Khi hệ thống nhà thông minh của tôi bắt đầu hình thành, chỉ có một vài thiết bị kết nối mạng, chủ yếu từ cùng một nhà sản xuất, và việc quản lý tương đối đơn giản. Theo thời gian, số lượng thiết bị tăng lên đáng kể, đến mức tôi đã kết nối tất cả chúng vào một bộ điều khiển trung tâm nhà thông minh chạy Home Assistant vì tôi quá mệt mỏi với việc phải mở nhiều ứng dụng khác nhau.
Tuy nhiên, điều đó không giải quyết được tất cả các vấn đề về độ trễ và các sự cố kết nối nhỏ mà tôi gặp phải – những vấn đề mà tôi từng nghĩ là do chuyển đến một ngôi nhà mới với cấu trúc khác biệt, nên sẽ cần thời gian điều chỉnh sau khi mọi thứ được cắm vào. Tôi đã đọc được rằng các thiết bị IoT có thể gây “nhiễu” trên mạng, vì vậy tôi quyết định phân đoạn chúng vào một VLAN riêng khi tôi nâng cấp một số thiết bị mạng mới. Và bạn biết không? Hầu hết các vấn đề đã biến mất ngay khi chúng có một điểm truy cập (AP) 2.4GHz và một VLAN riêng để giao tiếp. Mặc dù vẫn còn một vài điều cần tinh chỉnh, nhưng mạng gia đình của tôi đã hoạt động ổn định hơn rất nhiều, và giờ đây tôi muốn thêm nhiều VLAN hơn cho các nhóm thiết bị chức năng khác trong nhà.
Thiết bị Sonoff Zigbee trước màn hình Home Assistant trên MacBook, minh họa việc quản lý thiết bị nhà thông minh
Phân Đoạn Mạng Tăng Cường Bảo Mật Cho Nhà Thông Minh
Cách ly thiết bị IoT khỏi dữ liệu cá nhân quan trọng của bạn
Mặc dù bảo mật của các thiết bị IoT đã được cải thiện trong thời gian gần đây, đặc biệt với những thay đổi như nhắc nhở thay đổi thông tin đăng nhập mặc định khi cài đặt, chúng vẫn chưa phải là tốt nhất về khả năng giữ an toàn. Tại sao chúng phải như vậy, khi phần cứng tương đối yếu và thường không có nhiều bộ nhớ hay sức mạnh tính toán? Càng đọc về các thiết bị nhà thông minh, tôi càng muốn chúng không nằm trên mạng gia đình của mình, nhưng sự tiện lợi mà chúng mang lại đã khiến tôi bị cuốn hút.
Điều đó không có nghĩa là tôi phải chấp nhận rằng mạng của mình sẽ kém an toàn hơn. Thay vào đó, tôi đã chuyển tất cả chúng lên một VLAN chỉ có các thiết bị IoT khác, để giữ chúng tránh xa các tệp riêng tư và các thiết bị cần truy cập internet độ trễ thấp, băng thông cao.
Một số lợi ích chính đối với bảo mật tổng thể của mạng gia đình tôi bao gồm:
- Cô lập các thiết bị dễ bị tấn công khỏi mạng chính của tôi.
- Nếu xảy ra vi phạm, nó giới hạn sự lây lan ngang (lateral movement).
- Giới hạn thiết bị nào có thể giao tiếp với mạng.
- Giữ các tệp riêng tư của tôi tránh xa mạng IoT.
Và với Home Assistant để kết nối mọi thứ, tôi thậm chí không cần các thiết bị nhà thông minh của mình truy cập internet, vì tất cả chúng đều giao tiếp với máy chủ HAOS, sau đó máy chủ này sẽ giao tiếp với điện thoại thông minh và trợ lý giọng nói của tôi. Giờ đây, mọi thứ đã tốt hơn rất nhiều, ngoài việc tôi phải tốn thêm một chút công sức để thiết lập mọi thứ hoạt động chính xác.
Bộ định tuyến Asus ZenWifi, biểu tượng cho thiết bị mạng mạnh mẽ hỗ trợ phân đoạn VLAN để tăng cường bảo mật
Quản Lý Mạng Dễ Dàng Hơn Với VLAN
Thiết lập chính sách mạng và kiểm soát băng thông riêng biệt
Giờ đây, khi các thiết bị IoT của tôi nằm trên một VLAN riêng, tôi có thể áp dụng các chính sách như danh sách kiểm soát truy cập (Access Control Lists) để đảm bảo không có gì khác được thêm vào VLAN đó trừ khi tôi phê duyệt. Hơn nữa, tôi có thể gán các quy tắc tường lửa chỉ áp dụng giữa VLAN đó với phần còn lại của mạng và internet, giúp tôi biết được lưu lượng truy cập đi đến đâu. Các gói bảo mật trên router của tôi có thể có một nền tảng tốt hơn cho việc sử dụng mạng “bình thường” để chúng có thể phát hiện lưu lượng bất thường hoặc trái phép nhanh hơn.
