تأمين منزلي الذكي وحماية خصوصية العائلة باستخدام شبكات VLAN

المنزل الذكي هو إنجاز رائع بكل المقاييس عند اكتمال تجهيزه. بمجرد إنشاء شبكة وإضافة بعض الأجهزة، ستحصل على حل مقنع للغاية. ولكن للارتقاء بهذا إلى المستوى التالي، ستحتاج على الأرجح إلى إضافة المزيد من الأجهزة، ولكن كلما زاد عدد أجهزة المنزل الذكي التي يتم تفعيلها، كلما ازدحمت شبكة منزلك. ثم هناك أيضًا خطر وصول الأشخاص إلى أجهزة منزلك الذكي دون موافقة. يمكن معالجة كل هذا من خلال شبكات LAN افتراضية (VLANs)، وهي تمامًا كما تبدو.

يمكن أن تتراوح أجهزة المنزل الذكي من المصابيح والمقابس إلى مكبرات الصوت وأجهزة استشعار الإنذار، بالإضافة إلى كل شيء بينهما. إذا كانت لديها إمكانات لاسلكية، فهناك فرصة جيدة لاستخدامها كجزء من إعداد منزلك الذكي. هذه الأجهزة رائعة لتحسين حياتك، ولكنها قد تأتي مع بعض المخاطر. أولاً، هناك ثغرات في البرامج الثابتة، ثم جمع البيانات، وحتى شبكات الروبوتات والأطراف الخبيثة الأخرى التي يمكن أن تستخدم منزلك الذكي لإحداث فوضى. لهذا السبب قمت بالتحويل بسرعة إلى شبكات VLANs، ويجب عليك فعل ذلك أيضًا.

مخاطر بناء منزل ذكي

المزيد من الأجهزة ومخاطر الاختراقات الأمنية

أنا لا أقترح أن جميع أجهزة منزلك الذكي التي تم شراؤها حديثًا غير آمنة بطبيعتها، ولكنها عرضة للهجمات، واعتمادًا على العلامة التجارية، فهي عرضة لثغرات البرامج الثابتة. غالبًا ما توجد هذه الأجهزة بسعر منخفض، ويرجع ذلك إلى حد كبير إلى تصميمها وتصنيعها ودعمها الميسور التكلفة. يمكن جمع بيانات القياس عن بعد وإرسالها إلى خوادم الشركة المصنعة، ولا يوجد ضمان بأنها ستطرح تصحيحات أمنية وتحديثات للبرامج الثابتة.

تمامًا مثل جهاز الكمبيوتر على شبكة منزلك، يمكن أن يصبح كل جهاز من أجهزة المنزل الذكي هذه نقطة دخول جديدة للمهاجمين. تخيل عدد الأجهزة لديك مع نظام إنذار كامل مدمج في Home Assistant مع مكبرات صوت ذكية وإضاءة وأجهزة استشعار ومقابس والمزيد. يمكن أن يصبح الأمر أشبه بالمتاهة، وهي مشكلة أخرى تتعلق بإنترنت الأشياء وأجهزة المنزل الذكي. يمكن لهذه الأجهزة أن تتنافس حقًا على الشبكة اللاسلكية وخادم DHCP، إذا كان الكثير منها يتطلب عنوان IP محلي.

أخذت هذا الأمر في الاعتبار عند التخطيط لترقية المنزل الذكي. تمامًا كما تفعل مع أجهزة الضيوف، يمكن تقسيمها داخل نفس الشبكة المحلية لحماية كل شيء آخر على الشبكة. قمت بسرعة بإعداد شبكة VLAN للضيوف لتوفير الوصول لأي شخص يزور منزلنا إلى العالم الخارجي، ولكنهم غير قادرين على الاتصال بأي خدمات مستضافة محليًا دون الحصول على إذن. الشيء نفسه ينطبق على أجهزة المنزل الذكي، ولهذا السبب أنشأت شبكة VLAN خاصة بها، وقد يكون من الجيد أن تحذو حذوي.

كيف تحل شبكات VLAN كل شيء (تقريبًا)

العالم السحري لروابط الشبكة الافتراضية

الشبكة المحلية الافتراضية هي شبكة LAN تعمل فوق شبكة فعلية. إنها ببساطة طريقة منطقية لتقسيم شبكة فعلية، تتكون من المحولات ونقاط الوصول والجدران النارية وأجهزة التوجيه، إلى عدة مثيلات معزولة. يمكن تهيئة كل شبكة VLAN للعمل بشكل مستقل، مما يسمح لك بعزل أجهزة ونقاط معينة على الشبكة المحلية عن بعضها البعض. هذا لا يعني أنها غير متاحة تمامًا، حيث تتوفر جسور بين شبكات VLAN، إذا تم تهيئتها.

ما تفعله شبكات VLAN بشكل جيد هو السماح للأجهزة بالاتصال مباشرة عبر جهاز التوجيه أو الجدار الناري بالوجهات الخارجية دون أن تكون قادرة على الارتباط بأي شيء على الجانب الداخلي. إنه أمر رائع لإنشاء شبكات ضيوف داخل الشركات والفنادق وحتى منزلك. ولكن يمكن أن تكون شبكات VLAN مفيدة أيضًا لفصل أجهزة منزلك الذكي وإنترنت الأشياء عن بقية الشبكة. أنا أستخدم بالفعل عددًا قليلاً من شبكات VLAN في المنزل، واحدة للضيوف، وأخرى لكاميرات المراقبة، وثالثة لجميع الخوادم والبنية التحتية للشبكة.

