Segmentacja sieci dla IoT: jak odizolować smart home od komputerów

Przez
Maria Kozłowski
-
0
54
Rate this post

Nawigacja:

Dlaczego w ogóle izolować IoT od reszty sieci

Charakterystyka urządzeń IoT: wygoda kosztem bezpieczeństwa

Domowy smart home to mieszanka sprzętów o bardzo różnym poziomie jakości i bezpieczeństwa. Z jednej strony są urządzenia dużych producentów, z długim wsparciem i w miarę przejrzystą polityką aktualizacji. Z drugiej – tanie kamerki, gniazdka, żarówki czy „inteligentne” czajniki, gdzie priorytetem była cena i szybkie wprowadzenie produktu na rynek, a nie bezpieczeństwo.

Typowe cechy większości urządzeń IoT, które z punktu widzenia sieci są kłopotliwe:

  • rzadkie lub żadne aktualizacje – firmware bywa aktualizowany tylko przez rok czy dwa, a potem producent „zapomina” o produkcie, mimo że stoi on w domu jeszcze przez długie lata,
  • zamknięte, mało transparentne oprogramowanie – brak możliwości sprawdzenia, co dokładnie robi urządzenie, jakie usługi nasłuchują, jakie dane są wysyłane do chmury,
  • silna zależność od chmury producenta – część urządzeń bez połączenia z zewnętrznym serwerem praktycznie nie działa; komunikacja jest szyfrowana, ale to niewiele mówi o tym, co przesyłają,
  • długi cykl życia w domu – wymiana żarówki czy kamerki co rok jest mało realna; nawet stary i dziurawy sprzęt będzie działał „bo świeci i nagrywa”,
  • niska moc obliczeniowa – często nie ma zasobów na zaawansowane mechanizmy bezpieczeństwa, a czasem nawet na prostą weryfikację certyfikatu TLS.

W praktyce oznacza to, że prędzej czy później część urządzeń IoT w domu będzie działać na podatnym, nieaktualnym oprogramowaniu. Nie musi to od razu oznaczać katastrofy, ale mocno zmienia sposób, w jaki trzeba patrzeć na całą sieć domową.

Konsekwencje braku segmentacji: jeden słaby punkt, cały dom otwarty

Największym błędem jest traktowanie wszystkich urządzeń w domu jako równorzędnych i w pełni zaufanych. Komputer z hasłami do banku, NAS z backupami, służbowy laptop z dostępem VPN do firmy i najtańsza chińska kamerka w tym samym LAN-ie, z pełną widocznością się nawzajem – to scenariusz, który atakujący wręcz uwielbiają.

Gdy urządzenie IoT zostanie przejęte, typowy ciąg dalszy wygląda tak:

  • atakujący przejmuje kontrolę nad małym sprzętem (kamerka, gniazdko, TV) – przez lukę w firmware, domyślne hasło, wystawiony panel WWW itp.,
  • następnie skanuje lokalną sieć, sprawdzając, jakie inne urządzenia są dostępne z tego samego segmentu,
  • próbuje „lateral movement” – przejścia z przejętego IoT dalej: na NAS, komputer domowy, router,
  • jeśli znajdzie otwarte udziały sieciowe, stare protokoły (SMBv1), niezałatane usługi, próbuje eksploatować kolejne luki.

Brak segmentacji powoduje, że z pozoru niegroźny incydent (kompromitacja odkurzacza Wi‑Fi) może skończyć się utratą danych z NAS-a, zaszyfrowaniem plików czy wpięciem domowej maszyny do botnetu. Różnica polega nie tylko na tym, czy urządzenie zostanie przejęte, ale przede wszystkim: co będzie mogło zrobić po przejęciu.

Bezpieczeństwo aplikacji kontra bezpieczeństwo sieci

Właściciele smart home często koncentrują się na bezpieczeństwie aplikacji: silne hasła, włączone 2FA do konta w chmurze, wyłączone logowanie z nieznanych lokalizacji. To potrzebne, ale dotyczy tylko jednej warstwy – logowania do systemu producenta lub aplikacji mobilnej.

Bezpieczeństwo sieciowe dotyczy czegoś innego:

  • które urządzenia widzą się nawzajem i mogą do siebie nawiązać połączenie,
  • jakie porty i protokoły są dozwolone między poszczególnymi segmentami,
  • czy atakujący, który już wszedł na jedno urządzenie, może bez przeszkód skanować i infekować resztę.

Można mieć perfekcyjnie zabezpieczone konto do aplikacji sterującej oświetleniem, a jednocześnie pozwalać tej samej żarówce komunikować się bez ograniczeń z komputerem, na którym trzymane są dokumenty firmowe. Z punktu widzenia segmentacji sieci jedno nie kompensuje drugiego.

Przykład z praktyki: odkurzacz Wi‑Fi jako punkt wejścia

Wyobraźmy sobie dość typowy układ: router od ISP, jedno Wi‑Fi dla wszystkiego, kilka laptopów, NAS z backupami, TV z funkcjami smart, robot sprzątający, parę kamer, kilka inteligentnych gniazdek. Wszystko w tej samej sieci /24, bez żadnych reguł.

Robot sprzątający ma funkcję zdalnego sterowania przez chmurę producenta. Producent przestaje aktualizować aplikację i firmware po dwóch latach, ale robot nadal działa – nikt go nie wymienia, bo „po co, skoro sprząta”. Po jakimś czasie okazuje się, że w oprogramowaniu są poważne luki i zaczyna się automatyczne skanowanie Internetu pod kątem podatnych urządzeń.

