Praeitame įrašė apžvelgėme namų tinklo saugumo gerąsias praktikas, kurių laikytis rekomenduoja labai rimta organizacija, atsakinga už JAV nacionalinį saugumą.

Dabar pasižiūrėsime kaip tas rekomendacijas atitiko senasis namų tinklas ir kaip pagal tas rekomendacijas buvo sukonstruotas naujas MRH tinklas. Iš karto perspėju, kad čia nebus konkrečių schemų ar ugniasienių taisyklių, nes tai konfidenciali informacija. Tačiau tai netrukdo apžvelgti pagrindinius tokio tinklo organizavimo principus.

Taigi, senasis namų tinklas buvo labai paprastas – tai buvo interneto paslaugų tiekėjo maršrutizatorius, kuris tuo pačiu atliko ir bevielio tinklo prieigos taškas (WiFi Access Point). Kadaise buvo atskiras papildomas maršrutizatorius su ugniasienės ir bevielio tinklo prieigos taško funkcijomis, kas leido atskirti namų tinklą nuo paslaugos teikėjo tinklo. Bet, laikui bėgant, tas daiktas baigė savo gyvenimo ciklą, o naujam nebuvo didelio poreikio. To tinklo naudotojai tebuvome tik mes su Žmogučiu ir mūsų keli nešiojami įrenginiai. Tikriausiai jau supratote, kad nebuvo jokio tinklo segmentavimo ar, kitaip tariant, suskirstymo į atskiras saugumo saugumo zonas (virtualius tinklus – VLAN). Vienintelis dalykas, kuris atitiko minėtas rekomendacijas buvo WiFi tinklo autentifikacijos protokolas WAP2/3 ir patikimumo kriterijus tenkinantis slaptažodis.

Naujame tinkle reikalai jau visai kitokie. Jau dabar šiame tinkle yra virš 40 tinklo įrenginių, virtualių serverių,išmanių TV, stebėjimo kamerų bei įvairaus plauko jutiklių detektorių, įskaitant ir mūsų asmeninius įrenginius. Ir tai dar tik pradžia.

Reikia suprasti, kad visa ši IoT armija renka, apdoroja įvairią informaciją. Be to, tos informacijos pagrindu yra valdomas išmanaus namo ūkis. O visa tai turi tiesioginę įtaką namo gyventojų saugumui ir privatumui. Tad naujo tinklo atsiradimas buvo ne šiaip koks išmislas, o būtinybė.

Visų pirma, naujame tinkle atsirado atskiras PRO klasės universalus įrenginys, kurio pagrindinė funkcija yra tinklo srauto maršrutizavimas ir segmentacijos organizavimas, įskaitant ir atskyrimą nuo interneto paslaugų teikėjo tinklo. Jo maršrutizatorius dabar tevykdo tik savotiško tilto (Bridge mode) į internetą, kuriuo keliauja visas vidinio tinklo srautas. Be to šis įrenginys yra atsakingas už VPN prieigą ir sujungimus su kitomis lokacijomis, įsiskverbimo prevenciją (Intrusion prevention – IPS) bei srauto ribojimą ar draudimą su atskiromis šalimis. Viso namų tinklo monitoringas ir centralizuotas valdymas taip pat vyksta per šį įrenginį. Jis taip pat dar gali būti ir saugumo kamerų valdymo bei įrašymo, IP telefonijos ar tapatybių valdymo sistema. Bet tam, kad jis optimaliai naudotų savo resursus pagrindinėms užduotis, jam paliktos būtent anksčiau išvardintas funkcionalumas. Dar viena šio įrenginio savybė – jis palaiko dubliuotą prieigą prie interneto.

Be šio įrenginio dar tinkle atsirado pora tinklo komutatorių su PoE prievadais, atskiri WiFi prieigos taškai bei Wifi ryšio stiprintojai (Extenders) ir kamerų valdymo bei vaizdo įrašymo įrenginys.

Be paties namų tinklo atskyrimo nuo provaiderio, šis tinklas dabar yra segmentuotas, t.y susiskirstytas į kelis virtualius tinklus (VLAN). Tai apima tiek laidinį, tiek ir bevielį tinklą.

