Proč je izolace IoT zařízení důležitá
Domácí IoT spotřebiče jsou dnes běžnou součástí sítě: chytré žárovky, kamery, termostaty, zásuvky, reproduktory i televize. Problém je, že mnoho z nich běží na jednodušším softwaru, bývá méně aktualizovaných a často komunikuje s cloudem přes desítky různých serverů. Bez izolace se z jednoho kompromitovaného zařízení může útočník dostat k notebooku, telefonu nebo NAS úložišti ve stejné síti.
Podle bezpečnostní praxe je nejvyšší riziko v tom, že IoT zařízení nepotřebují komunikovat s domácími počítači vůbec. Typicky jim stačí přístup na internet a případně na mobilní aplikaci v telefonu. To je přesně situace, kdy dává smysl firewall nastavit tak, aby mezi segmenty sítě propouštěl minimum provozu.
V praxi to znamená tři cíle: oddělit IoT od hlavní sítě, zakázat jim přístup k interním zařízením a povolit jen nutnou komunikaci ven. U lepších routerů toho dosáhnete VLAN, guest Wi‑Fi nebo pokročilými pravidly firewallu. U levnějších modelů je možné alespoň částečné oddělení přes samostatnou síť pro hosty.
Nejjednodušší a nejúčinnější model: oddělená síť pro IoT
Nejspolehlivější varianta je vytvořit pro IoT samostatný segment sítě. Pokud router podporuje VLAN, nastavte IoT zařízení do vlastní VLAN a hlavní počítače a telefony do jiné. Tím získáte přirozené oddělení na úrovni sítě. Pokud VLAN router neumí, použijte alespoň guest network, tedy síť pro hosty s vypnutým přístupem do lokální sítě.
Praktický příklad: hlavní síť může mít rozsah 192.168.1.0/24 a IoT síť 192.168.20.0/24. Na firewallu pak nastavíte pravidlo, které z IoT segmentu blokuje veškerý přístup do 192.168.1.0/24, ale dovolí DNS, DHCP a odchozí provoz do internetu. Tím zabráníte tomu, aby kamera nebo televize skenovala domácí počítače.
- Hlavní síť: notebooky, telefony, pracovní zařízení
- IoT síť: kamery, tiskárny, TV, vysavače, žárovky
- Správcovská síť: volitelně pro administraci routeru a NAS
U některých routerů od výrobců jako ASUS, TP-Link, Ubiquiti nebo MikroTik lze oddělení nastavit přímo v administraci. U OpenWrt je možné využít vlastní firewall zóny a detailní pravidla. Pokud router podporuje jen základní funkce, i tak stojí za to oddělit alespoň kamery a televize do samostatné Wi‑Fi sítě.
Jaká firewall pravidla nastavit krok za krokem
Po oddělení sítí přichází na řadu firewall. Cílem není „zablokovat všechno“, ale nastavit princip default deny pro interní provoz mezi segmenty a povolit jen to, co je nezbytné. U domácího routeru to obvykle znamená tyto kroky:
- Zakažte přístup z IoT do hlavní LAN – pravidlo s prioritou nad ostatními, které blokuje veškerý traffic z IoT subnetu do interního rozsahu hlavní sítě.
- Povolte DNS – IoT zařízení často potřebují překládat domény. Ideálně je směrujte na vlastní DNS resolver v routeru, ne na veřejné DNS zadané výrobcem.
- Povolte DHCP – pokud router přiděluje adresy automaticky, musí být DHCP dostupné v rámci dané sítě.
- Povolte odchozí internet – typicky přes porty 80, 443, případně 123 pro NTP časovou synchronizaci.
- Blokujte příchozí spojení z internetu – vypněte UPnP a nepřesměrovávejte porty na IoT zařízení, pokud to není nezbytné.
Na mnoha routerech stačí vytvořit pravidlo typu: source: IoT network → destination: LAN network → deny. Následně přidat výjimky pro konkrétní služby, například tisk z mobilu na tiskárnu nebo ovládání zařízení přes lokální aplikaci. U chytré domácnosti je běžné, že některé funkce fungují jen přes cloud, ale i tak je možné výrazně omezit vnitřní komunikaci.
Pokud router podporuje stavový firewall, využijte ho. To znamená, že odpovědi na již navázaná spojení projdou automaticky, ale nové pokusy o spojení z IoT do LAN se zablokují. Je to bezpečnější než ruční povolování každé adresy zvlášť.
