Zero-Trust в домашней сети — это не про установку одной «волшебной коробки». Это нормальная привычка: не считать устройство безопасным только потому, что оно подключилось к вашему Wi‑Fi. В домашней сети рядом оказываются ноутбуки, телефоны, камеры, телевизоры, розетки, принтеры, NAS, детские планшеты и гостевые устройства. У них разный уровень доверия, и Zero-Trust как раз помогает не давать лишнего доступа тем, кому он не нужен.
Если коротко, дома Zero-Trust обычно сводится к двум практикам: микросегментации и MFA. Микросегментация ограничивает, какие устройства могут «видеть» друг друга в локальной сети. MFA, или многофакторная аутентификация, защищает входы в аккаунты и панели управления — роутер, облако, NAS, умный дом, почту, парольный менеджер.
- Что именно защищаем в домашней сети
- Микросегментация: делим сеть не по названию Wi‑Fi, а по уровню риска
- Типовые сегменты для домашней сети
- Пример правил firewall для дома
- Как это сделать на практике
- Если роутер простой: начинайте с гостевой сети, а не с VLAN
- MFA: что защищать в первую очередь
- Где MFA не заменяет сегментацию
- Что выбрать в зависимости от ситуации
- Частые ошибки при Zero-Trust дома
- Как сделать правильно и не усложнить себе жизнь
- Минимальный план на выходные
- Итог
Что именно защищаем в домашней сети
Большинство домашних проблем начинается не с хитрой атаки на сам роутер, а с простой ситуации: в одной сети сидит ноутбук с документами, NAS с фотографиями и дешёвая камера, у которой давно не обновлялась прошивка. Если камера скомпрометирована, ей не обязательно «взламывать интернет». Ей достаточно попытаться попасть в соседние устройства внутри вашей же сети.
Поэтому Zero-Trust дома отвечает на три вопроса:
- какие устройства у вас есть и кому из них можно доверять;
- какие соединения им действительно нужны;
- какие входы в систему защищены не только паролем, но и вторым фактором.
Это не значит, что нужно превращать квартиру в дата-центр. Для обычной квартиры достаточно гостевой сети, отдельных правил и MFA на ключевых аккаунтах. Для дома с NAS, камерами, умным светом и удалённой работой уже имеет смысл смотреть в сторону VLAN и более тонких firewall-правил.
Микросегментация: делим сеть не по названию Wi‑Fi, а по уровню риска
Микросегментация — это разделение устройств на группы и запрет лишнего общения между ними. В домашнем контексте слово «микро» не надо понимать буквально. Вам не обязательно делать 15 отдельных сетей. Обычно хватает 3–5 сегментов.
Главная идея простая: устройство из «опасной» или сомнительной группы не должно само решать, куда ему подключаться внутри сети. Оно может ходить в интернет, если это нужно, но не должно сканировать ваш ноутбук, NAS или страницу управления роутером.
Не начинайте с правила «запретить всё». Сначала составьте список устройств и поймите, что кому нужно. Иначе легко отключить камеру, принтер, телевизор или систему умного дома.
Типовые сегменты для домашней сети
| Сегмент | Что туда класть | Доступ в интернет | Доступ к другим сегментам | Практический смысл |
|---|---|---|---|---|
| Trusted | Личные ноутбуки, телефоны, рабочие устройства, с которых вы управляете сетью | Да | К NAS и IoT — только нужные сервисы | Это ваша основная рабочая зона. Здесь лежат документы, браузеры, почта, ключи доступа |
| IoT | Камеры, телевизоры, колонки, розетки, лампы, робот-пылесос, принтер | Да, если нужно | Обычно нет к Trusted, NAS и роутеру | Умные устройства часто обновляются редко и имеют слабую защиту. Им не нужно видеть ваш ноутбук |
| Guest | Телефоны гостей, арендаторов, временные устройства | Да | Нет к локальной сети, кроме редких исключений вроде принтера | Гость получает интернет, но не получает доступ к вашим файлам и устройствам |
| NAS / Storage | NAS, домашний сервер, резервные диски, медиасервер | Ограниченно: обновления, облако, VPN | Только с Trusted или через VPN | Хранилище с фото и документами не должно быть доступно всей сети |
| Infra / Admin | Роутер, точки доступа, управляемые коммутаторы, Home Assistant, если он управляет домом | По необходимости | Может управлять IoT, но доступ к панели управления — только с доверенного устройства | Инфраструктуру лучше не смешивать с обычными пользовательскими устройствами |
Названия сегментов можно менять. Смысл не в красивых именах, а в правилах: кто к кому имеет доступ и кто может начинать соединение.
Пример правил firewall для дома
После разделения сети правила обычно выглядят так:
- Guest → Internet: разрешить. Guest → LAN: запретить.
