Akıllı bir ev, tamamen çalışır duruma geldiğinde her açıdan olağanüstü bir başarıdır. Bir ağ kurup birkaç cihaz eklediğinizde, oldukça ikna edici bir çözüme sahip olursunuz. Ancak bunu bir üst seviyeye taşımak için muhtemelen daha fazla cihaz eklemeniz gerekecek ve ne kadar çok akıllı ev cihazı etkinleştirirseniz, ev ağınız o kadar yoğun hale gelecektir. Ayrıca, insanların akıllı ev cihazlarınıza yetkisiz erişim sağlama riski de vardır. Tüm bunlar şu şekilde çözülebilir: Sanal LAN'lar (VLAN'lar) tam da kulağa geldiği gibi.
Akıllı ev cihazları, ışıklardan prizlere, hoparlörlerden alarm sensörlerine ve bunların arasında kalan her şeye kadar uzanabilir. Kablosuz bağlantı özelliklerine sahiplerse, akıllı ev kurulumunuzun bir parçası olarak kullanılma olasılıkları yüksektir. Bu cihazlar hayatınızı iyileştirmek için harika olsa da bazı riskler de taşıyabilirler. İlk olarak, donanım yazılımı güvenlik açıkları, ardından veri toplama ve hatta akıllı evinizi altüst etmek için kullanabilecek botnet'ler ve diğer kötü amaçlı yazılımlar vardır. İşte bu yüzden hızla VLAN'lara geçtim ve siz de geçmelisiniz.
Akıllı bir ev inşa etmenin riskleri
Artı cihazlar ve güvenlik ihlali riskleri
Yeni satın alınan tüm akıllı ev cihazlarının doğası gereği güvensiz olduğunu iddia etmiyorum, ancak saldırılara ve markaya bağlı olarak yazılım açıklarına karşı savunmasızlar. Bu cihazlar genellikle uygun fiyatlıdır ve bu da büyük ölçüde uygun fiyatlı tasarımları, üretimleri ve destekleri sayesinde mümkündür. Telemetri verileri toplanıp üreticinin sunucularına gönderilebilir ve güvenlik yamaları ile yazılım güncellemelerinin yayınlanacağının garantisi yoktur.
Tıpkı ev ağınızdaki bir bilgisayar gibi, bu akıllı ev cihazlarının her biri saldırganlar için yeni bir giriş noktası haline gelebilir.
Tıpkı ev ağınızdaki bir bilgisayar gibi, bu akıllı ev cihazlarının her biri saldırganlar için yeni bir giriş noktası haline gelebilir. Dahili bir alarm sistemine sahip kaç tane cihazınız olduğunu hayal edin. Ana Asistan Akıllı hoparlörler, aydınlatma, sensörler, prizler ve daha fazlasıyla, Nesnelerin İnterneti ve akıllı ev cihazlarıyla bir labirent, başka bir sorun haline gelebilir. Bu cihazların çoğu yerel IP adresi gerektiriyorsa, kablosuz ağ ve DHCP sunucusu için gerçekten rekabet edebilirler.
Akıllı ev yükseltmemi planlarken bunu göz önünde bulundurdum. Tıpkı misafir cihazlarında olduğu gibi, ağdaki diğer her şeyi korumak için aynı yerel ağ içinde bölümlere ayrılabilirler. Hızlıca kurdum. Misafir VLAN Evimizi ziyaret eden herkesin dış dünyaya erişimini sağlamak için, yerel olarak barındırılan hiçbir hizmete izinsiz bağlanamazlar. Aynı şey akıllı ev cihazları için de geçerli; bu yüzden onlar için özel bir VLAN oluşturdum ve onların da aynısını yapmaları iyi bir fikir olabilir.
VLAN'lar (Neredeyse) Her Şeyi Nasıl Çözer?
Sanal Özel Ağların Büyülü Dünyası
Sanal LAN (VLAN), fiziksel bir ağın üzerinde çalışan bir LAN'dır. Anahtarlar, erişim noktaları, güvenlik duvarları ve yönlendiricilerden oluşan fiziksel bir ağı birden fazla izole örneğe bölmenin mantıksal bir yoludur. Her VLAN bağımsız çalışacak şekilde yapılandırılabilir ve bu da LAN üzerindeki belirli cihazları ve noktaları birbirinden izole etmenize olanak tanır. Ancak bu, tamamen kullanılamaz oldukları anlamına gelmez; yapılandırılmışsa VLAN'lar arasında köprüleme yapılabilir.
VLAN'ların iyi yaptığı şey, cihazların dahili taraftaki hiçbir şeye bağlanamadan, yönlendirici veya güvenlik duvarı üzerinden doğrudan harici hedeflere bağlanmasını sağlamaktır. İşletmelerde, otellerde ve hatta kendi evinizde misafir ağları oluşturmak için harikadır. Ancak VLAN'lar, akıllı evinizi ve IoT cihazlarınızı ağın geri kalanından ayırmak için de faydalı olabilir. Ben zaten evde birkaç VLAN kullanıyorum; biri misafirler için, Ve bir diğeri de gözetleme kameraları içinve üçte biri tüm sunucular ve ağ altyapısı için.
