Proteggi la tua casa intelligente e la privacy della tua famiglia con le VLAN

Una casa intelligente è un traguardo notevole sotto ogni punto di vista, una volta pienamente operativa. Una volta configurata una rete e aggiunti alcuni dispositivi, si ottiene una soluzione davvero convincente. Ma per passare al livello successivo, probabilmente sarà necessario aggiungere altri dispositivi, e più dispositivi per la casa intelligente si attivano, più congestionata sarà la rete domestica. A questo si aggiunge il rischio che persone accedano ai dispositivi per la casa intelligente senza autorizzazione. Tutto questo può essere affrontato con LAN virtuali (VLAN), che è esattamente ciò che sembra.

I dispositivi per la smart home possono spaziare da luci e prese elettriche ad altoparlanti e sensori di allarme, oltre a tutto ciò che sta nel mezzo. Se hanno funzionalità wireless, è molto probabile che vengano utilizzati come parte della configurazione della tua smart home. Questi dispositivi sono ottimi per migliorare la tua vita, ma possono presentare alcuni rischi. Innanzitutto, ci sono vulnerabilità del firmware, poi la raccolta di dati e persino botnet e altri malintenzionati che potrebbero usare la tua smart home per creare scompiglio. Ecco perché sono passato rapidamente alle VLAN, e perché dovresti farlo anche tu.

Rischi della costruzione di una casa intelligente

Inoltre, dispositivi e rischi di violazione della sicurezza

Non sto suggerendo che tutti i dispositivi smart home appena acquistati siano intrinsecamente insicuri, ma sono vulnerabili agli attacchi e, a seconda del marchio, alle vulnerabilità del firmware. Questi dispositivi sono spesso disponibili a un prezzo basso, in gran parte grazie alla loro economicità di progettazione, produzione e supporto. I dati di telemetria possono essere raccolti e inviati ai server del produttore e non vi è alcuna garanzia che vengano rilasciate patch di sicurezza e aggiornamenti del firmware.

Proprio come un computer nella tua rete domestica, ognuno di questi dispositivi smart home può diventare una nuova porta d'ingresso per gli aggressori. Immagina quanti dispositivi hai con un sistema di allarme completo integrato. Assistente Domestica Con altoparlanti intelligenti, illuminazione, sensori, prese e altro ancora, la situazione può trasformarsi in un labirinto, un altro problema dell'Internet delle Cose e dei dispositivi per la casa intelligente. Questi dispositivi possono davvero competere per la rete wireless e il server DHCP se troppi di loro richiedono un indirizzo IP locale.

Ho preso in considerazione questo aspetto quando ho pianificato l'aggiornamento della mia smart home. Proprio come faresti con i dispositivi ospiti, possono essere partizionati all'interno della stessa rete locale per proteggere tutto il resto della rete. Ho configurato rapidamente VLAN ospite Per garantire l'accesso al mondo esterno a chiunque visiti la nostra casa, non è possibile connettersi a servizi ospitati localmente senza autorizzazione. Lo stesso vale per i dispositivi smart home, motivo per cui ho creato una VLAN privata per loro, e potrebbe essere una buona idea che anche loro facciano lo stesso.

Come le VLAN risolvono (quasi) tutto

Il magico mondo delle reti private virtuali

Una LAN virtuale (VLAN) è una LAN che opera su una rete fisica. È semplicemente un modo logico per suddividere una rete fisica, composta da switch, access point, firewall e router, in più istanze isolate. Ogni VLAN può essere configurata per funzionare in modo indipendente, consentendo di isolare dispositivi e punti specifici della LAN l'uno dall'altro. Ciò non significa che siano completamente indisponibili; il bridging tra VLAN è disponibile se configurato.

Ciò che le VLAN fanno bene è consentire ai dispositivi di connettersi direttamente tramite router o firewall a destinazioni esterne senza potersi connettere a nulla sul lato interno. Sono ottime per creare reti guest in aziende, hotel e persino nelle proprie abitazioni. Ma le VLAN possono anche essere utili per separare i dispositivi smart home e IoT dal resto della rete. Io uso già alcune VLAN a casa, una per gli ospiti, E un altro per le telecamere di sorveglianzae un terzo per tutti i server e l'infrastruttura di rete.

