- Segmentér og hærd efter profil: domæne, privat eller offentlig, juster regler og notifikationer.
- Kontroller apps med udgangsregler og undtagelser; undgå unødvendige åbninger.
- I OT/IoT skal du placere sensorer ved vigtige trafikpunkter og dække flows ind/ud af segmentet.
- Stol på gendannelses- og overvågningsprocedurer for at opretholde sikkerheden.
Netværkssikkerhed IoT og OT-miljøer handler ikke kun om at opdatere firmware eller isolere enheder: det afhænger også af, hvordan du filtrerer trafik i Windows med en firewall. Windows Defender Firewallen giver dig mulighed for at bestemme, hvad der kommer ind, og hvad der går ud i hver netværksprofil, og det kan være forskellen på en mindre hændelse og et alvorligt problem.
Ud over at beskytte din pc kan en firewall hjælpe med at give overblik over og kontrol over trafik, der påvirker industrielle segmenter, både på hjemmenetværk med tilsluttede enheder og i anlæg med sensorer, PLC'er eller HMI'er. Vi forklarer trin for trin, hvordan du konfigurerer det, og hvordan det passer til OT/IoT-netværk., herunder segmentering, Purdue-modellen, overvågningspunkter og endda datadiodedisplays.
Hvad er Windows Defender Firewall, og hvordan hjælper det i et IoT-netværk?
Den Windows-byggede firewall fungerer som et filter, der tillader eller afviser forbindelser baseret på regler. Bloker uautoriseret adgang og reducer risikoen kontrol af IP-adresser, porte og programstier. I netværk med kameraer, sensorer eller smarte enheder er begrænsning af trafik nøglen til at minimere angrebsflader.
Fra Windows Sikkerheds-appen kan du se og administrere status for hver netværkstype: domæne, privat eller offentlig. Det er muligt at aktivere eller deaktivere det via profil og få adgang til avancerede indstillinger. som giver dig mulighed for at finjustere adfærd på forskellige steder.
Netværksprofiler: privat, offentlig og domæne
Når du tilslutter din enhed, kan du markere netværket som privat eller offentligt. Et privat netværk (f.eks. dit hjem) forudsætter tillid mellem enheder, og at de kan opdage hinanden og Del en netværksmappe i Windows 11På den anden side er et offentligt netværk (f.eks. Wi-Fi på en café) upålideligt og bør sikres yderligere.
Valg af den rigtige profil ændrer eksponeringsniveauet og de automatisk anvendte regler. På offentlige netværk er det fornuftigt at sikre indgående forbindelser, mens du på private netværk kan tillade visse interne funktioner, hvis du har tillid til computerne.
Konfigurer Windows Defender Firewall fra Windows Sikkerhed
For nemt at justere din firewall skal du gå til Windows Sikkerhed og åbne afsnittet Firewall og netværksbeskyttelse. Vælg den aktive profil (domæne, privat eller offentlig), og aktiver Microsoft Defender Firewall så den begynder at filtrere trafik i den kontekst.
Du finder også en meget nyttig kontrol: Bloker alle indgående forbindelser, inklusive dem på listen over tilladte apps. Når den er markeret, ignorerer firewallen undtagelser og blokerer alt i den profil.Øger sikkerheden, men kan ødelægge apps, der skal lytte efter forbindelser.
I samme panel er der adgang til yderligere funktioner. Tillad en applikation gennem firewallen Tilføj undtagelser (eller åbn specifikke porte), hvis en legitim app er blokeret. Brug dette klogt: At åbne dem unødvendigt kan skabe sikkerhedshuller.
Hvis der er noget galt med din generelle forbindelse, skal du køre Netværks- og internetfejlfindingsværktøjet. Denne guide kan automatisk diagnosticere og reparere typiske netværks- og firewallproblemer.
Du kan også justere dine firewall-meddelelsesindstillinger, hvis du modtager for mange meddelelser eller mangler advarsler. Justering af notifikationsniveauet hjælper med at forhindre dig i at gå glip af relevante blokke. uden at overbelaste dig med beskeder.
Indstillingen Avancerede indstillinger åbner den klassiske Windows Defender Firewall-konsol. Der opretter du sikkerhedsregler for indgående, udgående og forbindelser.og gennemgå overvågningslogfiler. Advarsel: Ubevidst ændring af regler kan åbne smuthuller eller ødelægge applikationer.
Hvis alt er gået galt, er der en nødknap: Gendan firewalls til standardindstillingerne. Fører holdet tilbage til dets oprindelige tilstand og hvis du er i en organisation, gælder virksomhedens politikker.
Bloker et program og administrer hvidlister
Der er situationer, hvor du vil forhindre en app i at gå online (forhindre telemetri, descargas, uovervåget onlinespil eller modstridende opdateringer). Den mest effektive måde er at oprette en udgående regel, der blokerer den eksekverbare fil. af det pågældende program.
- Åbn Start-menuen, og gå til Kontrolpanel. Gå til Windows Defender Firewall, og klik på Avancerede indstillinger.
- I venstre panel skal du vælge Udgående regler. Klik på Ny regel i højre rude.
- Vælg Regeltype: Program, og klik på Næste. Angiver denne programsti og find den .exe-fil, der skal blokeres (eller skriv dens sti, hvis du kender den).
- Markér Bloker forbindelsen og fortsæt. Gælder for domæne, privat og offentlig (det sædvanlige) og tildel reglen et beskrivende navn.
Reglen aktiveres, når den er fuldført. Du kan se og redigere den i Udgående regler. For midlertidigt at blokere den skal du blot deaktivere/aktivere reglen. med højreklik, når du har brug for det.
Hvad hvis du har brug for at tillade en betroet app at komme igennem? Vælg Tillad en app eller funktion at komme igennem Windows Firewall i hovedpanelet. Klik på Skift indstillinger, og vælg Privat eller Offentlig. efter behov (åbn ikke apps med følsomme data på offentlige netværk).
OT/IoT-netværkslag og Purdue-modellen
I industrielle netværk og IoT er ikke alle enheder og tjenester på samme niveau. Arkitektur opdeles ofte i endpoint-enheder (pc'er, servere, IoT) og netværksenheder (switche, firewalls, routere og AP'er), organiseret i lag.
Mange designs følger en hierarkisk model med tre lag: Adgang, Distribution og Kerne. Adgangslaget er vært for de fleste slutpunkter og er normalt afhængig af en standardgateway. at rute uden for subnettet. Distributionen aggregerer adgang og håndhæver tjenester (VLAN-routing, QoS, politikker), og kernen leverer serverfarme og hurtig transit med lav latenstid.
Derudover udvider Purdue-referencemodellen segmenteringen til OT/ICS-miljøer med niveauer 0 til 5. Niveau 0 omfatter sensorer, aktuatorer og proceselementer (måle, udføre, aktivere). Niveau 1 indeholder indlejrede controllere (PLC, RTU, DCS), der styrer disse feltenheder.
Niveau 2 fokuserer på supervision: HMI'er, alarmer, batchstyring og kontrolpunkter, ofte om hold og OS standard (Windows eller UNIXDisse systemer kommunikerer med PLC/RTU og udveksler sommetider data med højere niveauer.
Niveau 3 og 3,5 grupperer det industrielle netværk og områdets perimeternetværk: Applikationer til driftsstyring på fabriksniveau (produktionsrapporter, analyser, programmering, industriel AD, filservere eller terminalHerfra integreres data normalt i IT.
Niveau 4 og 5 svarer til virksomhedens IT: centraliserede tjenester administreret af organisationen hvor forretningssystemerne befinder sig.
Placering af sensorer og interessante trafikpunkter
Til passiv overvågning af OT-netværk med Defender til IoT modtager sensorer spejlet trafik (SPAN på switche eller TAP'er). Sensorstyringsporten forbinder til styrings- eller virksomhedsnetværket at sende data til Azure-portalen, medmindre perimeteren forhindrer det.
Hvor skal nyttig trafik indfanges? Identificer de grænseflader, der forbinder standardgatewayen til distributions- eller kerne-switchene. De er "interessante" punkter, fordi de ser trafikken forlade IP-segmentet., hvilket gør det muligt at observere kommunikation med andre segmenter.
Ikke al trafik er unicast: overvej broadcast og multicast. Broadcast og multicast når typisk alle enheder i undernettet., inklusive gatewayen, så de er normalt dækket. Med IGMP snooping er multicast-videresendelse optimeret, men ikke garanteret, til en bestemt vært.
Unicast-trafik kan gå direkte fra kilde til destination uden at berøre alle værter. For at se det, anbefales det at placere sensorer på adgangskontakter., så du optager samtaler, der ikke ville gå gennem standardgatewayen.
Når trafik sendes til sensorer, reflekterer nogle enheder kun én retning. Prøv at overvåge begge retninger for at forbedre samtalekontekst og detektionsnøjagtighed.
I kritiske undernet kan der være flows, der ikke når det typiske interessante punkt. Overvej at tilføje RSPAN, TAP'er eller specifikke løsninger for at dække atypiske trafik- eller sigtbarhedshuller.
Hvis du arbejder med envejs-gateways (Waterfall, Owl, Hirschmann) med datadioder, har du to scenarier. Anbefalet: Placer OT-sensorer uden for perimeteren at modtage envejs SPAN fra netværket til sensorens overvågningsport (ideelt til store installationer). Alternativt kan du placere dem inden for perimeteren og sende UDP syslog-advarsler udad via dioden.
