Uma casa inteligente é uma conquista notável em qualquer aspecto, uma vez totalmente operacional. Depois de configurar uma rede e adicionar alguns dispositivos, você terá uma solução muito atraente. Mas, para avançar para o próximo nível, provavelmente precisará adicionar mais dispositivos, e quanto mais dispositivos de casa inteligente você ativar, mais congestionada sua rede doméstica ficará. Há também o risco de pessoas acessarem seus dispositivos de casa inteligente sem autorização. Tudo isso pode ser resolvido com LANs virtuais (VLANs), que é exatamente o que parece.
Dispositivos domésticos inteligentes podem variar de luzes e tomadas a alto-falantes e sensores de alarme, além de tudo o que há entre esses dois extremos. Se eles tiverem recursos sem fio, há uma boa chance de serem usados como parte da configuração da sua casa inteligente. Esses dispositivos são ótimos para melhorar sua vida, mas podem apresentar alguns riscos. Primeiro, há vulnerabilidades de firmware, depois a coleta de dados e até mesmo botnets e outros grupos maliciosos que podem usar sua casa inteligente para causar estragos. É por isso que eu migrei rapidamente para VLANs, e por que você também deveria.
Riscos de construir uma casa inteligente
Mais dispositivos e riscos de violação de segurança
Não estou sugerindo que todos os dispositivos domésticos inteligentes recém-adquiridos sejam inerentemente inseguros, mas eles são vulneráveis a ataques e, dependendo da marca, a vulnerabilidades de firmware. Esses dispositivos costumam estar disponíveis a preços baixos, em grande parte devido ao seu design, fabricação e suporte acessíveis. Dados de telemetria podem ser coletados e enviados aos servidores do fabricante, e não há garantia de que patches de segurança e atualizações de firmware serão lançados.
Assim como um computador na sua rede doméstica, cada um desses dispositivos domésticos inteligentes pode se tornar um novo ponto de entrada para invasores.
Assim como um computador na sua rede doméstica, cada um desses dispositivos domésticos inteligentes pode se tornar um novo ponto de entrada para invasores. Imagine quantos dispositivos você tem com um sistema de alarme completo integrado. Assistente de Casa Com alto-falantes, iluminação, sensores, plugues inteligentes e muito mais, a situação pode se tornar um labirinto, o que é outro problema com a Internet das Coisas e dispositivos domésticos inteligentes. Esses dispositivos podem realmente competir pela rede sem fio e pelo servidor DHCP se muitos deles exigirem um endereço IP local.
Levei isso em consideração ao planejar a atualização da minha casa inteligente. Assim como acontece com dispositivos de hóspedes, eles podem ser particionados na mesma rede local para proteger todo o resto na rede. Configurei rapidamente VLAN de convidado Para fornecer acesso ao mundo externo a qualquer pessoa que visite nossa casa, ela não pode se conectar a nenhum serviço hospedado localmente sem permissão. O mesmo vale para dispositivos domésticos inteligentes, e é por isso que criei uma VLAN privada para eles, e pode ser uma boa ideia que sigam o exemplo.
Como as VLANs resolvem (quase) tudo
O mundo mágico das redes privadas virtuais
Uma LAN virtual (VLAN) é uma LAN que roda sobre uma rede física. É simplesmente uma maneira lógica de dividir uma rede física, composta por switches, pontos de acesso, firewalls e roteadores, em várias instâncias isoladas. Cada VLAN pode ser configurada para operar de forma independente, permitindo isolar dispositivos e pontos específicos na LAN uns dos outros. Isso não significa que eles estejam completamente indisponíveis; a conexão em ponte entre VLANs está disponível, se configurada.
O que as VLANs fazem bem é permitir que dispositivos se conectem diretamente através do roteador ou firewall a destinos externos sem precisar se conectar a nada internamente. São ótimas para criar redes para convidados em empresas, hotéis e até mesmo na sua própria casa. Mas as VLANs também podem ser úteis para separar seus dispositivos de casa inteligente e IoT do restante da rede. Eu já uso algumas VLANs em casa, uma para convidados, E outro para câmeras de vigilância, e um terceiro para todos os servidores e infraestrutura de rede.
