Žymų Archyvai: IoT tinklo saugumas

Projektas “MRH Smart home – namų tinklo įranga

Paskelbta: |
Atsakyti

vecteezy_computer-equipment-in-row-secure-network-connection_32935931

Su tinklo įrangos gamintojo pasirinkimu buvo lengva. Jau iš anksčiau, dirbdamas su kitais projektais, buvau nusižiūrėjęs Ubiquiti Unifi tinklo sprendimus, kurie šiaip yra skirti mažam ir vidutiniam verslui, bet tam tikri produktai puikiai tinka tiek ir rimtesniam namų tinklui, tiek ir enterprise lygio sprendimams. Tai nėra pigiausia įranga. Ji kokiu trečdaliu brangesnė už, pvz., TP-Link Omada liniją, bet  ir nekainuoja tiek kiek, pvz., Cisco. Be to, palyginus su kitais gamintojais, galinių įrenginių, tokių kaip Wi-Fi prieigos taškai, komutatoriai ir kt., dizainas yra žymiai patrauklesnis, kas galbūt nelabai svarbu kokiame ofise, bet svarbu namuose.

Jei kyla klausimas, o kodėl netinka įprasti namų vartotojams skirti įrenginiai, tai atsakymas yra paprastas. MRH Smart home projektas apima ne tik kompleksinį duomenų perdavimo tinklą, bet ir stebėjimo kameras bei jų valdymą. Abu tinklai turi ne tik padengti vieno namo vidų, bet ir šalia esančią teritoriją bei turi turėti galimybę sujungti skirtingas geografines lokacijas. Taip pat tiek laidinio, tiek ir bevielio tinklo įranga turi užtikrinti reikiamą tinklo pralaidumą ir greitį esant dideliam prisijungimų skaičiui bei perduodamos informacijos kiekiui. Toks kompleksiškumas reikalauja centralizuoto valdymo ir stebėjimo bei lankstumo. Lankstumu aš laikau galimybę viename įrenginyje turėti kelias skirtingos paskirties valdymo sistemas, kaip pvz., tinklo, kamerų, prieigos kontrolės ar tapatybių valdymo. Ubiquiti Unifi tai kaip tik turi, nes tai yra Software defined tinklo sprendimas. Be to, tokia programinė įranga yra įtraukta į įrenginių kainą, kaip ir galimybė turėti saugų, su kelių faktorių autentifikacija, nuotolinį prisijungimą per gamintojo debesį prie savo tinklo. Taip pat tai ir mobilias programėles, kurios praktiškai yra to paties funkcionalumo kaip ir pagrindinės sistemos. Dar vienas aspektas – tiek tinklo įrenginiai, tiek kameros yra to paties gamintojo, tad nėra suderinamumo problemų, o ir nereikia kiekvieno įrenginio konfigūruoti atskirai. Visi pakeitimai centrinėje valdymo sistemoje tuoj pat perkeliami į galinius įrenginius. Ir tikrai namų vartotojams skirta įranga nepalaiko PoE, kas vėl gi yra svarbu šio projekto apimtyje, Iš šiuo atveju nepakanka paprastų PoE tinklo prievadų, bet yra poreikis tiek ir PoE+, tiek ir PoE++ sujungimams.

Ir paskutinis potėpis – galimybė sujungti kamieninio tinklo įrenginius per 10 Gbps prievadus.

Išmanus namas – tai ištisa sistema visokių jutiklių, valdiklių ir t.t., kurie kontroliuoja ir valdo kritinius procesus. Todėl gamintojo palaikymas, praktiškai apimantis įrangos gyvavimo ciklą, galimybė ją greitai pakeisti (taip pat ir galimybė turėti aukšto patikimumo sprendimus) yra kritinis būtinumas.

Tam, kad teisingai pasirinkti, kokia tinklo įranga yra būtina, reikia įvertinti koks turi būti jos pajėgumas. Ubiquiti Unifi suteikia galimybę automatiškai pavertinti kiekvieno pagrindinio tinklo įrenginio galimą apkrovimą, priklausomai kiek planuojama galinių įrenginių, koks funkcionalumas bus naudojamas ir kokio apsaugos lygio reikia (žr. prie įrenginių aprašymo Capacity Calculator)..