I sidstnævnte tilfælde er sensorerne isoleret fra ydersiden og kræver lokal styring: ingen cloudforbindelse eller administration fra Azure og intelligensopdateringer skal anvendes manuelt. Hvis du har brug for cloud-forbundne sensorer, skal du placere dem uden for perimeteren.
Trafikstrømme: ind og ud af segmentet
Routingadfærden afhænger af, om destinationen er inden for eller uden for kildens undernetmaske. Enheder sammenligner destinations-IP'en med deres undernet og beslutte at sende direkte eller til gatewayen. Denne proces kan udløse ARP til at fortolke adresser MAC.
Når destinationen er uden for segmentet, sender enheden flowet til sin standardgateway som det første hop. Ved at placere en sensor på den grænseflade sikrer du, at du ser alt, hvad der kommer ud af segmentet., noget afgørende for at opdage unormal kommunikation til andre områder.
Eksempel: En pc med IP 10.52.2.201/24 opretter forbindelse til 10.17.0.88. Systemet beregner, at 10.17.0.88 ikke er på 10.52.2.0/24, så den dirigerer trafik til sin gateway. Det punkt er ideelt til overvågning af flow.
Hvis destinationen er inden for området (f.eks. 10.52.2.17 til 10.52.2.131 med /24), krydser trafikken ikke gatewayen, Det løses ved hjælp af ARP til at finde destinations-MAC-adressen. og leveres lokalt. Uden registrering ved adgang kan disse intrasegmentstrømme forblive uopdagede.
Grunde til at blokere programmer med firewallen
En firewall overvåger og styrer indgående og udgående forbindelser i henhold til regler. Det er ligesom digital grænsekontrolBestem, hvem der går ind, og hvem der går ud, baseret på risiko. Blokering af programmer forhindrer uautoriseret adgang, malware og uønsket adfærd.
Derudover kan du forhindre automatiske opdateringer, der forstyrrer kompatibiliteten, begrænse spilplatforme for mindreårige eller afbryde reklamer og forbindelser på usikrede offentlige Wi-Fi-netværk. Granulære regler giver den fine kontrol som man nogle gange har brug for i hverdagen.
Andre måder at begrænse forbindelser på Windows, macOS og Linux
I Windows kan du, hvis du ikke vil rode med reglerne, åbne Flytilstand fra Handlingscenteret for midlertidigt at slukke for internettet. Sluk den for at vende tilbage til normalen når du er færdig. Der findes også gratis tredjeparts firewalls, hvis du foretrækker andre grænseflader eller ekstra funktioner.
På macOS skal du gå til Systemindstillinger, finde sektionen Netværk/Sikkerhed og privatliv, og derefter vælge Firewall. Aktivér den, og tilføj apps i Indstillinger, og marker for at tillade eller blokere indgående forbindelserHusk, at blokering kan påvirke afhængigheder mellem apps.
En Linux (Ubuntu), UFW forenkler administrationen: installer med sudo apt-get install ufw, Tjek status med sudo ufw status og definer grundlæggende regler før aktivering. tillade SSH med sudo ufw tillad ssh, aktiver HTTP/HTTPS med sudo ufw tillad http/https og aktiver med sudo ufw enable. Tjek med sudo ufw status.
Vedligeholdelse, meddelelser, midlertidig deaktivering og gendannelse
Justering af notifikationsniveauet hjælper dig med at holde dig informeret om relevante nedbrud uden overdreven støj. Afsnittet Meddelelsesindstillinger i Windows Sikkerhed Det er her, du kalibrerer omfanget af firewalladvarsler.
Hvis du lejlighedsvis har brug for at slå firewallen fra, skal du gøre det profil for profil og være opmærksom på, hvad du gør. Det anbefales ikke at deaktivere firewallen, da det udsætter dig for risikoDet er bedre at oprette en kontrolleret undtagelse eller deaktivere en specifik regel i en begrænset periode.
Sådan slår du det fra i Kontrolpanel: System og sikkerhed > Windows Defender Firewall > Slå det til eller fra. Du kan deaktivere via profil, men systemet advarer dig selv om, at det ikke anbefales.Tænd den venligst igen hurtigst muligt.
Hvis dine indstillinger er blevet ødelagt, skal du gå tilbage til Gendan standardindstillinger i det samme firewallpanel og følge vejledningen. Gendannelse af den oprindelige tilstand retter uoverensstemmelser og genanvend din organisations politikker, hvis der er nogen.
Du har styr på det grundlæggende: velvalgte netværksprofiler, finjusterede regler for ind- og udgang, begrundede undtagelser, indsigt i OT/IoT-netværk via sensorer på nøgleplaceringer og procedurer til blokering af apps eller nulstilling af indstillinger. Denne omfattende tilgang reducerer risici i både dit pc- og industrisegment og giver dig mulighed for at reagere præcist, når du berøres.
Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.