Khi hệ thống nhà thông minh của tôi mới bắt đầu, nó chỉ có một vài thiết bị kết nối vào mạng, chủ yếu từ cùng một công ty, và việc quản lý khá đơn giản. Theo thời gian, số lượng thiết bị tăng lên đáng kể, đến mức tôi phải kết nối tất cả chúng vào một bộ điều khiển trung tâm nhà thông minh chạy Home Assistant vì tôi đã quá mệt mỏi với việc phải mở quá nhiều ứng dụng khác nhau.
Tuy nhiên, điều đó không giải quyết được tất cả các vấn đề về độ trễ và kết nối nhỏ nhặt mà tôi đã gặp phải. Tôi từng nghĩ đó là do chuyển đến nhà mới với kích thước khác biệt, và mọi thứ sẽ ổn định sau khi cắm điện. Nhưng sau khi tìm hiểu rằng các thiết bị IoT có thể gây “nhiễu” trên mạng, tôi quyết định phân đoạn chúng vào một VLAN riêng biệt khi nâng cấp thiết bị mạng. Và kết quả là, hầu hết các vấn đề đã biến mất khi chúng có một điểm truy cập (AP) 2.4GHz và một VLAN riêng để giao tiếp. Tôi vẫn còn một vài điều cần điều chỉnh, nhưng mạng gia đình của tôi đã hoạt động ổn định hơn rất nhiều, và giờ đây tôi muốn bổ sung thêm các VLAN cho các nhóm thiết bị chức năng khác trong nhà.
Phân đoạn mạng giúp nhà thông minh của tôi an toàn hơn
Cô lập thiết bị IoT trên VLAN riêng bảo vệ dữ liệu quý giá
Mặc dù bảo mật của các thiết bị IoT đã được cải thiện trong thời gian gần đây, đặc biệt với những thay đổi như yêu cầu đổi mật khẩu mặc định khi cài đặt, nhưng chúng vẫn chưa phải là tốt nhất về khả năng bảo mật. Tại sao chúng lại cần phải như vậy, khi mà phần cứng tương đối yếu và thường không có nhiều bộ nhớ hay sức mạnh tính toán? Càng đọc nhiều về các thiết bị nhà thông minh, tôi càng ít muốn chúng có mặt trên mạng chính của mình, nhưng sự tiện lợi mà chúng mang lại đã khiến tôi “mắc kẹt”.
Điều đó không có nghĩa là tôi phải chấp nhận rằng mạng của mình sẽ kém an toàn hơn. Thay vào đó, tôi đã chuyển tất cả chúng lên một VLAN chỉ chứa các thiết bị IoT khác, để giữ chúng cách xa các tệp riêng tư và các thiết bị của tôi cần truy cập internet với độ trễ thấp, băng thông cao.
Bộ chuyển đổi Sonoff Zigbee trước màn hình Home Assistant trên MacBook
Một số lợi ích chính đối với an ninh tổng thể của mạng gia đình tôi bao gồm:
- Cô lập các thiết bị dễ bị tấn công khỏi mạng chính.
- Nếu xảy ra vi phạm, nó giới hạn khả năng lây lan ngang (lateral movement).
- Giới hạn thiết bị nào có thể giao tiếp với mạng.
- Giữ các tệp riêng tư của tôi cách xa mạng IoT.
Và với Home Assistant để kết nối mọi thứ lại với nhau, tôi thậm chí không cần các thiết bị nhà thông minh của mình truy cập internet, vì tất cả chúng đều giao tiếp với máy chủ HAOS, sau đó máy chủ này sẽ nói chuyện với điện thoại thông minh và trợ lý giọng nói của tôi. Giờ đây mọi thứ đều tốt hơn rất nhiều, ngoại trừ việc tôi phải bỏ ra thêm một chút công sức để mọi thứ hoạt động chính xác.
Quản lý dễ dàng hơn và những lợi ích bất ngờ
Dễ dàng áp dụng chính sách mạng và giới hạn băng thông riêng cho IoT
Bây giờ khi các thiết bị IoT của tôi nằm trên một VLAN riêng, tôi có thể áp dụng các chính sách như danh sách kiểm soát truy cập (Access Control List – ACL) để đảm bảo không có gì khác được thêm vào VLAN đó trừ khi tôi phê duyệt. Hơn nữa, tôi có thể gán các quy tắc tường lửa chỉ áp dụng giữa VLAN đó và phần còn lại của mạng cũng như internet để biết lưu lượng truy cập nào đang đi đến đâu. Các gói bảo mật trên router của tôi có thể có một baseline tốt hơn cho việc sử dụng mạng “bình thường” để chúng có thể phát hiện lưu lượng truy cập bất thường hoặc trái phép nhanh hơn.
Việc quản lý tổng thể cũng dễ dàng hơn nhiều. Tôi có thể thấy tất cả các thiết bị IoT của mình trong một danh sách, vì vậy tôi biết thiết bị nào đang chiếm nhiều băng thông hơn, thiết bị nào có thể hoạt động không đúng cách, v.v.
