🌐 Network Hardening: Blindare il Perimetro

Target: Configurazione di una rete resiliente basata sulla segmentazione (VLAN), il filtraggio del traffico e la riduzione della superficie d’attacco esterna.

::: info Il Network Hardening è il processo di messa in sicurezza di una rete attraverso la configurazione proattiva di hardware e software. L’approccio moderno segue il modello Zero Trust: ogni dispositivo nella LAN deve essere isolato e autorizzato a comunicare solo con ciò che è strettamente necessario. :::

1. Disabilitazione UPnP e WPS

Questi due protocolli sono le principali “porte sul retro” aperte nei router domestici.

UPnP (Universal Plug and Play): Permette alle applicazioni (e ai malware) di aprire porte sul router automaticamente senza autorizzazione. Deve essere disabilitato.
WPS (Wi-Fi Protected Setup): Vulnerabile ad attacchi di forza bruta sul PIN. Deve essere disabilitato.

2. Micro-segmentazione tramite VLAN

Per proteggere il laboratorio e la domotica, dividiamo la rete in segmenti logici isolati. Se un dispositivo IoT viene compromesso, l’attaccante rimarrà confinato in quel segmento senza poter “saltare” (lateral movement) verso il server dei dati.

VLAN ID	Nome	Target	Policy di Accesso
10	Trusted	PC Principale, Smartphone, NAS.	Accesso totale a internet e altre VLAN.
20	Management	Interfaccia Proxmox, Switch Admin.	Accessibile solo dalla VLAN 10.
30	IoT	Home Assistant, ESP32, Shelly, Lampadine.	Solo traffico locale; Internet bloccato o limitato.
40	Guest	Ospiti.	Solo Internet; nessun accesso alla LAN locale.

3. Firewall Policy (The Deny-All Rule)

Applichiamo una logica di filtraggio rigorosa sul router/firewall (es. pfSense, OPNsense o router avanzati).

Regola d’oro: Blocca tutto il traffico tra le VLAN di default (Default Deny).
Inter-VLAN Routing: Abilita solo le “buche” necessarie.
- Esempio: Home Assistant (VLAN 30) può parlare con il NAS (VLAN 10) solo sulla porta del database.
- Esempio: Il PC (VLAN 10) può accedere alla Web UI di Proxmox (VLAN 20) sulla porta 8006.

📉 Architettura della Rete Hardened (Mermaid)

graph TD
    INET((Internet)) <--> FW{Firewall / Router}
    
    subgraph LAN_Segmentata
        FW <--> V10[VLAN 10: Trusted]
        FW <--> V20[VLAN 20: Management]
        FW <--> V30[VLAN 30: IoT]
    end
    
    V10 -.->|Authorized Only| V20
    V30 -.->|No Access| V10
    V30 -.->|No Access| V20
    
    subgraph Proxmox_Node
        V20 --- PVE_UI[Proxmox Host]
        V30 --- HA_VM[Home Assistant VM]
    end
    
    style FW fill:#f66,stroke:#333,stroke-width:2px
    style V30 fill:#fff3e0,stroke:#ff9800

4. DNS e Monitoraggio (Pi-hole / AdGuard Home)

Centralizzare le richieste DNS permette di bloccare a monte i domini di telemetria, pubblicità e malware.

Hardening DNS: Configura il router per forzare tutti i dispositivi a usare il tuo server DNS interno (es. un container Docker con Pi-hole).
DNS-over-HTTPS (DoH): Assicurati che il tuo server DNS interroghi i root server tramite tunnel crittografati per evitare lo sniffing dell’ISP.

💡 Note dell’Architetto (Critical Thinking)

IoT isolation: Molti dispositivi IoT smettono di funzionare se non possono “chiamare casa” (Cloud). Per questi, crea regole firewall che permettano l’uscita solo verso gli IP specifici del produttore, bloccando tutto il resto.
Proxmox Firewall: Oltre al router, attiva il firewall integrato di Proxmox a livello di Datacenter e di singola VM. È un ulteriore strato di protezione nel caso in cui il firewall perimetrale venga bypassato.
mDNS Reflection: Dispositivi come Chromecast o stampanti usano mDNS per essere scoperti. Per farli funzionare tra VLAN diverse, dovrai configurare un Avahi mDNS Reflector.

Tags: #CyberSecurity #NetworkHardening #VLAN #Firewall #ZeroTrust #IoT #Proxmox*