Traditionellt sätt har vi inom IT-säkerhetsvärlden pratat om brandväggar och det gör vi såklart fortfarande. Skillnaden är att idag har vi så många produkter i vårt nätverk som pratar med Internet, så det går inte längre att säga ”att det som finns innanför brandväggen är säkert” Ett konsumentnätverk byggs normalt med en brandvägg som skyddar hela nätverket mot utomstående trafik efter devisen att “utanför brandväggen är osäkert, men innanför är öppet och säkert”.

Problemet som vi nu ser är att om något kommer igenom brandväggen kan det härja fritt inne på nätverket. Eftersom vi nu har så många olika enheter som pratar inifrån nätverket med Internet så kommer det skapas många hål i brandväggen, vilket gör att du får en situation som ser ut såhär.

Varje grön pil motsvarar en uppkoppling som är godkänd i brandväggen och det medför ett hål som är möjligt att använda för att komma åt annan utrustning på samma nätverk.

Problemet växer, ju fler och osäkrare komponenter du har i ditt nätverk.

Vårt system är förkonfigurerat med något som kallas för ”micro segmentation”. Något förenklat är det en uppdelning av ditt eget nät i olika delar med olika syften. Som standard har vi tre nät uppsatta; Home, IoT och Guest. Vår tanke är att IoT (Internet of things) ska användas till alla enheter med:

  • IP adress, utan operativsystem som macOS, iOS, Android, Windows eller Linux
  • Utan behov av access till interna lagringsenheter
  • Utan behov av personlig data

Exempel på enheter som ska ligga i IoT nätet:

  • Philips Hue Lightbulbs and associated Bridge
  • SmartThings Bridge
  • Netgear Arlo Bridge
  • Sonos Speakers
  • Harmony Remote Hub
  • Kindles
  • Amazon Echos
  • Ring Doorbells and Chimes
  • Chromecast
  • IP Video Cameras
  • Trådlösa sensorer
  • Alla enheter som är kopplade till smart hem, så som lampor och strömbrytare mm  

Home används till alla andra enheter som du har i ditt hemmanätverk dvs dina vanliga datorer och telefoner som du litar på. Självfallet går det att göra ytterligare segmentering om man exempelvis vill hålla en dator för bankärenden osv helt åtskild från all annan trafik.

Guest är ett rent gästnätverk. En god idé kan vara att använda det här nätverket till barnens speldatorer för att hålla dessa helt åtskilda från dina andra enheter.

Vår tanke är alltså att även ett hemmanätverk ska vara segmenterat vilket kan se ut så här: