Кажется, что концепция «умного дома» даже в наших краях не просто прижилась, а начинает прочно укоренятся. Граждане массово скупают дешевые лампочки, розетки и датчики на распродажах, радуясь, что можно включить чайник голосом или поменять цвет освещения со смартфона.
И по-прежнему мало кто задумывается, что этот зоопарк китайской электроники представляет собой реальную дыру в цифровых стенах дома или квартиры.
Большинство бюджетных IoT-устройств (Internet of Things) изначально спроектированы максимально дешевыми. Их производители экономят на всем, в том числе и на безопасности.
Не пропустите! Если смарт-лампа Yeelight не подключается к Wi-Fi
Поэтому в отличие от ноутбука или смартфона, «умная розетка» за 500 рублей регулярные обновления защиты не получает (если вообще получает хоть какие-то). И при этом, в отличие от устройств на протоколах типа Zigbee, которые функционируют через специальный хаб, такая «умная розетка» работает через Wi-Fi.
А ведь подключать такие дешевые штуковины к той же сети, в которой «живут» рабочий компьютер, домашний сервер (NAS) и все личные смартфоны уже давно не есть хорошо. И вот почему…
Вход через люстру?
Главная проблема дешевых умных IoT-устройств — они слишком «разговорчивы». Они постоянно общаются с облачными серверами, отправляя данные телеметрии и ожидая команд. Хакеры прекрасно знают обо всех уязвимостях в прошивках таких устройств.
Взломать компьютер с современной ОС сложно. Взломать китайскую камеру видеонаблюдения или контроллер LED-ленты, прошивку для которой писал студент за еду — гораздо проще. А заполучив root-доступ к такому слабо защищенному девайсу, злоумышленник фактически оказывается внутри домашней WiFi-сети.
Следовательно, к той же сети подключена, к примеру «умная лампа», то злоумышленник вполне может использовать её как плацдарм для атаки на более важные устройства. Он может перехватывать трафик, видеть, какие сайты вы посещаете, и даже пытаться получить доступ к файлам на вашем компьютере.
Звучит, конечно, как сюжет из сериала про хакеров, но технически это вполне реализуемый сценарий. Единственный надежный способ защиты — физическая или программная изоляция IoT-устройств от остальной техники. Для организации самой базовой, но тем не менее эффективной защиты дома сетевым инженером быть не обязательно.
Самое доступное решение: гостевая сеть
Если дома нет дорогого роутера с поддержкой VLAN (о нем чуть ниже), то функция Guest Network или «гостевая сеть», которая имеется практически в любом современном, даже самом бюджетном маршрутизаторе — решение обязательное.
Суть методы проста: создаем отдельную точку доступа специально для глупых, но болтливых и слабо защищенных «умных устройств».
Да, от такой изоляции могут потеряться некоторые функции, например, локальное управление без интернета (хотя большинство дешевых гаджетов и так гоняют трафик через китайские облака). Зато если «умной розеткой» заинтересуются злоумышленники, то окажутся они максимум в «песочнице», из которой НЕТ прямого доступа к приложениям банков, личным фоткам и прочим данным.
Вот как сделать гостевую сеть для IoT-устройств:
- заходим в админку роутера через браузер (адрес 192.168.0.1 или 192.168.1.1 в браузере) либо через мобильное приложение;
- находим раздел «Wi-Fi» или «Wireless» и там опцию «Гостевая сеть» — включаем её;
- для умного дома достаточно включить только 2.4 ГГц — подавляющее большинство IoT-устройств все равно не умеют работать с 5 ГГц, так что нечего засорять эфир;
- далее в настройках обязательно ходим опцию типа «Разрешить доступ к локальной сети» (Allow access to Intranet) или «Изоляция клиентов» — её тоже надо включить — устройства в гостевой сети должны иметь доступ только в Интернет, но не должны видеть друг дружку и уж тем более не должны видеть домашние компьютеры, смартфоны, NAS, телевизор и пр;
- и задаем уникальный, сложный пароль, отличный от пароля доступа к основной сети Wi-Fi.
Ну а теперь начинается самое нудное — миграция. Надо сбросить настройки всех умных лампочек, розеток, датчиков и подключить к Wi-Fi по-новой, но уже к «гостевой сети».
Важный момент: чтобы все усилия не были зазря, на время перенастройки обязательно «забываем» основную Wi-Fi сеть в смартфоне и переподключаем его к гостевой. Часто приложения для настройки умного дома тупят, если смарфон и настраиваемый гаджет подключены к разным подсетям. После успешного завершения подключения всех IoT-устройств к гостевой сети смартфон можно снова подключить к основную.
VLAN — уровень профи
Гостевая сеть — это по факту «костыль», который решает проблему на бытовом уровне. У него есть минусы: например, все устройства все равно делят один канал и ресурсы роутера, а проводные устройства (типа умного шлюза или телевизора, подключенного кабелем) в гостевую Wi-Fi сеть не запихнешь.
Потому, когда есть задача выстроить настоящую цифровую крепость или нормально отладить сложные системы автоматизации типа Home Assistant, то тогда однозначно — VLAN (Virtual Local Area Network).
VLAN позволяет виртуально «нарезать» сеть на изолированные сегменты на уровне портов и пакетов данных. Притом с возможностью создать отдельные правила для каждой группы устройств. Например:
- смартфон (из основной сети) может управлять умным домом;
- умный дом НЕ может инициировать соединение со смартфоном;
- а камеры видеонаблюдения вообще не имеют выхода в интернет и пишут данные только на локальный регистратор.
Для такого требуется роутер продвинутого уровня (MikroTik, Ubiquiti или модели с поддержкой прошивки OpenWRT). Настройка VLAN требует времени и понимания сетевых протоколов, но это дает полный контроль над трафиком.
Поэтому для обычного пользователя, чей умный дом состоит из пары розеток и Яндекс.Станции, чтобы спать спокойнее, грамотно настроенной гостевой сети — более чем достаточно.