Renkantis galinius įrenginius, tokius kaip Wi-Fi prieigos taškai ar vaizdo stebėjimo kameros, galima pasinaudoti Ubiquiti Unifi dizaino centru. Šiuo atveju jau reikia užsiregistruoti, bet pats servisas yra nemokamas. Čia galima įsikelti nuskanuotus pastato planus ir ant jų dėlioti įvairią įrangą iš gamintojo katalogo ir žiūrėti koks yra Wi-fi ar kamerų stebėjimo lauko padengimas ir kaip, pvz., Wi-Fi kameros komunikuoja su Wi-Fi prieigos taškais. Taip pat susimodeliuoti tinklo pajungimus, rozetes ir pan. kad tai korektiškai veiktų, jums reikės sukalibruoti įkeltą pastato planą bei sužymėti kurios sienos yra išorinės, o kurios vidinės. Man tai tikrai pravertė ir gautas rezultatas tikrai pasiteisino praktikoje.

Jei nuspręsite, kad kameroms reikia atskiro valdymo ir įrašymo įrenginio, tikrai kils klausimas kokio pajėgumo jo reikia ir kiek bei kokio tipo diskų reikia vaizdo įrašymui bei jo saugojimui. Šiam tikslui yra dar vienas puikus nemokamas resursas – Project Calculator for UniFi Protect iš Zufall Communications. Čia reikia nurodyti, kokį įrenginį naudosite, kiek ir kokių kamerų bei kiek laiko įrašai bus saugojami. Rezultate gausite diskų talpą bei kiekį, suderinamus gamintojus ir diskų tipus.

Man, įsivertinus tiek esamus tiek ateities poreikius bei praėjus visus planavimo ir projektavimo etapus, buvo įsigyta ir įdiegta tokia įranga:

Kamieninis tinklas:

Galinė tinklo įranga:

  • Tinklo PoE komutatorius – USW-Flex (46W), kuris yra tinkamas ir montavimui lauke.
  • Wifi prieigos taškai ir tinklo kartotuvas – pora U6 Mesh ir vienas U6 Extender. .Beje, šiuos Wi-Fi prieigos taškus taip pat galima montuoti lauke.

Vaizdo stebėjimas:

  • Vaizdo stebėjimo kamerų valdymo ir įrašymo įrenginys su keturiais 8TB diskais – Network Video Recorder
  • PoE kameros – G5 Flex. Jos skirtus vidui, bet tinka ir laukui. Šiaip laukui yra numatytos rimtesnės kameros. Bet apie jas bus tada, kai jos bus pastatytos.
  • Wi-Fi kameros – G4 Instant.

Kameros tikrai duoda puikios kokybės vaizdą net ir visiškoje tamsoje. Taip pat jos turi išmanią žmonių tiek judėjimo detektavimo, tiek būvio sensorius. Taip pat labai pravertė galimybė nustatyti detektavimo ir įrašymo zonas. Galimybė nustatyti privatumo zonas taip pat yra puikus priedas.

Visa pagrindinė tinklo ir kita įranga buvo supakuota į komunikacinę 15U spintą Lanberg FF01-6815-12BL V2, kas yra tikrai geras kokybės ir kainos derinys.

Tai tiek apie apie tinklo įrangą. Tai dar ne pabaiga, tad tikrai dar prie jos ar grįšime.

O jei turite klausimų, kas, kaip, kodėl ir pan,, drąsiai klauskite, atsakysiu kiek leis mano žinios ir praktinė patirtis.

Kitame įraše grįšime prie pačios išmanaus namo valdymo sistemos ir kalbėsime apie įrenginių komunikacijos protokolus, bei jų pasirinkimo kriterijus.

Projektas “MRH Smart home – namų tinklo architektūra

Paskelbta: |
Atsakyti

Praeitame įrašė apžvelgėme namų tinklo saugumo gerąsias praktikas, kurių laikytis rekomenduoja labai rimta organizacija, atsakinga už JAV nacionalinį saugumą.

