Zasto je vazno izolovati Smart Home uredjaje na poseban VLAN?

Smart Home uredjaji (IP kamere, pametne sijalice, termostati) imaju notorno loshu bezbednost — retko dobijaju firmver azuriranja, cesto imaju hardkodovane lozinke i poznate ranjivosti. Ako su na istoj mrezi sa vasim PC-jevima i telefonima, kompromitovani uredjaj (npr. jeftina kineska kamera) moze postati ulazna tacka za napadaca u celu kucu. VLAN izolacija ogranicava tzv. lateral movement — cak i ako je uredjaj hakovan, napadac ne moze doci do vasih podataka.

Koja oprema je potrebna za VLAN izolaciju Smart Home uredjaja?

Potrebna su tri kljucna komada opreme: (1) Managed switch koji podrzava IEEE 802.1Q VLAN tagging — Ubiquiti UniFi, TP-Link Omada ili MikroTik od 30 do 150 evra za home use; (2) Ruter sa VLAN i firewall podrskom — pfSense/OPNsense na starom PC-ju (besplatno), MikroTik hAP (50-80 evra) ili Ubiquiti Dream Machine; (3) Access Point sa podrskom za visestruke SSID-ove vezane za razlicite VLAN-ove — vecina Ubiquiti, TP-Link EAP i MikroTik AP to podrzava. Standardni ISP ruter/modem kombaji obicno ne podrzavaju VLAN konfiguraciju.

Da li ce Home Assistant i dalje moci da vidi IoT uredjaje na drugom VLAN-u?

Da, ali zahteva dodatnu konfiguraciju. VLAN izolacija prekida mDNS/Bonjour protokol kojim Home Assistant otkriva uredjaje. Resenje je Avahi mDNS repeater — mali servis koji premostava mDNS pakete izmedju VLAN-ova bez rusenja firewall izolacije. Na pfSense i OPNsense se instalira kao paket u par klikova. Alternativno, dodeljte staticke IP adrese IoT uredjajima i rucno ih konfigurisite u Home Assistantu — sto je zapravo preporucena praksa za stabilnost.

Moze li se VLAN napraviti sa obicnim ISP ruterom?

Verovatno ne — standardni ISP ruteri (kakve daju Telekom, SBB, A1) nemaju podrsku za VLAN konfiguraciju. Postoji jednostavnija alternativa: gotovo svaki ISP ruter ima Guest Wi-Fi opciju koja kreira izolovanu mrezu za goste. Mozete staviti IoT uredjaje na Guest mrezu — ovo nije potpuno VLAN resenje, ali pruza osnovu izolacije bez ulaganja u dodatnu opremu. Za pravo VLAN resenje potreban je zamena ISP rutera sa pfSense/MikroTik ili postavljanje dodatnog rutera iza ISP modema.

Koje firewall pravilo je najvaznije za IoT VLAN bezbednost?

Najvaznije pravilo je: ZABRANI sav saobracaj iz IoT VLAN-a ka vašoj glavnoj (trusted) mrezi — sa izuzetkom established/related konekcija koje ste vi inicirali. Ovo sprecava da kompromitovani pametni uredjaj skenira ili napada vase PC-jeve, NAS-ove i telefone. Opciono, ali preporuceno: ogranicite IoT uredjajima i izlaz prema internetu samo na portove 80, 443 i 53 (DNS) — sto sprecava koriscenje nestandardnih portova za eksfiltraciju podataka ili C2 komunikaciju.

Koja je razlika izmedju Guest mreze i IoT VLAN-a?

Guest mreza je jednostavno resenje koje ISP ruteri nude — uredjaji na Guest-u ne mogu da komuniciraju sa glavnom mrezom, ali svi gosti dele isti segment i ne mozete fino podesavati firewall pravila. IoT VLAN je naprednije resenje koje vam daje punu kontrolu: mozete dozvoliti specificnim uredjajima da komuniciraju medjusobno, blokirati im pristup internetu, kreirati zasebna pravila po tipu uredjaja i pratiti mrežni saobracaj detaljno. Za tehnicke entuzijaste, VLAN je jedino pravo resenje.

