Waarom je beveiligingscamera's op een apart VLAN moeten draaien
Je hebt een prachtig KNX-systeem, een Crestron-processor die je hele huis aanstuurt en een home cinema met DALI-verlichting die elke filmavond transformeert. Alles communieert soepel via je netwerk. Dan komt de vraag: waar laat je die 8 beveiligingscamera's?
De makkelijkste weg is ze gewoon op je bestaande netwerk te pluggen.
Dat is echter alsof je de sleutels van je kluis aan de bezorger geeft. In de wereld van high-end domotica is veiligheid geen optie, het is de basis. We gaan het hebben over waarom die camera's hun eigen, afgeschermde wereldje verdienen.
Wat is een VLAN eigenlijk?
Stel je voor dat je in een enorm kantoorpand werkt. Afdeling Financiën zit op de derde verdieping, Marketing op de vijfde.
Ze gebruiken allebei hetzelfde gebouw, maar ze lopen niet zomaar elkaars kamers binnen. Een VLAN (Virtual Local Area Network) doet precies dat, maar dan voor je digitale apparaten.
Het snijdt je ene grote netwerk op in meerdere virtuele, afgesloten stukjes. Je camera's, je slimme thermostaat, je NAS en je laptop zitten dan niet door elkaar op één grote hoop. Ze zitten in hun eigen afgeschermde kamertjes. Ze kunnen nog steeds internet gebruiken, maar ze kunnen niet zomaar bij elkaars data. Het is een digitale muur tussen je beveiligingssystemen en de rest van je smart home.
Waarom is die scheiding zo essentieel?
Het draait allemaal om kwetsbaarheden. Die ene goedkope slimme stekker van een Chinees merk die je hebt gekocht voor de koffiemachine, heeft misschien niet de allerbeste beveiliging.
Een hacker kan daar via een gat in de software inkomen. Vanuit die stekker heeft hij vrij spel op je netwerk. Hij kan dan makkelijk doorklikken naar je camera's, de beelden bekijken of ze zelfs uitzetten vlak voor hij binnenstaat. Je dure Axis-camera's worden dan een open boek.
Met een apart VLAN stop je die indringer in zijn sporen. Zit hij in je 'algemene' netwerk (het 'guest' VLAN), dan kan hij niet bij de camera's.
Die zitten veilig opgesloten in hun eigen 'beveiligings' VLAN. Hij kan niet zien dat ze bestaan, laat staan bij de beelden.
Het is de digitale versie van je kluis niet in de woonkamer zetten, maar in een kluis in een kluis.
Een hacker met toegang tot je slimme lampen is vervelend. Een hacker met toegang tot je bewakingscamera's is gevaarlijk.
Hoe werkt dit in de praktijk met high-end hardware?
We hebben het hier over de topsegmenten. Stel je voor dat je een Netgear MS510TX switch hebt liggen, een populaire keuze in de luxere woningbouw.
Je logt in op de interface. Daar maakje twee nieuwe VLAN's aan. Laten we zeggen VLAN 10 voor je 'Verkeer' (je PC's, Apple TV) en VLAN 20 voor je 'Beveiliging' (je camera's en recorder). De poort waar je recorder (NVR) op aangesloten zit, configureer je als 'Tagged'.
Dit betekent dat die poort verkeer van en naar zowel VLAN 10 als VLAN 20 mag sturen. De poorten waar de camera's zelf op zitten, zet je op 'Untagged' voor VLAN 20.
Ze mogen alleen dat eilandje op. Ze mogen geen verkeer van VLAN 10 ontvangen of versturen.
Zo blijft alles gescheiden. Je Crestron-processor zit in VLAN 10. Om de beelden van de camera's te kunnen tonen op je touchscreens of in de app, moet je processor wel bij de camera's kunnen.
Dat los je op met een firewall-regel. Je maakt een regel die toestaat dat IP-adressen uit VLAN 10 (je processor) mogen communiceren met de IP-adressen in VLAN 20 (camera's), maar niet andersom. De camera's mogen de processor niet 'zien' of benaderen.
De valkuilen: routering en multicast
Er is een valkuil waar veel installateurs (en doe-het-zelvers) intrappen: de router. Veel consumentenrouters snappen niet dat er meerdere VLAN's zijn.
Ze gooien al het verkeer door elkaar heen. Je hebt een router nodig die 'Inter-VLAN routing' aan kan sturen of juist blokkeren. Een Unifi Dream Machine Pro of een professionele firewall zoals een Fortigate kan dit prima.
Zonder die controle is je scheiding direct weer waardeloos. Een tweede puntje is multicast.
Camera's sturen hun beelden vaak via multicast uit, vooral in combinatie met systemen als Control4 of Crestron. Dit is een efficiënte manier om data naar meerdere schermen tegelijk te sturen. Echter, standaard blijft multicast binnen zijn eigen VLAN hangen. Je moet op je switch aangeven dat multicast-verkeer mag 'crossen' naar het VLAN van je domotica-processor.
Dit heet IGMP Snooping en Querier instellen. Een beetje technisch, maar essentieel voor soepel beeld.
Varianten: van basis tot zeer strikt
Niet elke situatie vereist hetzelfde niveau van afzondering. We kunnen een paar niveaus onderscheiden.
De meest voorkomende setup is die met het aparte VLAN voor de camera's. Dit is de sweet spot voor de meeste KNX/Creston-woningen. De kosten hiervoor zijn vaak nihil, want je bestaande managed switch (vanaf €150) kan dit al.
Het kost je vooral tijd om in te regelen, circa 1 tot 2 uur.
Een strengere variant is het gebruik van een 'Air Gap' of fysieke scheiding. Hierbij zitten de camera's op een compleet los netwerk met een eigen internetverbinding (bijv. een 4G router). Dit is voor extreme gevallen en vaak overkill voor een woning.
De kosten lopen hier op van €500 tot €1000+ voor extra hardware en internetlijnen. De allerbeste optie voor high-end projecten is een compleet gescheiden netwerk met een firewall die specifiek het beveiligingsverkeer managed.
Denk aan een Ubiquiti Unifi USG Pro (€400) of een kleine Cisco firewall.
Hiermee kun je tot op het byte-niveau instellen wat wel en niet mag. De investering van €500 - €1500 voor hardware en installatietijd betaalt zich terug in gemoedsrust en onkraakbare systemen.
Praktische tips om vandaag nog te starten
Wil je dit aanpakken? Begin met het controleren van je netwerk.
Is je switch 'managed'? Kijk op het stickeretje of in de handleiding. Is het een simpele switch van €20, dan kun je dit helaas vergeten.
Die moet eerst vervangen worden door een exemplaar van TP-Link, Netgear of Ubiquiti die VLAN's ondersteunt. Maak een schema.
Schrijf op welke apparaten in welk VLAN moeten. Houd het simpel. Houd je beveiligingscomponenten van de juiste klasse apart van de rest.
Zorg dat je een reserve-IP instelt voor je switch, zodat je hem niet per ongeluk uitsluit. En test, test, test. Koppel alles los en sluit het stap voor stap aan volgens je plan. Onthoud: technologie is slechts gereedschap.
De kracht zit hem in de opbouw. Een goed ingericht netwerk is de fundering van je high-end domotica woning, net zoals een bekabeld magneetcontact op ramen de basis vormt voor een betrouwbare beveiliging.
Zonder die fundering staat je prachtige KNX-systeem en je Crestron-besturing op drijfzand. Dus pak die netwerkswitch, maak die VLAN's en ontdek de voordelen van een gecentraliseerd beheer van je camera's en beveiliging. Jouw gemoedsrust is het waard.