Een smart home is hoe dan ook een opmerkelijke prestatie zodra het volledig operationeel is. Zodra je een netwerk hebt opgezet en een paar apparaten hebt toegevoegd, heb je een zeer aantrekkelijke oplossing. Maar om het naar een hoger niveau te tillen, zul je waarschijnlijk meer apparaten moeten toevoegen, en hoe meer smart home-apparaten je activeert, hoe meer je thuisnetwerk overbelast raakt. Dan is er nog het risico dat mensen zonder toestemming toegang krijgen tot je smart home-apparaten. Dit alles kan worden aangepakt door: Virtuele LAN's (VLAN's), en dat is precies wat het lijkt.
Smarthomeapparaten kunnen variëren van lampen en stekkers tot luidsprekers en alarmsensoren, en alles daartussenin. Als ze draadloos kunnen werken, is de kans groot dat ze onderdeel worden van je smarthome-installatie. Deze apparaten zijn geweldig om je leven te verbeteren, maar ze kunnen ook risico's met zich meebrengen. Ten eerste zijn er kwetsbaarheden in de firmware, vervolgens dataverzameling en zelfs botnets en andere kwaadwillenden die je smarthome kunnen misbruiken om chaos te veroorzaken. Daarom ben ik snel overgestapt op VLAN's, en waarom jij dat ook zou moeten doen.
Risico's van het bouwen van een slim huis
Plus apparaten en risico's op beveiligingsinbreuken
Ik beweer niet dat alle nieuw aangeschafte smart home-apparaten inherent onveilig zijn, maar ze zijn wel kwetsbaar voor aanvallen en, afhankelijk van het merk, kwetsbaarheden in de firmware. Deze apparaten zijn vaak goedkoop verkrijgbaar, grotendeels dankzij hun betaalbare ontwerp, productie en ondersteuning. Telemetriegegevens kunnen worden verzameld en naar de servers van de fabrikant worden verzonden, en er is geen garantie dat er beveiligingspatches en firmware-updates worden uitgebracht.
Net als een computer in uw thuisnetwerk, kan elk van deze slimme apparaten voor thuisgebruik een nieuw toegangspunt voor aanvallers worden.
Net als een computer in je thuisnetwerk kan elk van deze slimme apparaten voor thuis een nieuw toegangspunt voor aanvallers worden. Stel je eens voor hoeveel apparaten je hebt met een compleet ingebouwd alarmsysteem. Thuisassistent Met slimme speakers, verlichting, sensoren, stekkers en meer kan het een doolhof worden, een ander probleem met het Internet of Things en smart home-apparaten. Deze apparaten kunnen echt concurreren om het draadloze netwerk en de DHCP-server als er te veel van een lokaal IP-adres nodig zijn.
Ik heb hier rekening mee gehouden bij het plannen van mijn smart home-upgrade. Net als bij gastapparaten kunnen ze binnen hetzelfde lokale netwerk worden gepartitioneerd om alles op het netwerk te beschermen. Ik heb het snel geïnstalleerd. Gast-VLAN Om iedereen die ons huis bezoekt toegang tot de buitenwereld te geven, mogen ze niet zonder toestemming verbinding maken met lokaal gehoste diensten. Hetzelfde geldt voor smart home-apparaten. Daarom heb ik een privé-VLAN voor hen aangemaakt, en het zou een goed idee zijn als ze dit voorbeeld zouden volgen.
Hoe VLAN's (bijna) alles oplossen
De magische wereld van virtuele privénetwerken
Een virtueel LAN (VLAN) is een LAN dat bovenop een fysiek netwerk draait. Het is simpelweg een logische manier om een fysiek netwerk, bestaande uit switches, access points, firewalls en routers, op te splitsen in meerdere geïsoleerde instanties. Elk VLAN kan zo worden geconfigureerd dat het onafhankelijk werkt, waardoor u specifieke apparaten en punten op het LAN van elkaar kunt isoleren. Dit betekent echter niet dat ze volledig onbereikbaar zijn; bridging tussen VLAN's is mogelijk indien geconfigureerd.
VLAN's zijn goed in het toestaan van apparaten om rechtstreeks via de router of firewall verbinding te maken met externe bestemmingen, zonder dat ze verbinding kunnen maken met iets aan de interne kant. Het is ideaal voor het creëren van gastnetwerken binnen bedrijven, hotels en zelfs in uw eigen huis. Maar VLAN's kunnen ook handig zijn om uw smart home- en IoT-apparaten te scheiden van de rest van het netwerk. Ik gebruik thuis al een paar VLAN's, één voor gasten, En nog een voor bewakingscamera'sen een derde voor alle servers en netwerkinfrastructuur.
