Brak produktów w koszyku.
Wróć do sklepu
Segmentacja sieci LAN
Co zrobić, żeby skutecznie chronić urządzenia podłączone do sieci, wrażliwe dane operacyjne i informacje zgromadzone w bazie klientów Twojej firmy? Odpowiedź jest prosta – zastosuj segmentację sieci. Oznacza to utworzenie oddzielnych domen sieciowych dla różnych typów systemów i urządzeń – w tym urządzeń IoT.
Urządzenia IoT (ang. Internet of Things) to wszystkie inteligentne urządzenia, które podłączamy do sieci. Na przykład: urządzenia skanujące/drukujące, serwery plików NAS, BMS (ang. Building Management System), czy smart devices – telewizory, radia, lodówki, termostaty itp. Użytkownicy często nie zdają sobie sprawy, jak ważna jest ich aktualizacja oraz jak łatwo mogą one zaburzyć cyberbezpieczeństwo całej sieci. Większość osób po pierwszej konfiguracji przestaje kontrolować co się dzieje z urządzeniami IoT podłączonymi do sieci.
Utrzymywanie wszystkich urządzeń w płaskiej sieci (flat network) nie jest zbyt bezpieczne. Tego rodzaju ryzyko w kwestii bezpieczeństwa może doprowadzić do złamania przepisów dot. ochrony danych (RODO). Efektem mogą być wysokie kary, z którymi wiele małych firm może sobie nie poradzić. Aby zapobiec takiej sytuacji wystarczy wdrożyć odpowiednią segmentację sieci, zapory i mechanizmy kontroli bezpieczeństwa.
Płaskie sieci bez segmentacji z jednym punktem wyjścia
Aby zrozumieć potrzebę segmentacji sieci, warto wiedzieć, jak wygląda tradycyjna „płaska” architektura sieciowa. W przeciwieństwie do bezpiecznych sieci segmentowanych, sieci płaskie mają tylko jeden router firewall, zwykle zainstalowany przez dostawcę usług internetowych.
Sieć płaska nie ma żadnej zapory, ani logicznej separacji między urządzeniami, więc mogą one bezpośrednio kontaktować się z każdym innym urządzeniem w sieci. Ten rodzaj architektury sprawdzał się, gdy większość małych firm miała tylko jeden lub kilka komputerów, co było typowe dla końca lat 90. i na początku XXI wieku. Wtedy nie było Wi-Fi, ani tylu urządzeń IoT podłączonych do sieci i bardzo niewielka ilość (jeśli w ogóle) telefonów komórkowych z dostępem do Internetu.
Tradycyjna, płaska architektura sieciowa
Dlaczego płaskie sieci już się nie sprawdzają?
Kiedy smartfony z dostępem do Wi-Fi stały się powszechne, wiele małych firm odkryło, że liczba urządzeń podłączonych do ich sieci znacznie wzrosła w bardzo krótkim czasie. Od tego momentu zachowanie bezpieczeństwa w sieci stało się wyzwaniem.
Zbudowanie bezpiecznej sieci obecnie jest jeszcze trudniejsze do osiągnięcia. Dzieje się tak miedzy innymi dlatego, że inteligentne telewizory, inteligentne żarówki, inteligentne lodówki i wiele innych urządzeń IoT podłączonych jest do jednej sieci. Czasami efektem są setki urządzeń w sieci.
Większość nowoczesnych urządzeń posiada interfejs sieciowy, pamięć, procesory i system operacyjny. Innymi słowy, są to małe komputery, tak samo podatne na cyberataki, jak każdy inny rodzaj urządzeń czy smartfon.
Dodatkowo, urządzenia IoT są stale podłączone do Internetu i rzadko aktualizowane (lub nigdy). To czyni je stosunkowo łatwym celem dla hakerów. Warto mieć świadomość tego, że hakerzy mogą wykorzystać te urządzenia do uzyskania dostępu do całej sieci – co może potencjalnie prowadzić do poważnego naruszenia danych i nadużyć.
Segmentacja sieci zwiększy bezpieczeństwo cybernetyczne Twojej firmy
Dzięki segmentacji sieci, firmy mogą odizolować urządzenia i systemy w oddzielnych podsieciach. Pozwala to nie tylko na lepszy podział przepustowości lub pasma do Internetu, ale także pomaga zabezpieczyć systemy zawierające poufne dane. W ten sposób można łatwo oddzielić je od innych systemów, które nie muszą mieć z nimi kontaktu.
Kolejną kluczową zaletą segmentacji sieci jest możliwość izolowania wszelkich problemów wynikających z naruszeń bezpieczeństwa cybernetycznego.
Na przykład, jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem (Malware), nie będzie w stanie dostać się do sieci IoT, która jest chroniona przez własną zaporę sieciową. To samo dotyczy sytuacji, w której urządzenie IoT jest zagrożone. Firewall w sieci ogólnej powstrzyma problem przed rozprzestrzenieniem się na te systemy.
Dobre rozplanowanie segmentacji sieci jest równie istotne. Użytkownik musi zdecydować, które systemy muszą się ze sobą komunikować, a które nie mają takiej potrzeby. Następnie może wprowadzić proste zmiany architektoniczne, które ochronią systemy o znaczeniu krytycznym, urządzenia i dane – a także zapewnią zgodność z RODO i innymi istotnymi przepisami.
Segmentacja sieci w małej firmie
Korzyści z wprowadzenia podziału sieci
Segmentacja opiera się na sterowaniu przepływem ruchu sieciowego w zdefiniowanych częściach sieci. Aktualnie dostępne na rynku możliwości pozwalają np. zatrzymać cały ruch sieciowy pomiędzy wybranymi częściami sieci komputerowej lub definiować parametry ruchu względem takich kryteriów, jak np. rodzaj ruchu, źródło, miejsce docelowe, itp. Zbiór parametrów definiujących sposób segmentacji sieci określamy mianem polityk segmentacji sieci. Podział sieci na poszczególne podsieci odbywa się za pomocą VLAN-ów.
1. Zachowanie bezpieczeństwa i zwiększenie przepustowości pracy ważnych działów w firmie (np. księgowości) poprzez odseparowanie ich od innych działów w sieci.
2. Wydzielony VLAN dla strefy DMZ (strefy zdemilitaryzowanej), ruch zewnętrzny oddzielony od ruchu wewnętrznego.
3. Podłączenie do sieci gości na osobnym VLAN-ie, bez dostępu do wewnętrznych zasobów sieci.
4. Poprawa cyberbezpieczeństwa firmy, dzięki ograniczeniu ewentualnego zasięgu możliwego ataku na sieć firmy.
5. Ograniczenie zatorów w sieci poprzez redukcję całego obciążenia ruchem.
6. Możliwość zwiększenia długości łącza w okablowaniu standardu Ethernet.
Sieć VLAN (ang. Virtual LAN) to wydzielona logicznie sieć urządzeń w ramach innej, większej sieci fizycznej. Urządzenia tworzące sieć VLAN, niezależnie od swojej fizycznej lokalizacji (przełącznika, do którego są podłączone), mogą się swobodnie komunikować ze sobą. Jednocześnie są one odseparowane od innych sieci VLAN, co oznacza, że na poziomie przełącznika nie ma żadnej możliwości skomunikowania urządzeń należących do dwóch różnych sieci VLAN (dotyczy to także ramek rozgłoszeniowych).
Sieci VLAN konfiguruje się w przełącznikach, urządzeniach sieciowych warstwy 2 modelu ISO/OSI. Jedna sieć VLAN może swym zasięgiem obejmować wiele przełączników, a w najprostszym przypadku tworzona jest w jednym przełączniku. Sieć VLAN identyfikowana jest poprzez liczbę całkowitą.
[youtube title=”VLAN w pigułce” video=”https://www.youtube.com/watch?v=MmwF1oHOvmg” allowfullscreen=”true” autohide=”Default”]
VLAN
Wyobraźmy sobie sieć z trzema różnymi przełącznikami fizycznymi.
Jeśli każdy z tych przełączników ma 24 porty, a tylko dwa są w użyciu, w każdym przełączniku 22 porty są nieużywane. Co zrobić, jeśli musisz zreplikować tę sieć w innym miejscu, a nie masz trzech fizycznych przełączników, które mógłbyś pomieścić? W tym miejscu do gry wkracza pierwsza ważna funkcja sieci VLAN: możliwość rozbicia jednego przełącznika fizycznego na mniejsze miniswitche.
Podział jednego przełącznika fizycznego na wiele przełączników wirtualnych
Rozważ każdy obwód jako swój własny miniswitch. Każdy z tych mini-przełączników, lub wirtualnych przełączników, działa całkowicie niezależnie od pozostałych – dokładnie tak, jakby to miało miejsce w przypadku trzech różnych fizycznych switchy.
Przepływ ruchu przez tę topologię działa dokładnie tak samo, jak w topologii powyżej (z trzema oddzielnymi przełącznikami fizycznymi). Każdy przełącznik wirtualny (VLAN) to po prostu numer przypisany do każdego portu przełącznika.
Na przykład dwa porty przełącznika w czerwonym miniprzełączniku mogą być przypisane do VLAN #10. Dwa porty w pomarańczowym miniprzełączniku mogą być przypisane do VLAN #20. I wreszcie dwa porty przełączników w niebieskim miniprzełączniku mogą być przypisane do VLAN #30. Jeśli portowi nie przypisano jawnie numeru VLAN, znajduje się on w domyślnej sieci VLAN, której numer VLAN wynosi 1. Ruch przychodzący do portu przełącznika przypisanego do przełącznika VLAN #10 będzie zawsze przekazywany tylko do innego portu przełącznika, do którego należy VLAN #10 — przełącznik nigdy nie pozwoli na przekroczenie granicy sieci VLAN.
Ponownie, każda sieć VLAN działa tak, jakby była całkowicie oddzielnym przełącznikiem fizycznym.
Na pierwszej ilustracji ruch z czerwonego przełącznika nie może magicznie pojawić się na pomarańczowym przełączniku bez uprzedniego przejścia przez router. Podobnie, na drugiej ilustracji, ruch w VLAN #10 nie może magicznie pojawić się VLAN #20 bez przechodzenia przez router.
Każda z sieci VLAN utrzymuje również własną, niezależną tabelę adresów MAC. Jeśli Host A wyśle ramkę z docelowym adresem MAC hosta B, ta ramka nadal będzie zalewana wyłącznie w portach przełącznika w VLAN #10. Ostatecznie przypisanie różnych portów do różnych sieci VLAN umożliwia ponowne wykorzystanie jednego przełącznika fizycznego do wielu celów.
Jest to pierwsze ważne zastosowanie sieci VLAN. Jednak to nie wszystko, na co pozwalają sieci VLAN. Drugą ważną funkcją są sieci VLAN, które umożliwiają rozszerzenie mniejszych przełączników wirtualnych na wiele przełączników fizycznych.
Rozszerzanie przełączników wirtualnych na wiele przełączników fizycznych
Aby zilustrować ten punkt, rozszerzymy powyższą topologię o dodatkowy przełącznik fizyczny i dwa dodatkowe hosty.
Zwróć uwagę, jak sieci VLAN 10 i VLAN 30 zostały rozszerzone na drugi przełącznik. Dzięki temu host A i host C mogą istnieć w tej samej sieci VLAN, mimo że są podłączone do różnych przełączników fizycznych znajdujących się w potencjalnie różnych obszarach.
Główną korzyścią z rozszerzenia sieci VLAN na różne przełączniki fizyczne jest to, że topologia warstwy 2 nie musi być już powiązana z topologią fizyczną. Pojedyncza sieć VLAN może obejmować wiele pomieszczeń, pięter lub budynków biurowych.
Każdy podłączony port przełącznika w powyższej topologii należy tylko do jednej sieci VLAN. Nazywa się to portem dostępu. Port dostępu to port przełącznika, który jest członkiem tylko jednej sieci VLAN .
Podczas konfigurowania portu jako portu dostępu administrator wyznacza również numer sieci VLAN, którego członkiem jest port. Za każdym razem, gdy przełącznik odbiera jakikolwiek ruch na porcie Access, akceptuje ruch w skonfigurowanej sieci VLAN.
Aby rozszerzyć sieć VLAN na drugi przełącznik, nawiązywane jest połączenie między jednym portem dostępu na obu przełącznikach dla każdej sieci VLAN. Chociaż jest funkcjonalna, strategia ta nie skaluje się.
Wyobraźmy sobie, że nasza topologia wykorzystuje dziesięć sieci VLAN, na 24-portowym przełączniku prawie połowa portów byłaby zajęta przez łącza między przełącznikami.
Zamiast tego istnieje mechanizm, który umożliwia pojedynczemu portowi przełącznika przenoszenie ruchu z wielu sieci VLAN. Nazywa się to portem Trunk. Port Trunk to port przełącznika, który przenosi ruch z wielu sieci VLAN.
Porty Trunk
Możemy użyć portów Trunk, aby zmniejszyć liczbę portów przełącznika wymaganych dla powyższej topologii. Dzięki temu możemy pozostawić więcej dostępnych portów, aby w przyszłości dodać hosty do sieci. Ta topologia fizyczna działa (logicznie) identycznie jak na powyższej ilustracji, ale wymaga znacznie mniejszej liczby portów przełącznika.
Byliśmy w stanie użyć łącznie czterech portów Trunk (na obu przełącznikach), aby zastąpić osiem różnych portów Access na poprzedniej ilustracji. Zazwyczaj porty przełączników podłączone do urządzeń końcowych są konfigurowane jako porty dostępu (np. stacje robocze, drukarki, serwery). I odwrotnie, porty przełącznika podłączone do innych urządzeń sieciowych są skonfigurowane jako porty Trunk (np. inne przełączniki, routery).
Porty oznaczone i porty nieoznaczone
Port Trunk na przełączniku może odbierać ruch z więcej niż jednej sieci VLAN. Na przykład na powyższej ilustracji łącze między dwoma przełącznikami przenosi ruch dla sieci VLAN 10 i VLAN 30. Ale w obu przypadkach ruch opuszcza jeden przełącznik jako seria jedynek i zer, a dociera do drugiego jako seria jedynek i zer. Co nasuwa pytanie, w jaki sposób przełącznik odbiorczy określi, które jedynki i zera należą do VLAN 10, a które jedynki i zera należą do VLAN 30? Aby to uwzględnić, za każdym razem , gdy switch przekazuje ruch przez port Trunk, dodaje do tego ruchu znacznik, aby wskazać drugiemu końcu, do której sieci VLAN należy ten ruch.
Umożliwia to przełącznikowi odbierającemu odczytanie znacznika VLAN w celu określenia, z którą siecią VLAN powinien być powiązany ruch przychodzący. Dla porównania, port dostępu może przenosić lub odbierać ruch tylko dla jednej sieci VLAN. Dlatego nie ma potrzeby dodawania tagu VLAN do ruchu wychodzącego z portu Access.
Warstwa L2
Ponieważ sieci VLAN są technologią warstwy 2, znacznik VLAN jest wstawiany w nagłówku warstwy 2. Standardowym nagłówkiem warstwy 2 w nowoczesnych sieciach jest nagłówek Ethernet, który ma trzy pola: docelowy adres MAC, źródłowy adres MAC i typ. Gdy ramka Ethernet wychodzi z portu Trunk, przełącznik wstawia znacznik VLAN między źródłowym adresem MAC a polami Type. Umożliwia to przełącznikowi odbierającemu skojarzenie ramki z odpowiednią siecią VLAN. Podsumowując, ostateczna topologia z ruchem przechodzącym między Hostem C i Hostem D przez porty Access i Trunk będzie jak na rysunku.
Powyższa topologia fizyczna będzie działać dokładnie tak, jak poniższa topologia logiczna. Hosty nie będą wiedzieć, czy przechodzą przez dwa fizyczne przełączniki (lub trzy, czy cztery), ani w jakich sieciach VLAN się znajdują. Działają dokładnie tak, jak w każdej sytuacji, która wiąże się z przenoszeniem pakietów przez sieć.
Znacznik 802.1q VLAN
Tagi VLAN wymagają dodawania i usuwania bitów do ramek Ethernet. Konkretna sekwencja dodawanych bitów jest regulowana przez otwarty standard, który umożliwia każdemu dostawcy implementację sieci VLAN na swoich urządzeniach.
Dokładny format tagu VLAN jest regulowany przez standard 802.1q. Jest to otwarty standard IEEE, który jest obecnie wszechobecną metodą znakowania sieci VLAN. Aby dokładnie zademonstrować, w jaki sposób tag VLAN modyfikuje pakiet, spójrz na przechwycony pakiet tej samej ramki przed i po wyjściu z portu Trunk.
