スマートホームは、一度完全に稼働すれば、あらゆる点で驚異的な成果です。ネットワークを構築し、いくつかのデバイスを追加すれば、非常に魅力的なソリューションが完成します。しかし、それを次のレベルに引き上げるには、おそらくさらに多くのデバイスを追加する必要があり、スマートホームデバイスをアクティブにすればするほど、ホームネットワークは混雑してしまいます。さらに、誰かが許可なくスマートホームデバイスにアクセスするリスクもあります。これらすべては、次の方法で解決できます。 仮想LAN (VLAN) は、まさにその名の通りです。
スマートホームデバイスは、照明やコンセントからスピーカーや警報センサーまで、実に多岐にわたります。ワイヤレス機能があれば、スマートホームシステムの一部として活用される可能性が高くなります。これらのデバイスは生活をより豊かにしてくれる素晴らしいものですが、リスクも伴います。まず、ファームウェアの脆弱性、次にデータ収集、そしてボットネットなどの悪意のある第三者がスマートホームを悪用して大混乱を引き起こす可能性があります。だからこそ私はすぐにVLANに切り替えました。あなたもそうすべきです。
スマートホーム構築のリスク
さらにデバイスとセキュリティ侵害のリスク
新しく購入したスマートホームデバイスがすべて本質的に安全ではないと言っているわけではありませんが、攻撃に対して脆弱であり、ブランドによってはファームウェアの脆弱性も存在します。これらのデバイスは、主に手頃な価格の設計、製造、サポートのおかげで、多くの場合低価格で提供されています。テレメトリデータが収集され、メーカーのサーバーに送信される可能性があり、セキュリティパッチやファームウェアのアップデートがリリースされる保証はありません。
ホームネットワーク上のコンピューターと同様に、これらのスマートホームデバイスはそれぞれ、攻撃者にとって新たな侵入ポイントになる可能性があります。
家庭内ネットワーク上のコンピューターと同様に、これらのスマートホームデバイスはそれぞれ、攻撃者にとって新たな侵入口となる可能性があります。完全な警報システムが組み込まれたデバイスがどれだけあるか想像してみてください。 ホームアシスタント スマートスピーカー、照明、センサー、プラグなど、IoT(モノのインターネット)やスマートホームデバイスが複雑に絡み合うことで、ネットワークが複雑に絡み合う可能性があります。これらのデバイスがローカルIPアドレスを必要とする場合、無線ネットワークとDHCPサーバーの競合が激化します。
スマートホームのアップグレードを計画する際に、この点を考慮しました。ゲストデバイスと同様に、同じローカルネットワーク内でパーティション分割することで、ネットワーク上の他のすべてのデバイスを保護できます。すぐに設定しました。 ゲストVLAN 我が家を訪れる人が外の世界にアクセスできるようにするため、許可なくローカルでホストされているサービスに接続できないようにしています。スマートホームデバイスについても同様です。そのため、スマートホームデバイス用にプライベートVLANを作成しました。スマートホームデバイスにも同様の対策を講じると良いかもしれません。
VLANが(ほぼ)すべてを解決する方法
仮想プライベートネットワークの魔法の世界
仮想LAN(VLAN)とは、物理ネットワーク上で動作するLANです。スイッチ、アクセスポイント、ファイアウォール、ルーターなどで構成される物理ネットワークを、複数の独立したインスタンスに論理的に分割する仕組みです。各VLANは独立して動作するように設定できるため、LAN上の特定のデバイスやポイントを相互に分離できます。ただし、VLANが完全に使用できなくなるわけではありません。設定すれば、VLAN間のブリッジングも可能です。
VLANの優れた点は、デバイスがルーターやファイアウォールを介して外部の宛先に直接接続できる一方で、内部のネットワークに接続できないことです。企業、ホテル、さらには自宅でゲストネットワークを構築するのに最適です。また、VLANはスマートホームデバイスやIoTデバイスをネットワークの他の部分から分離するのにも役立ちます。私は自宅で既にいくつかのVLANを使用しています。1つはゲスト用、もう1つは そして監視カメラ用も、そしてすべてのサーバーとネットワーク インフラストラクチャ用の 3 つ目の領域があります。
