Zero-Trust дома: как изолировать устройства и защитить входы через MFA

Zero-Trust в домашней сети — это не про установку одной «волшебной коробки». Это нормальная привычка: не считать устройство безопасным только потому, что оно подключилось к вашему Wi‑Fi. В домашней сети рядом оказываются ноутбуки, телефоны, камеры, телевизоры, розетки, принтеры, NAS, детские планшеты и гостевые устройства. У них разный уровень доверия, и Zero-Trust как раз помогает не давать лишнего доступа тем, кому он не нужен.

Если коротко, дома Zero-Trust обычно сводится к двум практикам: микросегментации и MFA. Микросегментация ограничивает, какие устройства могут «видеть» друг друга в локальной сети. MFA, или многофакторная аутентификация, защищает входы в аккаунты и панели управления — роутер, облако, NAS, умный дом, почту, парольный менеджер.

Что именно защищаем в домашней сети

Большинство домашних проблем начинается не с хитрой атаки на сам роутер, а с простой ситуации: в одной сети сидит ноутбук с документами, NAS с фотографиями и дешёвая камера, у которой давно не обновлялась прошивка. Если камера скомпрометирована, ей не обязательно «взламывать интернет». Ей достаточно попытаться попасть в соседние устройства внутри вашей же сети.

Поэтому Zero-Trust дома отвечает на три вопроса:

  • какие устройства у вас есть и кому из них можно доверять;
  • какие соединения им действительно нужны;
  • какие входы в систему защищены не только паролем, но и вторым фактором.

Это не значит, что нужно превращать квартиру в дата-центр. Для обычной квартиры достаточно гостевой сети, отдельных правил и MFA на ключевых аккаунтах. Для дома с NAS, камерами, умным светом и удалённой работой уже имеет смысл смотреть в сторону VLAN и более тонких firewall-правил.

Микросегментация: делим сеть не по названию Wi‑Fi, а по уровню риска

Микросегментация — это разделение устройств на группы и запрет лишнего общения между ними. В домашнем контексте слово «микро» не надо понимать буквально. Вам не обязательно делать 15 отдельных сетей. Обычно хватает 3–5 сегментов.

Главная идея простая: устройство из «опасной» или сомнительной группы не должно само решать, куда ему подключаться внутри сети. Оно может ходить в интернет, если это нужно, но не должно сканировать ваш ноутбук, NAS или страницу управления роутером.

Не начинайте с правила «запретить всё». Сначала составьте список устройств и поймите, что кому нужно. Иначе легко отключить камеру, принтер, телевизор или систему умного дома.

Типовые сегменты для домашней сети

Сегмент Что туда класть Доступ в интернет Доступ к другим сегментам Практический смысл
Trusted Личные ноутбуки, телефоны, рабочие устройства, с которых вы управляете сетью Да К NAS и IoT — только нужные сервисы Это ваша основная рабочая зона. Здесь лежат документы, браузеры, почта, ключи доступа
IoT Камеры, телевизоры, колонки, розетки, лампы, робот-пылесос, принтер Да, если нужно Обычно нет к Trusted, NAS и роутеру Умные устройства часто обновляются редко и имеют слабую защиту. Им не нужно видеть ваш ноутбук
Guest Телефоны гостей, арендаторов, временные устройства Да Нет к локальной сети, кроме редких исключений вроде принтера Гость получает интернет, но не получает доступ к вашим файлам и устройствам
NAS / Storage NAS, домашний сервер, резервные диски, медиасервер Ограниченно: обновления, облако, VPN Только с Trusted или через VPN Хранилище с фото и документами не должно быть доступно всей сети
Infra / Admin Роутер, точки доступа, управляемые коммутаторы, Home Assistant, если он управляет домом По необходимости Может управлять IoT, но доступ к панели управления — только с доверенного устройства Инфраструктуру лучше не смешивать с обычными пользовательскими устройствами

Названия сегментов можно менять. Смысл не в красивых именах, а в правилах: кто к кому имеет доступ и кто может начинать соединение.

Пример правил firewall для дома

После разделения сети правила обычно выглядят так:

  • Guest → Internet: разрешить. Guest → LAN: запретить.
  • IoT → Internet: разрешить, если устройствам нужен облачный доступ. IoT → Trusted/NAS/Infra: запретить.
  • Trusted → IoT: разрешить только то, что реально нужно: например, доступ к Home Assistant, камере или принтеру.
  • Trusted → NAS: разрешить для конкретных устройств или пользователей.
  • IoT → NAS: запретить, если нет явной причины разрешать.
  • Internet → NAS: не открывать напрямую. Если нужен доступ извне — через VPN с MFA.
  • Internet → роутер: удалённое управление лучше выключить.
  • Admin → роутер: разрешить только с доверенного устройства или отдельной админской сети.

Для проверки сделайте простой тест: подключите телефон к гостевой сети и попробуйте открыть адрес NAS или страницу роутера. Если открывается — изоляция не работает. Затем подключитесь из IoT-сети и попробуйте попасть на ноутбук или NAS. В нормальной схеме этого быть не должно.

Как это сделать на практике

  1. Составьте список устройств. Выпишите хотя бы основные: телефоны, ноутбуки, камеры, телевизоры, принтеры, NAS, умные розетки, детские устройства. Без списка сегментация превращается в угадывание.
  2. Разделите устройства по риску. Ноутбуки и телефоны — Trusted. Камеры, телевизоры и розетки — IoT. Телефоны гостей — Guest. NAS и роутер — отдельно.
  3. Создайте сети. Если роутер поддерживает VLAN — используйте VLAN. Если нет — начните с гостевой Wi‑Fi-сети и функции изоляции клиентов. Для проводных устройств нужны VLAN на коммутаторе или портах роутера.
  4. Настройте firewall-правила. Не просто создайте разные SSID. Разные названия Wi‑Fi без правил изоляции почти ничего не решают.
  5. Проверьте работу. После каждого правила тестируйте: камера пишет в облако, телевизор работает, ноутбук видит NAS, гостевой Wi‑Fi не видит локальную сеть.
  6. Зафиксируйте схему. Запишите, где какие VLAN, какие SSID, какие правила и зачем они нужны. Через месяц вы уже не вспомните, почему когда-то открыли порт для телевизора.

Если роутер простой: начинайте с гостевой сети, а не с VLAN

Не у каждого домашнего роутера есть нормальная поддержка VLAN. Это не повод ничего не делать. На простом роутере часто можно включить гостевую сеть с изоляцией клиентов. Это уже полезный Zero-Trust-шаг.

Минимальная схема для обычного роутера:

  • основная Wi‑Fi-сеть — для личных ноутбуков и телефонов;
  • гостевая сеть — для гостей и части IoT-устройств;
  • отдельный пароль на гостевую сеть;
  • включённая изоляция гостей от локальной сети;
  • отключённый WPS;
  • отключённое удалённое управление роутером из интернета;
  • MFA на аккаунте производителя роутера, если управление идёт через облако.

Да, такая схема грубее, чем VLAN. Но она лучше, чем держать камеру, гостевой телефон и рабочий ноутбук в одной плоской сети.

MFA: что защищать в первую очередь

MFA нужна там, где есть вход по логину и паролю. В домашней сети это не только почта. Часто забывают про NAS, облако роутера, аккаунт умного дома, резервные копии и парольный менеджер.

Приоритет такой:

  1. Почта. Через неё часто восстанавливают доступ ко всему остальному.
  2. Парольный менеджер. Если он защищён только мастер-паролем, риск выше.
  3. Роутер и облако производителя. Особенно если через облако можно менять настройки сети.
  4. NAS и облачные хранилища. Там часто лежат фото, документы, сканы, резервные копии.
  5. Аккаунты умного дома. Камеры, замки, сигнализации, климат — всё, где утечка аккаунта даёт доступ к физическому пространству.
  6. VPN и удалённый доступ. Если вы подключаетесь к дому извне, MFA здесь обязательна.

Лучше использовать приложение-аутентификатор, passkey или аппаратный ключ. SMS можно использовать, если другого варианта нет, но это не лучший вариант: номер могут перевыпустить, а сообщения иногда попадают в уведомления на экране.

Где MFA не заменяет сегментацию

Есть устройства, где MFA просто некуда поставить: многие телевизоры, камеры, лампы, розетки и принтеры не имеют нормального входа с многофакторной аутентификацией. Это не значит, что их надо игнорировать. Их как раз нужно изолировать.

Например, у камеры может быть аккаунт в облаке с MFA, но сама камера внутри сети всё равно должна быть в IoT-сегменте. MFA защищает облачный вход, а сегментация не даёт камере сканировать ваш NAS или ноутбук.