Gdy ktoś przejmie kontrolę nad takim odkurzaczem, ma pełen dostęp do lokalnej sieci: widzi NAS, laptopy, inne smart urządzenia. Może spróbować:

  • ataków na stare protokoły plików (SMB, FTP) na NAS,
  • wykorzystania znanych podatności w Windows lub macOS, jeśli nie są łatane,
  • skanowania pod kątem panelu konfiguracyjnego routera i spróbowania jego przejęcia,
  • instalacji narzędzi do dalszych ataków (proxy, skanery).

Gdyby ten sam robot siedział w wydzielonej podsieci IoT bez dostępu do LAN, konsekwencje byłyby innego rzędu: mógłby np. zostać wykorzystany jako element botnetu do DDoS, ale droga do dokumentów na NAS-ie byłaby zamknięta. Segmentacja nie usuwa wszystkich ryzyk, lecz ogranicza ich zasięg.

Podstawy segmentacji sieci w wersji domowej

Podstawowe pojęcia: LAN, podsieć, VLAN, strefy zaufania

Żeby sensownie planować izolację smart home, trzeba uporządkować kilka pojęć sieciowych – w prostym, domowym wydaniu.

  • LAN (Local Area Network) – lokalna sieć domowa, zwykle jedna podsieć typu 192.168.0.x lub 192.168.1.x, w której wszystkie urządzenia „widzą się” bezpośrednio.
  • Podsieć – logiczny fragment sieci IP, np. 192.168.10.0/24. Dwie różne podsieci IP nie komunikują się bezpośrednio – potrzebują routera, który będzie między nimi przekazywał ruch.
  • VLAN (Virtual LAN) – sposób na wydzielenie kilku „wirtualnych” sieci na tym samym fizycznym kablu/switchu. Urządzenia w różnych VLAN-ach są traktowane jakby były w osobnych sieciach fizycznych, dopóki router nie pozwoli im się komunikować.
  • Strefa zaufana / mniej zaufana – praktyczne podejście do bezpieczeństwa: np. komputery i NAS w bardziej zaufanej strefie, IoT i goście w strefach mniej zaufanych.

W domu nie trzeba budować korporacyjnego schematu z dziesiątkami VLAN-ów. Kluczowe jest oddzielenie tego, co krytyczne i ważne (komputery, backupy, sprzęt do pracy) od tego, co łatwo podatne i często w chmurze (smart TV, kamery, gniazdka, roboty, żarówki).

Fizyczne rozdzielenie a segmentacja logiczna

Istnieją dwie główne strategie separacji sieci:

  • Fizyczna separacja – osobny router lub access point dla IoT, inny dla komputerów. Sieci nie łączą się w ogóle, chyba że fizycznie podłączy się je w określony sposób.
  • Logiczna segmentacja – jeden zestaw sprzętu (router, switch, AP) obsługuje wiele sieci logicznych (VLAN, osobne SSID), a zasady ruchu są kontrolowane regułami na routerze/firewallu.

Fizyczna separacja jest prosta do zrozumienia, ale w praktyce niewygodna:

  • trzeba zarządzać dwoma zestawami urządzeń,
  • trudniej zapewnić dostęp telefonu do IoT (bo musi być w tej samej sieci),
  • często rodzi się pokusa „szybkiego mostkowania” sieci, co psuje cały zamysł.

Logiczna segmentacja (VLAN-y, wielokrotne SSID, sieć gościnna) jest bardziej elastyczna i skalowalna. Daje możliwość:

  • tworzenia kilku sieci na jednym fizycznym sprzęcie,
  • dokładnego sterowania, kto z kim może się komunikować,
  • łatwego dodawania nowych stref (np. sieć pracy zdalnej) bez dodatkowego routera.

W praktycznym, domowym scenariuszu najczęściej kończy się na połączeniu obu podejść: główny, sensowny router + logiczne segmenty (VLAN / gościnne SSID) z prostymi regułami dostępu.

Rola routera domowego: NAT, routing, firewall

Router domowy to punkt, w którym schodzą się wszystkie segmenty sieci. Pełni kilka ról na raz:

  • NAT (Network Address Translation) – mapuje prywatne adresy z LAN (192.168.x.x) na publiczny adres IP od dostawcy,
  • router – decyduje, jak przesyłać ruch między różnymi podsieciami (np. LAN <-> IoT VLAN <-> goście),
  • firewall – filtruje ruch według reguł: skąd–dokąd, jaki protokół, jaki port, dozwolone czy blokowane.

W kontekście segmentacji IoT to właśnie router jest kluczowym „organizatorem” bezpieczeństwa. To na nim definiuje się:

  • czy urządzenia z IoT mogą inicjować połączenia do LAN,
  • czy z LAN można inicjować połączenia do IoT (np. podgląd kamery),
  • czy sieć gościnna może dotykać czegokolwiek poza Internetem,
  • czy ruch IoT do Internetu jest jakoś ograniczony (np. tylko HTTP/HTTPS, blokady wybranych portów).

Bez routera z sensownym firewallem segmentacja kończy się na poziomie „niby osobna sieć Wi‑Fi, ale i tak wszystko się widzi”. To częsty przypadek prostych routerów ISP – mają sieć gościnną, ale bez realnej możliwości konfigurowania szczegółowych reguł.

Typowy router od ISP a router klasy „prosumer”

Sprzęt dostarczany przez dostawcę Internetu ma zwykle jedną zaletę: działa od razu po podłączeniu. Niestety, z perspektywy segmentacji IoT ma też sporo ograniczeń.

  • często oferuje tylko jedną główną sieć LAN,
  • sieć gościnna bywa szczątkowa: brak możliwości definiowania reguł, brak isolacji klientów w praktyce,
  • konfiguracja VLAN-ów jest niedostępna lub bardzo ograniczona,
  • firewall działa w trybie „wszystko z LAN może wszędzie”, bez zaawansowanych reguł.