Een vierde VLAN lijkt misschien overdreven, maar het is het overwegen waard als u de beveiliging van uw lokale netwerk wilt behouden. IoT-apparaten kunnen op een gastnetwerk worden geplaatst met specifieke regels en voorwaarden om een zekere mate van communicatie tussen apparaten op andere VLAN's mogelijk te maken, maar het doel is om IoT-apparaten zoveel mogelijk te beperken zonder de functionaliteit te beïnvloeden. Op deze manier kunnen we veilig apparatuur toevoegen en gebruiken en de zorgen over verouderde ondersteuning, geïnfecteerde firmware-updates en het vertrouwen op meerdere bedrijven om hun producten (en uw lokale netwerk) te beschermen, verminderen.
Het begint allemaal met een goed plan.
Breng uw volledige netwerk in kaart
Voordat u overgaat op het gebruik van VLAN's of er zelfs nog een toevoegt, zoals ik met mijn netwerk deed, is het essentieel om uw lokale netwerk (LAN) thuis in kaart te brengen. Noteer alle apparaten die op uw access points, switches en routers worden aangesloten. Noteer hun adressen zodat u gemakkelijk kunt zien welke apparaten door elk VLAN worden gedekt. Er zijn een paar vereisten, waarvan de eerste en belangrijkste het gebruik van managed switches is. U hoeft niet behoefte naar een netwerkswitch, maar als u er al een gebruikt op uw lokale netwerk, werkt het niet met VLAN's, tenzij het tagging en scheiding toestaat. Onbeheerde switches Dat moet u helaas niet doen.
Vervolgens heb je een router of firewall nodig om VLAN's te beheren. Ik gebruik OPNsense en kan die van harte aanbevelen. Toegang tot de beheerinterfaces van alle access points en switches zou ook beschikbaar moeten zijn. Met dit alles op orde, kan het configureren van VLAN's in slechts enkele minuten gedaan worden. Eerst moest ik een nieuw VLAN aanmaken op de OPNsense-firewall met een eigen subnet (192.168.20.0/24 in plaats van 192.168.10.0/24, gebruikt door het hoofd-LAN). Daarna, en dat was het allerbelangrijkste, moest ik firewallregels aanmaken.
Voordat u overgaat tot het gebruik van VLAN's of zelfs een extra VLAN toevoegt, zoals ik in mijn netwerk heb gedaan, is het noodzakelijk om uw lokale thuisnetwerk (LAN) in kaart te brengen.
Deze regels gaven IoT-apparaten en gastclients toegang tot internet, maar nergens anders in het netwerk. Ze stelden me ook in staat om VLAN's te configureren zodat bepaalde apparaten, zoals een server waarop Home Assistant draait, konden communiceren met bepaalde apparaten op andere VLAN's, zoals een beveiligingscamera of een slimme stekker. Eén stap die ik deze keer bijna vergat, was het configureren van het wifi-SSD-netwerk voor de smarthomeproducten. Dit was eenvoudig te doen met het EnGenius-cloudsysteem, maar de mogelijkheden kunnen variëren afhankelijk van het merk accesspoint of de router die je gebruikt.
Iets wat u nooit mag vergeten, is isolatietesten. Niets is erger dan al uw VLAN's geconfigureerd en ingesteld te hebben en er dan achter te komen dat het niet werkt en iedereen vrij kan communiceren. Gebruik een computer of ander apparaat om een ping te sturen naar specifieke adressen op andere VLAN's waarvan u weet dat ze werken en momenteel actief zijn. Als alles werkt, zou u dit eenvoudig moeten kunnen doen door de regels dienovereenkomstig toe te passen. Zodra u dit hebt gedaan, kunt u weer genieten van een echt geïsoleerd LAN en gemoedsrust.
VLAN's voor iedereen
Virtuele netwerken zijn niet alleen voor grote bedrijven of techneuten. Iedereen kan ze opzetten met de juiste kennis en hardware. Het kost wat onderzoek en tijd om je VLAN's operationeel te krijgen. Het lijkt misschien in het begin lastig en je kunt onderweg wel eens iets verprutsen, maar het resultaat is het waard. In mijn eigen configuratie kan ik wifi-toegang bieden aan gasten die op bezoek komen, de uitzendingen van mijn IP-camera's geïsoleerd houden, voorkomen dat IoT-apparaten op onbedoelde locaties communiceren en meer controle hebben over wat er op het netwerk gebeurt.
Reacties zijn gesloten.