/ Comprendere le tecnologie / VLAN e segmentazione: come impedire che un virus nel PC della segretaria infetti il server di produzione?
Pubblicato il Maggio 15, 2024

Una rete aziendale “piatta”, dove tutti i dispositivi possono comunicare tra loro, è una bomba a orologeria: un singolo PC infetto può compromettere l’intera infrastruttura, inclusi i server critici.

  • La segmentazione della rete tramite VLAN non serve a prevenire l’infezione iniziale, ma a creare “compartimenti stagni” che ne limitano drasticamente la propagazione.
  • Elementi apparentemente innocui come le prese di rete libere, il Wi-Fi per gli ospiti o le telecamere IP sono i punti deboli più sfruttati per i movimenti laterali degli attacchi.

Raccomandazione: Smetti di pensare alla sicurezza solo come a un muro perimetrale. Adotta una strategia di “Defense in Depth” partendo dalla mappatura e dalla segmentazione logica della tua LAN per trasformare una potenziale catastrofe in un incidente gestibile.

Immagina la scena. È un martedì mattina qualunque. La segretaria apre un allegato PDF che sembra una fattura, ma non lo è. Il suo PC è infetto. L’antivirus non rileva nulla. Nelle ore successive, silente e invisibile, il malware inizia a mappare la rete. Essendo una rete “piatta” – un’unica, grande autostrada senza caselli – il malware salta dal PC della segreteria, passa per la stampante di rete, e infine trova la sua vera destinazione: il server di produzione. Quando te ne accorgi, è troppo tardi. I dati sono criptati, il backup è compromesso. Il disastro è totale.

Questo scenario non è un’esagerazione paranoica, ma la cruda realtà per migliaia di aziende che si affidano a un firewall perimetrale e a un antivirus, credendo di essere al sicuro. La verità, scomoda ma necessaria, è che il vero campo di battaglia oggi è all’interno della tua rete. Gli attacchi non si fermano più al perimetro; una volta entrati, sfruttano la mancanza di controlli interni per muoversi lateralmente e colpire gli asset più preziosi. La sicurezza informatica moderna non può più basarsi sulla speranza di non essere mai violati.

Ma se la vera chiave non fosse impedire l’intrusione (un’impresa quasi impossibile), ma piuttosto contenere il danno? E se potessimo trasformare la nostra rete da un open space vulnerabile a una serie di compartimenti stagni, come in un sottomarino? Se una sezione si allaga, le altre restano asciutte e operative. Questa è la filosofia della segmentazione di rete. Questo articolo non è l’ennesima guida teorica sulle VLAN. È un manuale di sopravvivenza strategico, pensato per chi gestisce una rete e sa che il prossimo incidente è solo una questione di tempo. Analizzeremo i punti deboli concreti che ogni giorno mettono a rischio la tua azienda e vedremo come trasformarli in punti di forza, adottando una mentalità focalizzata sulla difesa in profondità.

In questa guida strategica, analizzeremo i punti deboli più comuni nelle reti aziendali e le contromisure pratiche per trasformare una LAN vulnerabile in una fortezza segmentata. Scopriremo insieme come ogni scelta, dalla configurazione del Wi-Fi per gli ospiti alla gestione delle prese a muro, sia un tassello fondamentale nella tua strategia di difesa.

Sommario: Guida alla segmentazione e alla messa in sicurezza della rete interna

L’errore di usare la subnet 192.168.1.x in azienda: perché crea conflitti con le VPN

L’utilizzo della subnet `192.168.1.0/24` in un ambiente aziendale è uno degli errori più comuni e allo stesso tempo più insidiosi. Sembra una scelta innocua, dettata dall’abitudine dei router domestici, ma nasconde un problema operativo gravissimo, specialmente nell’era dello smart working. Quando un dipendente si connette da casa tramite VPN, è altamente probabile che la sua rete domestica utilizzi la stessa identica subnet. Il risultato? Un conflitto di routing che impedisce al suo computer di raggiungere le risorse aziendali. Il traffico destinato a un server interno con IP `192.168.1.100` viene instradato localmente, non attraverso il tunnel VPN, generando frustrazione per l’utente e ticket di assistenza per l’IT.

