- Segmentoi ja vahvista profiilin mukaan: verkkotunnus, yksityinen tai julkinen, säätämällä sääntöjä ja ilmoituksia.
- Ohjaimet sovellukset poistumissäännöillä ja -poikkeuksilla; vältä tarpeettomia avautumisia.
- OT/IoT-ympäristöissä anturit sijoitetaan keskeisiin liikennepisteisiin ja katetaan segmentin sisään- ja ulospäin suuntautuvat virrat.
- Turvallisuuden ylläpitämiseksi käytä palautus- ja valvontamenettelyjä.
Verkkoturvallisuus IoT ja OT-ympäristöissä ei ole kyse vain laiteohjelmiston päivittämisestä tai laitteiden eristämisestä: se riippuu myös siitä, miten liikennettä suodatetaan Windows palomuurin kanssa. Windows Defender Palomuurin avulla voit päättää, mikä tulee sisään ja mikä menee ulos jokaisessa verkkoprofiilissa, ja se voi olla ratkaiseva tekijä pienen ongelman ja vakavan ongelman välillä.
Tietokoneen suojaamisen lisäksi palomuuri voi auttaa tarjoamaan näkyvyyttä ja hallintaa teollisuussegmentteihin vaikuttavalle liikenteelle sekä kotiverkoissa, joihin on kytketty laitteita, että laitoksissa, joissa on antureita, PLC:itä tai HMI:itä. Selitämme vaihe vaiheelta, miten se konfiguroidaan ja miten se sopii OT/IoT-verkkoihin., mukaan lukien segmentointi, Purdue-malli, valvontapisteet ja jopa datadiodinäytöt.
Mikä on Windows Defenderin palomuuri ja miten se auttaa IoT-verkossa?
Windowsin sisäänrakennettu palomuuri toimii suodattimena, joka sallii tai estää yhteydet sääntöjen perusteella. Estä luvaton pääsy ja vähennä riskiä IP-osoitteiden, porttien ja ohjelmapolkujen hallinta. Verkoissa, joissa on kameroita, antureita tai älylaitteita, liikenteen rajoittaminen on avainasemassa hyökkäyspintojen minimoimiseksi.
Windowsin tietoturvasovelluksesta voit tarkastella ja hallita kunkin verkkotyypin tilaa: toimialue, yksityinen tai julkinen. Sen voi aktivoida tai deaktivoida profiilin mukaan ja käyttää lisäasetuksia. joiden avulla voit hienosäätää käyttäytymistä eri paikoissa.
Verkkoprofiilit: yksityinen, julkinen ja verkkotunnus
Kun yhdistät laitteesi, voit merkitä verkon yksityiseksi tai julkiseksi. Yksityinen verkko (esim. kotisi) edellyttää luottamusta laitteiden välillä ja että ne voivat löytää toisensa ja Verkkokansion jakaminen Windows 11:ssäToisaalta julkinen verkko (esim. kahvilan Wi-Fi) on epäluotettava ja se tulisi suojata paremmin.
Oikean profiilin valitseminen muuttaa altistumisen tasoa ja sovellettavia automaattisia sääntöjä. Julkisissa verkoissa on järkevää vahvistaa tulevia yhteyksiä, kun taas yksityisissä verkoissa voit sallia tiettyjä sisäisiä toimintoja, jos luotat tietokoneisiin.
Windows Defenderin palomuurin määrittäminen Windows Securityn kautta
Voit helposti säätää palomuuriasi siirtymällä Windowsin suojaukseen ja avaamalla Palomuuri ja verkon suojaus -osion. Valitse aktiivinen profiili (toimialue, yksityinen tai julkinen) ja aktivoi Microsoft Defenderin palomuuri jotta se alkaa suodattaa liikennettä kyseisessä kontekstissa.
Löydät myös erittäin hyödyllisen toiminnon: Estä kaikki saapuvat yhteydet, mukaan lukien sallittujen sovellusten luettelossa olevat yhteydet. Kun tämä on valittuna, palomuuri jättää poikkeukset huomiotta ja estää kaiken kyseisessä profiilissa.Lisää tietoturvaa, mutta voi rikkoa sovelluksia, joiden on kuunneltava yhteyksiä.
Samasta paneelista löytyy myös lisätoimintoja. Salli sovelluksen läpäiseminen palomuurin läpi Lisää poikkeuksia (tai avaa tiettyjä portteja), jos laillinen sovellus estetään. Käytä tätä viisaasti: Niiden tarpeeton avaaminen voi luoda tietoturva-aukkoja.
Jos yhteytesi kanssa on ongelmia, suorita Verkko- ja Internet-vianmääritys. Tämä ohjattu toiminto voi automaattisesti diagnosoida ja korjata tyypillisiä verkko- ja palomuuriongelmia.
