Tôi đã thiết lập VLAN cho ngôi nhà thông minh của mình và bạn cũng nên làm

[T-X]

Không bao giờ là quá muộn để phân tách mạng của bạn.

Bạn đang tìm cách bảo vệ ngôi nhà thông minh của mình khỏi những kẻ xấu hoặc những kẻ xâm nhập tiềm tàng? VLAN là công cụ hoàn hảo cho việc này. Dưới đây là cách tôi thiết lập VLAN của mình và cách tôi dự định sử dụng nó để bảo vệ mạng lưới nhà thông minh của mình.

1. Hầu hết các thiết bị nhà thông minh không được thiết kế với mục đích bảo mật tốt nhất

Các công ty thực chất chỉ quan tâm đến lợi ích của chính họ, chứ không phải của bạn. Bạn có biết rằng các thiết bị IoT (internet vạn vật) của bạn có thể là một lỗ hổng lớn trong chiến lược an ninh nhà thông minh của bạn không? Hầu hết mọi người không nhận ra điều này. Dù muốn hay không, hầu hết các thiết bị IoT thực sự thường xuyên gửi dữ liệu về máy chủ, ngay cả đối với những việc đơn giản nhất. Đầu năm nay, một sự cố mất điện lớn của AWS đã cho thấy mức độ ảnh hưởng sâu rộng của vấn đề này khi mọi người không thể điều khiển giường của mình, chứ chưa nói đến các công tắc hoặc ổ cắm thông minh.

Sự phụ thuộc vào internet này xuất phát từ thực tế là ngay cả khi bạn đang ở trên cùng một mạng với các thiết bị IoT của mình, phần lớn thời gian, bất kỳ lệnh nào bạn gửi đến chúng đều phải thông qua đám mây và được gửi trở lại. Điều đó nghe có vẻ không tệ, nhưng nó có nghĩa là dữ liệu đang được gửi từ mạng của bạn đến nơi nào đó không rõ ràng ở quốc gia nào.

Dữ liệu nào đang được gửi đến các máy chủ đó? Nó không chỉ đơn thuần là "bật đèn này lên". Đó là lý do tại sao VLAN và việc phân tách mạng lại quan trọng.

2. VLAN giúp giải quyết các vấn đề an ninh nhà thông minh như thế nào?

Một mạng lưới biệt lập là một mạng lưới an toàn. Nhiều khả năng, nhà bạn chỉ có một mạng duy nhất được sử dụng cho tất cả mọi thứ. Điều đó hoạt động tốt trong hầu hết các trường hợp, nhưng thực tế có một nhược điểm khá lớn khi chỉ có một mạng: tất cả các thiết bị trên mạng đó đều có thể giao tiếp với nhau.

Nếu một thiết bị nào đó, chẳng hạn như máy in 3D hoặc camera an ninh, bị xâm nhập, thì toàn bộ mạng của bạn cũng bị xâm nhập. Thiết bị đó có thể truy cập vào mọi thiết bị khác trên mạng của bạn, bất kể bạn muốn hay không.

Đó là lý do tại sao VLAN, hay mạng cục bộ ảo, lại quan trọng đến vậy trong một ngôi nhà thông minh (hoặc bất kỳ ngôi nhà nào). Với VLAN, bạn có thể tách biệt lưu lượng mạng thành các làn riêng biệt. Hãy tưởng tượng nó giống như một đường cao tốc có một làn hoặc nhiều làn, nhưng được ngăn cách bởi các bức tường.

Với VLAN, bạn có thể thiết lập "Lưu lượng truy cập trong VLAN 1 có thể di chuyển sang bất kỳ làn nào khác mà không gặp vấn đề gì, nhưng lưu lượng truy cập trong VLAN 2 chỉ có thể truy cập VLAN 2 và không thể truy cập bất kỳ làn nào khác." Trong trường hợp đó, máy tính của bạn có thể nằm trên VLAN 1 và có thể giao tiếp với các thiết bị trên cả VLAN 1 và VLAN 2. Các thiết bị IoT của bạn có thể nằm trên VLAN 2 và chỉ có thể giao tiếp với các thiết bị trên VLAN 2, chứ không thể giao tiếp với VLAN 1.

