Sichern Sie Ihr Smart Home und schützen Sie die Privatsphäre Ihrer Familie mit VLANs

Ein Smart Home ist in jeder Hinsicht eine bemerkenswerte Leistung, sobald es voll funktionsfähig ist. Sobald Sie ein Netzwerk eingerichtet und einige Geräte hinzugefügt haben, verfügen Sie über eine überzeugende Lösung. Um die Lösung auf die nächste Stufe zu heben, müssen Sie wahrscheinlich weitere Geräte hinzufügen. Je mehr Smart-Home-Geräte Sie aktivieren, desto stärker wird Ihr Heimnetzwerk überlastet. Hinzu kommt das Risiko, dass unbefugte Personen auf Ihre Smart-Home-Geräte zugreifen. All dies lässt sich durch Folgendes verhindern: Virtuelle LANs (VLANs), und das ist genau das, wonach es sich anhört.

Smart-Home-Geräte reichen von Lampen und Steckdosen über Lautsprecher und Alarmsensoren bis hin zu allem, was dazwischen liegt. Wenn sie über WLAN-Funktionen verfügen, ist die Wahrscheinlichkeit groß, dass sie Teil Ihres Smart-Home-Systems sind. Diese Geräte sind zwar eine große Erleichterung für Ihr Leben, bergen aber auch einige Risiken. Erstens gibt es Firmware-Schwachstellen, zweitens Datenerfassung und sogar Botnetze und andere böswillige Akteure, die Ihr Smart Home für Chaos nutzen könnten. Deshalb bin ich schnell auf VLANs umgestiegen, und Sie sollten das auch tun.

Risiken beim Bau eines Smart Homes

Plus-Geräte und Sicherheitsverletzungsrisiken

Ich behaupte nicht, dass alle neu gekauften Smart-Home-Geräte grundsätzlich unsicher sind, aber sie sind anfällig für Angriffe und, je nach Marke, für Firmware-Schwachstellen. Diese Geräte sind oft günstig erhältlich, was vor allem an ihrem günstigen Design, ihrer Herstellung und ihrem Support liegt. Telemetriedaten können erfasst und an die Server des Herstellers gesendet werden, und es gibt keine Garantie für die Veröffentlichung von Sicherheitspatches und Firmware-Updates.

Genau wie ein Computer in Ihrem Heimnetzwerk kann jedes dieser Smart-Home-Geräte ein neuer Angriffspunkt für Angreifer werden. Stellen Sie sich vor, wie viele Geräte Sie mit einem integrierten Alarmsystem besitzen. Haushaltshilfe Mit intelligenten Lautsprechern, Beleuchtung, Sensoren, Steckern und vielem mehr kann es zu einem Labyrinth werden – ein weiteres Problem des Internets der Dinge und von Smart-Home-Geräten. Diese Geräte können wirklich um das drahtlose Netzwerk und den DHCP-Server konkurrieren, wenn zu viele von ihnen eine lokale IP-Adresse benötigen.

Dies habe ich bei der Planung meines Smart-Home-Upgrades berücksichtigt. Genau wie bei Gastgeräten können sie innerhalb desselben lokalen Netzwerks partitioniert werden, um alles andere im Netzwerk zu schützen. Ich habe schnell eingerichtet Gast-VLAN Um allen Besuchern unseres Hauses Zugang zur Außenwelt zu ermöglichen, dürfen sie sich ohne Erlaubnis nicht mit lokal gehosteten Diensten verbinden. Dasselbe gilt für Smart-Home-Geräte, weshalb ich für sie ein privates VLAN eingerichtet habe. Es wäre vielleicht eine gute Idee, wenn sie diesem Beispiel folgen würden.

Wie VLANs (fast) alles lösen

Die magische Welt der virtuellen privaten Netzwerke

Ein virtuelles LAN (VLAN) ist ein LAN, das auf einem physischen Netzwerk läuft. Es ist eine logische Methode, ein physisches Netzwerk, bestehend aus Switches, Access Points, Firewalls und Routern, in mehrere isolierte Instanzen aufzuteilen. Jedes VLAN kann so konfiguriert werden, dass es unabhängig arbeitet, sodass Sie bestimmte Geräte und Punkte im LAN voneinander isolieren können. Das bedeutet jedoch nicht, dass sie völlig unzugänglich sind; Bridging zwischen VLANs ist nach entsprechender Konfiguration möglich.

VLANs ermöglichen es Geräten, sich direkt über den Router oder die Firewall mit externen Zielen zu verbinden, ohne dass eine Verbindung zu internen Zielen möglich ist. Das eignet sich hervorragend für die Einrichtung von Gastnetzwerken in Unternehmen, Hotels und sogar zu Hause. VLANs können aber auch nützlich sein, um Smart-Home- und IoT-Geräte vom Rest des Netzwerks zu trennen. Ich nutze bereits einige VLANs zu Hause, eines für Gäste, Und ein weiteres für Überwachungskamerasund ein dritter für alle Server und die Netzwerkinfrastruktur.