Voit myös muuttaa palomuurin ilmoitusasetuksia, jos saat liikaa ilmoituksia tai puuttuvia hälytyksiä. Ilmoitustason säätäminen auttaa estämään sinua jäämästä paitsi olennaisista lohkoista. ilman, että sinua ylikuormitetaan viesteillä.
Lisäasetukset-vaihtoehto avaa klassisen Windows Defenderin palomuurikonsolin. Siellä luot saapuvan, lähtevän ja yhteyden suojaussäännöt.ja tarkista valvontalokit. Varoitus: Sääntöjen tahaton muuttaminen voi avata porsaanreikiä tai rikkoa sovellusten toiminnan.
Jos kaikki on mennyt pieleen, on olemassa hätäpainike: Palauta palomuurit oletusasetuksiin. Palauttaa joukkueen alkuperäiseen tilaan ja jos olet organisaatiossa, yrityksen käytännöt ovat voimassa.
Estä ohjelma ja hallinnoi sallittujen listoja
On tilanteita, joissa haluat estää sovelluksen siirtymisen verkkoon (estää telemetrian, descargas, valvomatonta pelaamista verkossa tai ristiriitaisia päivityksiä). Tehokkain tapa on luoda lähtevän liikenteen sääntö, joka estää suoritettavan tiedoston. kyseessä olevasta ohjelmasta.
- Avaa Käynnistä-valikko ja siirry Ohjauspaneeliin. Avaa Windows Defenderin palomuuri ja napsauta Lisäasetukset.
- Valitse vasemmasta paneelista Lähtevän liikenteen säännöt. Valitse oikeanpuoleisesta ruudusta Uusi sääntö.
- Valitse Sääntötyyppi: Ohjelma ja napsauta Seuraava. Ilmaisee tämän ohjelmapolun ja etsi estettävä .exe-tiedosto (tai kirjoita sen polku, jos tiedät sen).
- Valitse Estä yhteys ja jatka. Koskee verkkotunnusta, yksityistä ja julkista (tavallinen tapa) ja anna säännölle kuvaava nimi.
Sääntö aktivoidaan valmistuttua. Voit tarkastella ja muokata sitä Lähtevän liikenteen säännöt -kohdassa. Voit estää sen väliaikaisesti ottamalla säännön käyttöön tai poistamalla sen käytöstä. hiiren kakkospainikkeella tarvittaessa.
Entä jos sinun on sallittava luotettavan sovelluksen läpäisy? Valitse pääpaneelista Salli sovelluksen tai ominaisuuden läpäisy Windowsin palomuurin kautta. Valitse Muuta asetuksia ja valitse Yksityinen tai Julkinen. tarvittaessa (älä avaa arkaluonteisia tietoja sisältäviä sovelluksia julkisissa verkoissa).
OT/IoT-verkkokerrokset ja Purdue-malli
Teollisuusverkoissa ja esineiden internetissä kaikki laitteet ja palvelut eivät ole samalla tasolla. Arkkitehtuuri jaetaan usein päätelaitteisiin (tietokoneet, palvelimet, IoT) ja verkkolaitteisiin (kytkimet, palomuurit, reitittimet ja tukiasemat), jotka on järjestetty kerroksittain.
Monet mallit noudattavat kolmikerroksista hierarkkista mallia: käyttöoikeus, jakelu ja ydin. Käyttöoikeuskerros isännöi useimpia päätepisteitä ja yleensä käyttää oletusyhdyskäytävää. reitittääkseen aliverkon ulkopuolelle. Jakelu yhdistää käyttöoikeudet ja valvoo palveluita (VLAN-reititys, QoS, käytännöt), ja ydin tarjoaa palvelinfarmeja ja nopeaa, pieniviiveistä siirtoa.
Lisäksi Purduen referenssimalli laajentaa segmentointia OT/ICS-ympäristöihin tasoilla 0–5. Taso 0 sisältää anturit, toimilaitteet ja prosessielementit (mittaa, suorittaa, käyttää). Taso 1 sisältää sulautetut ohjaimet (PLC, RTU, DCS), jotka ohjaavat näitä kenttälaitteita.
Taso 2 keskittyy valvontaan: Käyttöliittymät, hälytykset, erähallinta ja tarkistuspisteet, usein joukkueista ja käyttöjärjestelmät vakio (Windows tai UNIXNämä järjestelmät kommunikoivat PLC/RTU:n kanssa ja vaihtavat joskus tietoja ylempien tasojen kanssa.
Tasot 3 ja 3,5 ryhmittelevät teollisuuden ja työmaan kehäverkon: laitoskokonaisuuden toiminnanohjaussovellukset (tuotantoraportit, analytiikka, ohjelmointi, teollinen AD, tiedostopalvelimet tai terminaali). Täältä data yleensä integroidaan IT-järjestelmiin.
Tasot 4 ja 5 vastaavat yrityksen IT-osastoa: organisaation hallinnoimat keskitetyt palvelut missä liiketoimintajärjestelmät sijaitsevat.
Anturien sijoittelu ja mielenkiintoiset liikennepisteet
Defender for IoT:n avulla OT-verkkojen passiivista valvontaa varten anturit vastaanottavat peilattua liikennettä (SPAN kytkimissä tai TAP-pääteasemilla). Anturinhallintaportti muodostaa yhteyden hallinta- tai yritysverkkoon lähettää tietoja Azure-portaaliin, ellei verkkoyhteys sitä estä.
Mistä hyödyllistä liikennettä kerätään? Tunnista rajapinnat, jotka yhdistävät oletusyhdyskäytävän jakelu- tai ydinkytkimiin. Ne ovat "mielenkiintoisia" pisteitä, koska ne näkevät IP-segmentistä lähtevän liikenteen, mikä mahdollistaa viestinnän tarkkailun muihin segmentteihin.
Kaikki liikenne ei ole yksittäislähetystä: harkitse lähetystä ja monilähetystä. Lähetys ja monilähetys tavoittavat tyypillisesti kaikki aliverkon yksiköt., mukaan lukien yhdyskäytävä, joten ne ovat yleensä katettuja. IGMP-nuuskinnassa monilähetysvälitys on optimoitu, mutta sitä ei taata, tiettyyn isäntään.
Yksittäislähetysliikenne voi kulkea suoraan lähteestä kohteeseen koskematta kaikkiin isäntiin. Sen näkemiseksi on suositeltavaa sijoittaa antureita pääsykytkimiin., jotta voit tallentaa keskustelut, jotka eivät menisi oletusyhdyskäytävän kautta.
Lähettäessään liikennettä antureille, jotkut laitteet heijastavat vain yhteen suuntaan. Yritä tarkkailla molempia suuntia keskustelun kontekstin ja tunnistustarkkuuden parantamiseksi.
Kriittisissä aliverkoissa voi olla virtoja, jotka eivät saavuta tyypillistä kiinnostavaa pistettä. Harkitse RSPANin, TAPien tai tiettyjen ratkaisujen lisäämistä kattamaan epätyypillisiä liikenne- tai näkyvyysaukkoja.
Jos työskentelet yksisuuntaisten yhdyskäytävien (Waterfall, Owl, Hirschmann) kanssa, joissa on datadiodeja, sinulla on kaksi skenaariota. Suositus: Aseta OT-anturit kehän ulkopuolelle vastaanottaakseen yksisuuntaisen SPAN-signaalin verkosta anturin valvontaporttiin (ihanteellinen suurille käyttöönottoille). Vaihtoehtoisesti ne voidaan sijoittaa anturin ulkokehän sisäpuolelle ja lähettää UDP-syslog-hälytyksiä ulospäin diodin kautta.
Jälkimmäisessä tapauksessa anturit on eristetty ulkopuolelta ja ne vaativat paikallista hallintaa: ei pilviyhteyttä tai hallintaa Azuresta ja älykkyyspäivitykset on asennettava manuaalisesti. Jos tarvitset pilveen kytkettyjä antureita, sijoita ne verkon ulkopuolelle.
Liikennevirrat: segmentin sisään- ja uloskäynti
Reitityskäyttäytyminen riippuu siitä, onko kohde lähteen aliverkon peitteen sisällä vai ulkopuolella. Laitteet vertaavat kohde-IP-osoitetta aliverkkoonsa ja päättävät lähettää suoraan vai yhdyskäytävään. Tämä prosessi voi käynnistää ARP:n osoitteiden selvittämiseksi MAC.
Kun kohde on segmentin ulkopuolella, laite lähettää vuon oletusyhdyskäytäväänsä ensimmäisenä hyppynä. Anturin sijoittaminen kyseiseen käyttöliittymään varmistaa, että näet kaiken, mitä segmentistä tulee ulos., mikä on ratkaisevan tärkeää poikkeavien viestintäyhteyksien havaitsemiseksi muille alueille.
Esimerkki: Tietokone, jonka IP-osoite on 10.52.2.201/24, muodostaa yhteyden osoitteeseen 10.17.0.88. Järjestelmä laskee, että 10.17.0.88 ei ole 10.52.2.0/24-versiossa., joten se ohjaa liikenteen yhdyskäytäväänsä. Tämä piste on ihanteellinen virtauksen valvontaan.