Dabar pasižiūrėsime kaip tas rekomendacijas atitiko senasis namų tinklas ir kaip pagal tas rekomendacijas buvo sukonstruotas naujas MRH tinklas. Iš karto perspėju, kad čia nebus konkrečių schemų ar ugniasienių taisyklių, nes tai konfidenciali informacija. Tačiau tai netrukdo apžvelgti pagrindinius tokio tinklo organizavimo principus.

Taigi, senasis namų tinklas buvo labai paprastas – tai buvo interneto paslaugų tiekėjo maršrutizatorius, kuris tuo pačiu atliko ir bevielio tinklo prieigos taškas (WiFi Access Point). Kadaise buvo atskiras papildomas maršrutizatorius su ugniasienės ir bevielio tinklo prieigos taško funkcijomis, kas leido atskirti namų tinklą nuo paslaugos teikėjo tinklo. Bet, laikui bėgant, tas daiktas baigė savo gyvenimo ciklą, o naujam nebuvo didelio poreikio. To tinklo naudotojai tebuvome tik mes su Žmogučiu ir mūsų keli nešiojami įrenginiai. Tikriausiai jau supratote, kad nebuvo jokio tinklo segmentavimo ar, kitaip tariant, suskirstymo į atskiras saugumo saugumo zonas (virtualius tinklus – VLAN). Vienintelis dalykas, kuris atitiko minėtas rekomendacijas buvo WiFi tinklo autentifikacijos protokolas WAP2/3 ir patikimumo kriterijus tenkinantis slaptažodis.

Naujame tinkle reikalai jau visai kitokie. Jau dabar šiame tinkle yra virš 40 tinklo įrenginių, virtualių serverių,išmanių TV, stebėjimo kamerų bei įvairaus plauko jutiklių detektorių, įskaitant ir mūsų asmeninius įrenginius. Ir tai dar tik pradžia.

Reikia suprasti, kad visa ši IoT armija renka, apdoroja įvairią informaciją. Be to, tos informacijos pagrindu yra valdomas išmanaus namo ūkis. O visa tai turi tiesioginę įtaką namo gyventojų saugumui ir privatumui. Tad naujo tinklo atsiradimas buvo ne šiaip koks išmislas, o būtinybė.

Visų pirma, naujame tinkle atsirado atskiras PRO klasės universalus įrenginys, kurio pagrindinė funkcija yra tinklo srauto maršrutizavimas ir segmentacijos organizavimas, įskaitant ir atskyrimą nuo interneto paslaugų teikėjo tinklo. Jo maršrutizatorius dabar tevykdo tik savotiško tilto (Bridge mode) į internetą, kuriuo keliauja visas vidinio tinklo srautas. Be to šis įrenginys yra atsakingas už VPN prieigą ir sujungimus su kitomis lokacijomis, įsiskverbimo prevenciją (Intrusion prevention – IPS) bei srauto ribojimą ar draudimą su atskiromis šalimis. Viso namų tinklo monitoringas ir centralizuotas valdymas taip pat vyksta per šį įrenginį. Jis taip pat dar gali būti ir saugumo kamerų valdymo bei įrašymo, IP telefonijos ar tapatybių valdymo sistema. Bet tam, kad jis optimaliai naudotų savo resursus pagrindinėms užduotis, jam paliktos būtent anksčiau išvardintas funkcionalumas. Dar viena šio įrenginio savybė – jis palaiko dubliuotą prieigą prie interneto.

Be šio įrenginio dar tinkle atsirado pora tinklo komutatorių su PoE prievadais, atskiri WiFi prieigos taškai bei Wifi ryšio stiprintojai (Extenders) ir kamerų valdymo bei vaizdo įrašymo įrenginys.

Be paties namų tinklo atskyrimo nuo provaiderio, šis tinklas dabar yra segmentuotas, t.y susiskirstytas į kelis virtualius tinklus (VLAN). Tai apima tiek laidinį, tiek ir bevielį tinklą.