Routery klasy „prosumer” (np. MikroTik, Ubiquiti, ASUS z alternatywnym firmware Merlin, czy dobre konstrukcje z OpenWrt) zwykle oferują:

  • obsługę wielu VLAN-ów i wielu SSID,
  • konfigurowalny firewall z regułami między segmentami,
  • lepsze możliwości monitorowania ruchu,
  • częstsze aktualizacje bezpieczeństwa.

Różnica polega nie tyle na „mocy Wi‑Fi” czy liczbie anten, ile na możliwości precyzyjnego kontrolowania ruchu. Dla segmentacji IoT to jest krytyczne.

Różne urządzenia smart home: żarówki, gniazdka i kamery na białym tle
Źródło: Pexels | Autor: Jakub Zerdzicki

Inwentaryzacja urządzeń i ryzyka – zanim cokolwiek ustawisz

Lista urządzeń IoT i sprzętu sieciowego w domu

Bez sensownej inwentaryzacji łatwo zaprojektować segmentację „w teorii”, która w praktyce okaże się niefunkcjonalna. Dobry punkt wyjścia to wypisanie wszystkiego, co komunikuje się po sieci w domu, nawet jeśli nie wygląda jak typowe IoT.

Typowe kategorie urządzeń:

  • klasyczne IoT: kamerki IP, dzwonki wideo, inteligentne gniazdka, żarówki, czujniki, roboty sprzątające,
  • multimedia: telewizory smart, Apple TV/Chromecast, konsole (PS/Xbox/Switch), amplitunery z siecią,
  • infrastruktura smart home: bramki Zigbee/Z-Wave, huby, kontrolery oświetlenia,
  • sprzęt drukujący: drukarki Wi‑Fi, urządzenia wielofunkcyjne,
  • komputery i urządzenia „produktywne”: laptopy, komputery stacjonarne, NAS, routery, serwery domowe,
  • urządzenia mobilne: smartfony, tablety, zegarki (po Wi‑Fi),
  • sprzęt służbowy: laptopy firmowe, telefony od pracodawcy, terminale, sprzęt VPN.

Do tego dochodzą elementy infrastruktury sieciowej: router główny, ewentualne switche, access pointy lub system mesh. Ten komplet będzie bazą pod projekt segmentacji.

Dwa kluczowe pytania dla każdego urządzenia

Dla każdego typu urządzenia, zamiast rozważać abstrakcyjne „bezpieczeństwo”, lepiej zadać sobie dwa konkretne pytania:

Jakie dane przetwarza urządzenie i co może się stać przy wycieku

Nie wszystkie sprzęty są tak samo „wrażliwe”. Część z nich, nawet jeśli zostaną przejęte, będą tylko kolejnym zombie w botnecie. Inne – otwierają drogę do danych osobowych, dokumentów, nagrań z domu.

Dla każdego urządzenia dobrze jest szczerze odpowiedzieć:

  • Jakie dane przez nie przechodzą? (obraz, dźwięk, dokumenty, hasła, konfiguracja systemu alarmowego).
  • Czy te dane są gdzieś logowane lub przechowywane? (dysk NAS, chmura producenta, karta SD, pamięć lokalna).
  • Kto ma do nich dostęp w razie przejęcia urządzenia? – tylko osoba z lokalnej sieci czy każdy, kto ma dostęp z Internetu.
  • Czy na tym urządzeniu jest jakakolwiek forma uwierzytelniania? (hasło, 2FA, unikalne konto) czy „wchodzi każdy z LAN”.

Przykład: inteligentny termostat zwykle nie ma bezpośredniego dostępu do dokumentów, ale już kamerka IP albo NVR z dyskiem – tak. Z punktu widzenia segmentacji to drugi typ powinien być bliżej strefy zaufanej i bardziej kontrolowany, mimo że nadal jest IoT.

Co urządzenie może zrobić „w drugą stronę” – przyczółek do ataku

Drugi aspekt to możliwości ofensywne przejętego sprzętu. Tu bardziej liczy się położenie w sieci i funkcje systemowe niż to, jak wygląda obudowa.

  • Czy urządzenie widzi inne hosty w sieci? – jeśli tak, może je skanować i próbować nowych ataków.
  • Czy ma otwarty shell/SSH/Telnet lub inne interfejsy administracyjne? – po przejęciu może służyć jako wygodny „most” dla atakującego.
  • Czy potrafi wysyłać ruch na dowolne porty w Internecie? – wtedy świetnie nadaje się na element botnetu.
  • Czy urządzenie ma uprawnienia do innych systemów? – np. integracja z asystentem głosowym, lokalnym brokerem MQTT, systemem alarmowym.

Tu często wychodzą niespodzianki: niepozorne gniazdko Wi‑Fi rzadko ma moc obliczeniową czy bogaty system, za to tani NVR z Linuxem i otwartym Telnetem – już tak. Z perspektywy segmentacji lepiej traktować takie urządzenia jak małe serwery, a nie „pudełko za 200 zł”.

Prosty podział: strefy o różnym poziomie zaufania

Zamiast tworzyć skomplikowane macierze ryzyko–prawdopodobieństwo, praktyczny domowy scenariusz to podział urządzeń na kilka koszyków:

  • Strefa krytyczna – komputery do pracy, NAS z backupami, kontrolery domowego serwera, sprzęt firmowy, bramki VPN.
  • Strefa „półzaufana” – telewizory smart, konsole, Apple TV/Chromecast, urządzenia, które są mocno chmurowe, ale jednocześnie często używane z telefonów i komputerów.
  • Strefa IoT niskiego zaufania – roboty, gniazdka, żarówki, tanie kamerki, wszelkie „chińskie pudełka” bez jasnej polityki aktualizacji.
  • Strefa gości – wszystko, czego nie kontrolujesz (telefony gości, laptopy z pracy kolegi, telewizor Airbnb, jeśli mieszkanie jest wynajmowane).

