Bezpieczna konfiguracja sieci WiFi dla urządzeń IoT: Izolacja, VLANy i rozwiązania LTE

Bezpieczna konfiguracja sieci WiFi dla urządzeń IoT: Izolacja, VLANy i rozwiązania LTE

Wprowadzenie

Urządzenia IoT, w tym czujniki monitorujące temperaturę, wilgotność czy inne parametry środowiskowe, stają się coraz powszechniejsze w firmach i domach. Jednak ich obecność w sieci wiąże się z potencjalnym ryzykiem bezpieczeństwa. Niezabezpieczone urządzenia IoT mogą stanowić furtkę dla cyberprzestępców, umożliwiając nieautoryzowany dostęp do wrażliwych danych czy innych urządzeń w sieci lokalnej.

 

 

 

W tym artykule przedstawimy różne metody konfiguracji sieci WiFi, które zapewnią maksymalną izolację urządzeń IoT od pozostałej infrastruktury sieciowej. Omówimy rozwiązania od najprostszych po zaawansowane, kierując się zasadą minimalizacji ryzyka.

 

Dlaczego izolacja urządzeń IoT jest ważna?

Urządzenia IoT często:

  • Posiadają ograniczone mechanizmy bezpieczeństwa
  • Rzadko otrzymują aktualizacje firmware
  • Wykorzystują standardowe, trudne do zmiany hasła
  • Wymagają dostępu do internetu dla synchronizacji z chmurą
  • Mogą być podatne na ataki typu botnet (np. Mirai)

Brak izolacji oznacza, że skompromitowane urządzenie IoT może:

  • Uzyskać dostęp do komputerów, serwerów i NAS w sieci lokalnej
  • Przechwytywać ruch sieciowy
  • Służyć jako punkt wyjścia do ataków na inne urządzenia
  • Generować niepożądany ruch sieciowy

 

Metody izolacji urządzeń IoT

1. Izolacja klientów na poziomie Access Pointa (AP Isolation / Client Isolation)

Opis rozwiązania:
Najprostszą metodą jest włączenie funkcji izolacji klientów bezpośrednio w access poincie lub routerze WiFi. Funkcja ta (często nazywana AP Isolation, Client Isolation lub Wireless Isolation) uniemożliwia komunikację między urządzeniami podłączonymi do tego samego punktu dostępowego.

 

Jak to działa:

  • Każde urządzenie może komunikować się tylko z routerem/AP i przez niego z internetem
  • Urządzenia nie widzą się nawzajem w sieci lokalnej
  • Nie mogą wymieniać między sobą pakietów bezpośrednio

Konfiguracja:

  1. Zaloguj się do panelu administracyjnego routera/AP
  2. Znajdź sekcję ustawień WiFi (często w zakładce Wireless/WiFi)
  3. Włącz opcję "AP Isolation", "Client Isolation" lub "Wireless Isolation"
  4. Zastosuj zmiany i zrestartuj AP jeśli wymagane

Zalety:

  • Bardzo proste do wdrożenia
  • Nie wymaga dodatkowego sprzętu
  • Działa natychmiast po włączeniu

Wady:

  • Urządzenia IoT nadal znajdują się w tym samym segmencie sieci co pozostałe urządzenia
  • Izolacja działa tylko na poziomie warstwy 2 (L2) modelu OSI
  • Niektóre routery mogą nie oferować tej funkcji
  • Nie izoluje urządzeń podłączonych kablem Ethernet

Dla kogo:
Rozwiązanie odpowiednie dla małych domowych instalacji z 1-3 urządzeniami IoT, gdzie nie ma krytycznych danych w sieci lokalnej.

 

2. Oddzielna sieć Guest Network (sieć gości)

Opis rozwiązania:
Większość nowoczesnych routerów oferuje funkcję sieci gości (Guest Network), która tworzy osobną sieć WiFi z ograniczonym dostępem do sieci lokalnej.

 

Jak to działa:

  • Router tworzy osobny SSID (nazwę sieci) dla gości
  • Urządzenia w sieci gości mają zazwyczaj dostęp tylko do internetu
  • Firewall routera blokuje komunikację między siecią główną a siecią gości
  • Możliwość ustawienia ograniczeń czasowych i przepustowości

Konfiguracja:

  1. W panelu administracyjnym routera znajdź sekcję "Guest Network" lub "Sieć gości"
  2. Włącz sieć gości i nadaj jej unikalny SSID
  3. Ustaw silne hasło WPA2/WPA3
  4. Upewnij się, że opcja "Allow guests to access local network" jest wyłączona
  5. Podłącz urządzenia IoT do sieci gości

Zalety:

  • Prosta konfiguracja w interfejsie routera
  • Nie wymaga dodatkowego sprzętu
  • Lepsza izolacja niż AP Isolation
  • Osobne hasło WiFi dla urządzeń IoT

Wady:

  • Ograniczone możliwości konfiguracji w porównaniu z VLAN
  • Niektóre routery oferują tylko jedną sieć gości
  • Może nie oferować pełnej izolacji w zależności od implementacji producenta
  • Brak możliwości segmentacji na poziomie portów Ethernet

Dla kogo:
Dobre rozwiązanie dla małych i średnich firm oraz użytkowników domowych, którzy chcą prostą, ale skuteczną izolację bez inwestycji w dodatkową infrastrukturę.

 

3. Wirtualne sieci VLAN (Virtual Local Area Network)

Opis rozwiązania:
VLAN to zaawansowana technika segmentacji sieci, która logicznie dzieli jedną fizyczną sieć na wiele niezależnych sieci wirtualnych. To profesjonalne rozwiązanie stosowane w firmach.

 

Jak to działa:

  • Switch zarządzalny (managed switch) tworzy oddzielne segmenty sieciowe
  • Każdy VLAN ma własny zakres adresów IP (np. 192.168.10.0/24 dla IoT, 192.168.20.0/24 dla biura)
  • Reguły firewall na routerze/zaporze kontrolują komunikację między VLANami
  • Możliwość tagowania ruchu (802.1Q) dla separacji na poziomie ramki Ethernet

Przykładowa konfiguracja:

VLAN 10 - Sieć zarządzania (Management): 192.168.10.0/24
VLAN 20 - Sieć biurowa: 192.168.20.0/24
VLAN 30 - Sieć IoT: 192.168.30.0/24
VLAN 40 - Sieć gości: 192.168.40.0/24

 

Konfiguracja (uproszczony przykład):

 

1. Na switchu zarządzalnym:

  • Utwórz VLAN 30 dla IoT
  • Przypisz odpowiednie porty do VLAN 30 (tagged lub untagged)
  • Skonfiguruj port trunk (tagged) dla połączenia z routerem/AP

2. Na routerze/firewallu:

  • Utwórz interfejs wirtualny dla VLAN 30
  • Skonfiguruj DHCP server dla zakresu 192.168.30.0/24
  • Ustaw reguły firewall:
    • Zezwalaj: VLAN 30 → Internet
    • Blokuj: VLAN 30 → VLAN 20 (sieć biurowa)
    • Blokuj: VLAN 30 → VLAN 10 (zarządzanie)

3. Na access poincie:

  • Utwórz osobny SSID dla IoT (np. "IoT_Network")
  • Przypisz ten SSID do VLAN 30
  • Skonfiguruj zabezpieczenia WPA2-PSK lub WPA3

Zalety:

  • Pełna segmentacja sieci na poziomie L2 i L3
  • Precyzyjna kontrola ruchu między segmentami
  • Skalowalne rozwiązanie (można tworzyć wiele VLANów)
  • Możliwość różnych polityk QoS dla każdego VLANu
  • Izolacja również dla urządzeń podłączonych kablem Ethernet

Wady:

  • Wymaga sprzętu zarządzalnego (managed switch, odpowiedni router/firewall)
  • Bardziej skomplikowana konfiguracja
  • Wyższa cena infrastruktury
  • Wymaga wiedzy technicznej z zakresu sieci

Dla kogo:
Idealne dla średnich i dużych firm, działów IT, które potrzebują profesjonalnej segmentacji sieci z pełną kontrolą nad ruchem sieciowym.

 

4. Fizycznie oddzielna sieć WiFi (osobny router/AP)

Opis rozwiązania:
Najprostszą formą pełnej izolacji jest utworzenie kompletnie osobnej sieci WiFi na dedykowanym sprzęcie, całkowicie niezależnej od głównej sieci firmowej lub domowej.

 

Jak to działa:

  • Osobny router/AP podłączony bezpośrednio do modemu lub do portu LAN głównego routera
  • Całkowicie oddzielna adresacja IP
  • Osobne połączenie internetowe (opcjonalnie)
  • Brak fizycznego połączenia z siecią główną

Konfiguracja:

 

Wariant A - Drugi router za głównym routerem:

  1. Podłącz port WAN drugiego routera do portu LAN głównego routera
  2. Skonfiguruj drugi router z innym zakresem IP (np. 192.168.2.0/24)
  3. Upewnij się, że jest włączony tryb NAT
  4. Włącz firewall na drugim routerze
  5. Podłącz urządzenia IoT do drugiej sieci

Wariant B - Osobny router z własnym modemem/łączem:

  1. Wykup dodatkowe łącze internetowe (np. LTE, drugi ISP)
  2. Skonfiguruj całkowicie oddzielną sieć
  3. Urządzenia IoT korzystają wyłącznie z tego łącza
  4. Brak jakiegokolwiek połączenia z siecią główną

Zalety:

  • Najprostsza forma pełnej fizycznej izolacji
  • Nie wymaga zaawansowanej wiedzy technicznej
  • Kompletna separacja sieci
  • W przypadku awarii głównej sieci, IoT nadal działa
  • Możliwość użycia taniego sprzętu dla sieci IoT

Wady:

  • Dodatkowy koszt sprzętu
  • Zajmuje więcej miejsca
  • Więcej urządzeń do zarządzania
  • W wariancie B: dodatkowy koszt abonamentu internetowego
  • Zmarnowane zasoby (jeśli IoT nie wymaga dużej przepustowości)

Dla kogo:
Rozwiązanie dla użytkowników, którzy chcą maksymalnej izolacji bez komplikacji związanych z VLANami, lub dla lokalizacji, gdzie nie ma możliwości wdrożenia VLANów.

 

5. Urządzenia IoT z łącznością LTE/4G/5G (pełna separacja od WiFi)

Opis rozwiązania:
Najbezpieczniejszym rozwiązaniem z punktu widzenia izolacji od sieci lokalnej jest zastosowanie urządzeń IoT wyposażonych w modem komórkowy (LTE/4G/5G), które całkowicie omijają infrastrukturę WiFi użytkownika.

 

Jak to działa:

  • Urządzenie posiada wbudowany modem komórkowy i slot na kartę SIM
  • Komunikacja z platformą chmurową odbywa się wyłącznie przez sieć operatora komórkowego
  • Brak jakiegokolwiek połączenia z siecią WiFi użytkownika
  • Dostęp do danych możliwy z dowolnego miejsca na świecie przez aplikację/platformę chmurową

Przykładowe urządzenia UbiBot:

 

WS1 Pro WiFi/LTE:

  • Hybrydowy czujnik temperatury i wilgotności
  • Możliwość pracy w trybie WiFi, LTE lub mieszanym
  • Automatyczne przełączanie między WiFi a LTE w przypadku problemów
  • Idealny dla krytycznych aplikacji wymagających ciągłości pomiaru

GS1-AL4G1RS:

  • Czujnik z obsługą zewnętrznych sond
  • Dedykowany modem LTE 4G
  • Możliwość monitorowania wielu parametrów
  • Przeznaczony dla zastosowań przemysłowych i magazynowych

Konfiguracja:

  1. Włóż aktywną kartę SIM do urządzenia
  2. Włącz urządzenie i poczekaj na połączenie z siecią komórkową
  3. W konfiguracji urządzenia wyłącz WiFi lub ustaw priorytet dla LTE
  4. Urządzenie automatycznie łączy się z platformą UbiBot przez internet komórkowy
  5. Zaloguj się do platformy UbiBot z dowolnego urządzenia z dostępem do internetu

Zalety:

  • Maksymalne bezpieczeństwo - całkowita separacja od sieci lokalnej
  • Zero ryzyka dla infrastruktury firmowej
  • Niezależność od awarii WiFi
  • Łatwość wdrożenia (plug & play)
  • Mobilność - możliwość instalacji w miejscach bez WiFi
  • Dostęp do danych z dowolnego miejsca na świecie
  • Brak konieczności konfiguracji sieci

Wady:

  • Koszt karty SIM i abonamentu/pakietu danych
  • Wyższy koszt urządzenia (obecność modemu LTE)
  • Zużycie baterii (jeśli urządzenie bateryjne)
  • Zależność od zasięgu sieci komórkowej
  • Możliwe ograniczenia przesyłu danych w zależności od pakietu

Dla kogo:

  • Firmy z restrykcyjnymi politykami bezpieczeństwa
  • Instalacje w obiektach krytycznych (serwerownie, magazyny farmaceutyczne)
  • Lokalizacje bez niezawodnego WiFi
  • Aplikacje mobilne (transport, logistyka)
  • Sytuacje, gdzie absolutna separacja od sieci lokalnej jest wymagana

 

6. Platforma lokalna (on-premise) bez dostępu do internetu

Opis rozwiązania:
Alternatywą dla rozwiązań chmurowych jest instalacja platformy zarządzającej bezpośrednio w infrastrukturze klienta. Urządzenia IoT łączą się z lokalnym serwerem przez WiFi, ale nie mają dostępu do internetu publicznego.

Szczegółowe porównanie instalacji chmurowej z rozwiązaniem on-premise dostępne jest na stronie Platforma IoT UbiBot.

 

Jak to działa:

  • Serwer z platformą UbiBot zainstalowany lokalnie (on-premise)
  • Urządzenia IoT łączą się do lokalnego serwera przez WiFi
  • Firewall blokuje urządzeniom IoT dostęp do internetu
  • Dostęp do platformy możliwy z sieci lokalnej lub przez VPN
  • Wszystkie dane pozostają w infrastrukturze klienta

Konfiguracja:

 

1. Instalacja serwera:

  • Zainstaluj platformę UbiBot na serwerze lokalnym
  • Skonfiguruj bazę danych
  • Wykup licencję roczną (koszt zależy od wymaganych funkcji)

2. Konfiguracja sieci:

  • Utwórz VLAN lub osobną sieć WiFi dla IoT
  • Skonfiguruj reguły firewall:
    • Zezwalaj: Urządzenia IoT → Serwer lokalny
    • Blokuj: Urządzenia IoT → Internet
    • Zezwalaj: Serwer → SMTP dla wysyłki emaili (opcjonalnie)
  • Ustaw statyczne IP dla serwera platformy

3. Konfiguracja urządzeń:

  • W ustawieniach urządzeń UbiBot zmień adres serwera na lokalny
  • Urządzenia będą komunikować się tylko z lokalną platformą

Zalety:

  • Pełna kontrola nad danymi (pozostają w firmie)
  • Brak zależności od dostępności chmury zewnętrznej
  • Zgodność z politykami bezpieczeństwa zabraniającymi przesyłania danych na zewnątrz
  • Możliwość integracji z lokalnymi systemami (ERP, SCADA, BMS)
  • Niskie opóźnienia w komunikacji

Wady:

  • Roczna licencja - koszt rośnie wraz z ilością funkcji
  • Ograniczone powiadomienia mobilne - niemożliwe poza siecią LAN (bez VPN)
  • Wymaga dedykowanego serwera i jego utrzymania
  • Serwer musi mieć dostęp do SMTP dla wysyłki alarmów email - nie da się całkowicie odciąć od świata
  • Konieczność konfiguracji VPN dla dostępu zdalnego
  • Odpowiedzialność za backupy i aktualizacje
  • Brak niektórych funkcji dostępnych w chmurze publicznej

Ograniczenia:
⚠️ Powiadomienia push na smartfony poza siecią LAN są niemożliwe bez skonfigurowania VPN lub tunelu do sieci firmowej.
⚠️ Wysyłka emaili z alarmami wymaga dostępu serwera do internetu (port 25/587 dla SMTP), co oznacza, że kompletna izolacja od świata zewnętrznego nie jest możliwa.

 

Dla kogo:

  • Organizacje z restrykcyjnymi wymogami compliance (RODO, HIPAA, ISO 27001)
  • Firmy, które nie mogą przesyłać danych poza swoją infrastrukturę
  • Instalacje w obiektach bez stałego dostępu do internetu
  • Firmy preferujące pełną kontrolę nad platformą i danymi

Więcej informacji o różnicach między platformą chmurową a on-premise znajdziesz tutaj.

 

Dodatkowe zabezpieczenia niezależne od topologii sieci

Niezależnie od wybranej metody izolacji, warto wdrożyć dodatkowe zabezpieczenia:

Silne hasła i szyfrowanie

  • Używaj WPA3 lub minimum WPA2-PSK z silnym hasłem (16+ znaków)
  • Zmień domyślne hasła administratora routerów i urządzeń IoT
  • Wyłącz WPS (WiFi Protected Setup) - podatny na ataki
  • Używaj różnych haseł dla różnych sieci

Aktualizacje firmware

  • Regularnie aktualizuj firmware routerów, AP i urządzeń IoT
  • Włącz automatyczne aktualizacje jeśli dostępne
  • Sprawdzaj komunikaty producenta o lukach bezpieczeństwa

Monitoring i audyt

  • Regularnie przeglądaj listę podłączonych urządzeń
  • Używaj narzędzi do skanowania sieci (np. nmap, Fing, Advanced IP Scanner)
  • Monitoruj nietypowy ruch sieciowy
  • Wdrażaj logi i ich analizę

Firewall i reguły bezpieczeństwa

  • Skonfiguruj reguły firewall blokujące niepotrzebny ruch
  • Wyłącz UPnP (Universal Plug and Play) jeśli nie jest niezbędny
  • Ogranicz komunikację do znanych adresów IP/domen
  • Wdróż IDS/IPS (Intrusion Detection/Prevention System) jeśli to możliwe

Wybór kanałów WiFi

  • Używaj mniej zatłoczonych kanałów (w 2.4 GHz: 1, 6, 11)
  • Regularnie skanuj spektrum WiFi i dostosowuj kanały
  • Uwaga: Większość urządzeń IoT, w tym UbiBot WS1 ProGS1-AL4G1RS, obsługuje tylko pasmo 2.4 GHz. Pasmo 5 GHz nie jest dostępne dla tych urządzeń, co jest typowe dla większości czujników IoT ze względu na lepszy zasięg i penetrację przeszkód w paśmie 2.4 GHz

Zmniejszanie powierzchni ataku

  • Wyłącz usługi zdalne (Telnet, SSH) na urządzeniach IoT jeśli nie są potrzebne
  • Ogranicz dostęp do paneli administracyjnych tylko z określonych adresów IP
  • Używaj VPN dla zdalnego zarządzania siecią
  • Wyłącz broadcast SSID jeśli to możliwe (security through obscurity - nie jest to główne zabezpieczenie)

 

Zadzwoń do nas