Una casa inteligente es un logro notable desde cualquier punto de vista una vez que está completamente operativa. Una vez que haya configurado una red y añadido algunos dispositivos, tendrá una solución muy convincente. Pero para llevarla al siguiente nivel, probablemente necesitará añadir más dispositivos, y cuantos más dispositivos domésticos inteligentes active, más congestionada estará su red doméstica. Además, existe el riesgo de que otras personas accedan a sus dispositivos domésticos inteligentes sin autorización. Todo esto se puede solucionar mediante LAN virtuales (VLAN), que es exactamente lo que parece.
Los dispositivos domésticos inteligentes pueden abarcar desde luces y enchufes hasta altavoces y sensores de alarma, además de todo lo demás. Si tienen funciones inalámbricas, es muy probable que se utilicen como parte de la configuración de tu hogar inteligente. Estos dispositivos son excelentes para mejorar tu vida, pero pueden conllevar algunos riesgos. Primero, están las vulnerabilidades del firmware, luego la recopilación de datos e incluso botnets y otros grupos maliciosos que podrían usar tu hogar inteligente para causar estragos. Por eso me cambié rápidamente a las VLAN, y por eso tú también deberías hacerlo.
Riesgos de construir una casa inteligente
Dispositivos Plus y riesgos de violación de seguridad
No sugiero que todos los dispositivos domésticos inteligentes recién adquiridos sean intrínsecamente inseguros, pero sí son vulnerables a ataques y, según la marca, a vulnerabilidades de firmware. Estos dispositivos suelen estar disponibles a bajo precio, en gran parte gracias a su diseño, fabricación y soporte asequibles. Los datos de telemetría pueden recopilarse y enviarse a los servidores del fabricante, y no hay garantía de que se publiquen parches de seguridad ni actualizaciones de firmware.
Al igual que una computadora en su red doméstica, cada uno de estos dispositivos domésticos inteligentes puede convertirse en un nuevo punto de entrada para los atacantes.
Al igual que una computadora en su red doméstica, cada uno de estos dispositivos inteligentes para el hogar puede convertirse en una nueva puerta de entrada para los atacantes. Imagine cuántos dispositivos tiene con un sistema de alarma completo integrado. Home Assistant Con altavoces, iluminación, sensores, enchufes y demás dispositivos inteligentes, todo puede volverse un laberinto, lo cual supone otro problema con el Internet de las Cosas y los dispositivos domésticos inteligentes. Estos dispositivos pueden competir por la red inalámbrica y el servidor DHCP si muchos de ellos requieren una dirección IP local.
Tuve esto en cuenta al planificar la actualización de mi hogar inteligente. Al igual que con los dispositivos de invitados, se pueden particionar dentro de la misma red local para proteger todo lo demás en la red. Configuré rápidamente VLAN de invitado Para que cualquier persona que visite nuestra casa tenga acceso al mundo exterior, no puede conectarse a ningún servicio alojado localmente sin permiso. Lo mismo ocurre con los dispositivos domésticos inteligentes, por eso creé una VLAN privada para ellos, y sería buena idea que siguieran mi ejemplo.
Cómo las VLAN resuelven (casi) todo
El mundo mágico de las redes privadas virtuales
Una LAN virtual (VLAN) es una LAN que se ejecuta sobre una red física. Es simplemente una forma lógica de dividir una red física, compuesta por switches, puntos de acceso, firewalls y routers, en múltiples instancias aisladas. Cada VLAN puede configurarse para operar de forma independiente, lo que permite aislar dispositivos y puntos específicos de la LAN entre sí. Sin embargo, esto no significa que no estén disponibles; la conexión entre VLAN está disponible si se configura.
La función principal de las VLAN es permitir que los dispositivos se conecten directamente a través del router o firewall a destinos externos sin poder conectarse a ningún dispositivo interno. Son ideales para crear redes de invitados en empresas, hoteles e incluso en el propio hogar. Pero las VLAN también pueden ser útiles para separar los dispositivos de tu hogar inteligente y del IoT del resto de la red. Ya uso algunas VLAN en casa, una para invitados, Y otro para cámaras de vigilancia., y un tercero para todos los servidores y la infraestructura de red.
Una cuarta VLAN podría parecer excesiva, pero vale la pena considerarla si desea mantener la seguridad de su red local. Los dispositivos IoT pueden colocarse en una red de invitados con reglas y condiciones específicas para permitir cierto grado de comunicación entre dispositivos en otras VLAN, pero el objetivo es restringir los dispositivos IoT al máximo sin afectar su funcionalidad. De esta forma, podemos agregar y usar cualquier equipo de forma segura y reducir la preocupación por un soporte técnico desactualizado, actualizaciones de firmware infectadas y la necesidad de confiar en varias empresas para proteger sus productos (y su red local).
Todo comienza con un plan sólido.
Mapee toda su red
Antes de usar VLAN o incluso añadir otra, como hice con mi red, es fundamental mapear su red de área local (LAN) doméstica. Anote todos los dispositivos que se conectarán a sus puntos de acceso, conmutadores y enrutadores. Registre sus direcciones para ver fácilmente qué dispositivos cubre cada VLAN. Hay algunos requisitos, el primero y más importante es el uso de conmutadores administrados. No es necesario. Necesitar a un conmutador de red, pero si ya está usando uno en su red local, no funcionará con VLAN a menos que permita etiquetado y separación. Conmutadores no administrados No hagas eso, desgraciadamente.
A continuación, necesitará un router o firewall para gestionar las VLAN. Yo uso y recomiendo ampliamente OPNsense. El acceso a las interfaces de administración de todos los puntos de acceso y switches también debería estar disponible. Con todo esto, la configuración de las VLAN se puede realizar en tan solo unos minutos. Primero, tuve que crear una nueva VLAN en el firewall de OPNsense con su propia subred (192.168.20.0/24 en lugar de 192.168.10.0/24, utilizada por la LAN principal). Después, y lo más importante, tuve que crear las reglas del firewall.
Antes de pasar a utilizar VLAN o incluso agregar otra, como hice en mi red, es necesario mapear su red de área local doméstica (LAN).
Estas reglas permitían que los dispositivos IoT y los clientes invitados accedieran a internet, pero no a ningún otro punto de la red. También me permitieron configurar VLAN para que ciertos dispositivos, como un servidor con Home Assistant, se comunicaran con otros dispositivos en otras VLAN, como una cámara de seguridad o un enchufe inteligente. Un paso que casi olvidé esta vez fue configurar la red SSD Wi-Fi para los productos de hogar inteligente. Esto fue fácil de hacer con el sistema en la nube de EnGenius, pero puede variar según la marca del punto de acceso o router.
Algo que nunca debe olvidar son las pruebas de aislamiento. No hay nada peor que tener todas sus VLAN configuradas y configuradas, solo para darse cuenta de que no funcionan y que todos pueden comunicarse libremente. Use una computadora u otro dispositivo para enviar un ping a direcciones específicas en otras VLAN que sepa que funcionan y están activas. Si todo funciona, debería poder hacerlo simplemente aplicando las reglas correspondientes. Una vez hecho esto, podrá volver a disfrutar de una LAN completamente aislada y de tranquilidad.
VLAN para todos
Las redes virtuales no son solo para grandes corporaciones o expertos en tecnología. Cualquiera puede configurarlas con los conocimientos y el hardware adecuados. Poner en funcionamiento las VLAN requiere investigación y tiempo. Al principio puede parecer abrumador y podrías tener algún problema por el camino, pero el resultado vale la pena. Con mi propia configuración, puedo proporcionar acceso Wi-Fi a visitas, aislar las transmisiones de mis cámaras IP, evitar que los dispositivos IoT se comuniquen en ubicaciones no deseadas y tener más control sobre lo que sucede en la red.
Los comentarios están cerrados.