Una quarta VLAN potrebbe essere considerata eccessiva, ma vale la pena prenderla in considerazione se si desidera mantenere la sicurezza della rete locale. I dispositivi IoT possono essere inseriti in una rete guest con regole e condizioni specifiche per consentire un certo grado di comunicazione tra dispositivi su altre VLAN, ma l'obiettivo è limitare il più possibile i dispositivi IoT senza comprometterne la funzionalità. In questo modo, possiamo aggiungere e utilizzare in sicurezza qualsiasi apparecchiatura e ridurre la preoccupazione di un supporto obsoleto, di aggiornamenti firmware infetti e di dover affidare la protezione dei propri prodotti (e della rete locale) a più aziende.

Tutto inizia con un piano solido.

Mappa l'intera rete

Prima di passare all'utilizzo delle VLAN o addirittura di aggiungerne un'altra, come ho fatto con la mia rete, è essenziale mappare la rete locale (LAN) domestica. Annotate tutti i dispositivi che saranno collegati ai vostri access point, switch e router. Registrate i loro indirizzi in modo da poter vedere facilmente quali dispositivi sono coperti da ciascuna VLAN. Ci sono alcuni requisiti, il primo e più importante dei quali è l'utilizzo di switch gestiti. Non è necessario bisogno a uno switch di rete, ma se ne stai già utilizzando uno sulla tua rete locale, non funzionerà con le VLAN a meno che non consenta il tagging e la separazione. Switch non gestiti Purtroppo non farlo.

Successivamente, avrai bisogno di un router o di un firewall per gestire le VLAN. Io utilizzo e consiglio vivamente OPNsense. Dovrebbe essere disponibile anche l'accesso alle interfacce di gestione di tutti gli access point e switch. Con tutto questo a disposizione, la configurazione delle VLAN può essere eseguita in pochi minuti. Per prima cosa, ho dovuto creare una nuova VLAN sul firewall OPNsense con una propria subnet (192.168.20.0/24 invece di 192.168.10.0/24, utilizzata dalla LAN principale). Poi, e soprattutto, ho dovuto creare le regole del firewall.

Queste regole consentivano ai dispositivi IoT e ai client guest di accedere a Internet, ma non ad altri dispositivi sulla rete. Mi hanno anche permesso di configurare delle VLAN per consentire a determinati dispositivi, come un server che esegue Home Assistant, di comunicare con determinati dispositivi su altre VLAN, come una telecamera di sicurezza o una presa intelligente. Un passaggio che quasi dimenticavo questa volta è stata la configurazione della rete Wi-Fi SSD per i prodotti per la casa intelligente. Questa operazione è stata semplice da eseguire utilizzando il sistema cloud EnGenius, ma può variare a seconda della marca dell'access point o del router in uso.

Una cosa da non dimenticare mai è il test di isolamento. Non c'è niente di peggio che avere tutte le VLAN configurate e impostate, per poi scoprire che non funzionano e che tutti possono comunicare liberamente. Usa un computer o un altro dispositivo per inviare un ping a indirizzi specifici su altre VLAN che sai essere funzionanti e attualmente attive. Se tutto funziona, dovresti riuscire a farlo semplicemente applicando le regole di conseguenza. Una volta fatto questo, potrai di nuovo goderti una LAN veramente isolata e la massima tranquillità.

VLAN per tutti

Le reti virtuali non sono solo per grandi aziende o esperti di tecnologia. Chiunque può configurarle con le giuste conoscenze e l'hardware giusto. Ci vuole un po' di ricerca e tempo per far funzionare le VLAN. All'inizio può sembrare scoraggiante e potresti sbagliare qualcosa lungo il percorso, ma i risultati ne valgono la pena. Nella mia configurazione, posso fornire l'accesso Wi-Fi agli ospiti in visita, isolare le trasmissioni delle mie telecamere IP, impedire ai dispositivi IoT di comunicare in posizioni indesiderate e avere un maggiore controllo su ciò che accade sulla rete.