Taki podział nie musi być idealny. Ważniejsze, żeby był spójny i wykonalny na twoim sprzęcie, niż żeby spełniał każdy akademicki scenariusz ataku.

Sprzęt firmowy i praca zdalna – szczególny przypadek

Laptop służbowy to osobna kategoria. Z jednej strony bywa lepiej zabezpieczony (szyfrowanie dysku, EDR, aktualizacje), z drugiej – nie masz nad nim pełnej kontroli. Oprogramowanie firmowe, polityki, klient VPN, czasem dodatkowe agentu – to wszystko działa na zasadach ustalonych przez pracodawcę.

Typowe problemy:

  • laptop ma dostęp zarówno do sieci domowej, jak i przez VPN do sieci firmowej – tworzy potencjalny pomost,
  • część firmowych polityk zakłada, że komputer siedzi w „czystej” sieci, bez dziesiątek IoT,
  • nie możesz sam zainstalować dodatkowego oprogramowania ochronnego.

Rozsądne podejście: sprzęt firmowy traktować jak gościa o wyższych wymaganiach jakościowych. Często dobrym kompromisem jest osobna, mniej zaufana sieć Wi‑Fi dla sprzętu służbowego, która ma priorytet przepustowości, ale nie widzi reszty domowego LAN poza wybranymi usługami (np. drukarka).

Modele segmentacji dla domowego smart home – od najprostszych do zaawansowanych

Model 1: Jedna sieć z minimalną izolacją – co da się uratować bez wymiany sprzętu

W wielu mieszkaniach na starcie jest tylko router od ISP bez VLAN-ów. Nawet wtedy da się ograniczyć ryzyko, choć bez pełnej segmentacji. To jest poziom „nic nie zmieniam w kablach, tylko wprowadzam odrobinę porządku”.

  • Wyłącz zbyteczne usługi na routerze – zdalne zarządzanie z Internetu, UPnP (jeśli nie jest niezbędne), WPS.
  • Odseparuj najwrażliwsze urządzenia – NAS, serwer domowy, komputer do pracy najlepiej po kablu, na porcie LAN z wyłączonym plug-and-play typu IPTV itp.
  • Ustaw inne hasła Wi‑Fi dla „domu” i „gości” – nawet jeśli sieć gościnna nie jest idealnie izolowana, nie rozdajesz hasła do głównej sieci.
  • Ogranicz panel administracyjny routera tylko do jednego komputera, jeśli to możliwe (w niektórych routerach można to zrobić na podstawie adresu IP lub MAC).

To nie jest segmentacja w sensie ścisłym, ale dla wielu osób to pierwszy krok – przynajmniej nie wszystkie urządzenia mają tak samo łatwą drogę do newralgicznych zasobów.

Model 2: Sieć główna + Wi‑Fi dla gości jako uproszczone IoT

Drugi, częsty etap: wykorzystanie sieci gościnnej w roli „kosza na IoT”. Nie jest to idealne, bo router ISP rzadko daje pełną kontrolę reguł, ale w wielu domowych scenariuszach już daje zauważalny zysk.

Typowa konfiguracja wygląda tak:

  • LAN przewodowy + główne Wi‑Fi – komputery, NAS, drukarki, sprzęt do pracy.
  • Sieć Wi‑Fi „gość/IoT” – telewizory, roboty sprzątające, gniazdka, żarówki, konsole (jeśli nie potrzebujesz bezpośredniego dostępu z PC).

Warunki, żeby to miało sens:

  • sieć gościnna musi mieć włączoną izolację klientów (client isolation), przynajmniej wewnątrz własnego SSID,
  • powinna nie mieć dostępu do interfejsu zarządzania routerem,
  • jeśli router umożliwia – zablokuj z niej dostęp do lokalnej podsieci LAN.

Ograniczenia: niektóre urządzenia IoT wymagają, aby telefon konfiguracyjny był w tej samej sieci. Często da się to obejść tymczasowo – na czas konfiguracji wchodzisz do sieci IoT, ustawiasz sprzęt, a później wracasz na główne Wi‑Fi. Zdarzają się jednak konstrukcje, które w takim modelu zaczną sprawiać problemy. Tu pojawia się potrzeba bardziej elastycznych rozwiązań.

Model 3: Dwa logiczne segmenty w jednym routerze – podstawowy VLAN dla IoT

Gdy pojawia się router z obsługą VLAN-ów (lub alternatywny firmware typu OpenWrt), można już mówić o prawdziwej segmentacji. Minimalistyczny, a już sensowny podział to:

  • LAN domowy (VLAN 10, np. 192.168.10.0/24) – komputery, NAS, drukarki, sprzęt służbowy.
  • IoT (VLAN 20, np. 192.168.20.0/24) – wszystkie „pudełka” wymagające Internetu, ale niekoniecznie dostępu do LAN.

Do tego dwa SSID:

  • SSID „Dom” – przypięty do VLAN 10,
  • SSID „IoT” – przypięty do VLAN 20.

Kluczowe są reguły na firewallu routera:

  • IoT → LAN: domyślnie blokada wszystkiego, chyba że dopuszczasz konkretne usługi (np. dostęp do jednego hosta, jednej drukarki).
  • LAN → IoT: zwykle wolno wszystko wychodzące – komputer może podejrzeć kamerę lub wejść na panel robota sprzątającego.
  • IoT → Internet: często można ograniczyć do TCP 80/443 + wybrane porty, blokując np. ruch przychodzący z zewnątrz inicjowany przez UPnP.

To jest model, który dla większości domowych zastosowań daje największy stosunek „efektu do wysiłku”. Wciąż pozostaje prosty, a jednak przejęty robot sprzątający widzi co najwyżej inne IoT, nie twoje laptopy.