Jos kohde on sallitulla alueella (esim. 10.52.2.17–10.52.2.131, jossa on /24), liikenne ei ylitä yhdyskäytävää. Se ratkaistaan ARP:n avulla kohteen MAC-osoitteen löytämiseksi. ja se toimitetaan paikallisesti. Ilman reaaliaikaista tiedonkeruua nämä segmentin sisäiset virrat voivat jäädä huomaamatta.
Syitä estää ohjelmia palomuurilla
Palomuuri valvoo ja hallitsee saapuvia ja lähteviä yhteyksiä sääntöjen mukaisesti. Se on kuin digitaalinen rajavalvontaPäätä, kuka tulee ja kuka poistuu riskin perusteella. Ohjelmien estäminen estää luvattoman pääsyn. haittaohjelmat ja ei-toivottuja käyttäytymismalleja.
Lisäksi voit estää yhteensopivuutta rikkovat automaattiset päivitykset, rajoittaa pelialustojen käyttöä alaikäisiltä tai katkaista mainokset ja yhteydet suojaamattomissa julkisissa Wi-Fi-verkoissa. Tarkat säännöt tarjoavat hienosäädettävää hallintaa joita joskus tarvitsee arkielämässä.
Muita tapoja rajoittaa yhteyksiä Windowsissa, macOS:ssä ja Linuxissa
Windowsissa, jos et halua sotkea sääntöjä, voit vetää lentokonetilan toimintokeskuksesta sammuttaaksesi internetin väliaikaisesti. Sammuta se palataksesi normaaliin kun olet valmis. Saatavilla on myös ilmaisia kolmannen osapuolen palomuureja, jos haluat muita käyttöliittymiä tai lisäominaisuuksia.
macOS:ssä siirry Järjestelmäasetuksiin, etsi Verkko/tietoturva ja yksityisyys -osio ja valitse sitten Palomuuri. Aktivoi se ja lisää sovelluksia Asetukset-kohdassa ja valitse, sallitaanko vai estetäänkö saapuvat yhteydet.Muista, että estäminen voi vaikuttaa sovellusten välisiin riippuvuuksiin.
En Linux (Ubuntu), UFW yksinkertaistaa hallintaa: asenna komennolla sudo apt-get install ufw, Tarkista tila komennolla sudo ufw status ja määritä perussäännöt ennen käyttöönottoa. sallia SSH Ota HTTP/HTTPS käyttöön komennolla sudo ufw allow ssh, ota se käyttöön komennolla sudo ufw allow http/https ja ota se käyttöön komennolla sudo ufw enable. Tarkista tila komennolla sudo ufw.
Huolto, ilmoitukset, väliaikainen deaktivointi ja palautus
Ilmoitustason säätäminen auttaa sinua pysymään ajan tasalla olennaisista kaatumisista ilman liiallista kohinaa. Ilmoitusasetukset-osio Windowsin suojauksessa Tässä voit kalibroida palomuurivaroitusten yksityiskohtaisuuden.
Jos sinun täytyy silloin tällöin poistaa palomuuri käytöstä, tee se profiilikohtaisesti ja ole tietoinen siitä, mitä teet. Palomuurin poistamista käytöstä ei suositella, koska se altistaa sinutOn parempi luoda hallittu poikkeus tai poistaa tietty sääntö käytöstä rajoitetuksi ajaksi.
Voit poistaa sen käytöstä Ohjauspaneelista: Järjestelmä ja suojaus > Windows Defenderin palomuuri > Ota käyttöön tai poista käytöstä. Voit deaktivoida sen profiilin mukaan, mutta järjestelmä itse varoittaa, ettei sitä suositella.Kytke se takaisin päälle mahdollisimman pian.
Jos asetuksesi ovat sekaisin, palaa takaisin Palauta oletukset -kohtaan samassa palomuuripaneelissa ja noudata ohjeita. Alkuperäisen tilan palauttaminen korjaa epäjohdonmukaisuuksia ja ota organisaatiosi käytännöt uudelleen käyttöön, jos sellaisia on.
Sinulla on perusasiat hallussa: huolellisesti valitut verkkoprofiilit, hienosäädetyt sisään- ja ulosmenosäännöt, perustellut poikkeukset, näkyvyys OT/IoT-verkkoihin tärkeissä paikoissa sijaitsevien antureiden avulla sekä sovellusten estämiseen tai asetusten palauttamiseen liittyvät menettelyt. Tämä kattava lähestymistapa vähentää riskejä sekä tietokoneissa että teollisuudessa ja antaa sinun reagoida tarkasti kosketukseen.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.