Khi mới bắt đầu, hệ thống nhà thông minh (smart home) của tôi khá đơn giản, chỉ với vài thiết bị kết nối và phần lớn đến từ cùng một nhà sản xuất. Việc quản lý chúng khi đó cũng không có gì phức tạp. Tuy nhiên, theo thời gian, số lượng thiết bị tăng lên đáng kể, đến mức tôi phải kết nối tất cả chúng vào một trung tâm điều khiển smart home chạy Home Assistant. Lý do là tôi đã quá mệt mỏi với việc phải “nhảy” qua lại giữa hàng tá ứng dụng khác nhau. Mặc dù vậy, điều này vẫn không khắc phục được hoàn toàn các vấn đề về tốc độ chậm và một số sự cố kết nối nhỏ khác mà tôi từng nghĩ là do chuyển nhà với kích thước khác biệt. Tôi đã đọc được rằng các thiết bị IoT có thể gây “nhiễu” đáng kể cho mạng, vì vậy tôi quyết định phân đoạn chúng vào một VLAN riêng khi nâng cấp một số thiết bị mạng mới. Và bạn biết không? Hầu hết các vấn đề đã biến mất sau khi các thiết bị IoT có điểm truy cập (AP) 2.4GHz và VLAN riêng để giao tiếp. Tôi vẫn còn vài thứ cần điều chỉnh, nhưng mạng gia đình của tôi đã hoạt động ổn định hơn rất nhiều, và giờ đây tôi muốn bổ sung thêm các VLAN cho những nhóm thiết bị chức năng khác trong nhà.
Phân Đoạn Mạng Giúp Smart Home An Toàn Hơn
Cô Lập Thiết Bị IoT Trên VLAN Riêng Bảo Vệ Dữ Liệu Cá Nhân
Mặc dù bảo mật của các thiết bị IoT đã được cải thiện trong thời gian gần đây, đặc biệt với những thay đổi như nhắc nhở đổi thông tin đăng nhập mặc định khi cài đặt, chúng vẫn chưa phải là những “ngôi sao” về độ an toàn. Tại sao lại phải như vậy, khi phần cứng của chúng tương đối yếu và thường không có nhiều dung lượng lưu trữ hay sức mạnh tính toán? Càng đọc về các thiết bị nhà thông minh, tôi càng ít muốn chúng nằm trên mạng chính của mình, nhưng sự tiện lợi mà chúng mang lại đã khiến tôi không thể từ bỏ.
Điều này không có nghĩa là tôi phải chấp nhận rằng mạng của mình sẽ kém an toàn hơn. Thay vào đó, tôi đã di chuyển tất cả chúng sang một VLAN chỉ dành cho các thiết bị IoT khác, để giữ chúng tránh xa các tệp riêng tư và các thiết bị cần truy cập internet với độ trễ thấp, băng thông cao.
Sonoff Zigbee dongle kết nối với Home Assistant trên MacBook, minh họa quản lý thiết bị smart home
Một số lợi ích chính đối với bảo mật tổng thể của mạng gia đình bao gồm:
- Cô lập các thiết bị dễ bị tấn công khỏi mạng chính của tôi.
- Nếu có sự cố xâm nhập, nó hạn chế khả năng lây lan ngang.
- Giới hạn thiết bị nào có thể giao tiếp với mạng.
- Giữ các tệp riêng tư của tôi tránh xa mạng IoT.
Và với Home Assistant để kết nối mọi thứ lại với nhau, tôi thậm chí không cần các thiết bị smart home của mình truy cập internet, vì tất cả chúng đều giao tiếp với máy chủ HAOS, sau đó máy chủ này mới giao tiếp với điện thoại thông minh và trợ lý giọng nói của tôi. Giờ đây, mọi thứ đã tốt hơn rất nhiều, ngoại trừ việc tôi phải bỏ ra một chút công sức ban đầu để mọi thứ hoạt động chính xác.
Quản Lý Dễ Dàng Hơn và Mang Lại Lợi Ích Bất Ngờ
Áp Dụng Chính Sách Riêng Biệt & Giới Hạn Băng Thông Cho VLAN IoT
Giờ đây, khi các thiết bị IoT đã nằm trên một VLAN riêng, tôi có thể áp dụng các chính sách như danh sách kiểm soát truy cập (access control lists) để đảm bảo không có gì khác được thêm vào VLAN đó trừ khi tôi phê duyệt. Hơn nữa, tôi có thể gán các quy tắc tường lửa (firewall rules) chỉ áp dụng giữa VLAN đó với phần còn lại của mạng và internet, để tôi biết lưu lượng nào đang đi đâu. Các gói bảo mật trên router của tôi có thể có một “đường cơ sở” tốt hơn cho việc sử dụng mạng “bình thường” để chúng có thể phát hiện lưu lượng bất thường hoặc trái phép nhanh hơn.
Việc quản lý cũng trở nên dễ dàng hơn rất nhiều. Tôi có thể xem tất cả các thiết bị IoT của mình trong một danh sách, để biết thiết bị nào đang chiếm nhiều băng thông hơn, thiết bị nào có thể đang hoạt động không đúng cách, v.v.