Saugumo segmentai yra šie:

  • Pagrindinis tinklas. Jis yra skirtas namo gyventojų įrenginiams ir įvairių tarnybų serveriams, įskaitant ir Home Assistance serverį. Šis tinklas yra laikomas saugiu ar patikimu, nes yra labiausiai apsaugotas įvairiomis ugniasienės taisyklėmis. Bet tuo pačiu turi prieigą prie interneto. Taip pat iš šio tinklo galima jungtis prie visų kitų VLAN’ų.
  • Svečių tinklas, kuris yra skirtas atvykusiems svečiams ir kuriems reikalinga prieiga prie interneto. Šiame tinkle esantys įrenginiai turi prieigą tik prie interneto, tačiau negali komunikuoti ne tik su kitais vidiniais tinklais, bet ir tarpusavyje. Be to kiekvienai sesijai yra uždėti tinklo pralaidumo ribojimai, kad negalėtų dėl kokių nors priežasčių išnaudoti viso prieigos prie interneto pralaidumo. Taip yra padaryta ne todėl, kad mes nepasitikime savo svečiais. Mes nepasitikime jų įrenginių saugumo būkle, apie kurią, nebūdami IT profesionalais, jie gali ir nenutuokti.
  • Išmanių daiktų tinklas, kur yra prieiga prie interneto. Jis skirtas tiems įrenginiams, kurių normaliam funkcionavimui reikalingas internetas. Šiame tinkle taip pat yra apgyvendinta išmanioji TV ir kiti panašūs media servisai. Šis tinklas taip pat negali inicijuoti komunikacijos su kitais potinkliais, bet čia, skirtingai nuo svečių tinklo, netaikoma tarpusavio izoliacija. Komunikacija galima tik su pagrindiniame tinkle esančiais atitinkamos paskirties serveriais ir tik per konkrečius TCP ar UDP prievadus.
  • Išmanių daiktų tinklas, kur nėra prieigos prie interneto. Jis skirtas išmaniems įrenginiams, kurių funkcionavimui internetas nėra reikalingas. Viso kitos komunikacijos taisyklės yra tos pačios kaip ir aukščiau aprašytame tinkle.

Jei atkreipėte dėmesį, niekur nepaminėjau vaizdo kamerų. Jos yra pajungtos į pagrindinį tinklą. Tačiau, kad nebūtų nevaldomos komunikacijos, joms yra sukurta atskira grupė pagal IP adresus ir tai grupei sudėliotos komunikacijos taisyklės, ribojančios tiek prieigą prie pačių kamerų, tiek ir kamerų komunikaciją su namų tinklu. Taip yra padaryta neatsitiktinai. Kadangi tai didelės raiškos kameros (2K ir 4K), be to pastoviai perduodančios aukštos kokybės vaizdą į valdymo bei įrašymo įrenginį, kas reikalauja nemažo tinklo pralaidumo. Tad tokia komunikacija vyksta tiesiogiai tame pačiame tinklo komutatoriuje ir visiškai neapkrauna maršrutizatoriaus, nes tai tas pat virtualus tinklas.

Kad sudėlioti tokias ir dar papildomas saugumo atskirų tinklo segmentų komunikacijos taisykles ir reikalingas įrenginys, turintis gan platų ugniasienės funkcionalumą.

Nuotolinei prieigai prie tinklo bei vaizdo kamerų valdymo, o taip pat prie išmanaus namo serverio yra naudojamos jų gamintojų debesijos tarnybos, kas praktiškai dubliuoja valdymą bei įgalina naudoti kelių faktorių autentifikaciją.

Tam, kad galima būtų suprasti, kokie įrenginiai yra tinkle, buvo sugalvotas jų pavadinimų standartas, Tad iš jų pavadinimo galima suprasti kokioje geografinėje lokacijoje yra įrenginys, koks jo tipas ir kur jis toje lokacijoje pastatytas (kambariai, patalpos ar lauko zonos) bei kiek ten yra tokio tipo įrenginių (eilės numeris)

Tad kam buvo smalsu, trumpinys “MRH” reiškia “Marijus & Rosita Home” ir žymi mūsų pagrindinę gyvenamą vietą. Tad čia esančių tinklo įrenginių vardai visada prasideda “MRH”.

Tad tiek šiam kartui norėjau papasakoti apie naują, o tiksliau jau esamą MRH tinklą.

Kitoje dalyje papasakosiu kokia tinklo įranga yra naudojama ir kaip buvo įvertintas jos poreikis.