Uma quarta VLAN pode ser considerada um exagero, mas vale a pena considerá-la se você quiser manter a segurança da sua rede local. Dispositivos IoT podem ser colocados em uma rede de convidados com regras e condições específicas para permitir um certo grau de comunicação entre dispositivos em outras VLANs, mas o objetivo é restringir os dispositivos IoT o máximo possível sem afetar a funcionalidade. Dessa forma, podemos adicionar e usar qualquer equipamento com segurança e reduzir a preocupação com suporte desatualizado, atualizações de firmware infectadas e a necessidade de confiar em várias empresas para proteger seus produtos (e sua rede local).
Tudo começa com um plano sólido.
Mapeie toda a sua rede
Antes de passar a usar VLANs ou mesmo adicionar outra, como fiz com a minha rede, é essencial mapear sua rede local (LAN) doméstica. Anote todos os dispositivos que serão conectados aos seus pontos de acesso, switches e roteadores. Anote os endereços deles para que você possa ver facilmente quais dispositivos são cobertos por cada VLAN. Existem alguns requisitos, sendo o primeiro e mais importante o uso de switches gerenciados. Você não precisa... precisar para um switch de rede, mas se você já estiver usando um na sua rede local, ele não funcionará com VLANs, a menos que permita marcação e separação. Switches não gerenciados Infelizmente, não faça isso.
Em seguida, você precisará de um roteador ou firewall para gerenciar as VLANs. Eu uso e recomendo fortemente o OPNsense. O acesso às interfaces de gerenciamento de todos os pontos de acesso e switches também deve estar disponível. Com tudo isso implementado, a configuração das VLANs pode ser feita em poucos minutos. Primeiro, precisei criar uma nova VLAN no firewall do OPNsense com sua própria sub-rede (192.168.20.0/24 em vez de 192.168.10.0/24, usada pela LAN principal). Depois, e mais importante, criei regras de firewall.
Antes de passar a usar VLANs ou mesmo adicionar outra, como fiz na minha rede, é necessário mapear sua rede local (LAN) doméstica.
Essas regras permitiam que dispositivos IoT e clientes convidados acessassem a internet, mas não em nenhum outro lugar da rede. Elas também me permitiram configurar VLANs para permitir que determinados dispositivos, como um servidor executando o Home Assistant, se comunicassem com determinados dispositivos em outras VLANs, como uma câmera de segurança ou um plugue inteligente. Um passo que quase esqueci desta vez foi configurar a rede SSD Wi-Fi para os produtos de casa inteligente. Isso foi fácil de fazer usando o sistema de nuvem EnGenius, mas pode variar dependendo da marca do ponto de acesso ou roteador que você possui.
Uma coisa que você nunca deve esquecer é o teste de isolamento. Nada é pior do que ter todas as suas VLANs configuradas e instaladas, apenas para perceber que não funciona e que todos conseguem se comunicar livremente. Use um computador ou outro dispositivo para enviar um ping para endereços específicos em outras VLANs que você sabe que estão funcionando e ativas no momento. Se tudo funcionar, você poderá fazer isso simplesmente aplicando as regras de acordo. Depois de fazer isso, você poderá desfrutar novamente de uma LAN verdadeiramente isolada e com tranquilidade.
VLANs para todos
Redes virtuais não são apenas para grandes corporações ou gênios da tecnologia. Qualquer pessoa pode configurá-las com o conhecimento e o hardware certos. É preciso pesquisar e dedicar tempo para colocar suas VLANs em funcionamento. Pode parecer assustador no início, e você pode acabar cometendo alguns erros ao longo do caminho, mas os resultados compensam. Na minha própria configuração, posso fornecer acesso Wi-Fi aos visitantes, manter as transmissões das minhas câmeras IP isoladas, impedir que dispositivos IoT se comuniquem em locais indesejados e ter mais controle sobre o que acontece na rede.
Comentários estão fechados.