Proč oddělovat IoT zařízení od hlavní sítě

IoT zařízení — chytré žárovky, zásuvky, kamery, termostaty — mají různou kvalitu zabezpečení. Levné chytré zásuvky z neznámých zdrojů mohou mít zranitelnosti, které výrobce nikdy neopraví. Pokud jsou v stejné síti jako váš notebook nebo NAS disk, napadené zařízení může sloužit jako vstupní bod do zbytku sítě.

Síťová segmentace toto riziko výrazně snižuje. Zařízení v oddělené IoT síti vidí jen internet — nemohou komunikovat s vašimi počítači, tiskárnami ani NAS disky. I kdyby bylo IoT zařízení napadeno, útočník se dostane pouze do izolované IoT sítě, ne do hlavní sítě s citlivými daty. Celkový přehled o síťové infrastruktuře pro chytrou domácnost najdete na stránce síť pro chytrou domácnost.

Guest síť — nejjednodušší řešení

Pro naprostou většinu domácností je guest (hostovská) Wi-Fi síť dostačující ochrana a nejjednodušší způsob, jak IoT oddělit od hlavní sítě. Moderní routery ji podporují bez přídavného hardware.

Jak guest síť funguje: router vytvoří druhou Wi-Fi síť s vlastním názvem (SSID) a heslem. Zařízení v guest síti mají přístup na internet, ale jsou oddělena od hlavní sítě — nevidí vaše počítače, telefony ani NAS disk. To přesně chcete pro IoT zařízení.

Postup nastavení na běžném routeru:

  • Přihlaste se do administrace routeru (typicky 192.168.1.1)
  • Najděte sekci Guest Network nebo Guest Wi-Fi
  • Aktivujte guest síť, nastavte unikátní název (SSID) a silné heslo
  • Zkontrolujte, že je zapnutá izolace od hlavní sítě (client isolation, AP isolation)
  • Připojte IoT zařízení na tuto guest síť místo hlavní

Různé SSID pro 2,4 GHz a 5 GHz

Chytrá zařízení typicky fungují jen na 2,4 GHz frekvenci. Pokud váš router vysílá obě frekvence pod stejným SSID (band steering), může při připojování docházet k problémům. Doporučení: na guest síti nastavte samostatné SSID pro 2,4 GHz — např. „home-iot-24" — aby se zařízení připojila na správnou frekvenci.

VLAN — pokročilé síťové segmentování

VLAN (Virtual Local Area Network) je pokročilejší přístup, který umožňuje přesnější kontrolu nad provozem. Místo jednoduché guest sítě vytvoříte dedikovanou virtuální síť pro IoT s vlastními firewall pravidly. To je užitečné pokud:

  • Chcete zablokovat i komunikaci IoT zařízení navzájem (inter-device isolation)
  • Potřebujete přesnou kontrolu nad tím, které IoT zařízení smí přistupovat na internet
  • Provozujete lokální server (Home Assistant) v jiné VLAN, ke které mají IoT přístup, ale ne na internet
  • Chcete monitorovat provoz IoT zařízení a vidět, co kam posílají

VLAN vyžaduje spravovatelný router nebo router s pokročilým firmware (OpenWrt, pfSense, UniFi). Nastavení je složitější než guest síť — počítejte s tím, že budete potřebovat základní znalost síťových konceptů nebo si přečíst průvodce pro váš konkrétní router.

VLAN segmentace může přerušit funkčnost některých chytrých zařízení, pokud potřebují komunikovat se serverem v hlavní síti (např. Home Assistant hub). Před nastavením si ujasněte, která zařízení potřebují přístup k lokálním serverům, a nastavte odpovídající pravidla. Špatná konfigurace VLAN může způsobit nefunkčnost celé IoT sítě.

Kdy VLAN nestojí za komplikace

Pro standardní domácnost s desítkou IoT zařízení, která komunikují přes cloudové aplikace výrobce, guest síť plně postačí. VLAN přidává komplexitu, která pro průměrného uživatele nepřináší proporcionálně vyšší bezpečnost.

VLAN má smysl pro uživatele, kteří provozují lokální server (Home Assistant na Raspberry Pi nebo NUC), mají rozsáhlou instalaci s desítkami nebo stovkami zařízení, nebo mají specifické požadavky na kontrolu provozu. Pokud váhate, začněte guest sítí — je to lepší než nic a nestojí žádné úsilí navíc.

DNS pro IoT — volitelný pokročilý krok

Další úroveň kontroly je vlastní DNS server pro IoT síť. Nastroje jako Pi-hole nebo AdGuard Home mohou blokovat známé sledovací a reklamní domény i pro IoT zařízení, sledovat, na které servery se vaše zařízení připojují, a upozornit na podezřelý provoz. To je ale jednoznačně pokročilé nastavení — pro běžnou domácnost není nezbytné.

Checklist síťového zabezpečení pro smart home

Praktické tipy pro bezproblémový přechod

Při přesunu IoT zařízení do guest sítě je dobré postupovat systematicky — ne přesouvat vše najednou. Začněte jedním méně kritickým zařízením (chytrá žárovka, zásuvka), ověřte funkčnost a teprve pak pokračujte. Kamery, termostaty a zámky přesouvejte až po ověření, že guest síť funguje správně.

Nezapomeňte, že zařízení, která komunikují s lokálním serverem (Home Assistant), potřebují přístup k serveru — buď přes povolenou komunikaci mezi sítěmi, nebo musí být server ve stejné síti jako zařízení. Jak zabezpečit samotná zařízení v IoT síti popisuje stránka jak zabezpečit chytrou domácnost.

Časté otázky

Musím mít pro IoT síť nový router nebo přístupový bod?
Ne — guest síť funguje na většině moderních routerů bez přídavného hardware. VLAN segmentace vyžaduje spravovatelný router nebo switch (unmanaged switch VLAN neumí). Dobrá volba pro pokročilejší nastavení jsou routery s OpenWrt/DD-WRT firmware nebo dedikované IoT routery jako Firewalla nebo UniFi Dream Machine.
Může zařízení v guest síti ovládat zařízení v hlavní síti?
Závisí na nastavení routeru. Správně nastavená guest síť komunikaci mezi guest sítí a hlavní sítí blokuje — to je smysl segmentace. Zařízení v guest síti vidí jen internet, ale ne vaše počítače v hlavní síti. Zkontrolujte v nastavení routeru, zda je 'Client isolation' nebo 'AP isolation' zapnuté.
Jak nastavím guest síť na běžném domácím routeru?
Většina moderních routerů (TP-Link, ASUS, Netgear, Mikrotik) má guest síť v základním nastavení. Přihlaste se do administrace routeru (typicky 192.168.1.1 nebo 192.168.0.1), najděte sekci 'Wireless' nebo 'Guest Network' a aktivujte druhou Wi-Fi síť. Nastavte jiné SSID (název sítě) a heslo. Ujistěte se, že je zapnutá izolace od hlavní sítě.
Potřebuji pro smart home síť Mesh systém?
Mesh je výhodný pro větší domy, kde Wi-Fi signál jednoho routeru nestačí pokrýt celý prostor. Smart home zařízení typicky nepotřebují rychlé připojení, ale potřebují spolehlivý signál. Mesh systém zlepší pokrytí a stabilitu — ale pro segmentaci IoT sítě musí mesh systém podporovat VLAN nebo guest síť s izolací. Více na stránce o Wi-Fi mesh sítích.