Lợi Ích Bất Ngờ: Tăng Tốc Độ Mạng Chung
Việc giữ tất cả các thiết bị IoT của tôi trên một VLAN chuyên dụng, với một sóng vô tuyến 2.4GHz chuyên dụng, không chỉ làm cho mạng gia đình của tôi an toàn hơn mà còn giúp nó nhanh hơn. Điều này là do tất cả các thiết bị “gây ồn” bằng gói tin quảng bá đã được chuyển ra khỏi các thiết bị mà tôi chủ động sử dụng và nhận thấy sự chậm lại, như laptop, PC và điện thoại thông minh. Tổng băng thông luôn được chia sẻ giữa số lượng thiết bị Wi-Fi được kết nối với router, và thiết bị càng “ồn” thì càng chiếm nhiều băng thông.
Router Asus ZenWifi Gaming, thiết bị mạng hiệu suất cao hỗ trợ VLAN
Ngoài ra, mỗi băng tần chỉ có thể hỗ trợ một số lượng thiết bị đồng thời nhất định, và các thiết bị chậm trên kết nối vô tuyến làm chậm mọi thiết bị khác. Việc đặt các thiết bị chậm vào sóng vô tuyến riêng của chúng có nghĩa là các thiết bị nhanh hỗ trợ 5GHz và 6GHz có thể hoạt động nhanh hơn, vì chúng không bị chậm lại bởi “tiếng ồn” từ IoT.
Giao diện Home Assistant với các tùy chọn điều khiển Jukebox, minh họa khả năng tự động hóa và quản lý smart home
Thách Thức Ban Đầu và Công Việc Cần Thực Hiện
Cấu Hình Port Tagging và Quy Tắc Tường Lửa Yêu Cầu Nỗ Lực Nhất Định
Thiết lập các VLAN, đảm bảo mỗi thiết bị được gắn vào đúng VLAN, và thêm các quy tắc tường lửa để giới hạn kết nối giữa chúng chỉ là một phần của quá trình. Tôi cũng phải đảm bảo mỗi cổng trunk VLAN được đặt để chỉ định những VLAN nào có thể truyền qua nó, vì để chúng ở chế độ ALL sẽ làm giảm sự cô lập giữa chúng. Định tuyến liên-VLAN (Inter-VLAN routing) cũng đã được tắt, ngoại trừ kết nối được tường lửa bảo vệ, để các ứng dụng điện thoại thông minh có thể xử lý các thiết bị IoT.
Công cụ cấu hình đám mây Zyxel Nebula hiển thị giao diện tạo và quản lý VLAN, minh họa thiết lập mạng
Các quy tắc tường lửa được thiết lập để các thiết bị IoT không thể giao tiếp với bất cứ thứ gì bên ngoài VLAN của chúng trừ khi được truy vấn trước, và ngay cả khi đó, chỉ những cổng cần thiết cho các thiết bị đó mới được phép truyền lưu lượng từ mạng gia đình của tôi. Bằng cách đó, nó giảm khả năng lây lan của bất kỳ thứ gì nếu có sự cố xâm nhập, giữ mọi thứ an toàn hơn. Tốt nhất là luôn bắt đầu từ vị trí các quy tắc hạn chế và nới lỏng chúng cho các mục đích sử dụng cụ thể.
Những thứ như ứng dụng điện thoại để quản lý thiết bị smart home cũng nhận được các quy tắc tường lửa riêng, với địa chỉ MAC của các thiết bị đó được phép giao tiếp qua tường lửa. Điều này có nghĩa là tôi phải tắt tính năng ngẫu nhiên hóa MAC trên các điện thoại đó, nhưng tôi đang kết nối với mạng gia đình của mình, vì vậy điều đó đã hạn chế việc theo dõi của bên thứ ba.
Cận cảnh tủ mạng với nhiều switch và thiết bị AVR, tượng trưng cho hệ thống mạng phức tạp
Đưa Smart Home Vào VLAN Riêng Là Bước Đi Thông Minh
Nếu bạn có phần cứng để làm như vậy, việc đưa các thiết bị IoT của bạn vào mạng riêng biệt mang lại nhiều lợi ích lớn. Điều này có thể được thực hiện bằng cách sử dụng mạng khách (guest network) trên router của bạn, trong trường hợp nó không hỗ trợ nhiều VLAN, cách này cũng giúp cô lập các thiết bị khách để chúng không thể tiếp cận thông tin riêng tư của bạn. Hơn nữa, tôi có VLAN đó trên một băng tần 2.4GHz mà không có thiết bị nào khác kết nối, giữ cho các sóng vô tuyến 5GHz và 6GHz trong điểm truy cập của tôi luôn trống để dành cho các thiết bị cần nhiều băng thông hơn, như máy tính và điện thoại. Nếu bạn đang tìm kiếm một giải pháp để nâng cao bảo mật và hiệu suất cho mạng smart home của mình, việc áp dụng VLAN cho thiết bị IoT chắc chắn là một khoản đầu tư xứng đáng cả về thời gian và công sức.