Pillar cikk · Biztonság

Okosotthon biztonság: minimál lépések, nagy hatás

Az IoT eszközök a hálózatod részei. A jó hír: egy-két beállítás (külön SSID/VLAN, frissítések, távoli elérés VPN-nel) rengeteg kockázatot csökkent, drága megoldások nélkül.

10 pontos checklist Távoli elérés: VPN vs proxy

Frissítve: 2026. április

Kapcsolódó pillar cikkek

Kezdoknek Protokollok Home Assistant

Miért fontos a hálózati biztonság?

Az okosotthon eszközök (lámpák, kapcsolók, szenzorok, kamerák) a legtöbb esetben a helyi hálózatra csatlakoznak. Egy rosszul konfigurált IoT eszköz nem csak önmagában sebezheto: belépési pontot adhat a teljes hálózatodhoz.

A legtöbb IoT eszköz gyári firmware-e ritkán kap frissítést, sok közülük gyenge alapértelmezett jelszóval érkezik, és a legtöbb nem támogatja a modern biztonsági protokollokat. Ez nem jelenti azt, hogy nem használhatók biztonságosan, de jelenti azt, hogy néhány alapbeállítás nem opcionális, hanem szükséges.

A jó hír: a leghatásosabb lépések nem drágák és nem bonyolultak. Az alábbi checklist a legtöbb kockázatot kezeli.

10 pontos biztonsági checklist

Ezeket a lépéseket érdemes sorban végigmenni. Mindegyik önmagában is csökkenti a kockázatot, együtt pedig egy jóval ellenállóbb rendszert adnak.

1. Külön SSID / VLAN az IoT eszközöknek Az okoseszközök ne lássák a számítógépeidet, NAS-odat. Külön Wi-Fi hálózat vagy VLAN szegmentálás a leghatásosabb lépés.
2. Eros, egyedi jelszavak minden eszközön Sose hagyd meg a gyári jelszót. Minden eszköznek (router, kamera, hub) legyen saját, eros jelszava.
3. Router firmware frissítve A router a hálózatod kapuja. Frissítsd rendszeresen, vagy válassz olyan routert, ami automatikusan frissül.
4. UPnP kikapcsolva Az UPnP automatikusan nyit portokat a routeren. Az IoT eszközök ezt kihasználhatják, kérd le, és kapcsold ki a routerben.
5. Távoli elérés csak VPN-nel Ne nyiss portot a routeren a Home Assistanthoz. Használj VPN-t (WireGuard, Tailscale) vagy a Nabu Casa felho szolgáltatást.
6. Home Assistant HTTPS + eros jelszó Ha a HA elérheto a hálózaton, legyen HTTPS tanúsítvány és eros jelszó (vagy MFA) bekapcsolva.
7. DNS szurés (Pi-hole / AdGuard) A DNS szintu szurés blokkolja a kártékony domaineket és a felesleges telemetriát az IoT eszközökrol.
8. Rendszeres mentések Home Assistant snapshot, router konfiguráció exportálása. Ha valami elromlik, percek alatt visszaállítható.
9. Firmware frissítések az eszközökön Zigbee, Z-Wave, Wi-Fi eszközök firmware-jét is érdemes frissíteni, ha elérheto. Sok biztonsági javítás csak így jut el hozzád.
10. Felesleges felho integráció kikapcsolva Ha egy eszköz lokálisan is muködik, kapcsold ki a felho hozzáférést. Kevesebb külso kapcsolat = kisebb támadási felület.

IoT VLAN / külön SSID

A hálózati szegmentálás a leghatásosabb egyetlen lépés, amit megtehetsz. A lényeg: az IoT eszközök egy külön hálózati szegmensbe kerülnek, ahol nem férnek hozzá a személyes eszközeidhez (laptop, telefon, NAS).