Tùy thuộc vào phần cứng mạng bạn đang sử dụng, bạn có thể thiết lập mức độ bảo mật sâu đến mức nào tùy thích. Tôi có một VLAN chuyên chặn tất cả lưu lượng truy cập chéo giữa các thiết bị và chỉ cho phép truy cập internet bên ngoài. Nếu tôi kết nối hai máy tính vào VLAN đó, chúng sẽ không biết sự tồn tại của nhau, và chúng cũng không biết bất kỳ thiết bị nào khác trên mạng của tôi tồn tại — VLAN đó chỉ đơn giản là có quyền truy cập mạng bên ngoài và không hơn thế nữa.

Giải pháp này khắc phục các vấn đề bảo mật IoT của bạn như thế nào? Nếu bạn có một VLAN IoT riêng biệt, nơi các thiết bị không thể giao tiếp với nhau và cũng không thể giao tiếp với các thiết bị bên ngoài VLAN đó, thì nếu máy in 3D hoặc camera an ninh đó bị tấn công, sẽ không có gì khác bị ảnh hưởng ngoài thiết bị cụ thể đó.

3. Để bảo vệ sự ổn định của hệ thống nhà thông minh, tôi đã phân chia mạng của mình bằng VLAN

Việc thiết lập một mạng lưới nhà thông minh riêng biệt đòi hỏi rất nhiều công sức. Mạng gia đình tôi sử dụng Unifi, điều này giúp việc tạo VLAN dành riêng cho thiết bị IoT trở nên khá dễ dàng. Tôi vẫn đang hoàn thiện thiết lập, nhưng đến nay, đây là những gì tôi đã làm được.

Trước tiên, tôi đã tạo VLAN và đặt tên là IoT. Việc này khá đơn giản, nhưng đó là cách tôi muốn nhận dạng nó. Tôi đã bật IGMP Snooping và mDNS, vì cả hai chức năng này đều cần thiết cho nhiều thiết bị nhà thông minh. Tôi đã thiết lập mạng với 253 địa chỉ IP, trong đó 205 địa chỉ nằm trong nhóm DHCP để tự động gán. Tôi có thể mở rộng thêm sau nếu cần, nhưng hiện tại tôi có 50 địa chỉ có thể đặt làm địa chỉ tĩnh nếu cần và hơn 200 địa chỉ động, nhiều hơn mức tôi có thể cần đến.

Tôi cũng đã cấu hình VLAN IoT và VLAN tin cậy chính của mình trong máy chủ proxy mDNS, nhờ đó các thiết bị trên VLAN chính và VLAN IoT có thể giao tiếp với nhau một cách bình thường. Tuy nhiên, cấu hình VLAN của tôi chỉ đến đó thôi.

Hiện tại, tôi đang trong quá trình cải tổ hoàn toàn cơ sở hạ tầng nhà thông minh của mình để chuyển sang phương pháp ưu tiên mạng cục bộ. Mạng VLAN IoT của tôi vẫn chia sẻ quyền truy cập với mạng LAN, và cũng có quyền truy cập từ bên ngoài. Đây là điều tôi dự định sẽ thay đổi trong tương lai sau khi hoàn tất việc chuyển đổi sang các thiết bị hỗ trợ các chức năng đó.

Tôi đã cài đặt Home Assistant trên mạng của mình và cũng sử dụng rộng rãi HomeKit của Apple, cả hai đều cung cấp cách tiếp cận ưu tiên mạng cục bộ cho nhà thông minh và các thiết bị IoT. Tôi cũng đang trong quá trình tự chế tạo nhiều cảm biến bằng nền tảng ESP32.

Trong tương lai, tôi sẽ xây dựng các quy tắc tường lửa cho VLAN IoT để ngăn nó truy cập vào VLAN Tin cậy của tôi, nghĩa là các thiết bị IoT sẽ không thể giao tiếp với mạng của tôi để tăng cường bảo mật như tôi đã đề cập. Tôi cũng sẽ tạo một công tắc dễ sử dụng để có thể mở mạng đó ra bên ngoài khi thêm thiết bị mới, nếu cần, và sau đó đóng lại sau khi thiết bị được thiết lập xong.

