Умный дом — это выдающееся достижение по любым меркам, когда он полностью готов к работе. После настройки сети и добавления нескольких устройств вы получаете весьма привлекательное решение. Но чтобы вывести его на новый уровень, вам, вероятно, потребуется добавить больше устройств, и чем больше устройств умного дома вы активируете, тем выше будет нагрузка на вашу домашнюю сеть. Кроме того, существует риск несанкционированного доступа к вашим устройствам умного дома. Всё это можно решить следующими способами: Виртуальные локальные сети (VLAN), и это именно то, на что похоже.
Устройства для умного дома могут быть самыми разными: от светильников и розеток до колонок и датчиков сигнализации, а также всего остального. Если у них есть беспроводное подключение, велика вероятность, что они будут использоваться в системе умного дома. Эти устройства отлично подходят для улучшения вашей жизни, но они могут быть сопряжены с определёнными рисками. Во-первых, это уязвимости прошивки, сбор данных, а также ботнеты и другие злоумышленники, которые могут использовать ваш умный дом, чтобы посеять хаос. Вот почему я быстро перешёл на VLAN, и почему вам стоит последовать его примеру.
Риски строительства умного дома
Дополнительные устройства и риски нарушения безопасности
Я не утверждаю, что все вновь приобретаемые устройства для умного дома изначально небезопасны, но они подвержены атакам и, в зависимости от бренда, уязвимостям прошивки. Эти устройства часто доступны по низкой цене, в основном благодаря доступной конструкции, производству и поддержке. Телеметрические данные могут собираться и отправляться на серверы производителя, и нет никаких гарантий, что обновления безопасности и прошивки будут выпущены.
Как и компьютер в домашней сети, каждое из этих умных домашних устройств может стать новой точкой входа для злоумышленников.
Подобно компьютеру в домашней сети, каждое из этих устройств умного дома может стать новой точкой входа для злоумышленников. Представьте, сколько у вас устройств со встроенной полноценной системой сигнализации. Домашний помощник Умные колонки, освещение, датчики, розетки и многое другое могут превратить это в лабиринт, что является ещё одной проблемой Интернета вещей и устройств умного дома. Эти устройства могут составить серьёзную конкуренцию за беспроводную сеть и DHCP-сервер, если слишком многим из них потребуется локальный IP-адрес.
Я учел это, планируя обновление своего умного дома. Как и гостевые устройства, их можно разделить в пределах одной локальной сети, чтобы защитить всё остальное в сети. Я быстро всё настроил. Гостевая VLAN Чтобы обеспечить доступ к внешнему миру всем, кто приходит к нам домой, мы не позволяем им подключаться к локальным сервисам без разрешения. То же самое касается и устройств умного дома, поэтому я создал для них частную VLAN, и, возможно, им стоит последовать моему примеру.
Как VLAN решают (почти) все
Волшебный мир виртуальных частных сетей
Виртуальная локальная сеть (VLAN) — это локальная сеть, работающая поверх физической сети. Это просто логический способ разделить физическую сеть, состоящую из коммутаторов, точек доступа, межсетевых экранов и маршрутизаторов, на несколько изолированных экземпляров. Каждую VLAN можно настроить для независимой работы, что позволяет изолировать отдельные устройства и точки в локальной сети друг от друга. Однако это не означает, что они полностью недоступны; мостовое соединение между VLAN возможно, если оно настроено.
VLAN хороши тем, что позволяют устройствам подключаться напрямую через маршрутизатор или межсетевой экран к внешним устройствам, не имея возможности подключиться к чему-либо внутри сети. Это отлично подходит для создания гостевых сетей в компаниях, отелях и даже в вашем собственном доме. Но VLAN также могут быть полезны для отделения вашего умного дома и устройств Интернета вещей от остальной сети. Я уже использую несколько VLAN дома: одну для гостей, И еще один для камер наблюдения.и третий для всех серверов и сетевой инфраструктуры.
Четвёртая VLAN может показаться излишней, но её стоит рассмотреть, если вы хотите обеспечить безопасность своей локальной сети. IoT-устройства можно разместить в гостевой сети с определёнными правилами и условиями, которые позволят обеспечить определённый уровень взаимодействия между устройствами в других VLAN, но цель состоит в том, чтобы максимально ограничить IoT-устройства, не влияя на их функциональность. Таким образом, мы можем безопасно добавлять и использовать любое оборудование, избавляясь от беспокойства об устаревшей поддержке, заражённых обновлениях прошивки и необходимости доверять защиту своих продуктов (и вашей локальной сети) нескольким компаниям.
Все начинается с четкого плана.
Составьте карту всей вашей сети
Прежде чем переходить к использованию VLAN или даже добавлять ещё одну, как я сделал со своей сетью, необходимо составить схему вашей домашней локальной сети (LAN). Запишите все устройства, которые будут подключены к вашим точкам доступа, коммутаторам и маршрутизаторам. Запишите их адреса, чтобы легко видеть, какие устройства входят в каждую VLAN. Существует несколько требований, первым и самым важным из которых является использование управляемых коммутаторов. Вам не обязательно… Необходимость к сетевому коммутатору, но если вы уже используете его в своей локальной сети, он не будет работать с VLAN, если только он не допускает тегирование и разделение. Неуправляемые коммутаторы К сожалению, этого не делают.
Далее вам понадобится маршрутизатор или межсетевой экран для управления VLAN. Я использую и настоятельно рекомендую OPNsense. Также должен быть обеспечен доступ к интерфейсам управления всех точек доступа и коммутаторов. После установки всего этого настройка VLAN может быть выполнена всего за несколько минут. Сначала мне нужно было создать новую VLAN на межсетевом экране OPNsense с собственной подсетью (192.168.20.0/24 вместо 192.168.10.0/24, используемой основной локальной сетью). Затем, и это самое важное, мне нужно было создать правила межсетевого экрана.
Прежде чем переходить к использованию VLAN или даже добавлять еще одну, как я сделал в своей сети, необходимо составить схему вашей домашней локальной сети (LAN).
Эти правила позволяли IoT-устройствам и гостевым клиентам получать доступ к интернету, но не к другим устройствам в сети. Они также позволили мне настроить VLAN, чтобы определённые устройства, например, сервер с Home Assistant, могли взаимодействовать с определёнными устройствами в других VLAN, например, с камерой видеонаблюдения или умной розеткой. В этот раз я чуть не забыл настроить сеть Wi-Fi SSD для устройств умного дома. Это было легко сделать с помощью облачной системы EnGenius, но всё может зависеть от марки вашей точки доступа или маршрутизатора.
Никогда не забывайте о тестировании изоляции. Нет ничего хуже, чем настроить и настроить все VLAN, а потом обнаружить, что всё это не работает, и все могут свободно общаться. Используйте компьютер или другое устройство, чтобы отправить ping-запрос на определённые адреса в других VLAN, которые, как вы знаете, работают и в настоящее время активны. Если всё работает, вы сможете сделать это, просто применив соответствующие правила. После этого вы снова сможете наслаждаться по-настоящему изолированной локальной сетью и спокойствием.
VLAN для всех
Виртуальные сети предназначены не только для крупных корпораций или технарей. Настроить их может любой, имея необходимые знания и оборудование. Настройка и запуск VLAN требуют времени и изучения. Поначалу это может показаться сложным, и вы можете что-то напутать, но результат того стоит. В своей собственной конфигурации я могу предоставлять Wi-Fi-доступ гостям, изолировать трансляции с IP-камер, предотвращать подключение устройств Интернета вещей в непредусмотренных местах и лучше контролировать происходящее в сети.
Комментарии закрыты.