يمكن اعتبار شبكة رابعة بمثابة مبالغة، ولكن الأمر يستحق التفكير فيه إذا كنت تريد الحفاظ على أمان شبكتك المحلية. يمكن وضع أجهزة إنترنت الأشياء على شبكة ضيوف مع قواعد وشروط محددة للسماح بدرجة معينة من الاتصال بين الأجهزة الموجودة على شبكات VLAN الأخرى، ولكن الهدف هو تقييد أجهزة إنترنت الأشياء قدر الإمكان، دون التأثير على الوظائف. بهذه الطريقة، يمكننا إضافة واستخدام أي معدات بأمان وتقليل القلق بشأن الدعم المهجور وتحديثات البرامج الثابتة المصابة والثقة في شركات متعددة لحماية منتجاتها (وشبكتك المحلية).

كل شيء يبدأ بخطة محكمة

ضع خريطة لشبكتك بأكملها

قبل الانتقال إلى استخدام شبكات VLAN أو حتى إضافة شبكة أخرى، مثلما فعلت في شبكتي، من الضروري رسم خريطة لشبكتك المحلية المنزلية (LAN). قم بتدوين جميع الأجهزة التي سيتم توصيلها بنقاط الوصول والمحولات وأجهزة التوجيه الخاصة بك. سجل عناوينها ليسهل معرفة الأجهزة التي تغطيها كل شبكة VLAN. هناك بعض المتطلبات، أولها وأهمها استخدام محولات مُدارة. لست بالضرورة بحاجة إلى محول شبكة، ولكن إذا كنت تستخدم واحدًا بالفعل على الشبكة المحلية، فلن يعمل مع شبكات VLAN إلا إذا كان يسمح بالوسم والفصل. المحولات غير المُدارة لا تفعل ذلك، للأسف.

بعد ذلك، ستحتاج إلى جهاز توجيه أو جدار حماية للتعامل مع شبكات VLAN. أنا أستخدم OPNsense وأوصي به بشدة. يجب أن يكون الوصول إلى واجهات الإدارة الخاصة بجميع نقاط الوصول والمحولات متاحًا أيضًا. مع توفر كل هذا، يمكن تكوين شبكات VLAN في غضون دقائق معدودة. أولاً، احتجت إلى إنشاء شبكة VLAN جديدة على جدار حماية OPNsense مع شبكة فرعية خاصة بها (192.168.20.0/24 بدلاً من 192.168.10.0/24، المستخدمة من قبل الشبكة المحلية الرئيسية). ثم، والأهم من ذلك، كان لا بد من إنشاء قواعد جدار الحماية.

سمحت هذه القواعد لأجهزة إنترنت الأشياء والعملاء الضيوف بالوصول إلى الإنترنت، ولكن ليس إلى أي مكان آخر على الشبكة. كما أنها تسمح لي بتكوين شبكات VLAN للسماح لأجهزة معينة، مثل خادم يقوم بتشغيل Home Assistant، بالاتصال بأجهزة معينة على شبكات VLAN أخرى، والتي قد تكون كاميرا أمان أو قابسًا ذكيًا. إحدى الخطوات التي كدت أن أنساها هذه المرة هي تكوين شبكة Wi-Fi SSD لمنتجات المنزل الذكي، والتي كانت سهلة باستخدام نظام EnGenius السحابي، ولكن قد يختلف الأمر باختلاف نقطة الوصول أو جهاز التوجيه الذي تحمله علامتك التجارية.

أحد الأشياء التي يجب ألا تنساها أبدًا هو اختبار العزل. لن يكون هناك ما هو أسوأ من تكوين جميع شبكات VLAN الخاصة بك وإعداد كل شيء، ثم تدرك أنه لا يعمل ويمكن للجميع التواصل بحرية. استخدم جهاز كمبيوتر أو أي جهاز آخر لإرسال اختبار اتصال (ping) إلى عناوين محددة على شبكات VLAN أخرى تعرف أنها تعمل ونشطة حاليًا. إذا كان كل شيء يعمل، فيجب أن تكون قادرًا على القيام بذلك فقط مع تطبيق القواعد وفقًا لذلك. بمجرد الانتهاء من ذلك، تمكنت مرة أخرى من الاستمتاع بشبكة LAN منفصلة حقًا وراحة البال.

شبكات VLAN للجميع

الشبكات الافتراضية ليست حكرًا على الشركات الكبرى أو المهووسين بالتكنولوجيا. أي شخص يمكنه إعدادها بالمعرفة والأجهزة المناسبة. الأمر يتطلب بعض البحث والوقت لتشغيل شبكات VLAN الخاصة بك. قد يبدو الأمر شاقًا في البداية، وقد تفسد شيئًا ما على طول الطريق، لكن النتيجة تستحق كل هذا العناء. في إعدادي الخاص، يمكنني توفير وصول Wi-Fi للضيوف الذين يزورونني، والحفاظ على عزل بث كاميرات IP الخاصة بي، ومنع أجهزة IoT من التواصل في أماكن غير مخصصة لها، والتحكم بشكل أكبر في ما يمكن أن يحدث على الشبكة.