Kako da izolujete Smart Home uređaje na posebnu Wi-Fi mrežu (VLAN)

Ključne činjenice:
• Prosečan smart home ima 15-25 IoT uređaja — svaki potencijalna ulazna tačka za napadača
• IoT uređaji retko dobijaju bezbednosne zakrpe — VLAN je jedina sistemska zaštita
• Lateral movement: kompromitovani termostat može dati pristup celoj mreži bez VLAN-a
• Guest mreža ISP rutera = osnovna zaštita | IoT VLAN = prava zaštita
• Potrebna oprema: managed switch (30-150€) + ruter sa VLAN podrškom
• pfSense i OPNsense su besplatna rešenja za VLAN ruter na starom PC-ju
• Home Assistant + VLAN: rešivo sa Avahi mDNS repeater-om u 5 minuta
• Ključno firewall pravilo: IoT → Glavna mreža = BLOCK (uvek)
• Ubiquiti UniFi i TP-Link Omada: najednostavniji GUI za VLAN konfiguraciju
• IEEE 802.1Q: standard koji mora da podržava i switch i AP za funkcionalan VLAN

Kada priključite pametnu sijalicu, IP kameru ili Smart TV na vašu kućnu Wi-Fi mrežu, ti uređaji postaju punopravni članovi iste mreže na kojoj se nalaze vaš laptop, telefon i sve što je na njima privatno. Ne postoji nikakva barijera između besomučno jeftine kineske pametnе sijalice sa firmware-om koji se poslednji put ažurirao 2021. godine i računara na kome imate lozinke, bankarske podatke i poslovnu prepisku. Ovaj tekst objašnjava zašto su IoT (Internet of Things – internet stvari) uređaji jedna od najozbiljnijih bezbednosnih pretnji u kućnom okruženju, šta je VLAN (Virtual Local Area Network – virtuelna lokalna mreža) i zašto je pravo rešenje za ovaj problem, kako da podesite zasebnu mrežu za pametne uređaje na konkretnim ruterima koji su dostupni u Srbiji, koji su alternativni pristupi za korisnike bez VLAN-sposobnog rutera, šta je mDNS premošćivanje i zašto je važno za pametne zvučnike i TV uređaje, i kako izgleda budućnost IoT bezbednosti s obzirom na naraslo tržište. Vodič je podeljen na teorijski deo za razumevanje problema i praktični deo sa konkretnim koracima za različite platforme.

Vaša kućna Wi-Fi mreža verovatno izgleda ovako

Zamislite krug. U centru je ruter koji vam je dao Telekom, SBB ili A1. Na taj ruter je priključeno sve: laptop, telefon, tablet, Smart TV, Amazon Echo, par Xiaomi sijalica, Ring video zvono na vratima, možda neka jeftina IP kamera u dnevnoj sobi. Svi ti uređaji se nalaze na istoj mreži – najčešće 192.168.1.0/24 opsegu – i svi mogu slobodno da komuniciraju međusobno.

Ovo je factory default (fabrička konfiguracija). Ruter koji ste dobili od provajdera nije podešen da razmišlja o tome da li vaša Xiaomi sijalica treba da ima pristup fajlovima na vašem NAS-u ili laptop-u. Ona ga ima. Svaki uređaj na toj mreži, u principu, može da inicijer konekciju prema svakom drugom uređaju.

Problem počinje kada shvatite kakav je softver unutar tih „pametnih“ uređaja.

Zašto su IoT uređaji bezbednosna noćna mora

Ovo nije dramatizacija za privlačenje pažnje. Ovo je dokumentovana, ponovljiva realnost koju bezbednosni istraživači detektuju godinama.

Fabrički podešene lozinke koje niko ne menja

Jedna od najstarijih i najperzistentnijih pretnji u IoT prostoru su factory default credentials (fabrički podešene pristupne lozinke). Desetine miliona IoT uređaja su deployovani sa korisničkim imenom „admin“ i lozinkom „admin“, „12345“ ili bez ikakve lozinke. Mirai botnet (mreža zaraženih uređaja) koji je 2016. godine izveo jedan od najvećih DDoS napada u istoriji interneta – ugasio je GitHub, Twitter, Netflix i Spotify istovremeno – bio je izgrađen gotovo isključivo na ovoj jedinoj ranjivosti: nesigurnim IoT uređajima sa factory default lozinkama. Desetine hiljada kamera, DVR rekorder-a i rutera su bili zaraženi bez da je iko od vlasnika to primetio.

Firmware koji se ne ažurira

Za razliku od Android telefona koji dobijaju bezbednosne zakrpe godinama, jeftini IoT uređaji – posebno kineskih brendova koji se prodaju pod raznim privatnim oznakama – dobijaju firmware ažuriranja kratko vreme posle lansiranja, a zatim bivaju napušteni. Sijalica kupljena 2023. može danas da radi firmware koji ima poznate ranjivosti za koje postoje javno dostupni exploiti (programi za iskorišćavanje ranjivosti), a ne postoji nikakav mehanizam koji će je automatski zakrpiti.

