- Segmenta e rafforza in base al profilo: dominio, privato o pubblico, regolando regole e notifiche.
- Controlli applicazioni con regole di uscita ed eccezioni; evitare aperture non necessarie.
- In OT/IoT, posizionare i sensori nei punti chiave del traffico e coprire i flussi in entrata/uscita dal segmento.
- Affidatevi a procedure di ripristino e monitoraggio per mantenere la sicurezza.
Sicurezza di rete IoT e gli ambienti OT non riguardano solo l'aggiornamento del firmware o l'isolamento dei dispositivi: dipende anche da come si filtra il traffico in Windows con un firewall. Windows Defender Il firewall ti consente di decidere cosa entra e cosa esce in ogni profilo di rete e questo può fare la differenza tra un incidente minore e un problema serio.
Oltre a proteggere il PC, un firewall può aiutare a fornire visibilità e controllo sul traffico che interessa i segmenti industriali, sia sulle reti domestiche con dispositivi connessi, sia negli impianti con sensori, PLC o HMI. Spieghiamo passo dopo passo come configurarlo e come si adatta alle reti OT/IoT., tra cui la segmentazione, il modello Purdue, i punti di monitoraggio e persino i display a diodo dati.
Che cos'è Windows Defender Firewall e in che modo aiuta in una rete IoT?
Il firewall integrato in Windows agisce come un filtro che consente o nega le connessioni in base a regole. Blocca l'accesso non autorizzato e riduci i rischi Controllo di indirizzi IP, porte e percorsi di programma. Nelle reti con telecamere, sensori o dispositivi intelligenti, limitare il traffico è fondamentale per ridurre al minimo le superfici di attacco.
Dall'app Sicurezza di Windows puoi visualizzare e gestire lo stato di ogni tipo di rete: dominio, privata o pubblica. È possibile attivarlo o disattivarlo tramite profilo e accedere alle opzioni avanzate. che consentono di ottimizzare il comportamento in diverse posizioni.
Profili di rete: privato, pubblico e di dominio
Quando colleghi il tuo dispositivo, puoi contrassegnare la rete come privata o pubblica. Una rete privata (ad esempio, la tua casa) presuppone la fiducia tra i dispositivi e che possano scoprirsi a vicenda e Condividere una cartella di rete in Windows 11D'altro canto, una rete pubblica (ad esempio, il Wi-Fi in un bar) non è affidabile e dovrebbe essere ulteriormente protetta.
La scelta del profilo corretto modifica il livello di esposizione e le regole automatiche applicate. Nelle reti pubbliche, è sensato rafforzare le connessioni in entrata, mentre nelle reti private puoi consentire determinate funzioni interne se ti fidi dei computer.
Configurare Windows Defender Firewall da Sicurezza di Windows
Per regolare facilmente il firewall, vai su Sicurezza di Windows e apri la sezione Firewall e protezione di rete. Seleziona il profilo attivo (dominio, privato o pubblico) e attiva Microsoft Defender Firewall in modo che inizi a filtrare il traffico in quel contesto.
Troverai anche un controllo molto utile: blocca tutte le connessioni in entrata, comprese quelle presenti nell'elenco delle app consentite. Se selezionata, il firewall ignora le eccezioni e blocca tutto ciò che è presente in quel profilo.Aumenta la sicurezza, ma può bloccare le app che devono restare in ascolto per le connessioni.
Nello stesso pannello si accede a funzioni aggiuntive. Consentire a un'applicazione di passare attraverso il firewall Aggiungi eccezioni (o apri porte specifiche) se un'app legittima viene bloccata. Usa questa regola con saggezza: aprirle inutilmente può creare falle nella sicurezza.
Se si verifica un problema con la connettività generale, esegui lo strumento di risoluzione dei problemi di rete e Internet. Questa procedura guidata può diagnosticare e riparare automaticamente tipici problemi di rete e firewall.
Puoi anche modificare le impostazioni di notifica del firewall se ricevi troppe notifiche o se mancano degli avvisi. Regolando il livello di notifica puoi evitare di perdere blocchi rilevanti. senza sovraccaricarti di messaggi.
L'opzione Impostazioni avanzate apre la console classica di Windows Defender Firewall. Qui puoi creare regole di sicurezza in entrata, in uscita e di connessione.e rivedere i log di monitoraggio. Attenzione: modificare involontariamente le regole può creare scappatoie o danneggiare le applicazioni.
Se tutto è andato storto, c'è un pulsante di emergenza: Ripristina i firewall alle impostazioni predefinite. Riporta la squadra al suo stato originale e se fai parte di un'organizzazione, si applicano le politiche aziendali.
Blocca un programma e gestisci le whitelist
Ci sono situazioni in cui si desidera impedire a un'app di andare online (impedire la telemetria, Download, giochi online non supervisionati o aggiornamenti in conflitto). Il modo più efficace è creare una regola in uscita che blocchi l'eseguibile. del programma in questione.
- Aprire il menu Start e andare al Pannello di controllo. Accedi a Windows Defender Firewall e fai clic su Impostazioni avanzate.
- Nel pannello di sinistra, seleziona Regole in uscita. Nel riquadro destro, fare clic su Nuova regola.
- Selezionare Tipo di regola: Programma e fare clic su Avanti. Indica questo percorso del programma e trova il file .exe da bloccare (o scrivine il percorso se lo conosci).
- Seleziona Blocca la connessione e continua. Si applica a Dominio, Privato e Pubblico (il solito) e assegnare un nome descrittivo alla regola.
La regola viene attivata al termine dell'operazione. È possibile visualizzarla e modificarla in Regole in uscita. Per bloccarla temporaneamente, è sufficiente disabilitare/abilitare la regola. con il tasto destro del mouse quando ne hai bisogno.
Cosa fare se è necessario consentire l'accesso a un'app attendibile? Dal pannello principale, seleziona "Consenti un'app o una funzionalità tramite Windows Firewall". Fare clic su Modifica impostazioni e selezionare Privato o Pubblico. come appropriato (non aprire app con dati sensibili su reti pubbliche).
Livelli di rete OT/IoT e modello Purdue
Nelle reti industriali e nell'IoT, non tutti i dispositivi e i servizi sono allo stesso livello. L'architettura è spesso divisa in dispositivi endpoint (PC, server, IoT) e dispositivi di rete (switch, firewall, router e AP), organizzati in livelli.
Molti progetti seguono un modello gerarchico a tre livelli: Accesso, Distribuzione e Core. Il livello di accesso ospita la maggior parte degli endpoint e solitamente si basa su un gateway predefinito. per instradare al di fuori della subnet. La distribuzione aggrega gli accessi e applica i servizi (routing VLAN, QoS, policy), mentre il core fornisce server farm e transito veloce e a bassa latenza.
Inoltre, il modello di riferimento Purdue estende la segmentazione agli ambienti OT/ICS con livelli da 0 a 5. Il livello 0 comprende sensori, attuatori ed elementi di processo (misurare, condurre, attuare). Il livello 1 ospita i controllori integrati (PLC, RTU, DCS) che governano questi dispositivi di campo.
Il livello 2 si concentra sulla supervisione: HMI, allarmi, gestione batch e checkpoint, spesso su squadre e OS standard (Windows o UNIX). Questi sistemi comunicano con PLC/RTU e talvolta scambiano dati con livelli superiori.
I livelli 3 e 3,5 raggruppano la rete perimetrale industriale e del sito: applicazioni di gestione delle operazioni su scala di impianto (rapporti di produzione, analisi, programmazione, AD industriale, file server o terminale). Da qui, i dati vengono solitamente integrati nell'IT.
I livelli 4 e 5 corrispondono all'IT aziendale: servizi centralizzati gestiti dall'organizzazione dove risiedono i sistemi aziendali.
Posizionamento dei sensori e punti di traffico interessanti
Per il monitoraggio passivo delle reti OT con Defender per IoT, i sensori ricevono traffico speculare (SPAN su switch o TAP). La porta di gestione del sensore si collega alla rete di gestione o aziendale per inviare dati al portale di Azure, a meno che il perimetro non lo impedisca.
Dove catturare il traffico utile? Identificare le interfacce che collegano il gateway predefinito agli switch di distribuzione o core. Sono punti "interessanti" perché vedono il traffico che esce dal segmento IP, che consente di osservare le comunicazioni verso altri segmenti.
Non tutto il traffico è unicast: prendiamo in considerazione broadcast e multicast. Broadcast e multicast raggiungono in genere tutte le entità nella subnet., incluso il gateway, quindi sono solitamente coperti. Con lo snooping IGMP, l'inoltro multicast è ottimizzato, ma non garantito, verso un host specifico.
Il traffico unicast può passare direttamente dalla sorgente alla destinazione senza toccare tutti gli host. Per vederlo, è consigliabile posizionare dei sensori sugli interruttori di accesso., in modo da catturare le conversazioni che non passerebbero attraverso il gateway predefinito.
Quando trasmettono il traffico ai sensori, alcuni dispositivi riflettono solo una direzione. Cerca di monitorare entrambe le direzioni per migliorare il contesto della conversazione e la precisione del rilevamento.
Nelle subnet critiche potrebbero esserci flussi che non raggiungono il tipico punto di interesse. Valutare l'aggiunta di RSPAN, TAP o soluzioni specifiche per coprire lacune di traffico o visibilità atipici.
Se si lavora con gateway unidirezionali (Waterfall, Owl, Hirschmann) con diodi dati, si possono verificare due scenari. Consigliato: posizionare i sensori OT all'esterno del perimetro per ricevere SPAN unidirezionale dalla rete alla porta di monitoraggio del sensore (ideale per installazioni di grandi dimensioni). In alternativa, posizionarli all'interno del perimetro e inviare avvisi syslog UDP verso l'esterno tramite il diodo.
In quest'ultimo caso i sensori sono isolati dall'esterno e richiedono una gestione locale: nessuna connessione cloud o gestione da Azure e gli aggiornamenti di intelligence devono essere applicati manualmente. Se hai bisogno di sensori connessi al cloud, posizionali all'esterno del perimetro.
Flussi di traffico: in entrata e in uscita dal segmento
Il comportamento di routing dipende dal fatto che la destinazione si trovi all'interno o all'esterno dell'intervallo della subnet mask della sorgente. I dispositivi confrontano l'IP di destinazione con la loro subnet e decidere se inviare direttamente o al gateway. Questo processo può attivare ARP per risolvere gli indirizzi MAC.
Quando la destinazione è esterna al segmento, il dispositivo invia il flusso al suo gateway predefinito come primo salto. Posizionando un sensore su quell'interfaccia si ha la certezza di vedere tutto ciò che esce dal segmento., qualcosa di cruciale per rilevare comunicazioni anomale verso altre aree.
Esempio: un PC con IP 10.52.2.201/24 avvia la connessione a 10.17.0.88. Il sistema calcola che 10.17.0.88 non è su 10.52.2.0/24, quindi indirizza il traffico verso il suo gateway. Quel punto è ideale per monitorare il flusso.
Se la destinazione è compresa nell'intervallo (ad esempio, da 10.52.2.17 a 10.52.2.131 con /24), il traffico non attraversa il gateway, Viene risolto utilizzando ARP per trovare l'indirizzo MAC di destinazione. e viene distribuito localmente. Senza l'acquisizione in accesso, questi flussi intra-segmento potrebbero passare inosservati.
Motivi per bloccare i programmi con il firewall
Un firewall monitora e controlla le connessioni in entrata e in uscita in base a regole. È come un controllo di frontiera digitale: Decidi chi entra e chi esce in base al rischio. I programmi di blocco impediscono l'accesso non autorizzato, il malware e comportamenti indesiderati.
Inoltre, puoi impedire gli aggiornamenti automatici che interrompono la compatibilità, limitano le piattaforme di gioco per i minorenni o interrompono la pubblicità e le connessioni su reti Wi-Fi pubbliche non protette. Le regole granulari offrono quel controllo preciso di cui a volte hai bisogno nella vita di tutti i giorni.
Altri modi per limitare le connessioni su Windows, macOS e Linux
Su Windows, se non vuoi modificare le regole, puoi attivare la Modalità aereo dal Centro operativo per disattivare temporaneamente Internet. Spegnilo per tornare alla normalità una volta terminato. Esistono anche firewall di terze parti gratuiti se preferisci altre interfacce o funzionalità extra.
Su macOS, vai su Preferenze di Sistema, trova la sezione Rete/Sicurezza e Privacy, quindi seleziona Firewall. Attivalo e, in Opzioni, aggiungi app e seleziona per consentire o bloccare le connessioni in entrataTieni presente che il blocco può influire sulle dipendenze tra le app.
En Linux (Ubuntu), UFW semplifica la gestione: installa con sudo apt-get install ufw, Controllare lo stato con sudo ufw status e definire le regole di base prima di abilitare. consentire SSH Con sudo ufw allow ssh, abilita HTTP/HTTPS con sudo ufw allow http/https e abilita con sudo ufw enable. Controlla con sudo ufw status.
Manutenzione, notifiche, disattivazione temporanea e ripristino
Regolando il livello di notifica puoi rimanere informato sugli arresti anomali rilevanti senza troppi rumori. La sezione Impostazioni di notifica in Sicurezza di Windows Qui è possibile calibrare il livello di dettaglio degli avvisi del firewall.
Se occasionalmente hai bisogno di disattivare il firewall, fallo profilo per profilo e sii consapevole di ciò che stai facendo. Non è consigliabile disabilitare il firewall perché ti esponeÈ meglio creare un'eccezione controllata o disabilitare una regola specifica per un periodo di tempo limitato.
Per disattivarlo dal Pannello di controllo: Sistema e sicurezza > Windows Defender Firewall > Attiva o disattiva. È possibile disattivarla tramite profilo, ma il sistema stesso avvisa che non è consigliabile.Si prega di riattivarlo il prima possibile.
Se le impostazioni sono diventate instabili, torna a Ripristina impostazioni predefinite nello stesso pannello del firewall e segui le istruzioni. Il ripristino dello stato originale corregge le incongruenze e riapplicare le policy della tua organizzazione, se presenti.
Sono state coperte le nozioni di base: profili di rete ben scelti, regole di ingresso/uscita ottimizzate, eccezioni giustificate, visibilità sulle reti OT/IoT tramite sensori in posizioni chiave e procedure per bloccare le app o ripristinare le impostazioni. Questo approccio completo riduce i rischi sia nei segmenti PC che in quelli industriali e ti consente di reagire con precisione quando toccato.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.