Đối với tôi, việc thiết lập VLAN cần được thực hiện từng bước. Tôi đã có sẵn VLAN, và tôi đã kết nối mạng Wi-Fi với VLAN đó (chỉ sử dụng băng tần 2.4GHz và là mạng IoT), và hầu hết các thiết bị nhà thông minh của tôi đều nằm trên VLAN đó. Điều này có nghĩa là, ngay sau khi tôi thiết lập xong tất cả các quy tắc tường lửa, tất cả các thiết bị của tôi sẽ được bảo mật ngay lập tức vì tôi đang thực hiện theo cách xây dựng mạng trước rồi mới bảo mật sau.

4. Những thứ bạn cần để thiết lập mạng nhà thông minh VLAN

Việc đó dễ hơn bạn nghĩ. Nếu bạn muốn xây dựng mạng nhà thông minh sử dụng VLAN, trước tiên bạn cần một hệ thống quản lý mạng. Đáng tiếc là điều này hiện chưa phổ biến trên hầu hết các thiết bị mạng dành cho người tiêu dùng. Tôi đã chọn sử dụng Unifi và Ubiquiti cho mạng gia đình mình, và việc này đang trở nên dễ dàng và tiết kiệm hơn nhiều với Dream Router 7.

Tuy nhiên, cũng có những lựa chọn khác. Bạn có thể tự xây dựng hệ thống mạng của riêng mình bằng các phần mềm như pfSense hoặc OPNSense, hoặc bạn cũng có thể mua các thiết bị mạng được quản lý khác như Omada của TP-Link.

Sau khi thiết lập phần cứng, bạn chỉ cần đảm bảo tất cả đều tương thích. Vì tôi sử dụng Unifi, các điểm truy cập Wi-Fi và bộ chuyển mạch quản lý của tôi đều giao tiếp với nhau, vì vậy tôi có thể quản lý mạng từ đầu đến cuối trên tất cả các thiết bị.

5. Mạng VLAN của tôi không phải lúc nào cũng hoàn hảo

Đôi khi nó hiệu quả, nhưng đôi khi thì... Tôi rất thích việc có một mạng riêng biệt, nhưng tôi đã gặp khá nhiều vấn đề trong quá trình thiết lập, đó là lý do tại sao tôi vẫn chưa hoàn toàn khóa VLAN của mình. Ví dụ, khi iPhone của tôi nằm trên mạng Tin cậy, tôi không thể thêm thiết bị IoT vào HomeKit trên mạng IoT một cách chính xác. Tôi đã thử đi thử lại nhiều lần, nhưng việc nhập thông tin đăng nhập của mạng IoT từ iPhone của tôi trên mạng Tin cậy vẫn không hoạt động. Giải pháp tạm thời là kết nối iPhone của tôi trực tiếp với mạng IoT, và cách này dường như có hiệu quả.

Tôi cũng gặp một số vấn đề nghiêm trọng khi cố gắng sử dụng Home Assistant trên một VLAN và các thiết bị bên trong Home Assistant trên một VLAN khác, trong khi các thiết bị chính của tôi lại nằm trên một VLAN thứ ba. Tôi chắc chắn rằng có cách khắc phục vấn đề này và tôi đang nỗ lực thiết lập mọi thứ, nhưng đây vẫn là một vấn đề tôi gặp phải.

Đây chỉ là hai trong số những vấn đề chính mà tôi gặp phải khi thiết lập VLAN cho IoT. Nếu bạn nghĩ rằng việc này sẽ cực kỳ đơn giản và không có vấn đề gì – hãy nghĩ lại. Hãy chuẩn bị tinh thần cho một số rắc rối trong quá trình chuyển đổi ban đầu và biết rằng chắc chắn sẽ có một số bước khắc phục sự cố đi kèm với việc thiết lập VLAN cho IoT.

Nỗi đau sẽ xứng đáng, bạn chỉ cần biết rằng, rất có thể, sẽ có đau đớn.

VLAN là một khía cạnh vô cùng phức tạp của mạng máy tính, và tôi thực sự chỉ mới tìm hiểu sơ lược về nó. Việc có một VLAN dành riêng cho IoT là một trong những cách tốt nhất để bảo mật ngôi nhà thông minh của bạn, và tôi rất hào hứng hoàn tất việc thiết lập tường lửa vào năm mới.