- IoT → Internet: разрешить, если устройствам нужен облачный доступ. IoT → Trusted/NAS/Infra: запретить.
- Trusted → IoT: разрешить только то, что реально нужно: например, доступ к Home Assistant, камере или принтеру.
- Trusted → NAS: разрешить для конкретных устройств или пользователей.
- IoT → NAS: запретить, если нет явной причины разрешать.
- Internet → NAS: не открывать напрямую. Если нужен доступ извне — через VPN с MFA.
- Internet → роутер: удалённое управление лучше выключить.
- Admin → роутер: разрешить только с доверенного устройства или отдельной админской сети.
Для проверки сделайте простой тест: подключите телефон к гостевой сети и попробуйте открыть адрес NAS или страницу роутера. Если открывается — изоляция не работает. Затем подключитесь из IoT-сети и попробуйте попасть на ноутбук или NAS. В нормальной схеме этого быть не должно.
Как это сделать на практике
- Составьте список устройств. Выпишите хотя бы основные: телефоны, ноутбуки, камеры, телевизоры, принтеры, NAS, умные розетки, детские устройства. Без списка сегментация превращается в угадывание.
- Разделите устройства по риску. Ноутбуки и телефоны — Trusted. Камеры, телевизоры и розетки — IoT. Телефоны гостей — Guest. NAS и роутер — отдельно.
- Создайте сети. Если роутер поддерживает VLAN — используйте VLAN. Если нет — начните с гостевой Wi‑Fi-сети и функции изоляции клиентов. Для проводных устройств нужны VLAN на коммутаторе или портах роутера.
- Настройте firewall-правила. Не просто создайте разные SSID. Разные названия Wi‑Fi без правил изоляции почти ничего не решают.
- Проверьте работу. После каждого правила тестируйте: камера пишет в облако, телевизор работает, ноутбук видит NAS, гостевой Wi‑Fi не видит локальную сеть.
- Зафиксируйте схему. Запишите, где какие VLAN, какие SSID, какие правила и зачем они нужны. Через месяц вы уже не вспомните, почему когда-то открыли порт для телевизора.
Если роутер простой: начинайте с гостевой сети, а не с VLAN
Не у каждого домашнего роутера есть нормальная поддержка VLAN. Это не повод ничего не делать. На простом роутере часто можно включить гостевую сеть с изоляцией клиентов. Это уже полезный Zero-Trust-шаг.
Минимальная схема для обычного роутера:
- основная Wi‑Fi-сеть — для личных ноутбуков и телефонов;
- гостевая сеть — для гостей и части IoT-устройств;
- отдельный пароль на гостевую сеть;
- включённая изоляция гостей от локальной сети;
- отключённый WPS;
- отключённое удалённое управление роутером из интернета;
- MFA на аккаунте производителя роутера, если управление идёт через облако.
Да, такая схема грубее, чем VLAN. Но она лучше, чем держать камеру, гостевой телефон и рабочий ноутбук в одной плоской сети.
MFA: что защищать в первую очередь
MFA нужна там, где есть вход по логину и паролю. В домашней сети это не только почта. Часто забывают про NAS, облако роутера, аккаунт умного дома, резервные копии и парольный менеджер.
Приоритет такой:
- Почта. Через неё часто восстанавливают доступ ко всему остальному.
- Парольный менеджер. Если он защищён только мастер-паролем, риск выше.
- Роутер и облако производителя. Особенно если через облако можно менять настройки сети.
- NAS и облачные хранилища. Там часто лежат фото, документы, сканы, резервные копии.
- Аккаунты умного дома. Камеры, замки, сигнализации, климат — всё, где утечка аккаунта даёт доступ к физическому пространству.
- VPN и удалённый доступ. Если вы подключаетесь к дому извне, MFA здесь обязательна.
Лучше использовать приложение-аутентификатор, passkey или аппаратный ключ. SMS можно использовать, если другого варианта нет, но это не лучший вариант: номер могут перевыпустить, а сообщения иногда попадают в уведомления на экране.
Где MFA не заменяет сегментацию
Есть устройства, где MFA просто некуда поставить: многие телевизоры, камеры, лампы, розетки и принтеры не имеют нормального входа с многофакторной аутентификацией. Это не значит, что их надо игнорировать. Их как раз нужно изолировать.
Например, у камеры может быть аккаунт в облаке с MFA, но сама камера внутри сети всё равно должна быть в IoT-сегменте. MFA защищает облачный вход, а сегментация не даёт камере сканировать ваш NAS или ноутбук.