Dördüncü bir VLAN aşırıya kaçmak olarak görülebilir, ancak yerel ağınızın güvenliğini korumak istiyorsanız, düşünmeye değer. IoT cihazları, diğer VLAN'lardaki cihazlar arasında belirli bir düzeyde iletişime izin vermek için belirli kurallar ve koşullarla bir konuk ağına yerleştirilebilir, ancak amaç, işlevselliği etkilemeden IoT cihazlarını mümkün olduğunca kısıtlamaktır. Bu şekilde, herhangi bir ekipmanı güvenli bir şekilde ekleyip kullanabilir ve güncel olmayan destek, virüslü ürün yazılımı güncellemeleri ve ürünlerini (ve yerel ağınızı) korumak için birden fazla şirkete güvenme endişesini azaltabiliriz.
Her şey sağlam bir planla başlar.
Tüm ağınızı haritalayın
Benim ağımda yaptığım gibi VLAN'ları kullanmaya veya yeni bir tane eklemeye başlamadan önce, ev yerel ağınızı (LAN) haritalamanız çok önemlidir. Erişim noktalarınıza, anahtarlarınıza ve yönlendiricilerinize bağlanacak tüm cihazları not edin. Adreslerini kaydedin, böylece her bir VLAN'ın hangi cihazları kapsadığını kolayca görebilirsiniz. Birkaç gereklilik var; bunlardan ilki ve en önemlisi yönetilen anahtarların kullanılmasıdır. ihtiyaç bir ağ anahtarına bağlanır, ancak yerel ağınızda zaten bir tane kullanıyorsanız, etiketleme ve ayırmaya izin vermediği sürece VLAN'larla çalışmaz. Yönetilmeyen anahtarlar Bunu yapmayın maalesef.
Ardından, VLAN'ları yönetmek için bir yönlendiriciye veya güvenlik duvarına ihtiyacınız olacak. Ben OPNsense kullanıyorum ve şiddetle tavsiye ediyorum. Tüm erişim noktalarının ve anahtarların yönetim arayüzlerine erişim de mümkün olmalı. Tüm bunlar sağlandığında, VLAN yapılandırması yalnızca birkaç dakika içinde yapılabilir. İlk olarak, OPNsense güvenlik duvarında kendi alt ağına sahip yeni bir VLAN oluşturmam gerekiyordu (ana LAN tarafından kullanılan 192.168.20.0/24 yerine 192.168.10.0/24). Ardından ve en önemlisi, güvenlik duvarı kuralları oluşturmam gerekiyordu.
VLAN'ları kullanmaya başlamadan veya benim ağımda yaptığım gibi bir tane daha eklemeden önce, ev yerel alan ağınızı (LAN) haritalamanız gerekir.
Bu kurallar, IoT cihazlarının ve misafir istemcilerin internete erişmesine izin veriyordu, ancak ağdaki başka hiçbir yere erişemiyordu. Ayrıca, Home Assistant çalıştıran bir sunucu gibi belirli cihazların, güvenlik kamerası veya akıllı priz gibi diğer VLAN'lardaki belirli cihazlarla iletişim kurmasına izin vermek için VLAN'ları yapılandırmama da olanak tanıyordu. Bu sefer neredeyse unutacağım bir adım, akıllı ev ürünleri için Wi-Fi SSD ağını yapılandırmaktı. Bunu EnGenius bulut sistemi kullanarak yapmak kolaydı, ancak sahip olduğunuz erişim noktası veya yönlendiricinin markasına göre değişiklik gösterebilir.
Asla unutmamanız gereken bir şey izolasyon testidir. Tüm VLAN'larınızı yapılandırıp kurduktan sonra, işe yaramadığını ve herkesin özgürce iletişim kurabildiğini fark etmekten daha kötü bir şey yoktur. Çalıştığını ve etkin olduğunu bildiğiniz diğer VLAN'lardaki belirli adreslere ping göndermek için bir bilgisayar veya başka bir cihaz kullanın. Her şey yolunda giderse, kuralları uygun şekilde uygulayarak bunu kolayca yapabilirsiniz. Bunu yaptıktan sonra, gerçekten izole bir LAN'ın ve gönül rahatlığının tadını çıkarabilirsiniz.
Tüm VLAN'lar
Sanal ağlar sadece büyük şirketler veya teknoloji meraklıları için değildir. Doğru bilgi ve donanıma sahip herkes bunları kurabilir. VLAN'larınızı çalışır hale getirmek biraz araştırma ve zaman gerektirir. İlk başta göz korkutucu görünebilir ve süreç içinde bir şeyleri mahvedebilirsiniz, ancak sonuçlar buna değer. Kendi kurulumumda, misafirlerime Wi-Fi erişimi sağlayabiliyor, IP kameralarımın yayınlarını izole edebiliyor, IoT cihazlarının istenmeyen konumlarda iletişim kurmasını engelleyebiliyor ve ağda neler olup bittiği üzerinde daha fazla kontrole sahip olabiliyorum.
Yoruma kapalı.