Telemetrija i neovlašćeno slanje podataka

Mnogi jeftini IoT uređaji komuniciraju sa cloud serverima svojih proizvođača u dozama koje daleko prevazilaze funkcionalne potrebe. Istraživači su dokumentovali pametne TV uređaje koji šalju ACR (Automatic Content Recognition – automatsko prepoznavanje sadržaja) podatke – što znači snimke ekrana onoga što gledate – trećim stranama bez eksplicitnog pristanka. IP kamere za kućnu upotrebu su dokumentovano slale video stream na servere u Kini bez znanja korisnika.

Šta napadač može da uradi kada kompromituje jedan IoT uređaj

Ovo je deo koji konkretan stavi u perspektivu zašto je izolacija važna:

Lateralno kretanje (lateral movement): Napadač koji ima pristup jednom uređaju na mreži može da skenira ostatak mreže i napada druge uređaje. Laptop, NAS, štampač sa cached kredencijalima – sve postaje meta.

ARP spoofing: Napadač na istoj Layer 2 mreži može da izvede ARP spoofing napad (lažiranje ARP tabele) koji presreće mrežni saobraćaj između vašeg računara i rutera – uključujući nešifrovane sesije.

DNS poisoning: Kompromitovani IoT uređaj može da lažira DNS odgovore (presretanje upita za domene) za ostale uređaje na mreži, preusmeravajući na phishing (lažne) stranice.

Pristup lokalnim servisima: Mnogi kućni servisi (NAS web interfejsi, printer upravljanje, router admin panel) nisu adekvatno zaštićeni jer vlasnici pretpostavljaju da su dostupni „samo sa lokalne mreže“ – što više ne znači ništa kada je IoT uređaj na toj istoj lokalnoj mreži i kompromitovan.

Rešenje za sve ovo je mrežna segmentacija – i konkretno, VLAN izolacija IoT uređaja.

Šta je VLAN – objašnjenje bez preterane tehničke buke

VLAN (Virtual Local Area Network – virtuelna lokalna mreža) je tehnologija koja omogućava logičku podelu jedne fizičke mreže na više izolovanih segmenata.

Analogija: zamislite zgradu sa jednim ulazom i hodnicima koji povezuju sve stanove. Svako može da ide kod svakog. VLAN je kao da postavite neprobojne zidove između katova – stanovi na prvom katu mogu ići jedni kod drugih, stanovi na drugom katu isto, ali između katova nema prolaza osim kroz portira (ruter sa firewall pravilima) koji kontroliše ko i zašto prelazi.

Na mrežnom nivou, VLAN funkcioniše tako što svakom mrežnom paketu dodaje VLAN tag (oznaku) prema IEEE 802.1Q standardu — četvorobajtno polje unutar Ethernet okvira koje identifikuje kom VLAN-u paket pripada. Switch (mrežni preklopnik) i ruter čitaju ove tagove i saobraćaj prosleđuju samo unutar istog VLAN-a, osim ako firewall pravila eksplicitno dozvoljavaju prelaz između VLAN-ova.

Za kućnu primenu u kontekstu IoT izolacije, ovo konkretno znači:

VLAN 1 (LAN) — vaša glavna mreža: laptop, desktop računar, pametni telefon, NAS
VLAN 20 (IoT) — izolovana mreža: pametne sijalice, kamere, Smart TV, termostati, pametni zvučnici

Oba VLAN-a imaju pristup internetu. Ali VLAN 20 ne može da „vidi“ ni jedan uređaj u VLAN 1 – ni da inicijira konekciju prema njemu.

Pre nego što počnete – šta vam treba

Nije svaki ruter sposoban za VLAN konfiguraciju. Pre nego što prođete dalje, proverite da li vaš ruter podržava:

Kreiranje više SSID-ova (Service Set Identifier — naziv bežične mreže) istovremeno
VLAN tagovanje na bežičnim i žičanim interfejsima
Firewall pravila između mrežnih segmenata

Budžet	Ruter	Switch	Access Point	Nivo zaštite
Besplatno	Guest mreža ISP rutera	N/A	Postojeći AP	🟡 Osnovno
50-100€	MikroTik hAP ax lite	TP-Link TL-SG108E	Postojeći AP	✅ Dobro
100-200€	pfSense na mini PC	TP-Link Omada TL-SG2008P	TP-Link EAP225	✅ Odlično
200-400€	Ubiquiti UDM-SE	Ubiquiti USW-Lite-8-PoE	Ubiquiti U6-Lite	✅ Profesionalno
DIY besplatno	pfSense/OPNsense na starom PC	Polovni Cisco SG300	Stari Mikrotik AP	✅ Odlično