Ein viertes VLAN mag zwar übertrieben erscheinen, ist aber eine Überlegung wert, wenn Sie die Sicherheit Ihres lokalen Netzwerks gewährleisten möchten. IoT-Geräte können in einem Gastnetzwerk mit bestimmten Regeln und Bedingungen platziert werden, um ein gewisses Maß an Kommunikation zwischen Geräten in anderen VLANs zu ermöglichen. Ziel ist es jedoch, IoT-Geräte so weit wie möglich einzuschränken, ohne die Funktionalität zu beeinträchtigen. Auf diese Weise können Sie beliebige Geräte sicher hinzufügen und nutzen und müssen sich weniger Sorgen um veralteten Support, infizierte Firmware-Updates und das Vertrauen in den Schutz Ihrer Produkte (und Ihres lokalen Netzwerks) durch mehrere Unternehmen machen.

Alles beginnt mit einem soliden Plan.

Bilden Sie Ihr gesamtes Netzwerk ab

Bevor Sie VLANs verwenden oder ein weiteres hinzufügen, wie ich es mit meinem Netzwerk getan habe, ist es wichtig, Ihr lokales Heimnetzwerk (LAN) abzubilden. Notieren Sie alle Geräte, die an Ihre Access Points, Switches und Router angeschlossen werden. Notieren Sie deren Adressen, damit Sie leicht erkennen können, welche Geräte von welchem ​​VLAN abgedeckt werden. Es gibt einige Voraussetzungen, die erste und wichtigste davon ist die Verwendung von verwalteten Switches. Sie müssen nicht Brauchen an einen Netzwerk-Switch, aber wenn Sie bereits einen in Ihrem lokalen Netzwerk verwenden, funktioniert dieser nicht mit VLANs, es sei denn, er ermöglicht Tagging und Trennung. Nicht verwaltete Switches Das sollte man leider nicht tun.

Als Nächstes benötigen Sie einen Router oder eine Firewall für die VLAN-Verwaltung. Ich verwende und empfehle OPNsense. Der Zugriff auf die Verwaltungsschnittstellen aller Access Points und Switches sollte ebenfalls möglich sein. Damit ist die VLAN-Konfiguration in wenigen Minuten erledigt. Zunächst musste ich auf der OPNsense-Firewall ein neues VLAN mit eigenem Subnetz (192.168.20.0/24 anstelle von 192.168.10.0/24, das vom Haupt-LAN ​​verwendet wird) erstellen. Anschließend, und das war das Wichtigste, mussten Firewall-Regeln erstellt werden.

Diese Regeln erlaubten IoT-Geräten und Gastclients den Zugriff auf das Internet, jedoch nicht auf andere Bereiche des Netzwerks. Sie ermöglichten mir außerdem die Konfiguration von VLANs, um bestimmten Geräten, wie z. B. einem Server mit Home Assistant, die Kommunikation mit bestimmten Geräten in anderen VLANs zu ermöglichen, wie z. B. einer Überwachungskamera oder einem Smart Plug. Ein Schritt, den ich dieses Mal fast vergessen hätte, war die Konfiguration des WLAN-SSD-Netzwerks für die Smart-Home-Produkte. Dies war mit dem EnGenius-Cloud-System einfach, kann aber je nach Marke Ihres Access Points oder Routers variieren.

Vergessen Sie nie den Isolationstest. Nichts ist schlimmer, als alle VLANs konfiguriert und eingerichtet zu haben und dann festzustellen, dass sie nicht funktionieren und alle frei kommunizieren können. Senden Sie mit einem Computer oder einem anderen Gerät einen Ping an bestimmte Adressen in anderen VLANs, von denen Sie wissen, dass sie funktionieren und aktiv sind. Wenn alles funktioniert, sollten Sie dies einfach durch Anwenden der entsprechenden Regeln tun können. Danach können Sie sich wieder über ein wirklich isoliertes LAN und ein sicheres Gefühl freuen.

VLANs für alle

Virtuelle Netzwerke sind nicht nur etwas für Großkonzerne oder Technikfreaks. Jeder kann sie mit dem richtigen Wissen und der richtigen Hardware einrichten. Es erfordert etwas Recherche und Zeit, um VLANs zum Laufen zu bringen. Es mag zunächst entmutigend erscheinen, und man könnte dabei etwas falsch machen, aber die Ergebnisse sind es wert. In meinem eigenen Setup kann ich Gästen WLAN-Zugang gewähren, die Übertragungen meiner IP-Kameras isolieren, IoT-Geräte daran hindern, an unbeabsichtigten Orten zu kommunizieren, und habe mehr Kontrolle über das Geschehen im Netzwerk.