Model 4: Dodanie sieci gościnnej i segmentu „półzaufanego”

Jeśli IoT zaczyna się rozrastać, a w domu pojawia się też sporo sprzętu odwiedzin (telefony rodziny, dzieci znajomych, szkolne Chromebooki), sensowny jest trzeci segment.

Przykładowa struktura:

  • VLAN 10 – LAN domowy – jak wcześniej, główny, zaufany segment.
  • VLAN 20 – IoT „twardo izolowane” – gniazdka, żarówki, roboty, bramki, tanie kamerki.
  • VLAN 30 – Goście / „półzaufane” multimedia – telewizory smart, konsole, telefony gości.

Do tego odpowiednie SSID, np. „Dom”, „IoT”, „Goscie”. Reguły mogą wyglądać tak:

  • Goście → LAN: blokada, z ewentualnym wyjątkiem dla drukarki lub konkretnego serwera multimediów.
  • Goście → IoT: zazwyczaj blokada – gościnny telefon nie musi móc sterować twoją bramą garażową.
  • LAN → Goście / IoT: dozwolone – z zaufanej strefy możesz zarządzać resztą.
  • Każdy segment → Internet: dozwolone, ewentualnie z różnymi limitami pasma.

Tu pojawia się pierwsza pułapka: łatwo pójść w zbyt wiele wyjątków. Jeśli do każdego nowego urządzenia dopisujesz kilka reguł, za rok nie będziesz pamiętać, dlaczego coś jest odblokowane. Warto trzymać się prostych, opisanych zasad (np. „telewizory zawsze tylko w VLAN 30, bez wyjątków”).

Model 5: Zaawansowany – więcej stref, ruch tylko „od góry do dołu”

W bardziej zaawansowanych domach, gdzie jest np. własny serwer z usługami, system alarmowy, kilka bramek i automatyka, pojawia się potrzeba jeszcze precyzyjniejszego sterowania. Struktura może wtedy przypominać uproszczony model „stref zaufania” z firm:

  • VLAN 10 – Zaufany LAN – komputery, admini, serwery.
  • VLAN 20 – Serwery usługowe – NAS, Home Assistant, NVR, broker MQTT, kontrolery.
  • VLAN 30 – IoT krytyczne – alarm, zamki, kamery zewnętrzne.
  • VLAN 40 – IoT niekrytyczne – oświetlenie, gniazdka, roboty.
  • VLAN 50 – Goście / urządzenia nieswoje.

Reguła przewodnia: ruch odbywa się „z góry do dołu”, z ograniczeniami „w górę”. Czyli:

  • Zaufany LAN (10) może rozmawiać z serwerami (20) i IoT (30, 40), ale nie odwrotnie, poza wyjątkami.
  • Serwery (20) mogą inicjować połączenia do IoT (30, 40), ale nie do strefy zaufanej (10), chyba że to ściśle określone porty (np. syslog).
  • IoT krytyczne (30) nie inicjuje ruchu „w górę” – przyjmuje tylko ściśle określone połączenia, np. MQTT z brokera.
  • Goście (50) mają jedynie Internet i ewentualnie jeden–dwa hosty (drukarka, serwer multimediów).

To jest już poziom, gdzie przydaje się dobra dokumentacja własnej sieci: zapisany diagram, notatka z adresami VLAN-ów, krótkie opisanie reguł. Inaczej po pół roku trudno będzie przypomnieć sobie, dlaczego z danego SSID nie działa kamera w jednym pokoju, ale w drugim już tak.

Smartfon sterujący wieloma urządzeniami smart home w zautomatyzowanym mieszkaniu
Źródło: Pexels | Autor: Jakub Zerdzicki

Sprzęt i oprogramowanie – co jest konieczne, a co tylko „fajnie mieć”

Minimalny zestaw pozwalający na sensowną segmentację

Na poziomie „chcę mieć przynajmniej osobny segment dla IoT” potrzebne są trzy elementy:

  • Router z obsługą VLAN i firewall – nie musi być high-end, ale powinien umożliwiać:
    • definiowanie kilku interfejsów logicznych (np. LAN, IoT, Goście),
    • przypisanie im różnych podsieci IP,
    • konfigurację reguł firewall między tymi podsieciami.
  • Access point (lub router Wi‑Fi) obsługujący wiele SSID przypiętych do VLAN.
  • Co najmniej jeden port trunk/tagged między routerem a AP/switchem, jeśli wszystko nie siedzi w jednym urządzeniu.

Przykłady konkretnych urządzeń i klas rozwiązań

Przy wyborze sprzętu domowego nie ma jednego „świętego Graala”. Różne klasy urządzeń rozwiązują segmentację w odmienny sposób i z innymi kompromisami.

  • Routery ISP / „kombajny” od operatora – zwykle:
    • oferują prostą sieć gościnną, czasem z izolacją klientów,
    • nie dają sensownej kontroli ruchu między segmentami (brak pełnego firewalla między VLAN‑ami),
    • nie obsługują zaawansowanych VLAN lub robią to wyłącznie na papierze.

    W praktyce sprawdzają się jako modem/ONT w trybie bridge, a właściwy router warto przenieść na własne urządzenie.

  • Routery „konsumenckie plus” (Asus, TP‑Link, Mikrotik SOHO itp.):
    • zwykle mają kilka SSID, często sieć gościnną z izolacją,
    • część modeli obsługuje VLAN na portach LAN i przypinanie SSID do VLAN, ale interfejs bywa nieintuicyjny,
    • firewall bywa uproszczony – reguły „LAN ↔ Goście” są predefiniowane, a własne wyjątki są ograniczone.

    To dobry materiał na „pierwszy prawdziwy segment IoT”, choć trzeba uważać na marketingowe obietnice typu „VLAN”, które kończą się na jednym dodatkowym SSID bez pełnej separacji.