Ruteri koji to podržavaju i koji se mogu nabaviti u Srbiji:

Ruter/Platforma	Nivo složenosti	Podrška za VLAN	Preporučeno za
Asus (Merlin firmware)	Srednji	Da	Kućne korisnike sa tehničkim iskustvom
TP-Link Omada serija	Srednji	Da	Mala domaćinstva, prosumer korisnici
Ubiquiti UniFi	Napredni	Da (odlično)	Tehničare, home lab korisnike
OpenWrt	Napredni	Da (maksimalno)	Entuzijaste, DIY korisnike
ISP ruter (Telekom, SBB)	–	Uglavnom ne	Nije preporučljivo za VLAN
TP-Link Archer (standardni)	Jednostavan	Guest mreža (delimično)	Početnike koji žele brzo rešenje

Ako imate ISP ruter koji ne podržava VLAN, postoje dve opcije:

Nabavite sopstveni ruter koji podržava VLAN i stavite ga iza ISP rutera (double NAT konfiguracija)
Koristite Guest mrežu ISP rutera kao imperfektnu ali funkcionalnu alternativu

Opcija A – Guest mreža: najbrže rešenje za početnike

Ako vaš ruter podržava Guest (gostinska) mrežu – a gotovo svi moderni ruteri to podržavaju – ovo je najbrži put do IoT izolacije bez ulaska u VLAN konfiguraciju.

Guest mreža je u osnovi poseban SSID koji je izolovan od glavne mreže. Uređaji na Guest mreži mogu pristupati internetu, ali ne mogu videti uređaje na glavnoj mreži. Ovo je funkcionalno ekvivalentno VLAN izolaciji za bežične uređaje, mada bez granularne kontrole nad firewall pravilima.

Kako da podesite Guest mrežu na TP-Link Archer ruteru

Pristupite admin panelu: unesite 192.168.0.1 u browser (ili proverite naljepnicu na ruteru za admin URL)
Prijavite se sa admin kredencijalima
Navigirajte na Advanced → Wireless → Guest Network
Uključite Guest Network za 2.4 GHz ili 5 GHz (ili oba)
Podesite SSID naziv (npr. „KucaIoT“) i snažnu lozinku (minimum 12 karaktera, kombinacija slova, brojeva i simbola)
Ključna opcija: Proverite da li je „Allow guests to see each other and access my local network“ isključeno – ovo je checkbox koji kontroliše izolaciju
Sačuvajte podešavanja

Priključite sve IoT uređaje na ovaj novi SSID. Za pametne sijalice, kamere i slične uređaje, uglavnom ih resetujete na fabrička podešavanja i ponovo ih konfigurišete na novom SSID-u kroz njihove prateće aplikacije.

Ograničenja Guest mreže: Ne možete definisati granularna pravila o tome koji saobraćaj IoT uređaji smeju slati, ne možete blokirati komunikaciju između IoT uređaja međusobno (samo između IoT i LAN), i nemате vidljivost u mrežni saobraćaj. Za ozbiljniju zaštitu, potreban je pravi VLAN.

Opcija B – VLAN na OpenWrt ruteru: kompletno rešenje

OpenWrt je open-source Linux firmware za rutere koji omogućava punu VLAN konfiguraciju. Vodič za instalaciju OpenWrt firmware-a na kompatibilni ruter smo detaljno pokrili u prethodnom tekstu na ovom portalu – ovde pretpostavljamo da već imate funkcionalan OpenWrt sistem sa LuCI grafičkim interfejsom.

Korak 1: Planiranje mrežne arhitekture

Pre nego što krenete u konfiguraciju, odlučite:

Glavni LAN: 192.168.1.0/24, VLAN ID 1 (default)
IoT mreža: 192.168.20.0/24, VLAN ID 20
Firewall politika: IoT → internet: DOZVOLJENO, IoT → LAN: BLOKIRANO, LAN → IoT: PO POTREBI (za neke lokalne kontrole)

Korak 2: Kreiranje novog mrežnog interfejsa

U LuCI interfejsu idite na Network → Interfaces → Add new interface:

Name: iot
Protocol: Static address
IPv4 address: 192.168.20.1
IPv4 netmask: 255.255.255.0

Na dnu u sekciji Physical Settings, u polje Custom Interface unesite br-lan.20 (ili odgovarajući bridge.vlan naziv za vašu OpenWrt verziju – novije verzije koriste DSA arhitekturu gde je notacija drugačija: br-lan.20 ili eth0.20).

Kliknite na DHCP Server tab unutar ovog interfejsa:

Uključite „Set up DHCP server“
Start: 100, Limit: 150 (daje 150 IP adresa za IoT uređaje u opsegu 192.168.20.100-250)

Sačuvajte.

Korak 3: Kreiranje novog Wireless SSID-a

Network → Wireless → Add (za odgovarajući radio – 2.4 GHz za IoT uređaje koji uglavnom ne podržavaju 5 GHz):

SSID: KucaIoT (ili po vašem izboru)
Mode: Access Point
Encryption: WPA2-PSK ili WPA3 (WPA2+WPA3 mešoviti mode ako neki uređaji ne podržavaju WPA3)
Key/Password: Snažna lozinka, drugačija od glavnog SSID-a

U sekciji Interface Configuration → General Setup:

Network: Odaberite iot (interfejs koji ste upravo kreirali)

Sačuvajte i primenite.

Korak 4: Kreiranje firewall zone za IoT

Network → Firewall → Zones → Add:

Name: iot
Input: ACCEPT (za DHCP i DNS upite prema ruteru)
Output: ACCEPT
Forward: REJECT

U sekciji Inter-Zone Forwarding:

Allow forward to destination zones: wan – IoT uređaji mogu izaći na internet
Allow forward from source zones: Ništa – IoT ne može da prima konekcije iznutra bez eksplicitnog pravila

Kliknite na tab Traffic Rules i dodajte pravilo:

Name: Blokirati IoT pristup LAN-u
Source zone: iot
Destination zone: lan
Action: REJECT

Ovo sprečava bilo koji uređaj na IoT mreži da inicijira konekciju prema uređajima na glavnoj LAN mreži.

Korak 5: DNS za IoT zonu

Po defaultu, IoT uređaji će pokušavati da koriste 192.168.20.1 (vaš ruter) kao DNS server. Ovo je u redu – ruter prosleđuje DNS upite prema vašem ISP DNS-u ili javnom DNS-u (8.8.8.8, 1.1.1.1).

Opcionalno, možete da koristite Pi-hole ili AdGuard Home kao DNS filter koji blokira reklame i poznate maliciozne domene. Ako imate Pi-hole na LAN mreži, možete kreirati DNS forwarding pravilo koje IoT DNS upite prosleđuje Pi-hole-u dok IoT uređaji i dalje ostaju izolovani od LAN mreže.

Korak 6: Testiranje izolacije

Povežite telefon ili laptop na KucaIoT SSID. Otvorite Terminal ili Command Prompt i pokušajte:

# Ping prema LAN uređaju (treba da bude blokiran)

ping 192.168.1.1

# Ping prema internetu (treba da funkcioniše)
ping 8.8.8.8
ping google.com

Ako ping prema 192.168.1.1 ne prolazi, a internet radi – izolacija je uspešna.

Proverite i u suprotnom smeru: sa LAN mreže pingujte 192.168.20.x uređaj. Prema konfiguraciji, ovo bi trebalo da funkcioniše (LAN može da se obraća IoT, samo ne obrnuto) – ali možete dodati i pravilo koje blokira i ovaj smer ako želite potpunu bidirekcionalnu izolaciju.

Opcija C – Ubiquiti UniFi: enterprise rešenje za dom

Ubiquiti UniFi je sistem koji je originalno dizajniran za poslovne i kampus mreže, ali ga sve više kućnih korisnika i home lab entuzijasta koristi zbog izuzetnog softverskog ekosistema i relativno pristupačnih cena.

UniFi sistem se sastoji od UniFi Controller (softver za upravljanje, može se pokrenuti lokalno ili u cloudu), jednog ili više Access Point-ova (pristupnih tačaka), opcionalnog USG (UniFi Security Gateway) ili novijeg UniFi Dream Machine koji integriše ruter, switch i kontroler u jednom uređaju.

