostępna.