Target: Configurazione di una rete resiliente basata sulla segmentazione (VLAN), il filtraggio del traffico e la riduzione della superficie d'attacco esterna.
::: info
Il Network Hardening è il processo di messa in sicurezza di una rete attraverso la configurazione proattiva di hardware e software. L'approccio moderno segue il modello Zero Trust: ogni dispositivo nella LAN deve essere isolato e autorizzato a comunicare solo con ciò che è strettamente necessario.
:::
Questi due protocolli sono le principali "porte sul retro" aperte nei router domestici.
- UPnP (Universal Plug and Play): Permette alle applicazioni (e ai malware) di aprire porte sul router automaticamente senza autorizzazione. Deve essere disabilitato.
- WPS (Wi-Fi Protected Setup): Vulnerabile ad attacchi di forza bruta sul PIN. Deve essere disabilitato.
Per proteggere il laboratorio e la domotica, dividiamo la rete in segmenti logici isolati. Se un dispositivo IoT viene compromesso, l'attaccante rimarrà confinato in quel segmento senza poter "saltare" (lateral movement) verso il server dei dati.
| VLAN ID |
Nome |
Target |
Policy di Accesso |
| 10 |
Trusted |
PC Principale, Smartphone, NAS. |
Accesso totale a internet e altre VLAN. |
| 20 |
Management |
Interfaccia Proxmox, Switch Admin. |
Accessibile solo dalla VLAN 10. |
| 30 |
IoT |
Home Assistant, ESP32, Shelly, Lampadine. |
Solo traffico locale; Internet bloccato o limitato. |
| 40 |
Guest |
Ospiti. |
Solo Internet; nessun accesso alla LAN locale. |
Applichiamo una logica di filtraggio rigorosa sul router/firewall (es. pfSense, OPNsense o router avanzati).
- Regola d'oro: Blocca tutto il traffico tra le VLAN di default (Default Deny).
- Inter-VLAN Routing: Abilita solo le "buche" necessarie.
- Esempio: Home Assistant (VLAN 30) può parlare con il NAS (VLAN 10) solo sulla porta del database.
- Esempio: Il PC (VLAN 10) può accedere alla Web UI di Proxmox (VLAN 20) sulla porta 8006.
graph TD
INET((Internet)) <--> FW{Firewall / Router}
subgraph LAN_Segmentata
FW <--> V10[VLAN 10: Trusted]
FW <--> V20[VLAN 20: Management]
FW <--> V30[VLAN 30: IoT]
end
V10 -.->|Authorized Only| V20
V30 -.->|No Access| V10
V30 -.->|No Access| V20
subgraph Proxmox_Node
V20 --- PVE_UI[Proxmox Host]
V30 --- HA_VM[Home Assistant VM]
end
style FW fill:#f66,stroke:#333,stroke-width:2px
style V30 fill:#fff3e0,stroke:#ff9800
Centralizzare le richieste DNS permette di bloccare a monte i domini di telemetria, pubblicità e malware.
- Hardening DNS: Configura il router per forzare tutti i dispositivi a usare il tuo server DNS interno (es. un container Docker con Pi-hole).
- DNS-over-HTTPS (DoH): Assicurati che il tuo server DNS interroghi i root server tramite tunnel crittografati per evitare lo sniffing dell'ISP.
- IoT isolation: Molti dispositivi IoT smettono di funzionare se non possono "chiamare casa" (Cloud). Per questi, crea regole firewall che permettano l'uscita solo verso gli IP specifici del produttore, bloccando tutto il resto.
- Proxmox Firewall: Oltre al router, attiva il firewall integrato di Proxmox a livello di Datacenter e di singola VM. È un ulteriore strato di protezione nel caso in cui il firewall perimetrale venga bypassato.
- mDNS Reflection: Dispositivi come Chromecast o stampanti usano mDNS per essere scoperti. Per farli funzionare tra VLAN diverse, dovrai configurare un Avahi mDNS Reflector.
Tags: #CyberSecurity #NetworkHardening #VLAN #Firewall #ZeroTrust #IoT #Proxmox*