Что выбрать в зависимости от ситуации

Ситуация Что делать Чего избегать
Обычная квартира, один роутер, NAS нет Включить гостевую сеть, изолировать гостей, обновить роутер, включить MFA на почте, облаке и аккаунте роутера Держать гостей в основной сети и использовать один пароль на всё
Много умных устройств, камеры, телевизоры, колонки Вынести IoT в отдельную сеть или VLAN, запретить IoT доступ к Trusted и NAS Ставить камеры и рабочие ноутбуки в одну Wi‑Fi-сеть без правил
Есть NAS с фото и документами NAS в отдельный сегмент, доступ только с Trusted, удалённый доступ через VPN с MFA Открывать SMB, RDP, SSH или веб-панель NAS напрямую в интернет
Удалённая работа, рабочие документы на ноутбуке Рабочее устройство в Trusted, IoT и Guest изолированы, MFA на рабочей почте и VPN Разрешать домашним устройствам доступ к рабочим папкам без необходимости
Роутер не поддерживает VLAN Использовать гостевую сеть, изоляцию клиентов, отдельные пароли и MFA Думать, что разные названия Wi‑Fi сами по себе решают задачу
Дом с продвинутой сетью: UniFi, MikroTik, OpenWrt, pfSense, OPNsense Делать VLAN, firewall-правила, отдельные SSID, ограниченный доступ к админке Открывать всё между VLAN «чтобы точно работало»

Частые ошибки при Zero-Trust дома

  • Создали гостевую сеть, но не включили изоляцию. Гость формально в отдельной сети, но фактически может видеть локальные устройства.
  • Разделили Wi‑Fi по названиям, но не настроили firewall. SSID — это входная дверь, а правила решают, куда из неё можно пройти.
  • Положили NAS в общую сеть. Если NAS нужен только вам, его не должны видеть телевизор, камера и гостевой телефон.
  • Открыли доступ из интернета к NAS или камерам. Для удалённого доступа лучше VPN с MFA, а не открытый порт на всё хранилище.
  • Включили MFA только на почте. Почта важна, но роутер, NAS и облако умного дома тоже могут быть критичными.
  • Используют SMS там, где есть приложение или passkey. SMS лучше, чем ничего, но не лучший второй фактор.
  • Не сохранили recovery-коды. MFA без восстановления доступа может превратиться в проблему: аккаунт защищён, но вы не можете в него войти.
  • Разрешили всё между сегментами. Если IoT имеет полный доступ к Trusted, микросегментация есть только на бумаге.
  • Оставили WPS и удалённое управление роутером включёнными. Удобство здесь часто дороже безопасности.
  • Не тестируют после настройки. Правила нужно проверять: что должно работать — работает, что не должно — не работает.

Как сделать правильно и не усложнить себе жизнь

Начинайте с самого неприятного сценария: «что будет, если одно устройство в сети окажется скомпрометировано?». Если это умная розетка, она не должна иметь доступ к NAS. Если это гостевой телефон, он не должен видеть ваши ноутбуки. Если это детская приставка, она не должна сканировать роутер.

Хорошая домашняя Zero-Trust-схема выглядит так:

  • роутер обновлён, пароль админки уникальный, удалённое управление выключено;
  • гостевая сеть включена и изолирована;
  • IoT-устройства вынесены в отдельную сеть или хотя бы в гостевую;
  • NAS доступен только доверенным устройствам;
  • удалённый доступ к дому идёт через VPN с MFA;
  • MFA включена на почте, парольном менеджере, роутере, NAS, облаке и умном доме;
  • recovery-коды сохранены в надёжном месте;
  • правила firewall записаны и понятны;
  • после изменений сеть протестирована.

Если вы настраиваете VLAN впервые, не пытайтесь сделать всё за вечер. Сначала отделите Guest. Потом IoT. Потом NAS. Потом админский доступ. Так проще найти проблему: если после очередного правила перестал работать телевизор или камера, вы будете понимать, где искать.

Минимальный план на выходные

  1. Обновите прошивку роутера и точек доступа.
  2. Смените пароль админки роутера на уникальный, если он ещё стандартный или где-то reused.
  3. Отключите WPS и удалённое управление роутером из интернета.
  4. Включите гостевую сеть с изоляцией.
  5. Перенесите туда гостей и часть IoT-устройств.
  6. Включите MFA на почте, парольном менеджере, облаке роутера, NAS и аккаунтах умного дома.
  7. Проверьте, что гостевая сеть не видит NAS и страницу роутера.
  8. Запишите новую схему сети.

Итог

Zero-Trust дома — это не паранойя и не корпоративная сложность. Это здравый подход: доверять не месту подключения, а конкретному устройству и конкретной задаче. Микросегментация ограничивает перемещение внутри сети, а MFA защищает входы туда, где есть аккаунты и панели управления.

Если у вас простой роутер, начните с гостевой сети, изоляции, обновлений и MFA. Если есть NAS, камеры, умный дом или удалённая работа — переходите к VLAN и firewall-правилам. Самое практичное решение — не максимальная сложность, а понятная схема, где каждое устройство имеет только тот доступ, который ему действительно нужен.

Оцените статью
PEFile — Безопасность и технологии простым языком