Saugumo segmentai yra šie:

• Pagrindinis tinklas. Jis yra skirtas namo gyventojų įrenginiams ir įvairių tarnybų serveriams, įskaitant ir Home Assistance serverį. Šis tinklas yra laikomas saugiu ar patikimu, nes yra labiausiai apsaugotas įvairiomis ugniasienės taisyklėmis. Bet tuo pačiu turi prieigą prie interneto. Taip pat iš šio tinklo galima jungtis prie visų kitų VLAN’ų.
• Svečių tinklas, kuris yra skirtas atvykusiems svečiams ir kuriems reikalinga prieiga prie interneto. Šiame tinkle esantys įrenginiai turi prieigą tik prie interneto, tačiau negali komunikuoti ne tik su kitais vidiniais tinklais, bet ir tarpusavyje. Be to kiekvienai sesijai yra uždėti tinklo pralaidumo ribojimai, kad negalėtų dėl kokių nors priežasčių išnaudoti viso prieigos prie interneto pralaidumo. Taip yra padaryta ne todėl, kad mes nepasitikime savo svečiais. Mes nepasitikime jų įrenginių saugumo būkle, apie kurią, nebūdami IT profesionalais, jie gali ir nenutuokti.
• Išmanių daiktų tinklas, kur yra prieiga prie interneto. Jis skirtas tiems įrenginiams, kurių normaliam funkcionavimui reikalingas internetas. Šiame tinkle taip pat yra apgyvendinta išmanioji TV ir kiti panašūs media servisai. Šis tinklas taip pat negali inicijuoti komunikacijos su kitais potinkliais, bet čia, skirtingai nuo svečių tinklo, netaikoma tarpusavio izoliacija. Komunikacija galima tik su pagrindiniame tinkle esančiais atitinkamos paskirties serveriais ir tik per konkrečius TCP ar UDP prievadus.
• Išmanių daiktų tinklas, kur nėra prieigos prie interneto. Jis skirtas išmaniems įrenginiams, kurių funkcionavimui internetas nėra reikalingas. Viso kitos komunikacijos taisyklės yra tos pačios kaip ir aukščiau aprašytame tinkle.

Jei atkreipėte dėmesį, niekur nepaminėjau vaizdo kamerų. Jos yra pajungtos į pagrindinį tinklą. Tačiau, kad nebūtų nevaldomos komunikacijos, joms yra sukurta atskira grupė pagal IP adresus ir tai grupei sudėliotos komunikacijos taisyklės, ribojančios tiek prieigą prie pačių kamerų, tiek ir kamerų komunikaciją su namų tinklu. Taip yra padaryta neatsitiktinai. Kadangi tai didelės raiškos kameros (2K ir 4K), be to pastoviai perduodančios aukštos kokybės vaizdą į valdymo bei įrašymo įrenginį, kas reikalauja nemažo tinklo pralaidumo. Tad tokia komunikacija vyksta tiesiogiai tame pačiame tinklo komutatoriuje ir visiškai neapkrauna maršrutizatoriaus, nes tai tas pat virtualus tinklas.

Kad sudėlioti tokias ir dar papildomas saugumo atskirų tinklo segmentų komunikacijos taisykles ir reikalingas įrenginys, turintis gan platų ugniasienės funkcionalumą.

Nuotolinei prieigai prie tinklo bei vaizdo kamerų valdymo, o taip pat prie išmanaus namo serverio yra naudojamos jų gamintojų debesijos tarnybos, kas praktiškai dubliuoja valdymą bei įgalina naudoti kelių faktorių autentifikaciją.

Tam, kad galima būtų suprasti, kokie įrenginiai yra tinkle, buvo sugalvotas jų pavadinimų standartas, Tad iš jų pavadinimo galima suprasti kokioje geografinėje lokacijoje yra įrenginys, koks jo tipas ir kur jis toje lokacijoje pastatytas (kambariai, patalpos ar lauko zonos) bei kiek ten yra tokio tipo įrenginių (eilės numeris)

Tad kam buvo smalsu, trumpinys “MRH” reiškia “Marijus & Rosita Home” ir žymi mūsų pagrindinę gyvenamą vietą. Tad čia esančių tinklo įrenginių vardai visada prasideda “MRH”.

Tad tiek šiam kartui norėjau papasakoti apie naują, o tiksliau jau esamą MRH tinklą.

Kitoje dalyje papasakosiu kokia tinklo įranga yra naudojama ir kaip buvo įvertintas jos poreikis.