Questo problema, tuttavia, è solo la punta dell’iceberg. L’uso di subnet di default è un sintomo di una mancanza di pianificazione che si riflette su tutta l’infrastruttura di sicurezza. Denota una rete “non pensata”, cresciuta in modo organico anziché progettata con uno scopo. In un contesto dove, secondo le statistiche, oltre il 45% delle PMI italiane non protegge adeguatamente i propri endpoint, affidarsi a configurazioni standard equivale a dipingere un bersaglio sulla propria schiena. Scegliere uno schema di indirizzamento IP non standard (ad esempio, usando lo spazio `10.x.x.x` o `172.16.x.x`) non è un vezzo da puristi, ma il primo passo fondamentale per costruire una rete professionale, gestibile e sicura, eliminando alla radice una delle cause più banali ma frequenti di problemi di connettività remota.

Guest Wi-Fi: come dare internet ai visitatori senza farli entrare nella tua rete interna

Offrire una connessione Wi-Fi ai visitatori è diventato uno standard di cortesia, ma senza le giuste precauzioni, equivale a dare a uno sconosciuto le chiavi di casa. Una rete per gli ospiti configurata in modo errato, magari semplicemente con una password diversa ma sulla stessa rete logica aziendale, permette a chiunque di “vedere” e potenzialmente attaccare i dispositivi interni come server, PC e stampanti. Il principio fondamentale della “Defense in Depth” impone di considerare ogni dispositivo ospite come potenzialmente ostile. La soluzione non è negare l’accesso, ma isolarlo completamente.

L’implementazione di una VLAN dedicata al Wi-Fi degli ospiti è la contromisura più efficace. Questa tecnica crea una sottorete completamente separata, un “recinto” logico che condivide l’infrastruttura fisica (access point, switch) ma non permette alcuna comunicazione con la rete aziendale interna. Il traffico generato dagli ospiti viene instradato direttamente verso Internet, senza mai toccare le risorse critiche. Questa separazione non è solo una buona pratica di sicurezza, ma spesso un requisito di conformità, come nel caso del GDPR. Come evidenziato da una ricerca sulla conformità GDPR nelle reti ospiti, in un contesto sanitario, un paziente che naviga su internet non deve avere alcuna possibilità di accedere ai dati di altri pazienti, un rischio che potrebbe avere conseguenze gravissime.

Configurazione di rete Wi-Fi per ospiti isolata tramite VLAN in ambiente aziendale

Come mostra l’immagine, la creazione di una zona demilitarizzata (DMZ) per gli ospiti è un concetto visivo e logico fondamentale. Il visitatore ottiene ciò che desidera – l’accesso a Internet – e l’azienda ottiene ciò di cui ha bisogno: la certezza che la superficie d’attacco non sia stata ampliata. Configurare una Guest VLAN non è un’opzione, ma un obbligo per qualsiasi organizzazione che prenda sul serio la propria sicurezza interna.

Port Security: come impedire che qualcuno attacchi un PC non autorizzato alla presa a muro

Ogni presa di rete libera in un ufficio, in una sala riunioni o in un’area comune è una porta d’accesso fisica alla tua rete. Un consulente esterno, un addetto alle pulizie malintenzionato o persino un dipendente che collega il proprio laptop personale infetto possono bypassare tutte le difese perimetrali semplicemente inserendo un cavo Ethernet. Pensare che la minaccia provenga solo da Internet è un errore fatale. La sicurezza fisica delle porte di rete è un tassello cruciale della segmentazione, spesso trascurato. Con un contesto italiano in cui oltre 4.700 PMI italiane sono state colpite da ransomware solo nel 2024, lasciare aperte queste “porte di servizio” è un rischio inaccettabile.