Lợi ích ngoài mong đợi: Tăng tốc độ mạng tổng thể
Giữ tất cả các thiết bị IoT của tôi trên một VLAN chuyên dụng, với một radio 2.4GHz riêng biệt không chỉ giúp mạng gia đình an toàn hơn. Nó còn giúp mạng nhanh hơn, bằng cách chuyển tất cả các thiết bị “gây nhiễu” bằng các gói tin quảng bá (broadcast-packet-happy devices) ra khỏi các thiết bị tôi đang sử dụng tích cực và dễ nhận thấy độ trễ, như laptop, PC và điện thoại thông minh của tôi. Điều này là do tổng băng thông được chia sẻ liên tục giữa số lượng thiết bị kết nối Wi-Fi trên router, và thiết bị càng gây “nhiễu” thì càng chiếm nhiều băng thông hơn.
Router chơi game Asus ZenWifi trên cửa sổ
Ngoài ra, mỗi băng tần chỉ có thể hỗ trợ một số lượng thiết bị đồng thời nhất định, và các thiết bị chậm trên kết nối radio sẽ làm chậm những thiết bị khác. Việc đặt các thiết bị chậm vào radio riêng có nghĩa là các thiết bị nhanh hỗ trợ 5GHz và 6GHz có thể hoạt động nhanh hơn, vì chúng không bị chậm lại bởi “tiếng ồn” từ IoT.
Tuy nhiên, cần một chút công sức ban đầu
Thách thức với Port Tagging và quy tắc tường lửa
Việc thiết lập các VLAN, đảm bảo mỗi thiết bị được gắn vào đúng VLAN, và thêm các quy tắc tường lửa để giới hạn kết nối giữa chúng chỉ là một phần của quá trình. Tôi cũng phải đảm bảo rằng mỗi cổng trung kế VLAN (VLAN trunk port) được đặt để chỉ định những VLAN nào có thể đi qua nó, vì nếu để chúng ở chế độ ALL sẽ làm giảm sự cô lập giữa chúng. Chức năng định tuyến giữa các VLAN (Inter-VLAN routing) cũng bị tắt, ngoại trừ kết nối được tường lửa bảo vệ, để các ứng dụng trên điện thoại thông minh có thể xử lý các thiết bị IoT.
Giao diện công cụ cấu hình đám mây Zyxel Nebula hiển thị các VLAN đang được tạo
Các quy tắc tường lửa được thiết lập sao cho các thiết bị IoT không thể giao tiếp với bất cứ thứ gì bên ngoài VLAN của chúng trừ khi được yêu cầu trước, và ngay cả khi đó, chỉ các cổng cần thiết cho các thiết bị đó mới được phép cho lưu lượng truy cập từ mạng gia đình của tôi đi qua. Bằng cách đó, nó giảm khả năng lây lan nếu có bất kỳ sự cố bảo mật nào, giữ mọi thứ an toàn hơn. Luôn tốt nhất là bắt đầu từ các quy tắc hạn chế và nới lỏng chúng cho các mục đích sử dụng cụ thể.
Hình ảnh HomeAssistant Jukebox Helpers trên màn hình
Những thứ như ứng dụng điện thoại để quản lý thiết bị nhà thông minh cũng có các quy tắc tường lửa riêng, với địa chỉ MAC của các thiết bị đó được phép giao tiếp qua tường lửa. Điều này có nghĩa là tôi phải tắt tính năng ngẫu nhiên hóa MAC (MAC randomization) trên những chiếc điện thoại đó, nhưng tôi đã kết nối với mạng gia đình của mình, vì vậy điều đó đã hạn chế việc theo dõi bởi bên thứ ba.
Đặt nhà thông minh vào VLAN riêng là một quyết định thông minh
Nếu bạn có phần cứng để làm điều đó, việc đặt các thiết bị IoT của bạn vào mạng riêng biệt mang lại rất nhiều lợi ích. Điều này có thể được thực hiện bằng cách sử dụng mạng khách (guest network) trên router của bạn, trong trường hợp nó không hỗ trợ nhiều VLAN, điều này sẽ cách ly các thiết bị khách đó để chúng không thể truy cập thông tin riêng tư của bạn. Ngoài ra, tôi đặt VLAN đó trên băng tần 2.4GHz mà không có thiết bị nào khác kết nối, giữ cho các radio 5GHz và 6GHz trong các điểm truy cập của tôi luôn trống cho các thiết bị cần nhiều băng thông hơn, như máy tính và điện thoại của tôi.
Một giá mạng với các switch và thiết bị AVR
Tóm lại, việc phân đoạn mạng thông qua VLAN cho các thiết bị IoT không chỉ cải thiện đáng kể an ninh mạng gia đình mà còn nâng cao hiệu suất tổng thể, mang lại trải nghiệm sử dụng ổn định và an toàn hơn. Dù cần một chút công sức ban đầu để cấu hình, lợi ích lâu dài mà nó mang lại hoàn toàn xứng đáng. Hãy thử áp dụng giải pháp này để biến mạng nhà thông minh của bạn trở nên mạnh mẽ và đáng tin cậy hơn! Bạn có kinh nghiệm hay thắc mắc nào về VLAN cho thiết bị IoT không? Hãy chia sẻ ý kiến của bạn ở phần bình luận bên dưới nhé!