Nhìn chung, việc quản lý cũng dễ dàng hơn. Tôi có thể thấy tất cả các thiết bị IoT của mình trong một danh sách, giúp tôi biết thiết bị nào đang chiếm nhiều băng thông hơn, thiết bị nào có thể đang hoạt động bất thường, v.v.
Lợi ích bất ngờ: Cải thiện hiệu suất mạng tổng thể
Việc giữ tất cả các thiết bị IoT trên một VLAN chuyên dụng, với một sóng vô tuyến 2.4GHz riêng biệt không chỉ làm cho mạng gia đình của tôi an toàn hơn mà còn làm cho nó nhanh hơn. Điều này là do tất cả các thiết bị “ồn ào” với gói tin broadcast đã được chuyển khỏi các thiết bị mà tôi chủ động sử dụng và nhận thấy sự chậm lại, như laptop, PC và điện thoại thông minh. Tổng băng thông luôn được chia sẻ giữa số lượng thiết bị kết nối Wi-Fi trên một router, và thiết bị càng “ồn ào” thì càng chiếm nhiều băng thông hơn.
Hơn nữa, mỗi băng tần chỉ có thể hỗ trợ một số lượng thiết bị đồng thời nhất định, và các thiết bị chậm trên kết nối vô tuyến làm cho mọi thiết bị khác chậm lại. Việc đặt các thiết bị chậm vào sóng vô tuyến của riêng chúng có nghĩa là các thiết bị nhanh hỗ trợ 5GHz và 6GHz có thể hoạt động nhanh hơn, vì chúng không bị chậm lại bởi “tiếng ồn” từ các thiết bị IoT.
Giao diện Home Assistant Jukebox Helpers, thể hiện khả năng quản lý và tự động hóa các thiết bị trong nhà thông minh
Những Thách Thức Ban Đầu Khi Triển Khai
Cấu hình port tagging và quy tắc tường lửa đòi hỏi sự tỉ mỉ
Giao diện công cụ cấu hình đám mây Zyxel Nebula, minh họa quá trình tạo và quản lý các VLAN trên bộ chuyển mạch
Thiết lập các VLAN, đảm bảo mỗi thiết bị được gắn vào đúng VLAN, và thêm các quy tắc tường lửa để giới hạn kết nối giữa chúng chỉ là một phần của quá trình. Tôi cũng phải đảm bảo rằng mỗi cổng trunking VLAN được thiết lập để chỉ định VLAN nào có thể đi qua nó, vì để chúng ở chế độ ALL sẽ làm giảm sự cô lập giữa chúng. Chuyển hướng giữa các VLAN (Inter-VLAN routing) cũng bị tắt, ngoại trừ kết nối có tường lửa, để các ứng dụng điện thoại thông minh có thể xử lý các thiết bị IoT.
Các quy tắc tường lửa được thiết lập để các thiết bị IoT không thể giao tiếp với bất kỳ thứ gì bên ngoài VLAN của chúng trừ khi được truy vấn trước, và ngay cả khi đó, chỉ các cổng cần thiết cho các thiết bị đó mới được phép cho lưu lượng truy cập từ mạng gia đình của tôi đi qua. Bằng cách đó, nó giảm khả năng lây lan của bất kỳ mối đe dọa nào nếu một thiết bị bị xâm phạm, giữ mọi thứ an toàn hơn. Tốt nhất là luôn bắt đầu từ một vị trí với các quy tắc hạn chế và nới lỏng chúng cho các mục đích sử dụng cụ thể.
Những thứ như ứng dụng điện thoại để quản lý thiết bị nhà thông minh cũng có các quy tắc tường lửa riêng, với địa chỉ MAC của các thiết bị đó được phép giao tiếp qua tường lửa. Điều này có nghĩa là tôi phải tắt tính năng ngẫu nhiên hóa MAC trên các điện thoại đó, nhưng tôi đã kết nối với mạng gia đình của mình, vì vậy điều đó đã hạn chế việc theo dõi của bên thứ ba.
Tủ mạng chứa nhiều bộ chuyển mạch (switch) và thiết bị mạng khác, đại diện cho hạ tầng cần thiết để triển khai VLAN
Đặt nhà thông minh trên VLAN riêng là một bước đi thông minh
Nếu bạn có phần cứng để làm điều đó, đặt các thiết bị IoT của bạn trên mạng riêng là cực kỳ có lợi. Điều này có thể được thực hiện bằng cách sử dụng mạng khách trên router của bạn, trong trường hợp nó không hỗ trợ nhiều VLAN, điều này sẽ phân tách các thiết bị khách đó để chúng không thể tiếp cận thông tin cá nhân của bạn. Hơn nữa, tôi có VLAN đó trên băng tần 2.4GHz mà không có thiết bị nào khác được kết nối, giữ cho các sóng vô tuyến 5GHz và 6GHz trong các điểm truy cập của tôi luôn trống cho các thiết bị cần nhiều băng thông hơn, như máy tính và điện thoại. Hãy chia sẻ kinh nghiệm của bạn về việc tối ưu mạng nhà thông minh trong phần bình luận bên dưới nhé!