La soluzione tecnica si chiama Port Security, una funzionalità presente sulla maggior parte degli switch gestiti. Questa tecnologia permette di “addestrare” ogni porta dello switch a riconoscere e accettare connessioni solo da dispositivi specifici, identificati tramite il loro indirizzo MAC. Si possono impostare diverse policy:

  • MAC Address Statico: Si associa manualmente un indirizzo MAC a una porta. Solo quel dispositivo potrà connettersi.
  • MAC Address Sticky: Lo switch impara dinamicamente il MAC del primo dispositivo connesso e lo “memorizza”. Qualsiasi altro dispositivo verrà bloccato.
  • Limite di MAC: Si imposta un numero massimo di dispositivi che possono connettersi a una singola porta (utile per porte collegate a piccoli switch o telefoni IP con PC in cascata).

Quando un dispositivo non autorizzato viene collegato, lo switch può essere configurato per semplicemente bloccare il traffico (protect), inviare un alert all’amministratore (restrict) o disabilitare completamente la porta (shutdown), richiedendo un intervento manuale per riattivarla. Questo approccio è la perfetta incarnazione del principio del minimo privilegio applicato al livello fisico. Come sottolinea un’analisi di Check Point Software, la segmentazione è fondamentale per il contenimento.

Con la segmentazione VLAN, i malintenzionati sono limitati solo alle risorse e ai privilegi associati alla subnet corrispondente di un dispositivo compromesso.

– Check Point Software, VLAN – Segmentazione e sicurezza

Implementare il Port Security trasforma ogni presa a muro da una potenziale vulnerabilità a un punto di controllo attivo, riducendo drasticamente la superficie d’attacco interna.

Perché le telecamere IP stanno intasando la tua rete dati e come separarle

L’esplosione dei dispositivi IoT (Internet of Things), in particolare delle telecamere di videosorveglianza (TVCC) su IP, ha introdotto due problemi silenti ma critici nelle reti aziendali: la congestione del traffico e l’aumento della superficie d’attacco. Le telecamere IP generano un flusso costante di dati video ad alta definizione che, se riversato sulla stessa rete dei PC e dei server, può saturare la banda e rallentare le operazioni quotidiane. Le videoconferenze scattano, il download di file si blocca e la colpa viene data al provider, quando il vero colpevole è interno.

Il secondo problema è ancora più grave. Le telecamere, come molti dispositivi IoT, sono spesso “stupide” dal punto di vista della sicurezza. Hanno firmware non aggiornati, password di default mai cambiate e vulnerabilità note. Un hacker che riesce a compromettere una singola telecamera ottiene un punto d’appoggio all’interno della rete, da cui può lanciare attacchi verso asset più critici. Lasciare che le telecamere “parlino” liberamente con i server di produzione è una negligenza strategica. La soluzione, ancora una volta, è la segmentazione. Le telecamere devono vivere in una loro VLAN dedicata, un ghetto digitale da cui non possono uscire se non per inviare il loro flusso video al videoregistratore di rete (NVR), anch’esso isolato.

Un modello pratico di configurazione, come delineato da uno schema di configurazione VLAN di Insic, mostra come strutturare queste separazioni in modo efficace.

Schema di configurazione VLAN per videosorveglianza
VLAN ID Funzione Rete IP Accesso Internet Comunicazione Interna
VLAN 10 Uffici 10.10.10.0/24 Completa
VLAN 20 Server 10.10.20.0/24 Limitato Controllata via ACL
VLAN 30 TVCC/Telecamere 10.10.30.0/24 Solo uscita Isolata da VLAN 10 e 20

Questo schema garantisce che un’eventuale compromissione della VLAN delle telecamere rimanga confinata. Le telecamere possono inviare dati all’esterno (es. al cloud o all’NVR) ma non possono iniziare alcuna comunicazione verso la VLAN degli uffici o dei server. Così, si risolvono entrambi i problemi: il traffico video è isolato e non congestiona la rete dati, e la vulnerabilità di un dispositivo IoT non si trasforma in una catastrofe per l’intera azienda.