Kreiranje VLAN-a i IoT mreže u UniFi Controller-u

Prijavite se u UniFi Controller → Settings → Networks → Create New Network
Name: IoT
Purpose: Corporate (daje pun DHCP i routing)
VLAN: 20 (ili po vašem izboru)
Gateway/Subnet: 192.168.20.1/24
Uključite DHCP server

Kreiranje IoT Wi-Fi mreže:

Settings → WiFi → Create New WiFi Network
Name (SSID): KucaIoT
Password: Snažna lozinka
Network: Odaberite IoT mrežu koju ste upravo kreirali

Firewall pravila:

Settings → Firewall & Security → LAN Firewall
Dodajte pravilo: Reject saobraćaj sa IoT VLAN-a (20) prema LAN VLAN-u (1)
Sačuvajte

UniFi-jev interfejs je daleko intutivniji od LuCI-ja i firewаll pravila su vizuelnija – jedna od prednosti investicije u UniFi ekosistem.

Opcija D – Asus ruter sa Merlin firmware-om

Asus ruteri sa Merlin firmware-om (asuswrt-merlin.net) su popularno rešenje za kućne korisnike koji žele napredne funkcionalnosti bez odlaska u potpuno custom firmware kao što je OpenWrt.

Merlin firmware dodaje podršku za napredna VLAN podešavanja, custom skripte i detaljniju kontrolu nad firewall pravilima uz zadržavanje originalnog Asus interfejsa koji je poznat po intuitivnosti.

Podešavanje IoT mreže na Asus Merlin ruteru

Prijavite se na admin panel (192.168.1.1)
Idite na Wireless → Professional → Add virtual interface ili koristite Guest Network opciju sa izolacijom
Kreirajte novi SSID za IoT, povežite ga sa odgovarajućim VLAN ID-om
Kroz LAN → Switch Control podesite VLAN tagovanje
U Firewall → Network Services Filter dodajte pravila koja blokiraju saobraćaj između IoT VLAN-a i LAN-a

Za naprednije konfiguracije, Merlin podržava custom skripte u /jffs/scripts/ koje se izvršavaju pri pokretanju – ovo omogućava iptables pravila koja se ne mogu podesiti kroz GUI.

Problem sa mDNS i lokalnim otkrivanjem uređaja

Ovde dolazimo do jedne od glavnih komplikacija IoT izolacije koje mnogi vodiči ignorišu: mDNS (Multicast DNS — DNS za lokalnu mrežu) i UPnP (Universal Plug and Play — automatsko otkrivanje uređaja).

Mnogi pametni kućni uređaji koriste mDNS za lokalno otkrivanje – protokol koji emituje svoju prisutnost unutar lokalne broadcast domene. Chromecast, Apple TV, AirPlay, Sonos, Google Home — svi koriste mDNS ili slične protokole za lokalno otkrivanje.

Problem: kada stavite IoT uređaj na zasebni VLAN, vaš telefon na LAN VLAN-u i IoT uređaj na IoT VLAN-u su u različitim broadcast domenama. mDNS paketi ne prelaze VLAN granice. Konkretno: Chromecast koji ste stavili na IoT VLAN neće biti vidljiv iz aplikacije na telefonu koji je na LAN mreži – čak i ako oba imaju pristup internetu.

Ovo može biti frustrirajuće za korisnike koji žele i sigurnost i funkcionalnost.

Rešenje: mDNS repeater (repeater mDNS paketa)

Rešenje je mDNS repeater – softver koji „prespoji“ mDNS pakete između dva VLAN-a, dozvoljavajući otkrivanje uređaja bez ukidanja mrežne izolacije za sav ostali saobraćaj.

Na OpenWrt-u, instalira se avahi-daemon:

opkg update

opkg install avahi-daemon

Konfiguracija u /etc/avahi/avahi-daemon.conf:

[server]

use-ipv4=yes

use-ipv6=no

[wide-area]
enable-wide-area=no[publish]
disable-publishing=yes

U /etc/avahi/services/ ne treba ništa dodavati — avahi će automatski premostiti mDNS između mrežnih interfejsa koji su konfigurišu u /etc/config/network.

Avahi može biti konfigurisan da premoštava mDNS između lan i iot interfejsa – telefon na LAN-u će videti Chromecast na IoT mreži, ali IoT mreža i dalje nema direktan pristup LAN uređajima.

Alternativa: Ubiquiti UniFi ima ugrađenu mDNS repeater funkcionalnost u kontroleru koja to radi grafički, bez ručne konfiguracije.