Egyszerubb megoldás: külön SSID

A legtöbb modern router lehetové teszi vendég hálózat (Guest Network) létrehozását. Ez a legegyszerubb mód az IoT eszközök elkülönítésére:

  • Hozz létre egy külön Wi-Fi hálózatot (pl. Otthon-IoT)
  • Engedélyezd a Client Isolation opciót, ha van
  • Az IoT eszközöket erre a hálózatra csatlakoztasd
  • A Home Assistant maradjon a fo hálózaton, vagy legyen mindkét szegmensben elérheto

Haladó megoldás: VLAN

Ha managed switch-ed és VLAN-képes routered van (pl. UniFi, MikroTik, OpenWrt), VLAN-okkal finomabb szabályozás érheto el:

  • VLAN 1 (alapértelmezett): személyes eszközök
  • VLAN 10: IoT eszközök (Zigbee bridge, Wi-Fi lámpák, szenzorok)
  • VLAN 20: kamerák (opcionálisan teljesen internetmentes)
  • Tuzfalszabályok: IoT VLAN nem kezdeményezhet kapcsolatot a fo VLAN felé, de a Home Assistant eléri az IoT VLAN-t
Tipp: Nem kell drága eszköz a VLAN-hoz. Egy OpenWrt-képes router és egy managed switch (pl. TP-Link TL-SG108E) elég a kezdéshez.

Távoli elérés: VPN vs reverse proxy

Amikor otthonról távol szeretnéd elérni a Home Assistantodat, két fo megközelítés létezik. Mindketto muködik, de más-más biztonsági profiljuk van.

Szempont VPN (WireGuard / Tailscale) Reverse Proxy (Nginx / Cloudflare Tunnel)
Biztonság Nagyon magas Magas (ha jól konfigurált)
Beállítás bonyolultsága Közepes Közepes-magas
Nyitott port szükséges? 1 port (WireGuard) vagy 0 (Tailscale) 0 (Cloudflare Tunnel) vagy 443 (Nginx)
Teljes hálózat elérheto? Igen Csak a konfigurált szolgáltatások
Külso függoség Minimális (Tailscale: felho koordináció) Cloudflare / domain szükséges
Sebesség WireGuard: gyors Gyors

Ajánlás kezdoknek: a Tailscale a legegyszerubb belépési pont. Telepítés után azonnal muködik, nem kell portot nyitni, és ingyenes személyes használatra. Haladóknak a WireGuard ad teljes kontrollt.

Nabu Casa: A Home Assistant hivatalos felho szolgáltatása (fizetos) szintén biztonságos távoli elérést ad, port nyitás nélkül. Elofizetéssel a HA fejlesztését is támogatod.

DNS és reklámblokkolás

A DNS szintu szurés egy egyszeruen beállítható, mégis hatékony biztonsági réteg. Két népszeru megoldás:

Pi-hole

  • Önállóan futtatható Raspberry Pi-n vagy Docker konténerben
  • A hálózat összes eszközére alkalmazható (router DNS beállítás)
  • Reklámok, trackerek, kártékony domainek blokkolása
  • Részletes statisztika arról, melyik eszköz hová csatlakozik

AdGuard Home

  • Hasonló a Pi-hole-hoz, modernebb felülettel
  • Beépített HTTPS-támogatás és DNS-over-HTTPS
  • Home Assistant add-on-ként is telepítheto
  • Egyszerubb beállítás, mint a Pi-hole

Mindkét megoldásnál érdemes az IoT eszközökre külön szurolista alkalmazni, ami blokkolja a telemetriát és a felesleges felho kapcsolatokat.

A legtöbb IoT-támadás a gyári jelszót és a nyitott portokat használja ki. Ezeket 10 perc bezárni.

Kapcsolódó témák

IoT VLAN / külön SSID

Minimál beállítás a hálózati szegmentáláshoz.

Távoli elérés: VPN vs reverse proxy

Melyik megoldás illik hozzád?

DNS és reklámblokkolás

Pi-hole, AdGuard az okosotthon mellett.

Következo lépések

Home Assistant biztonság Automatizálás minták