  • Sprzęt półprofesjonalny i „prosumer” (UniFi, Omada, Mikrotik, pfSense/OPNsense na małym PC):
    • pełne VLAN‑y z routingiem między nimi,
    • zaawansowany firewall z regułami per VLAN, per port, per kierunek,
    • możliwość centralnego zarządzania kilkoma AP i switchami.

    Tu zwykle kończy się etap „klikasz w ciemno” – konfiguracja wymaga minimalnej znajomości pojęć sieciowych, ale w zamian daje kontrolę zbliżoną do firmowej.

Dobrym podejściem jest zaczęcie od prostszego sprzętu z opcją rozbudowy. Jeśli urządzenie ma tryb bridge/AP i obsługuje VLAN‑y, można je później wpiąć do mocniejszego routera bez wyrzucania wszystkiego do kosza.

Oprogramowanie dodatkowe: kiedy ma sens, a kiedy tylko komplikuje

Poza samym routerem i AP przy segmentacji pojawia się pokusa dorzucenia kolejnych warstw: IDS/IPS, DNS‑filtering, kontrola rodzicielska, VPN, proxy. Nie każde z tych narzędzi realnie podnosi bezpieczeństwo w kontekście IoT.

  • DNS‑filtering (np. Pi‑hole, AdGuard Home)

    Najczęściej pierwsze rozszerzenie. Można nim:

    • blokować reklamy i część trackerów w całej sieci,
    • kontrolować, dokąd w ogóle próbują łączyć się urządzenia IoT (logi DNS).

    Realny zysk: ograniczenie śledzenia i łatwiejsza inspekcja, do jakich domen odwołują się „pudełka”. Ograniczenie: nie zastępuje firewalla – jeśli urządzenie ma w firmware zaszyty IP serwera, DNS‑filtering nic nie zdziała.

  • IDS/IPS (np. Suricata, Snort na pfSense/OPNsense)

    Skuteczne głównie wtedy, gdy:

    • masz już poprawnie ustawiony podział na VLAN‑y i sensowne reguły,
    • wiesz, jak reagować na alerty (fałszywe pozytywy są normą),
    • sprzęt ma wystarczającą moc – pełny IPS na łączu 1 Gbit/s na słabym mini‑PC szybko udusi internet.

    Do samego odizolowania smart home od komputerów zwykle wystarczy firewall z dobrze opisanymi regułami. IDS/IPS jest dodatkiem, nie fundamentem.

  • VPN do domu

    Przydaje się, jeśli chcesz mieć zdalny dostęp do paneli IoT lub NAS bez wystawiania ich na świat. Działa dobrze z segmentacją, pod warunkiem że:

    • interfejs VPN ląduje w zaufanym VLAN (np. 10),
    • reguły firewalla dokładnie definiują, do jakich VLAN‑ów VPN ma dostęp.

    Najczęstszy błąd: VPN wrzucony w „domyślny LAN” z pełnym dostępem wszędzie. Jeśli telefon z VPN jest zainfekowany, cała idea segmentacji się rozsypuje.

Dobór switchy i AP pod kątem VLAN‑ów

Segmentacja logiczna nie zadziała, jeśli po drodze stoi switch, który nie potrafi „przenieść” VLAN‑ów, albo robi to w sposób nieprzewidywalny.

Przy małej sieci da się to uprościć:

  • Mały, zarządzalny switch (smart/managed) – wystarczy kilka portów z obsługą:
    • tagowania 802.1Q (port trunk/tagged do routera/AP),
    • portów access (untagged) przypiętych do konkretnego VLAN.
  • Access point z wieloma SSID – każdy SSID przypisany do VLAN:
    • „Dom” – VLAN 10,
    • „IoT” – VLAN 20,
    • „Goscie” – VLAN 30.

Typowy układ przewodów w domu wygląda wtedy tak:

  • router – port trunk –> switch,
  • switch – port trunk –> AP,
  • switch – port access VLAN 10 –> PC/NAS,
  • switch – port access VLAN 20 –> przewodowe IoT (np. kamera PoE).

Najczęstsza pułapka: tani „managed” switch od ISP, który wspiera VLAN‑y tylko do IPTV, a nie jako pełne 802.1Q. Z zewnątrz wygląda jak rozwiązanie problemu, w praktyce narzuca sztywny scenariusz i utrudnia sensowną segmentację.

Logiczna architektura: jak powinny wyglądać podsieci i reguły dostępu

Projektowanie podsieci – jak nie wpaść w chaos adresacji

Segmentacja, która po kilku miesiącach zacznie się mylić właścicielowi, w praktyce nie działa. Adresacja i nazewnictwo muszą być zrozumiałe i przewidywalne.

Prosty schemat, który się sprawdza:

  • VLAN 10 – 192.168.10.0/24 – zaufany LAN,
  • VLAN 20 – 192.168.20.0/24 – IoT główne,
  • VLAN 30 – 192.168.30.0/24 – goście,
  • VLAN 40 – 192.168.40.0/24 – serwery/usługi.

Ważne, żeby:

  • każdy VLAN miał osobną podsieć (nie ma współdzielenia 192.168.1.0/24 między wszystkimi),
  • DNS i brama (gateway) dla danego VLAN były skonfigurowane na routerze jako oddzielne interfejsy,
  • DHCP wydawał adresy z niekolidujących zakresów.

Dobrym nawykiem jest zostawienie małej puli na adresy statyczne (np. .2–.50) i reszty na DHCP. To pozwala przypinać ważniejsze urządzenia (NAS, kontroler, HA) na stałe IP bez mieszania w rezerwacjach DHCP, albo na odwrót – trzymać wszystko jako DHCP reservation z opisami.

Jak decydować, co ląduje w którym VLAN

Zamiast zastanawiać się przy każdym nowym sprzęcie od zera, łatwiej zdefiniować kilka prostych zasad i się ich trzymać. Przykładowy podział według poziomu zaufania i funkcji:

  • Zaufany LAN (10):
    • komputery domowników, laptopy służbowe (jeśli nie ma innych wymogów firmowych),
    • stacje robocze z dostępem do plików, zdjęć, backupów,
    • urządzenia używane do administracji routera, NAS, Home Assistant.
  • Serwery/usługi (40):
    • NAS, serwer kopii zapasowych,
    • Home Assistant, NVR, broker MQTT,
    • inne urządzenia, które zbierają lub centralizują dane.
  • IoT (20):
    • gniazdka, żarówki, bramki Zigbee/Z‑Wave, czujniki,
    • roboty sprzątające, klimatyzacja, inne urządzenia infrastruktury.
  • Goście / urządzenia „półzaufane” (30):
    • telefony odwiedzających,
    • telewizory smart i konsole, jeśli nie ma potrzeby, aby widziały cały LAN,
    • szkolne laptopy/urządzenia dzieci, jeśli są gorzej kontrolowane.

Oczywiście mogą pojawić się wyjątki. Telewizor, który ma grać multimedia z NAS, można podciągnąć do VLAN 20 lub 30 i wystawić mu konkretny dostęp do serwera w VLAN 40. Kluczem jest to, aby wyjątek był udokumentowany, a nie „bo inaczej działało tylko jak wszystko puściłem wolno”.

Minimalistyczne reguły firewalla – jak nie przedobrzyć

Domowy firewall nie musi mieć setek reguł, żeby był skuteczny. Często lepiej zadziała kilka prostych zasad niż bardzo szczegółowy, ale nieczytelny zestaw wyjątków.

Przykładowy, praktyczny zestaw polityk:

  • Domyślnie: blokuj wszystko między VLAN‑ami

    Na poziomie routera ustaw domyślną politykę „drop” dla ruchu między interfejsami LAN (VLAN‑y). To bywa inna opcja niż domyślna komunikacja „LAN ↔ LAN = allow”.

  • Zaufany LAN (10) → inne VLAN‑y
    • dozwól ruch wychodzący z VLAN 10 do VLAN 20/30/40,
    • opcjonalnie zawęź do konkretnych portów/usług (np. HTTP/HTTPS do kamer, RDP/SSH do serwerów).
  • Serwery (40) → IoT (20)
    • dozwól ruch tylko tam, gdzie wymagają tego integracje (np. broker MQTT → czujniki, NVR → kamery),
    • rozważ ruch tylko jednokierunkowy (serwer inicjuje połączenia, urządzenia nie).
  • IoT (20) → Zaufany LAN (10)
    • domyślnie blokuj,
    • twórz wyjątki wyłącznie wtedy, gdy nie ma innej opcji (np. stary TV wymaga SMB do NAS).
  • Goście (30) → wszystkie inne VLAN‑y
    • blokuj, poza ewentualnymi wyjątkami do pojedynczych urządzeń (drukarka, serwer multimediów).
  • Każdy VLAN → Internet (WAN)
    • dozwól inicjowanie połączeń wychodzących,
    • zablokuj porty przychodzące z WAN (domyślne NAT + firewall zwykle już to robi),
    • opcjonalnie ogranicz specyficzne protokoły z IoT (np. zablokuj wyjście na porty P2P, niektóre porty SMTP).

Przykład z życia: kamera IP w VLAN 20 ma być widoczna z telefonu w VLAN 10. Reguła powinna zezwalać na ruch „VLAN10 → IP_kamery:port_http/https/rtsp”, a nie „VLAN10 → 192.168.20.0/24 any any”. W razie przejęcia innego urządzenia w VLAN 20 nie będzie ono widoczne dla całego LAN.

Obsługa specyficznych protokołów IoT (mDNS, SSDP, broadcast)

Spora część ekosystemów smart home korzysta z mechanizmów rozgłoszeniowych (broadcast, multicast), aby urządzenia się „odnalazły”. Dotyczy to m.in.:

  • mDNS (np. AirPlay, ChromeCast, HomeKit),
  • SSDP/UPnP (odkrywanie urządzeń w sieci lokalnej),
  • proprietary discovery (aplikacje producentów skanujące 255.255.255.255 lub 192.168.x.255).

Problem: ruch broadcast/multicast z definicji nie przechodzi między VLAN‑ami. Po odizolowaniu IoT nagle okazuje się, że telefon w VLAN 10 nie widzi głośnika/TV w VLAN 20, choć ruch TCP byłby technicznie możliwy.

Istnieją trzy drogi rozwiązania:

  • Akceptacja ograniczeń – część funkcji typu „cast z każdej aplikacji jednym dotknięciem” po prostu nie będzie działać, ale podstawowe sterowanie (po IP/HTTP) tak.
  • Proxy/reflectory multicast – na niektórych platformach (UniFi, pfSense z dodatkami) można uruchomić mDNS repeater między dwoma VLAN‑ami. Działa to w miarę dobrze, ale rozszerza powierzchnię ataku – aplikacje z mniej zaufanego segmentu zaczynają znowu „widzieć” urządzenia.

    • Najczęściej zadawane pytania (FAQ)

    Dlaczego powinienem oddzielić urządzenia IoT od komputerów w domu?

    Urządzenia IoT są zwykle znacznie słabiej zabezpieczone niż laptopy czy NAS. Rzadko dostają aktualizacje, działają na zamkniętym, kiepsko opisanym firmware i mocno polegają na chmurze producenta, której nie kontrolujesz. Po kilku latach w domu często stoją podatne urządzenia, których nikt już nie łata, ale nadal działają, więc nikt ich nie wymienia.

    Jeśli takie urządzenie zostanie przejęte, atakujący może potraktować je jako „most” do reszty sieci: skanować LAN, szukać udziałów sieciowych, starych protokołów czy niezałatanych usług. Segmentacja ogranicza skutki włamania – przejęta żarówka czy odkurzacz nie ma bezpośredniego dostępu do komputera z danymi firmowymi.