Co konkrétně blokovat a co nechat projít
V domácí síti se často chybuje tím, že se blokuje příliš mnoho, nebo naopak téměř nic. U IoT je nejlepší držet se praktického minima. Následující pravidla mají v běžné domácnosti dobrý poměr mezi bezpečností a funkčností:
- Blokovat: přístup IoT do všech interních subnetů, SMB/CIFS, SSH, RDP, admin rozhraní ostatních zařízení
- Blokovat: UPnP, pokud router umožňuje jeho vypnutí
- Blokovat: veškerý příchozí provoz z WAN na IoT zařízení
- Povolit: DNS na router nebo interní resolver
- Povolit: NTP na portu 123/UDP
- Povolit: HTTP/HTTPS ven, pokud zařízení komunikuje s cloudem
U některých značek kamer nebo chytrých televizí může být potřeba povolit ještě další domény nebo porty, ale je lepší začít úzkým profilem a až podle logů přidávat výjimky. V administraci routeru sledujte, kam zařízení skutečně komunikuje. Pokud například televize odesílá provoz na desítky cizích adres, zvažte blokaci telemetrie nebo přesun do izolovanější sítě bez přístupu k osobním zařízením.
U zařízení, která vyžadují lokální ovládání z telefonu, lze vytvořit výjimku jen pro konkrétní mobilní IP adresu nebo pro jednu aplikaci v rámci stejného segmentu. Pokud router podporuje mDNS nebo multicast forwarding, může být nutné jej řídit opatrně, protože tyto protokoly někdy umožňují objevování zařízení napříč segmenty.
Jak ověřit, že izolace opravdu funguje
Firewall je účinný jen tehdy, když si ověříte, že pravidla nejsou obcházena. Po nastavení udělejte test ze zařízení v IoT síti. Nejprve zkuste otevřít webové rozhraní domácího NAS, tiskárny nebo routeru v hlavní síti. Pokud se stránka nenačte, izolace funguje správně. Poté ověřte, že zařízení stále získá IP adresu, překládá DNS a umí komunikovat s cloudem výrobce.
Praktický test lze provést i přes příkazy jako ping, traceroute nebo nslookup, případně přes logy routeru. Pokud máte OpenWrt, pomůže kontrola přes logread a firewall statistiky. U běžných routerů sledujte sekci System Log nebo Security Log. Hledejte blokované pokusy o spojení do interní sítě, opakované DNS dotazy nebo neobvyklou komunikaci na zahraniční adresy.
Je rozumné test opakovat po každé změně firmware. Aktualizace routeru někdy přepíše vlastní pravidla nebo změní pořadí filtrů. Proto je vhodné mít konfiguraci zálohovanou a po updatu rychle zkontrolovat, zda se pravidla nezměnila.
Praktické doplňky: DNS filtr, guest Wi‑Fi a správa přístupu
Samotný firewall je základ, ale nejlepších výsledků dosáhnete kombinací více vrstev. Velmi užitečný je DNS filtr, například přes Pi-hole nebo AdGuard Home. Ten dokáže blokovat známé reklamní a telemetrické domény ještě předtím, než se spojení naváže. U některých IoT zařízení tím snížíte počet odchozích požadavků o desítky procent.
Dalším pomocníkem je guest Wi‑Fi s odlišným heslem a vypnutým přístupem do lokální sítě. Pokud máte router s Wi‑Fi 6 a více SSID, můžete oddělit například:
- hlavní síť pro práci a osobní zařízení,
- IoT síť pro chytrou domácnost,
- hostovskou síť pro návštěvy.
V domácnostech s větším počtem zařízení se osvědčuje i jednoduché pravidlo: co nepotřebuje být v hlavní síti, tam nepatří. Kamera do dětského pokoje, robotický vysavač a chytrá televize obvykle nemají důvod vidět notebook s pracovními dokumenty. Když navíc vypnete vzdálenou správu routeru z internetu, zmírníte riziko útoku i zvenčí.
Pro správu přístupu je vhodné vést si krátký seznam zařízení, jejich IP adres a pravidel, která pro ně platí. Ušetří to čas při řešení výpadků i při budoucím rozšiřování chytré domácnosti. Pokud přidáte nové zařízení, připojte ho nejprve do izolované sítě a teprve po ověření funkce mu případně dopřejte výjimku. To je nejpraktičtější způsob, jak udržet domácí síť přehlednou a současně bezpečnou.