Koje IoT uređaje staviti na izolovanu mrežu – kompletna lista

Pitanje koje se uvek pojavi: svaki „pametan“ uređaj mora da ide na IoT mrežu ili samo neki? Evo kategorizacije:

Obavezno na IoT mrežu – bez izuzetka:

IP kamere za kućnu bezbednost (posebno jeftini brendovi – Reolink, Hikvision, Dahua i slični)
Pametne sijalice (Xiaomi, TP-Link Tapo, Shelly, Tuya bazirana rešenja)
Pametni utikači (smart plug) i strujne letvice
Smart TV (sve marke – Samsung, LG, Sony, Hisense)
Video door bell (pametno zvono sa kamerom) – Ring, Nest, Arlo
Robotski usisivači – Roomba i svi kineski brendovi

Preporučljivo na IoT mrežu:

Pametni zvučnici (Amazon Echo, Google Nest) – mDNS repeater rešava problem otkrivanja
Chromecast i Apple TV (uz mDNS repeater)
Pametni termostati i senzori temperature
Game konzole (PlayStation, Xbox) – za gaming nije kritično, ali konzole imaju nesiguran firmware

Može ostati na LAN mreži:

Telefoni i tableti
Laptop i desktop računari
NAS uređaji
Apple TV ako aktivno koristite AirPlay sa telefona

Praćenje IoT mrežnog saobraćaja – znate li šta vaše sijalice šalju?

Jednom kada imate IoT mrežu, interesantno je videti šta te sijalice i kamere zapravo komuniciraju. Alat koji omogućava ovu vidljivost bez kompleksnih mrežnih analajzera je Pi-hole ili AdGuard Home podešen kao DNS server za IoT VLAN.

DNS log vam pokazuje svaki domenski upit koji IoT uređaj napravi – i rezultati znaju da budu iznenađujući. Jeftine pametne sijalice koje šalju upite prema kineskim DNS serverima i domenima koji nisu vezani ni za kakvu funkcionalnost sijalice su realna pojava, ne paranoična teorija.

Za korisnike koji žele još dublje uvid: ntopng ili Zeek (nekadašnji Bro) su mrežni analajzeri koji mogu da procesiraju live saobraćaj i prikazuju koji uređaji komuniciraju sa kojim IP adresama, koliko podataka šalju i u kom vremenskom obrascu. Ovo je ozbiljniji alat koji zahteva ili dedicated (namenski) hardver ili virtuelnu mašinu na home serveru.

Ručna lista IoT uređaja i njihove MAC adrese

Jedna od dobrih praksi je da imate ručno vođenu listu svakog IoT uređaja na mreži sa MAC adresom, IP adresom, modelom i datumom poslednjeg firmware ažuriranja. Ovo zvuči pedantno, ali je neprocenjivo kada primetite nepoznati uređaj na mreži i treba brzo da identifikujete da li je legitiman ili ne.

Na OpenWrt-u možete videti sve uređaje na DHCP lease listi: Status → Overview → Active DHCP Leases. Na UniFi-ju: Clients lista daje ove informacije grafički.

Preporučena praksa: static DHCP leases (statičke DHCP dozvole) za sve IoT uređaje – svaki uređaj uvek dobija istu IP adresu zavisno od MAC adrese. Ovo olakšava identifikaciju i omogućava precizna firewall pravila po IP adresi ako treba blokirate specifičan uređaj.

Bezbednost IoT uređaja – šta još možete uraditi pored VLAN izolacije

VLAN izolacija je najvažniji korak, ali nije jedini.

Promenite fabrička podešavanja lozinki: Svaki IoT uređaj koji ima web interfejs ili aplikacioni nalog treba imati promenjenu lozinku. Ovo zvuči osnovno, ali realno — koliko ljudi je promenilo lozinku na svom Smart TV-u?

Redovno ažurirajte firmware: Proverite jedanput mesečno da li postoje firmware ažuriranja za vaše IoT uređaje. Mnogi imaju automatsko ažuriranje koje je isključeno by default.

Onemogućite UPnP na ruteru: UPnP (Universal Plug and Play) je protokol koji uređajima dozvoljava da automatski otvaraju portove na ruteru prema internetu. Ovo je mehanizam koji su botneti istorijski iskorišćavali. Isključite UPnP u ruter podešavanjima osim ako imate konkretan razlog da ga koristite.

Pravilo	Smer	Akcija	Razlog
1	IoT → Internet (80/443/53)	✅ DOZVOLI	Cloud servisi uredjaja
2	IoT → Glavna mreža	🔴 ZABRANI	Sprečava lateral movement
3	Glavna mreža → IoT	✅ DOZVOLI (established)	Upravljanje sa PC-ja
4	IoT → IoT	✅ DOZVOLI	Uredjaji komuniciraju medjusobno
5	IoT → Nestandardni portovi	🔴 ZABRANI	Sprečava C2 komunikaciju
6	Guest → IoT	🔴 ZABRANI	Gosti ne smeju da vide uredjaje

Onemogućite remote access (daljinski pristup) gde nije potrebno: Mnoge IP kamere i IoT uređaji imaju opciju daljinskog pristupa koja otvara portove prema internetu. Koristite cloud relay pristup kroz aplikaciju proizvođača umesto direktnog port forward-a kada je moguće.