    Czy wystarczy silne hasło i 2FA do aplikacji smart home zamiast segmentacji sieci?

    Nie. Silne hasło i 2FA zabezpieczają głównie dostęp do konta w chmurze producenta i aplikacji mobilnej. To inna warstwa niż komunikacja w lokalnej sieci. Nawet jeśli nikt nie przejmie twojego konta, urządzenie IoT może mieć lukę w firmware, otwartą usługę sieciową albo podatny protokół, przez który ktoś wejdzie „od strony LAN-u”.

    Segmentacja odpowiada na inne pytania: które urządzenia w ogóle mogą się ze sobą łączyć, jakie porty są dopuszczone, czy z przejętej kamerki da się sięgnąć do twojego NAS-a. Bez tego możesz mieć wzorowo zabezpieczone konto w aplikacji, a jednocześnie otwartą drogę z żarówki do domowego komputera.

    Jak praktycznie odizolować IoT w domu – osobny router czy VLANy?

    Są dwa główne podejścia. Fizyczna separacja to osobny router lub access point tylko dla IoT, który nie jest mostkowany z głównym LAN-em. To łatwe do zrozumienia, ale mało wygodne – trzeba zarządzać dwoma urządzeniami, a telefon sterujący IoT musi „przeskakiwać” między sieciami.

    Logiczna segmentacja to jedno urządzenie (router/switch/AP) z kilkoma sieciami logicznymi: VLAN-ami i osobnymi SSID. Ruch między nimi kontrolujesz regułami firewall. W praktyce większość domów, które chcą zrobić to sensownie, ląduje właśnie na VLAN-ach lub dobrze skonfigurowanej sieci gościnnej dla IoT, z ograniczonym dostępem do głównego LAN-u.

    Czy sieć gościnna w routerze wystarczy jako segment dla IoT?

    To zależy od konkretnego routera. W wielu domowych urządzeniach „sieć gościnna” to tak naprawdę osobny SSID z dostępem tylko do Internetu i bez dostępu do LAN – i to jest rozsądny punkt wyjścia dla IoT. Warunek: funkcja musi faktycznie blokować dostęp do głównej sieci, a nie tylko zmieniać nazwę Wi‑Fi.

    Pułapką są routery, które domyślnie pozwalają sieci gościnnej sięgać do LAN lub mają opcję „dostęp do sieci lokalnej”, przypadkiem włączoną. Zanim wrzucisz do niej IoT, sprawdź ustawienia i zrób test: podłącz się do sieci gościnnej i zobacz, czy możesz pingować komputer lub wejść na panel routera w głównej sieci.

    Jakie urządzenia domowe powinny trafić do wydzielonej sieci IoT?

    Do oddzielnego segmentu zwykle wrzuca się wszystko, co jest „smart”, rzadko aktualizowane i nie przechowuje bezpośrednio ważnych danych. Typowo są to:

  • smart TV, przystawki TV, konsole z funkcjami sieciowymi,
  • kamerki, wideodomofony, rejestratory NVR,
  • roboty sprzątające, inteligentne gniazdka, wtyczki, żarówki, czujniki,
  • odkurzacze, lodówki, piekarniki i inne AGD z Wi‑Fi,
  • tanie „no-name” urządzenia z aplikacjami producenta.

W głównej, bardziej zaufanej sieci zostają komputery, NAS, sprzęt do pracy zdalnej, drukarki i inne urządzenia, do których przejęcie miałoby realne konsekwencje finansowe lub zawodowe.

Czy segmentacja sieci sprawi, że moje IoT będą w pełni bezpieczne?

Nie. Segmentacja redukuje skutki włamania, ale nie usuwa samej podatności. Przejęta kamerka w osobnej podsieci nadal może zostać częścią botnetu DDoS albo wysyłać dane do zewnętrznych serwerów. Różnica polega na tym, że ma znacznie trudniej dostać się z niej do twoich komputerów, NAS-a czy panelu routera.

Segmentacja to jeden z elementów układanki: obok aktualizacji firmware tam, gdzie to możliwe, wyłączania zbędnych funkcji zdalnych, zmiany domyślnych haseł i ograniczania liczby „gadżetów”, których realnie nie potrzebujesz.

Skąd mam wiedzieć, że moja obecna domowa sieć jest źle zsegmentowana?

Prosty test: jeśli komputer, telefon i wszystkie smart urządzenia są w tej samej podsieci (np. 192.168.0.x) i nic ich logicznie nie odgradza, segmentacji praktycznie nie ma. Dodatkowy sygnał ostrzegawczy: jedna nazwa Wi‑Fi dla wszystkich sprzętów, brak sieci gościnnej, brak konfiguracji VLAN w routerze/switchu, panel routera dostępny z każdego urządzenia po Wi‑Fi.

Jeśli chcesz to zweryfikować dokładniej, połącz się z tej samej sieci, co twoje IoT, i sprawdź, czy widzisz NAS, inne komputery lub panel routera. Jeśli tak – przejęcie jednego słabego urządzenia otwiera drogę do całej reszty i to jest dokładnie scenariusz, którego segmentacja ma unikać.

Źródła informacji

  • NISTIR 8228: Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. National Institute of Standards and Technology (2019) – Charakterystyka ryzyk IoT, długi cykl życia, brak aktualizacji
  • NIST Special Publication 800-125B: Secure Virtual Network Configuration for Virtual Machine (VM) Protection. National Institute of Standards and Technology (2016) – Segmentacja sieci, VLAN, separacja stref zaufania
  • ENISA Threat Landscape for the Internet of Things. European Union Agency for Cybersecurity (2017) – Typowe podatności IoT, zależność od chmury, słabe aktualizacje

Poznaj powiązane treści: