что такое сегментация сети

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Сегментация сети – почему это важно?

Разделяй и властвуй

Давайте для начала разберемся, что же такое сегментация сети. Это важный инструмент защиты информации, который позволяет уменьшить площадь атаки при проникновениях в сеть, а также способ защититься от таких атак с отказом в обслуживании как бродкастный шторм (слишком большое количество широковещательных запросов в единицу времени).

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Для чего требуется сегментация сети?

Чтобы снизить риск на получения ущерба от злоумышленников в корпоративных инфраструктурах существует сегментация сети. Этот процесс помогает уменьшить вероятность повреждения данных, тем самым снизив многие риски информационной безопасности.

Сегментация сети выполняет разделение юзеров на различные сетевые группы, которые изолированы друг от друга. В зависимости от политик сегментации (которые чаще всего регламентируются департаментом ИБ), обмен информацией между группами может строго контролироваться, а также быть недоступным.

Политика безопасности компаний определяет некие принципы, которые позволяют подразделить сотрудников на некоторые подгруппы: гость, временный персонал, сотрудник. А также представленные подгруппы, можно разделить на группы, к примеру: рядовой работник, руководитель и так далее.

Сегментацию сети желательно выполнять при полной реализации бизнес-процессов. К таким процессам относится выдача доступа к сети интернет пользователям, не состоящих в рядах работников компании, так сказать, гостевым юзерам. Помимо гостей, к сети также требуется подключение различных устройств, которые используются в другой организации. А также возможно привести еще один пример с использованием сегментации сети, это разграничение доступа между работниками, которые используют одну сеть. Таковых сценариев может быть очень много.

Популярные методы выполнения сегментации сети

Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:

Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть. Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. Например, могут отличаться:

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Источник

Сегментация сети для самых маленьких

Введение

В статье рассмотрим:

Рассмотрим основные уровни: DMZ, APP, DB;

Правила межсервисного взаимодействия.

Правила межсетевого взаимодействия

Демилитаризованная зона (DMZ, уровень I)

Начнем рассмотрение принципов межсетевого экранирования и сегментации сети со следующей схемы:

Логическая схема одноуровневой сети:

Первый уровень

На картинке стрелка означает наличие сетевого доступа с IP адресом источника от того сетевого устройства от которого стрелка отходит, и с IP адресом назначения того сетевого устройства к которому стрелка направлена. Двухсторонняя стрелка соответственно будет означать наличие двух правил межсетевого экранирования в таблице правил межсетевого экранирования.

Давайте посмотрим как будут выглядеть правила межсетевого экранирования при прохождении обоих межсетевых экранов уровня сети:

Правила межсетевого экранирования

Как видим правила 2, правила могут быть как и идентичными, так и более широкими у того межсетевого экрана из-за которого трафик выходит, а более точечными за межсетевым экраном который трафик принимает. Так проще писать правила на межсетевом экране из-за которого трафик выходит, достаточно написать одно правило и если серверов много, то множество дублирующих правил писать не потребуется. То есть допустимы и такие правила:

Максимально широкие правила

Вот мы заодно рассмотрели и как понять какое правило межсетевого экранирования требуется написать.

Грубо говоря, в демилитаризованной зоне размещается то, что не жалко потерять, что потенциально может быть легко скомпрометировано.

Давайте пойдем дальше и перейдем к сегменту приложений (APP).

Сегмент приложений (APP, уровень II)

После первичной проверки, данные можно передавать веб приложение, выполняющее основную логику сервиса и размещенное на отдельном сервере:

Второй уровень сети

Схема для удобства упрощена до 3-х серверов:

Сервер с балансировщиком нагрузки;

Сервер с веб сервером;

Сервер с веб приложением.

Обратим внимание на пунктирную линию, она показывает следующее: все что за демилитаризованной зоной, является милитаризованной зоной, защищаемой другим межсетевым экраном. Отдельный межсетевой экран важен по следующей причине: если из сети интернет будет перегружен пограничный межсетевой экран, то вся сеть перестанет работать, он не сможет пропускать через себя трафик сегментов второго уровня. Если у нас 2 межсетевых экрана, то внутреннее взаимодействие при отказе пограничного межсетевого экрана сохранится:

Последствия DDoS пограничного МЭ

Усложненная схема

Давайте вернемся к упрощенной схеме с одним сервисом. Давайте взглянем на наше монолитное приложение с огромным количеством строк кода в разрезе сервера:

Монолитная архитектура

Мы видим, что на серверах могут быть размещены какие-то файлы необходимые для работы приложений, могут быть запущены сами приложения. Давайте представим, что у нас не одно монолитное приложение, а множество маленьких приложений и все они вместе решают всё ту же задачу, только размещены на разных серверах:

Микросервисная архитектура

Теперь у изначального сервиса может в единственном сетевом сегменте приложений быть уже N серверов.

Мы можем разрабатывать наши сервисы так:

Один DMZ только для входящих соединений из внешних сетей;

Другой DMZ только для исходящих соединений.

2 типа DMZ

Как видим на картинке у нас есть DMZ 1 и DMZ 2. Например, в случае компрометации балансировщика, злоумышленник не сможет атаковать серверы в DMZ 2 из-за отсутствия правил разрешающих трафик, злоумышленнику сначала придется найти уязвимость в веб приложении в сегменте приложений, получить высокие привилегии в операционной системе сервера с веб приложением и только потом он сможет атаковать серверы в DMZ 2.

При этом стоит предполагать, что доступ открывается на известные DNS имена, а не на IP адреса либо во весь интернет. IP адрес может быть выдан нескольким владельцам, один из которых окажется злоумышленником То есть создавать можно только точечные доступы до доверенных сервисов в сети интернет.

Сегмент баз данных (DB, уровень III)

В процессе работы с данными, их необходимо где-то хранить, это могут быть различные базы данных SQL и no-SQL, файловые хранилища, каталоги LDAP, хранилища криптографических ключей, паролей и т.д.

Третий уровень, уровень данных

На картинке не нарисован третий межсетевой экран, давайте представлять, что пересечение прямоугольника показывающего границы сегмента сети = пересечение межсетевого экрана, то есть считаем, что любое перемещение трафика между сегментами это прохождение трафика через межсетевой экран. Упрощенная схема:

Третий уровень, уровень данных (без сетевых устройств)

Если есть желание отображать межсетевые экраны, их можно рисовать так:

Отображение межсетевых экранов цветами

Так мы не сильно нагружая картинку показываем за каким межсетевым экраном какие сегменты находятся. Изображать можно и как-то иначе, например, выделяя сегменты определенным цветом.

Межсервисное взаимодействие

Идеальная ситуация если в организации между серверами сервисов взаимодействие происходит всегда через демилитаризованную зону:

Идеальное межсервисное взаимодействие

Теперь представим, что мы достаточно безопасно настроили каждый сервер и приложения, мы доверяем администраторам, у нас имеются средства защиты серверов, двухсторонняя усиленная аутентификация и т.д. Так же в случае если в организации объявить такую политику, то администраторы, архитекторы сервисов вместо разработки сервисов по объявленной политике, в DMZ будут размещать безусловные прокси серверы, которые просто будут проксировать трафик между сегментами DMZ 1 и DMZ 2 без какой-либо проверки. То есть политика будет исполняться лишь формально.

В таком случае, логичным будет разрешить такие взаимодействия:

Межсервисное взаимодействие с учетом рисков

То есть мы разрешаем условно любые взаимодействия между зонами DMZ и APP всех сервисов внутри компании.

При этом, доступ в базу данных чужого сервиса нельзя разрешать ни в коем случае.

В итоге мы получаем такой перечень основных базовых правил определения возможности предоставления сетевого доступа:

Правила межсетевого взаимодействия

Источник

Сегментация сети для самых маленьких

Введение

Цель статьи: показать базовый подход к сегментации сети компании при разработке новых либо модернизации текущих автоматизированных систем.

В статье рассмотрим:

Правила межсетевого взаимодействия

Демилитаризованная зона (DMZ, уровень I)

Начнем рассмотрение принципов межсетевого экранирования и сегментации сети со следующей схемы:

Логическая схема одноуровневой сети:

Первый уровень

На картинке стрелка означает наличие сетевого доступа с IP адресом источника от того сетевого устройства от которого стрелка отходит, и с IP адресом назначения того сетевого устройства к которому стрелка направлена. Двухсторонняя стрелка соответственно будет означать наличие двух правил межсетевого экранирования в таблице правил межсетевого экранирования.

Давайте посмотрим как будут выглядеть правила межсетевого экранирования при прохождении обоих межсетевых экранов уровня сети:

Правила межсетевого экранирования

Как видим правила 2, правила могут быть как и идентичными, так и более широкими у того межсетевого экрана из-за которого трафик выходит, а более точечными за межсетевым экраном который трафик принимает. Так проще писать правила на межсетевом экране из-за которого трафик выходит, достаточно написать одно правило и если серверов много, то множество дублирующих правил писать не потребуется. То есть допустимы и такие правила:

Максимально широкие правила

Вот мы заодно рассмотрели и как понять какое правило межсетевого экранирования требуется написать.

Грубо говоря, в демилитаризованной зоне размещается то, что не жалко потерять, что потенциально может быть легко скомпрометировано.

Давайте пойдем дальше и перейдем к сегменту приложений (APP).

Сегмент приложений (APP, уровень II)

После первичной проверки, данные можно передавать веб приложению, выполняющее основную логику сервиса и размещенное на отдельном сервере:

Второй уровень сети

Схема для удобства упрощена до 3-х серверов:

Сервер с балансировщиком нагрузки;

Сервер с веб сервером;

Сервер с веб приложением.

Обратим внимание на пунктирную линию, она показывает следующее: все что за демилитаризованной зоной, является милитаризованной зоной, защищаемой другим межсетевым экраном. Отдельный межсетевой экран важен по следующей причине: если из сети интернет будет перегружен пограничный межсетевой экран, то вся сеть перестанет работать, он не сможет пропускать через себя трафик сегментов второго уровня. Если у нас 2 межсетевых экрана, то внутреннее взаимодействие при отказе пограничного межсетевого экрана сохранится:

Последствия DDoS пограничного МЭ

Усложненная схема

Давайте вернемся к упрощенной схеме с одним сервисом. Давайте взглянем на наше монолитное приложение с огромным количеством строк кода в разрезе сервера:

Монолитная архитектура

Мы видим, что на серверах могут быть размещены какие-то файлы необходимые для работы приложений, могут быть запущены сами приложения. Давайте представим, что у нас не одно монолитное приложение, а множество маленьких приложений и все они вместе решают всё ту же задачу, только размещены на разных серверах:

Микросервисная архитектура

Теперь у изначального сервиса может в единственном сетевом сегменте приложений быть уже N серверов.

Мы можем разрабатывать наши сервисы так:

Один DMZ только для входящих соединений из внешних сетей;

Другой DMZ только для исходящих соединений.

Такая хитрость позволит уменьшить возможные векторы атаки на нашу базу данных, но увеличит количество серверов и правил межсетевого экранирования:

2 типа DMZ

Как видим на картинке у нас есть DMZ 1 и DMZ 2. Например, в случае компрометации балансировщика, злоумышленник не сможет атаковать серверы в DMZ 2 из-за отсутствия правил разрешающих трафик, злоумышленнику сначала придется найти уязвимость в веб приложении в сегменте приложений, получить высокие привилегии в операционной системе сервера с веб приложением и только потом он сможет атаковать серверы в DMZ 2.

При этом стоит предполагать, что доступ открывается на известные DNS имена, а не на IP адреса либо во весь интернет. IP адрес может быть выдан нескольким владельцам, один из которых окажется злоумышленником То есть создавать можно только точечные доступы до доверенных сервисов в сети интернет.

Сегмент баз данных (DB, уровень III)

В процессе работы с данными, их необходимо где-то хранить, это могут быть различные базы данных SQL и no-SQL, файловые хранилища, каталоги LDAP, хранилища криптографических ключей, паролей и т.д.

Третий уровень, уровень данных

На картинке не нарисован третий межсетевой экран, давайте представлять, что пересечение прямоугольника показывающего границы сегмента сети = пересечение межсетевого экрана, то есть считаем, что любое перемещение трафика между сегментами это прохождение трафика через межсетевой экран. Упрощенная схема:

Третий уровень, уровень данных (без сетевых устройств)

Если есть желание отображать межсетевые экраны, их можно рисовать так:

Отображение межсетевых экранов цветами

Так мы не сильно нагружая картинку показываем за каким межсетевым экраном какие сегменты находятся. Изображать можно и как-то иначе, например, выделяя сегменты определенным цветом.

Межсервисное взаимодействие

Идеальная ситуация если в организации между серверами сервисов взаимодействие происходит всегда через демилитаризованную зону:

Идеальное межсервисное взаимодействие

Теперь представим, что мы достаточно безопасно настроили каждый сервер и приложения, мы доверяем администраторам, у нас имеются средства защиты серверов, двухсторонняя усиленная аутентификация и т.д. Так же в случае если в организации объявить такую политику, то администраторы, архитекторы сервисов вместо разработки сервисов по объявленной политике, в DMZ будут размещать безусловные прокси серверы, которые просто будут проксировать трафик между сегментами DMZ 1 и DMZ 2 без какой-либо проверки. То есть политика будет исполняться лишь формально.

В таком случае, логичным будет разрешить такие взаимодействия:

Межсервисное взаимодействие с учетом рисков

То есть мы разрешаем условно любые взаимодействия между зонами DMZ и APP всех сервисов внутри компании.

При этом, доступ в базу данных чужого сервиса нельзя разрешать ни в коем случае.

В итоге мы получаем такой перечень основных базовых правил определения возможности предоставления сетевого доступа:

Правила межсетевого взаимодействия

Источник

Как организовать сегментирование сети с помощью VLAN

Технический директор IntegraSky, тренер MikroTik

Сертифицированный тренер по работе с оборудованием MikroTik рассказывает, как правильно сегментировать сети с помощью VLAN и какие частые ошибки допускают при этом организации, к чему это приводит.

Откуда появилась технология VLAN

Большинство локальных сетей берут начало от Ethernet — технологии, которая появилась ещё в 1984 году. В те времена применяли шинную топологию сети: один провод, на который ответвлениями подключали устройства.

Шинная топология имела ограничения: длина провода не могла превышать 200 м, а расстояние между ответвлениями должно было быть не менее 20 см. На одной шине размещалось до 100 устройств. Эти ограничения не были проблемой, потому что устройств использовали не много, и инженерам не приходилось думать, как спроектировать сеть.

Но со временем появились новые устройства, и теперь в одной сети их может быть несколько тысяч. Из-за этого стали возникать проблемы со скоростью передачи данных. Технология VLAN была создана, чтобы снизить широковещательный трафик, который влияет на скорость сети.

VLAN позволяет разделить сеть на сегменты, и в случае широковещательного шторма или других проблем ложится не все сеть, а только её часть.

Как организовать сегментацию сети с помощью VLAN

Каждый сетевой сегмент — логическая единица, которая определяется индивидуально. Например, в коворкинге, можно разделять VLANы по кабинетам или этажам, а сеть в производственной компании — по отделам. Но главные принципы сегментации — это безопасность и экономическая обоснованность.

1. Определите, какие подразделения компании нуждаются в защите данных

Узнайте, есть ли в организации данные, которые не должны свободно распространяться. Так, нужно выделить в отдельный VLAN компьютеры в бухгалтерии, если на них обрабатывается конфиденциальная информация, утечка которой повредит организации. Если же опасность нет, сегментировать сеть не обязательно. Иногда стоит сделать сегментацию и внутри отдела — если в команде есть младшие и старшие специалисты с разными уровнями доступа к информации.

2. Определите подразделения с высокой стоимостью простоя

Если в отделе продаж работает 100 сверхприбыльных менеджеров, даже час простоя перерастает в большие финансовые потери. Тогда внутри отдела стоит разделить сеть на небольшие группы.

3. Разделите устройства по функциональности

Некоторые устройства начинают широковещательные рассылки или просто флуд в сеть. Чаще всего бывает с китайским оборудованием для видеонаблюдения, с принтерами, когда подходит их срок службы, или же некоторыми компьютерами, если в них были повреждения от электросети. Например, если на оборудование подать большее напряжение, могут произойти проблемы с материнской платой, и устройство начинает посылать в сеть кадры.

Перед тем, как проектировать сеть, разделите оборудование по функциональности. Для средних компаний на 100-200 рабочих станций я советую такую сегментацию в качестве основной.

Видеокамеры Часто видеокамеры могут иметь ненадежные прошивки, которые легко взломать. Поэтому видеокамеры лучше выделить в отдельную сеть.

Принтеры Принтеры могут стать источником утечки данных. Например, бухгалтер может напечатать на принтере отдела маркетинга финансовую информацию, которая не должна покидать отдел.

WI-FI Wi-Fi-клиенты должны общаются с интернетом, принтером и серверами, но не между собой. Поэтому лучше всего изолировать каждого абонента Wi-Fi, чтобы между ними не было никакой передачи данных. Это повысит скорость сети.

Телефоны Телефоны должны получать доступ только к телефонной станции и не подключаться к интернету.

Распространенные атаки, от которых защищает VLAN

Использование VLAN повышает безопасность — отдельный сегмент сети труднее взломать, Но даже если хакерская атака удастся, скомпрометирована будет не вся сеть, а её часть.

Сегментация защищает инфраструктуру от популярных атак: ARP-spoofing, DHCP-spoofing, DHCP-голодание, CAM-table overflow, атака на телефонную линию.

ARP-spoofing Устройство злоумышленника отправляет ARP-ответ с подмененным MAC-адресом. Цель атаки — изменить соответствие IP-адреса и MAC-адреса, чтобы получить возможность перехватывать трафик между хостами.

DHCP-spoofing Создается поддельный DHCP-сервер, чтобы заставить другие устройства использовать ложные DNS и WINS-серверы.

В результате злоумышленник может создавать фишинговые сайты, получать незашифрованные пароли и доступ к конфиденциальной информации.

DHCP-голодание С устройства злоумышленника отправляют множество запросов на получение IP-адреса от DHCP-сервера – до тех пор, пока пул IP-адресов не будет исчерпан. В результате сервер не может обслуживать клиентов, и вся сеть «падает».

CAM-table overflow На коммутатор отправляются запросы с несуществующими MAC-адресами источника назначения. Из-за этого таблица MAC-адресов коммутатора переполняется, и он начинает отправлять широковещательный трафик всем устройствам сети, чтобы продолжить работу.

В этот момент злоумышленник может перехватывать данные по всей сети. Кроме того, сильно снижается производительность сети.

Атаки на телефонную линию Злоумышленник может взломать телефонную станцию в выходной день, когда сотрудников нет в офисе, и позвонить на Кубу. Кубинский оператор выставит счет компании, а затем передаст часть полученных денег взломщику.

Эта схема мошенничества дает преступнику легкие доступ к деньгам. Также она менее рискованна по сравнению с кражей конфиденциальных данных — преступнику не приходится думать, как продать информацию, не попавшись.

Ошибки при сегментировании VLAN

Не продуманы вопросы безопасности

Я бываю в офисах, которые за месяц тратят на IT тратят десятки тысяч долларов, потому что размещаются в облаках. Если спросить сотрудников таких компаний о том, как устроена их сеть, они ответят: «Мы не знаем. У нас просто есть WI-FI и розетки. А если случится авария, мы возьмем ноутбуки и пойдем в ближайшее кафе». Это классическая ситуация, когда в компании не задумываются о безопасности сети и не продумывают её устройство.

Сеть недостаточно сегментирована

Мне встречаются ситуации, когда сеть не сегментирована и в ней находятся тысячи устройств. Такие сети могут прекрасно работать некоторое время, а затем происходит авария, и вся инфраструктура падает. Бизнес-процессы в таких компаниях зависят от того, насколько быстро инженер умеет бегать и выдергивать провода. Также снижается взаимозаменяемость персонала. Если в компанию придет новый сотрудник, ему будет тяжело разобраться в расположении розеток и коммутационного оборудования.

Сеть избыточно сегментирована на небольшие VLAN

В небольших компаниях инженеру зачастую бывает скучно без интересных задач. Тогда он начинает учиться: ставить эксперименты и создавать очень маленькие сетевые сегменты. В результате для 30 пользователей создаются 30 VLAN. И сеть маленькой компании имеет топологию как у крупной организации. Некоторое время это может не сказываться на бизнесе: принтеры будут по-прежнему печатать, а wi-fi — раздавать сеть.

Но как только инженер захочет уйти из штата, возникнут проблемы. Например, при установке нового компьютера окажется, что он не виден соседним устройствам. Инженер найдет пароль от коммутатора, записанный на бумажке, и увидит множество настроек. Неподготовленному человеку будет сложно с ними разобраться.

Сегментация сети не должна быть параноидальной: создавать большое число маленьких VLAN нецелесообразно.

Советы: как избежать ошибок при сегментации сети

DCImanager для легкого управления VLAN

Обычно для настройки VLAN требуется умение работать с командами коммутатора. Платформа для управления DCImanager позволяет управлять VLAN на оборудовании различных вендоров прямо из интерфейса. Созданные на устройстве VLAN платформа найдёт автоматически. С DCImanager за несколько секунд можно:

Источник