Mappare la rete: perché non sai dove passano i cavi e come questo rallenta la risoluzione guasti

“Non puoi proteggere ciò che non conosci”. Questa massima è il cuore del problema delle reti non documentate. Molti System Administrator, specialmente in contesti di PMI dove le infrastrutture crescono in modo caotico, non hanno una mappa precisa della propria rete. Non sanno quale porta dello switch corrisponde a quale presa a muro, quali dispositivi sono collegati dove, o persino dove passano fisicamente i cavi. Questa mancanza di visibilità non è solo un problema di ordine; è una vulnerabilità operativa e di sicurezza. Durante un guasto, la ricerca del cavo o della porta problematica si trasforma in una caccia al tesoro che fa perdere ore preziose. Ma quando si tratta di un incidente di sicurezza, ogni minuto perso è un vantaggio enorme per l’attaccante.

In un panorama di minacce che ha visto un’impennata del 269% degli incidenti critici solo nel 2024, la capacità di rispondere rapidamente è fondamentale. Se il sistema di intrusion detection segnala un’attività sospetta sulla porta 23 dello switch del secondo piano, devi essere in grado di sapere istantaneamente che quella porta serve la sala riunioni e disattivarla con un click. Se non hai una mappatura, devi recarti fisicamente nell’armadio rack, cercare di interpretare un groviglio di cavi non etichettati e sperare di scollegare quello giusto, perdendo tempo vitale.

Armadio rack di rete ben organizzato con cavi etichettati e documentazione visibile

La mappatura e la documentazione della rete non sono attività “da fare quando c’è tempo”. Sono il fondamento su cui si costruisce qualsiasi strategia di sicurezza e segmentazione. Un armadio rack ordinato, con cavi colorati e etichettati, e un foglio di calcolo o un software di mappatura costantemente aggiornato, sono armi potenti. Permettono non solo una risoluzione dei problemi fulminea, ma anche una pianificazione strategica della segmentazione. Sapere cosa è collegato dove ti permette di raggruppare logicamente i dispositivi in VLAN, applicare policy di sicurezza granulari e, in caso di attacco, isolare il segmento compromesso con precisione chirurgica.

Quando la lentezza non è colpa del provider: i 3 colli di bottiglia nella tua LAN

Quando la rete aziendale rallenta, il primo istinto è quasi sempre quello di incolpare il provider di connettività. Eppure, molto spesso, il problema non è sulla linea esterna, ma all’interno della propria LAN. Esistono tre principali “colli di bottiglia” interni che possono degradare drasticamente le performance, spesso mascherando anche problemi di sicurezza latenti. Ignorarli significa non solo convivere con una rete lenta, ma anche con una rete potenzialmente insicura.

I principali sospettati sono:

  1. Switch obsoleti o sottodimensionati: Un vecchio switch Fast Ethernet (100 Mbps) in una rete dove i PC hanno schede Gigabit (1000 Mbps) è come avere una Ferrari costretta a viaggiare su una strada di campagna. Anche un singolo switch lento in un punto nevralgico della rete può creare un imbuto per decine di utenti. È fondamentale che tutta l’infrastruttura di switching sia almeno a 1 Gbps.
  2. Firewall/Router sotto stress: Il dispositivo che gestisce il traffico tra le VLAN e verso Internet è un punto critico. Se il firewall non ha una CPU e un throughput sufficienti a gestire il carico di lavoro (analisi del traffico, regole, VPN), diventerà il collo di bottiglia principale, specialmente se la segmentazione è spinta e molto traffico deve essere ispezionato tra una VLAN e l’altra.
  3. Configurazione errata delle VLAN e Broadcast Storm: Una segmentazione fatta male può essere peggio di nessuna segmentazione. Errori nella configurazione, come loop di spanning tree o una gestione errata del traffico di broadcast, possono generare delle “tempeste di broadcast” (broadcast storm) che saturano completamente la rete, paralizzando ogni comunicazione. Spesso, una lentezza inspiegabile è un sintomo di questo fenomeno.