Что выбрать в зависимости от ситуации
| Ситуация | Что делать | Чего избегать |
|---|---|---|
| Обычная квартира, один роутер, NAS нет | Включить гостевую сеть, изолировать гостей, обновить роутер, включить MFA на почте, облаке и аккаунте роутера | Держать гостей в основной сети и использовать один пароль на всё |
| Много умных устройств, камеры, телевизоры, колонки | Вынести IoT в отдельную сеть или VLAN, запретить IoT доступ к Trusted и NAS | Ставить камеры и рабочие ноутбуки в одну Wi‑Fi-сеть без правил |
| Есть NAS с фото и документами | NAS в отдельный сегмент, доступ только с Trusted, удалённый доступ через VPN с MFA | Открывать SMB, RDP, SSH или веб-панель NAS напрямую в интернет |
| Удалённая работа, рабочие документы на ноутбуке | Рабочее устройство в Trusted, IoT и Guest изолированы, MFA на рабочей почте и VPN | Разрешать домашним устройствам доступ к рабочим папкам без необходимости |
| Роутер не поддерживает VLAN | Использовать гостевую сеть, изоляцию клиентов, отдельные пароли и MFA | Думать, что разные названия Wi‑Fi сами по себе решают задачу |
| Дом с продвинутой сетью: UniFi, MikroTik, OpenWrt, pfSense, OPNsense | Делать VLAN, firewall-правила, отдельные SSID, ограниченный доступ к админке | Открывать всё между VLAN «чтобы точно работало» |
Частые ошибки при Zero-Trust дома
- Создали гостевую сеть, но не включили изоляцию. Гость формально в отдельной сети, но фактически может видеть локальные устройства.
- Разделили Wi‑Fi по названиям, но не настроили firewall. SSID — это входная дверь, а правила решают, куда из неё можно пройти.
- Положили NAS в общую сеть. Если NAS нужен только вам, его не должны видеть телевизор, камера и гостевой телефон.
- Открыли доступ из интернета к NAS или камерам. Для удалённого доступа лучше VPN с MFA, а не открытый порт на всё хранилище.
- Включили MFA только на почте. Почта важна, но роутер, NAS и облако умного дома тоже могут быть критичными.
- Используют SMS там, где есть приложение или passkey. SMS лучше, чем ничего, но не лучший второй фактор.
- Не сохранили recovery-коды. MFA без восстановления доступа может превратиться в проблему: аккаунт защищён, но вы не можете в него войти.
- Разрешили всё между сегментами. Если IoT имеет полный доступ к Trusted, микросегментация есть только на бумаге.
- Оставили WPS и удалённое управление роутером включёнными. Удобство здесь часто дороже безопасности.
- Не тестируют после настройки. Правила нужно проверять: что должно работать — работает, что не должно — не работает.
Как сделать правильно и не усложнить себе жизнь
Начинайте с самого неприятного сценария: «что будет, если одно устройство в сети окажется скомпрометировано?». Если это умная розетка, она не должна иметь доступ к NAS. Если это гостевой телефон, он не должен видеть ваши ноутбуки. Если это детская приставка, она не должна сканировать роутер.
Хорошая домашняя Zero-Trust-схема выглядит так:
- роутер обновлён, пароль админки уникальный, удалённое управление выключено;
- гостевая сеть включена и изолирована;
- IoT-устройства вынесены в отдельную сеть или хотя бы в гостевую;
- NAS доступен только доверенным устройствам;
- удалённый доступ к дому идёт через VPN с MFA;
- MFA включена на почте, парольном менеджере, роутере, NAS, облаке и умном доме;
- recovery-коды сохранены в надёжном месте;
- правила firewall записаны и понятны;
- после изменений сеть протестирована.
Если вы настраиваете VLAN впервые, не пытайтесь сделать всё за вечер. Сначала отделите Guest. Потом IoT. Потом NAS. Потом админский доступ. Так проще найти проблему: если после очередного правила перестал работать телевизор или камера, вы будете понимать, где искать.
Минимальный план на выходные
- Обновите прошивку роутера и точек доступа.
- Смените пароль админки роутера на уникальный, если он ещё стандартный или где-то reused.
- Отключите WPS и удалённое управление роутером из интернета.
- Включите гостевую сеть с изоляцией.
- Перенесите туда гостей и часть IoT-устройств.
- Включите MFA на почте, парольном менеджере, облаке роутера, NAS и аккаунтах умного дома.
- Проверьте, что гостевая сеть не видит NAS и страницу роутера.
- Запишите новую схему сети.
Итог
Zero-Trust дома — это не паранойя и не корпоративная сложность. Это здравый подход: доверять не месту подключения, а конкретному устройству и конкретной задаче. Микросегментация ограничивает перемещение внутри сети, а MFA защищает входы туда, где есть аккаунты и панели управления.
Если у вас простой роутер, начните с гостевой сети, изоляции, обновлений и MFA. Если есть NAS, камеры, умный дом или удалённая работа — переходите к VLAN и firewall-правилам. Самое практичное решение — не максимальная сложность, а понятная схема, где каждое устройство имеет только тот доступ, который ему действительно нужен.


