Cybersecurity voor smart homes: Je netwerk segmenteren met VLAN's
Wat is VLAN eigenlijk?
Een VLAN, of Virtual Local Area Network, is in feite een digitale muur in je netwerk.
Stel je voor dat je huis één grote open ruimte is. Iedereen kan overal kijken en alles aanraken. Dat is handig, maar niet veilig. Met een VLAN bouw je binnen die ene ruimte kamers met gesloten deuren.
Je scheidt je apparaten van elkaar, ook al zitten ze allemaal op dezelfde fysieke router of switch. Het mooie is dat dit virtueel is.
Je hebt geen extra kabels nodig. Je vertelt je netwerkapparatuur simpelweg: "Jij bent vanaf nu in de 'beveiligingskamer', en jij in de 'bioscoopkamer'." De apparaten in de ene kamer kunnen niet zomaar bij de apparaten in de andere kamer, tenzij je dat expliciet toestaat.
Zo creëer je orde en veiligheid. Voorbeeld: je Crestron-processor zit in een ander virtueel hokje dan je smart-tv. Waarom? Omdat die TV soms via een app van derden verbinding met het internet maakt.
Je wilt niet dat een eventuele kwetsbaarheid in die TV een directe route is naar de hersenen van je hele huis, de Crestron-processor. Dat is de basis van segmentatie.
Waarom dit cruciaal is voor je high-end domotica
Je hebt geïnvesteerd in topkwaliteit. Denk aan een KNX-installatie van tienduizenden euro's of een Control4-systeem dat je hele huis aanstuurt.
De meeste van deze systemen zijn oorspronkelijk niet ontwikkeld met het internet in het achterhoofd. Ze waren bedoeld voor gesloten, bedrade systemen. Tegenwoordig koppelen we ze allemaal aan het netwerk voor bediening via een app.
Dat maakt ze een potentieel doelwit. Een hacker die je netwerk binnenkomt via een onveilige slimme lamp of je home cinema streaming-box, kan anders vrij spel hebben.
Hij kan bijvoorbeeld je KNX-systemen uitschakelen, je alarm onkoppelen of zelfs je camera's bekijken.
Met een goed ingericht VLAN-systeem beperk je de schade. Het is net als bij een schip: je wilt dat als er één compartiment lekt, de rest van het schip niet direct volloopt. Denk aan je HVAC-systeem. Die regelt je warmtepomp en ventilatie.
Die stuurt via het netwerk data naar de fabrikant. Je wilt niet dat deze verbinding een open poort is naar je persoonlijke netwerk met je computers en bestanden. Door de HVAC in een apart VLAN te plaatsen, geef je het alleen toegang tot het internet en niets anders.
De praktijk: Zo werkt netwerksegmentatie
Oké, hoe pak je dit aan? Je hebt een router of switch nodig die VLAN's ondersteunt.
Dit zijn vaak professionelere apparaten dan de standaardmodems van providers. Denk aan merken als Ubiquiti (UniFi), TP-Link Omada, of een geavanceerde Netgear switch.
- VLAN 10 (Trust): Voor je computer, NAS en KNX-processor. Apparaten die je volledig vertrouwt.
- VLAN 20 (IoT): Voor je slimme lampen, thermostaten en stopcontacten. Deze mogen soms wel het internet op, maar niet bij je computer.
- VLAN 30 (Media): Voor je Apple TV, home cinema receiver en projector. Deze hebben internet nodig voor streaming, maar hoeven niet bij je KNX.
- VLAN 40 (Guest): Voor bezoek. Die mogen alleen internet, en verder niets op je netwerk zien.
Deze apparaten beheren via een centrale interface, zoals een 'controller'. Je maakt meerdere virtuele netwerken aan. Voor een naadloze integratie in een hybride smart home kan een handige basisverdeling zijn:
Je router regelt vervolgens de 'regels' of 'firewall rules'. Je geeft bijvoorbeeld toegang vanuit je 'Trust'-VLAN naar de 'IoT'-VLAN om een lamp te bedienen. Maar je blokkeert het verkeer van de 'IoT'-VLAN naar de 'Trust'-VLAN. Zo blijft de kern van je systeem beschermd. Je home cinema apparaten in VLAN 30 kunnen rustig streamen, zonder dat ze je beveiligingscamera's in VLAN 10 storen of benaderen.
Kosten en benodigdheden
Voor een solide basis hoef je niet meteen een fortuin uit te geven. Een goede start is een Ubiquiti UniFi Switch 8 (ongeveer €120-€150) of een TP-Link TL-SG108E (€40-€50).
Deze laatste is een prima instapmodel om te oefenen. Je hebt een switch nodig die 'managed' is, dat wil zeggen dat je hem kunt instellen. Voor de ultieme ervaring en stabiliteit, zeker bij complexe systemen van Crestron of Control4, investeer je in een volwaardige router met VLAN-mogelijkheden.
De UniFi Dream Machine (€300-€400) is een populaire keuze. Wil je nog professioneler?
Kijk dan naar firewalls van merken als Fortinet of Sophos, waar je vanaf €500-€1000 voor neerlegt, inclusief licenties. Die bieden geavanceerde beveiligingsmogelijkheden. Vergeet de tijd niet.
Een goed VLAN-netwerk opzetten kost tijd, vooral de eerste keer. Reken op een middagje uitzoeken en testen.
Als je het liever uitbesteedt, houd er dan rekening mee dat je voor het programmeren van een smart home per uur al snel €80-€120 betaalt aan een specialist.
De investering is het waard: je beschermt je dure spullen en je privacy.
Praktische tips voor je eigen smart home
Begin klein. Je hoeft niet alles in één keer te segmenteren.
Begin met de meest risicovolle apparaten: je IoT-dingen van merken die je minder vertrouwt. Zet die in een eigen VLAN. Zorg dat je bij het opstellen van je PvE al rekening houdt met deze segmentatie. Je zult versteld staan hoeveel dat al oplevert aan gemoedsrust. Gebruik geen Wi-Fi voor je kernapparaten.
Sluit je KNX-processor, Crestron-controller en NAS altijd bedraad aan op een switch. Wi-Fi is handig, maar een bedrade verbinding is sneller en veiliger.
Beperk het Wi-Fi tot de mobiele en IoT-apparaten. Test alles grondig.
Zodra je een apparaat in een nieuw VLAN hebt gezet, controleer dan of je hem nog kunt bedienen via je telefoon of tablet. Soms blokkeer je per ongeluk te veel. Een kleine aanpassing in de firewallregel lost dit vaak op.
Houd je netwerk bij. Als je een nieuw apparaat koopt, vraag jezelf af: "Welk VLAN past hierbij?" Voorkom dat je lukraak nieuwe apparaten aan je vertrouwde netwerk toevoegt. Zo blijft je digitale thuisbasis veilig en overzichtelijk, precies zoals het hoort.