4つ目のVLANは過剰に思えるかもしれませんが、ローカルネットワークのセキュリティを維持したいのであれば検討する価値はあります。IoTデバイスをゲストネットワークに配置し、特定のルールと条件を適用することで、他のVLAN上のデバイスとの通信をある程度許可することは可能ですが、機能に影響を与えずにIoTデバイスを可能な限り制限することが目標です。これにより、あらゆる機器を安全に追加・使用でき、サポートの期限切れ、マルウェアに感染したファームウェアアップデート、そして複数の企業に製品(およびローカルネットワーク)の保護を委託することへの不安を軽減できます。
すべてはしっかりとした計画から始まります。
ネットワーク全体をマップする
VLANの使用や、私のネットワークで行ったようにVLANを追加する前に、自宅のローカルエリアネットワーク(LAN)をマッピングすることが重要です。アクセスポイント、スイッチ、ルーターに接続するすべてのデバイスを書き留めておきましょう。それぞれのアドレスを記録しておくと、どのデバイスがどのVLANでカバーされているかが簡単に分かります。いくつかの要件がありますが、最も重要なのはマネージドスイッチを使用することです。 必要 ネットワーク スイッチに接続しますが、ローカル ネットワークで既にネットワーク スイッチを使用している場合は、タグ付けと分離が許可されない限り、VLAN では機能しません。 非管理型スイッチ 残念ながら、そんなことはしないでください。
次に、VLANを扱うためのルーターまたはファイアウォールが必要です。私はOPNsenseを使用しており、強くお勧めします。すべてのアクセスポイントとスイッチの管理インターフェースへのアクセスも利用可能である必要があります。これらをすべて準備すれば、VLANの設定はわずか数分で完了します。まず、OPNsenseファイアウォール上に、専用のサブネット(メインLANで使用されている192.168.20.0/24ではなく、192.168.10.0/24)を持つ新しいVLANを作成する必要がありました。次に、そして最も重要なのは、ファイアウォールルールを作成することです。
VLAN の使用に進む前、または私のネットワークで行ったように別の VLAN を追加する前に、自宅のローカル エリア ネットワーク (LAN) をマッピングする必要があります。
これらのルールにより、IoTデバイスとゲストクライアントはインターネットへのアクセスを許可しましたが、ネットワーク上の他の場所へのアクセスは許可しませんでした。また、Home Assistantを実行しているサーバーなどの特定のデバイスが、セキュリティカメラやスマートプラグなど、他のVLAN上の特定のデバイスと通信できるようにVLANを設定することもできました。今回、私が忘れそうになった手順の一つは、スマートホーム製品用のWi-Fi SSDネットワークの設定でした。これはEnGeniusクラウドシステムを使えば簡単に設定できましたが、アクセスポイントやルーターのブランドによって手順が異なる可能性があります。
絶対に忘れてはいけないのが、分離テストです。すべてのVLANを設定・セットアップしたにもかかわらず、動作せず、誰もが自由に通信できてしまうことに気づくほど最悪なことはありません。コンピューターなどのデバイスを使って、動作していることが分かっている他のVLAN上の特定のアドレスにpingを送信してみましょう。すべてがうまくいけば、ルールを適切に適用するだけでpingを実行できるはずです。このテストが完了すれば、真に分離されたLANが再び構築され、安心して利用できるようになります。
すべてのVLAN
仮想ネットワークは、大企業や技術オタクだけのものではありません。適切な知識とハードウェアがあれば、誰でも設定できます。VLAN を実際に運用するには、ある程度の調査と時間がかかります。最初は難しそうに思えるかもしれませんし、途中で失敗することもあるでしょうが、その成果は十分に価値があります。私自身のセットアップでは、来客に Wi-Fi アクセスを提供し、IP カメラのブロードキャストを分離し、IoT デバイスが意図しない場所で通信するのを防ぎ、ネットワーク上で発生する事象をより細かく制御できるようになりました。
コメントは締め切りました。