Identificare e risolvere questi colli di bottiglia non solo migliora la velocità percepita dagli utenti, ma rafforza anche la sicurezza, garantendo che l’infrastruttura sia in grado di sostenere le policy di segmentazione senza creare nuovi problemi.

Piano d’azione per l’audit dei colli di bottiglia:

  1. Inventario degli apparati: Mappare modello e specifiche di ogni switch. Verificare che tutte le porte utente e i link tra switch siano ad almeno 1 Gbps.
  2. Analisi del carico del firewall: Monitorare l’utilizzo della CPU e il throughput del firewall/router durante le ore di punta per identificare eventuali picchi di saturazione.
  3. Verifica copertura Wi-Fi: Utilizzare uno strumento di analisi per generare una “heat map” degli uffici e identificare zone con segnale debole o alta interferenza che causano rallentamenti.
  4. Monitoraggio della banda: Implementare un software di analisi del traffico (es. NetFlow) per identificare quali dispositivi o applicazioni stanno consumando più banda e verificare se il loro comportamento è legittimo.
  5. Revisione delle VLAN: Controllare i log degli switch per eventuali errori di Spanning Tree Protocol (STP) e analizzare il traffico di broadcast per escludere la presenza di broadcast storm.

Punti chiave da ricordare

  • Il tuo obiettivo non è impedire l’infezione, ma confinarla. Pensa la tua rete come un sottomarino con compartimenti stagni (VLAN), non come un open space.
  • Isola tutto ciò che non è un computer utente standard. Telecamere, stampanti, telefoni VoIP e soprattutto la rete Wi-Fi per gli ospiti devono vivere in VLAN separate e con regole di accesso restrittive.
  • La sicurezza parte dal fisico. Una presa di rete non protetta (Port Security) o un armadio rack caotico e non documentato sono vulnerabilità gravi quanto una password debole.

RDP esposto: perché lasciare la porta 3389 aperta è un invito diretto agli hacker russi

Se la segmentazione è una strategia di difesa interna, l’esposizione di servizi critici su Internet è un suicidio informatico. E non c’è servizio più abusato del Remote Desktop Protocol (RDP) sulla porta 3389. Lasciare questa porta aperta sul firewall, mappata direttamente su un server o un PC interno, è l’equivalente digitale di lasciare la porta di casa spalancata con un cartello “Benvenuti ladri” scritto in neon. I gruppi di hacker, specialmente quelli specializzati in ransomware, passano le loro giornate a scansionare l’intero web alla ricerca di porte 3389 aperte. È il loro punto di ingresso preferito.

Non importa quanto sia complessa la password dell’utente: un RDP esposto è vulnerabile ad attacchi di forza bruta, a bug del servizio non patchati (come il famigerato BlueKeep) o a tecniche di phishing per rubare le credenziali. È una singola linea di difesa che, una volta superata, dà all’attaccante un accesso completo e interattivo a una macchina all’interno del tuo perimetro. In un Paese come l’Italia, che secondo il Rapporto Clusit 2024 subisce il 7,6% degli attacchi mondiali di particolare gravità, esporre RDP non è un rischio calcolato, è una certezza di disastro.

La protezione è gerarchica e non negoziabile. Il primo passo, assoluto e immediato, è chiudere la porta 3389 sul firewall. L’accesso remoto deve sempre e solo avvenire tramite una Virtual Private Network (VPN). La VPN crea un tunnel crittografato e autenticato, aggiungendo un livello fondamentale di sicurezza prima ancora che l’attaccante possa raggiungere il servizio RDP. Per una sicurezza ancora maggiore, si può implementare un Remote Desktop Gateway, che agisce come un proxy e permette di aggiungere l’autenticazione a più fattori (MFA). Qualsiasi soluzione è meglio che lasciare la porta aperta. Ignorare questo consiglio significa attendere passivamente il proprio turno per diventare la prossima vittima di ransomware.