Razmotrite lokalne alterntive za cloud-zavisne servise: Platforme kao što su Home Assistant ili openHAB (open-source platforme za upravljanje pametnom kućom) omogućavaju lokalno upravljanje svim uređajima bez zavisnosti od cloud servera. Ovo drastično smanjuje površinu napada jer IoT uređaji ne moraju komunicirati s externim serverima da bi radili.

Budućnost IoT bezbednosti – šta dolazi

IoT tržište raste dramatično. Procenjuje se da je do 2025. godine na svetu bilo više od 17 milijardi IoT uređaja u upotrebi, a do 2030. taj broj može premašiti 30 milijardi. Srbija prati globalni trend: prodaja pametnih kućnih uređaja raste svake godine, a svest o bezbednosnim rizicima kasni za kupovinom.

Na regulatornom planu, Europska unija je 2024. usvojila Cyber Resilience Act (Zakon o kibernetičkoj otpornosti) koji od 2027. godine uvodi obavezne minimalne bezbednosne zahteve za sve IoT uređaje koji se prodaju u EU. Ovo uključuje zabrana factory default lozinki, obavezna automatska ažuriranja tokom celog životnog veka uređaja i obavezno obelodanjivanje poznatih ranjivosti. Za srpsko tržište, koje uvozi ogromnu većinu IoT uređaja iz Kine i EU, ovo će imati praktičan uticaj – ali ne odmah.

U međuvremenu, tehnologije kao što je Matter (otvoreni IoT protokol koji su zajedno razvili Apple, Google, Amazon i Samsung) obećavaju bolju bezbednosnu osnovu za nove generacije uređaja. Matter koristi lokalni IP protokol što znači manje zavisnosti od cloud servera, i ima ugrađenu PKI (Public Key Infrastructure – infrastrukturu javnog ključa) za autentifikaciju uređaja. Stariji uređaji neće dobiti Matter podršku retroaktivno – još jedan razlog zašto je mrežna izolacija potrebna bez obzira na budući razvoj protokola.

Preporučeni resursi i linkovi

OpenWrt dokumentacija za VLAN – kompletna referenca za VLAN konfiguraciju
Ubiquiti UniFi Getting Started – zvanična dokumentacija
Avahi mDNS daemon dokumentacija – za podešavanje mDNS premošćivanja
r/homelab VLAN diskusija – zajednička iskustva i primeri
r/homeassistant Smart Home mreža bezbednost – praktični saveti iz zajednice
Fiberroad: VLAN objašnjenje – tehnička osnova VLAN-a na srpskom
VLAN konfiguracija u GNS3 — blog PMF Kragujevac – akademski članak o VLAN konfigurisanju

Za dublje razumevanje mrežnih protokola i osnova na kojima počiva VLAN tehnologija, pogledajte ITNetwork.rs tekst o inteligentnim računarskim mrežama . Za korisnike koji su zainteresovani za OpenWrt i napredno podešavanje rutera, naš raniji tekst u ovoj seriji pokriva instalaciju i konfiguraciju OpenWrt firmware-a od nule.

Jedan konkretan korak koji možete uraditi danas

Bez obzira na to koji ruter imate, postoji jedan korak koji možete napraviti sada: uđite u admin panel svog rutera i proverite koje uređaje imate na mreži. Svaki ruter ima listu priključenih uređaja – DHCP klijente. Pogledajte tu listu. Prebrojite koliko uređaja je tamo čija namena vam nije odmah jasna. Svaki od tih uređaja je potencijalna tačka ulaza.

Ako imate Guest mrežu dostupnu – prebacite sve IoT uređaje na nju danas. Ako imate OpenWrt ili UniFi – sledite korake iz ovog teksta i za sat vremena imate pravu VLAN izolaciju. Ako imate samo ISP ruter bez Guest mreže – ozbiljno razmotrite nabavku sopstvenog rutera koji podržava mrežnu segmentaciju. Cena jednog Xiaomi Mi Router 4A sa OpenWrt podrškom je ispod 30 evra. Cena jednog bezbednosnog incidenta zbog kompromitovane IP kamere u dnevnoj sobi – nema cene.