当所有关于物联网设备被恶意软件攻击或劫持时,你的路由器和家庭网络能保护好家了吗?
若使用的是比较旧的路由器,或者没有使用路由器的高级功能,可能做不到。考虑到这一点,这里有一些不同的方法可以增强智慧家居设备的安全性。
先明确一点,这里的主要目标是将任何网络入侵仅限于受感染的设备。即不想某些恶意行为者通过物联网设备进入自家的家庭网络,并访问其他设备或网络数据。
1.使用访客网络
保护网络的最简单的方法是创建一个访客网络,并将所有的智慧家居设备连接到该网络。即使路由器已经使用多年,或者是由ISP提供的,也很有可能支持至少一个访客网络。
创建访客网络所需采取的步骤会因品牌和型号而异,因此首先要检查路由器的常规设置甚至高级设置。然后创建一个与主家庭网络完全不同的网络名和密码。再者,将所有的物联网产品连接到访客网络,以便将其与手机、计算机、平板电脑和电视使用的网络分开。这样做,将保护主家庭网络免受任何外部通过受损的物联网设备访问。
但是,这有一个缺点。即,每次想使用移动应用程序来控制智慧家居设备时,都需要将手机连接到访客网络。不过,如果使用智能音箱或智能显示器来控制这些连接设备,这就没什么问题了。因为,当把所有的智慧家居产品都放在访客网络上,那些智能音箱和智能显示屏也会出现在上面,这样就可以“看到”灯、锁、摄像头等产品了。
2.网络分段
使用高级路由器,可以通过网络分段将访客网络方法提升到另一个层次。同样,路由器的品牌、型号和使用年限将决定是否有能力使用这个功能。
从本质上讲,网络分段是将家庭网络划分为多个子网:不是单个网络,而是多个网络。就像访客网络方法一样,一旦为智能家庭设备创建了一个专门的子网,它们都应该连接到它。每个子网都可以通过路由器访问互联网,但一个子网上的设备不能“看到”另一个子网上的设备。
在上图中,能看到每个子网的IP地址范围都以相同的数字192.168开头。这是一个常见的私有或内部的IP地址范围,用于任何家庭或企业。下面的数字范围说明了被分段的IP地址。家庭Wi-Fi设备使用的网络IP地址范围为192.168.2.1~192.168.32.254。本例中的物联网设备使用类似的地址范围,但在192.168.3xxx子网上。他们只能看到同一网段内的设备,因此访问这些设备的第三方无法访问家庭Wi-Fi网络上的设备。
3.另一个硬件选项
如果网络分段太难以设置,或路由器不提供访客网络,还有其他选择。
这来自生产一系列网络安全家用产品的Firewalla。每款产品的价格从139美元到475美元不等,基本功能相同,但可以花更多的钱来添加功能或支持更快的网络。
之前,有测试其中两款产品,FirewallaBlue和FirewallaGold。每个都可直接安装在家的互联网连接和路由器之间。所以在这方面,其就像一个防火墙,因为其可以看到入站和出站的网络流量。
如防火墙般,可以设置规则来允许或禁止智慧家居设备连接或连接互联网。比如,可允许Google Home设备只与Google服务器连接。这样的配置可以限制第三方访问自已的智慧家居设备、进入网络、窥探数据或在不知情的情况下访问其他设备。
设置防火墙以获得最大保护需要时间和精力。最初,可能会收到来自Firewalla的通知,要求批准或拒绝设备访问互联网。当来自世界各地的服务器试图连接到自己的物联网产品时,很容易掉进“陷阱”。
但是,在默认情况下,Firewalla在很大程度上是一种自我配置工具,因此可自行决定要筛选多少网络数据并从中采取行动。还有其他一些物理设备,如Bitdefender和Cujo,也可以实现这个功能。另外,ComcastEero或ISP提供的某些服务也可以提供这种级别的通知和监控,但需按月付费。
因此,可以结合使用其中几种方法。比如,通过使用访客网络和Firewalla;或者可以更进一步,投资购买一个支持虚拟局域网的商用级路由器,尽管这不是大多数智能家庭可能会解决的问题。
但无论采用何种方法,其目标都是将智慧家居中的网络威胁降至最低。这是所有这些选项都会做的事情。