VPN Client-to-Site o Site-to-Site: quale architettura serve per collegare tre sedi e 50 smart worker?

Arrivati a questo punto, è chiaro che la rete aziendale non è più confinata tra le mura dell’ufficio. È un’entità fluida che si estende alle case dei dipendenti e alle filiali remote. La scelta dell’architettura VPN, quindi, non è più solo una questione tecnica, ma la materializzazione della tua filosofia di sicurezza su questo perimetro esteso. Per uno scenario ibrido con tre sedi fisse e 50 smart worker, la soluzione non è una o l’altra, ma una combinazione strategica delle due architetture principali.

L’architettura Site-to-Site è la spina dorsale che collega le tre sedi aziendali. Si crea un tunnel VPN permanente e trasparente tra i firewall di ogni sede, facendo sì che le tre reti locali appaiano come un’unica, grande rete logica (WAN). Questo permette una condivisione fluida e sicura delle risorse (file server, gestionali, stampanti) tra le filiali, come se fossero tutte nello stesso edificio. La comunicazione è costante e non richiede alcuna azione da parte degli utenti.

L’architettura Client-to-Site (o “Remote Access VPN”) è invece dedicata ai 50 smart worker. Ogni dipendente installa un software client sul proprio laptop che, quando attivato, crea un tunnel VPN sicuro e on-demand verso il firewall della sede centrale (o della sede più vicina). Questo garantisce che tutto il traffico lavorativo del dipendente sia crittografato e protetto, anche se sta usando una rete Wi-Fi non sicura come quella di un bar o di un hotel. Una volta connesso, lo smart worker diventa a tutti gli effetti parte della rete aziendale, ma qui torna in gioco la segmentazione: il suo accesso può e deve essere limitato, tramite regole di firewall, solo alle risorse strettamente necessarie per il suo lavoro, applicando il principio del minimo privilegio anche agli utenti remoti.

Implementare una strategia di segmentazione e difesa in profondità non è un progetto da un giorno, ma un cambiamento di mentalità. L’obiettivo non è la perfezione, ma un miglioramento continuo che elevi il livello di sicurezza, trasformando la tua rete da un bersaglio facile a un obiettivo difficile e costoso da attaccare. Il primo passo concreto è il più semplice: prendi in mano la planimetria del tuo ufficio e inizia a mappare la tua rete. Sapere cosa hai è il prerequisito per poterlo difendere efficacemente.

Scritto da Marco Ferrari, Senior Network Architect e specialista in telecomunicazioni con 15 anni di esperienza nella progettazione di infrastrutture di rete critiche. Certificato CCIE e specializzato in tecnologie di accesso a banda ultralarga e architetture 5G private per il settore enterprise.
Novità del sito
Manutenzione Storage Enterprise: perché la deframmentazione non serve più (e cosa fare invece)?
Sindrome da burnout del Sysadmin: smetti di spegnere incendi, automatizza la routine e riprenditi la vita
Centralizzazione dei Log: perché in caso di attacco i log locali non ti salveranno?
Gestione dispositivi mobili (MDM): come controllare 100 smartphone aziendali senza impazzire?
Come ridurre la bolletta energetica IT del 20% applicando policy di Green IT concrete?
Post simili
Come pulire i Raw Data sporchi per renderli analizzabili senza errori?
Quale hardware server serve per il Trading ad Alta Frequenza (HFT) competitivo?
FTTH vs FTTC: vale la pena investire nello scavo per la fibra pura?
Come calcolare la capacità computazionale necessaria senza sovradimensionare l’infrastruttura?