Segmentacja sieci. Jak podejść do projektu i uniknąć częstych błędów?

Segmentacja sieci to jedno z tych rozwiązań, które w teorii zna każdy, a w praktyce… bywa różnie. W wielu firmach nadal funkcjonuje jako „częściowo wdrożona” albo „kiedyś zrobimy”. Tymczasem to właśnie dobrze zaprojektowana segmentacja jest pierwszą linią obrony przed skutkami incydentów, chaosem w infrastrukturze i nieplanowanymi przestojami.

Dzieląc sieć na logiczne lub fizyczne strefy zaufania, zyskujemy nie tylko bezpieczeństwo, ale też porządek, łatwiejsze zarządzanie i solidny fundament pod dalsze działania, takie jak wdrożenie systemu kontroli dostępu, monitoring czy zgodność z NIS2.

W tej rozmowie pokazujemy, dlaczego segmentacja to nie opcja, a konieczność i jak ustrzec się przed najczęściej popełnianymi błędami.

Zacznijmy od podstaw. Co to jest segmentacja sieci? 

W najprostszym ujęciu segmentacja to sposób na logiczne albo fizyczne podzielenie sieci lokalnej, Data Center lub sieci rozległej. Wyobraź sobie, że do jednego worka wsadzamy mniejsze woreczki, które mogą się ze sobą komunikować tylko w sposób, w który im na to pozwolimy. To jest segmentacja w rozumieniu najprostszym, jeśli chodzi o sieć lokalną. Przekładając to na język techniczny, segmentacja to ograniczenie domeny rozgłoszeniowej (broadcast domain) przy pomocy sieci VLAN albo fizycznego rozdzielenia sprzętu.

Jakie rozwiązania służą do segmentacji sieci? Czy wspomniany VLAN i firewall wystarczą?

Można sobie wyobrazić to tak, że na firewallu budujemy strefy zaufania. Te strefy mogą mieć odzwierciedlenie w konfiguracji interfejsów firewalla czy subinterfejsów logicznych. Widziałem projekty, w których na tym się kończyło. To znaczy brakowało mapowania na VLANy w stronę przełączników Ethernet i w stronę sieci lokalnej. Takie niedokończone rozwiązanie nie będzie miało sensu.

Na przełączniku w jednym VLANie mogą funkcjonować różne grupy adresacji IP. Widziałem takie przykłady, w których ludzie myśleli, że mają segmentację, bo korzystają z różnych adresacji, ale nie o to chodzi. VLANy są wirtualnym bytem w ramach jednego fizycznego przełącznika i ograniczają ruch broadcastowy czy multicastowy, który transponuje na broadcast. Odrębna adresacja, ale w jednym segmencie L2 nadal nie zapewnia żadnego rozdzielenia ruchu z punktu widzenia natury Ethernet i nadal umożliwia komunikację między tymi grupami adresacji. Żeby zapewnić komunikację między rzeczywiście odseparowanymi fragmentami VLAN, należy świadomie wykonać inter-vlan routing, żeby w ogóle do komunikacji doszło.

Technicznie, w ramach sieci rozgłoszeniowej, którą jest Ethernet, urządzenia końcowe, naturalnie wspierające ten protokół, posługują się protokołami o naturze broadcast np. ARP (pytaniami do wszystkich w sieci i nasłuchiwaniem odpowiedzi) w ramach jednego segmentu.

Jeśli mamy dwa lub więcej segmentów na jednym fizycznym przełączniku, czyli wydzielone logiczne podsieci w L2, broadcast nie wychodzi poza dany segment, a więc niemożliwe jest podsłuchanie tzw. sniffing ruchu z segmentu sąsiedniego na poziomie urządzenia końcowego.

Kiedyś fundamentem do tworzenia VLANów była idea ograniczania broadcastu. Z biegiem czasu medium rozgłoszeniowe Ethernet stało się wektorem ataków infrastrukturalnych, które zaczęły wykorzystywać jego naturę. Dlatego segmentacja nie tylko ogranicza zbędny ruch rozgłoszeniowy w sieci, ale też potencjalny wpływ awarii na całą sieć lub jej większą część.

Jak system kontroli dostepu do sieci wspiera segmentację?

 
System kontroli dostępu (NAC, Network Access Control) wprowadza dynamikę w procesie przydzielania zasobów i jednocześnie dba o spójność polityk i reguł bezpieczeństwa w infrastrukturze, porządkując reguły uwierzytelnienia i autoryzacji. Wspiera tym samym projekt segmentacji. System NAC można traktować zatem jako narzędzie ułatwiające wdrożenie i spajające projekt segmentacji i podniesienia bezpieczeństwa dostępu do sieci.

Jeśli np. mówimy, że mamy 30 VLANów w sieci lokalnej, potrzebujemy, żeby nasza sieć rozumiała, kiedy ma wykorzystać dany VLAN na danym porcie przełącznika.

Obrazowo, jeśli użytkownik Jan Kowalski wypina swoje urządzenie z portu Ethernet (np. telefon IP) i przeprowadza się na inne piętro, podpina się do innego portu przełącznika, chcielibyśmy nadać mu dynamicznie ten sam zestaw uprawnień.

Jeśli nie mamy systemu klasy NAC, musimy zrobić to ręcznie. Czyli skonfigurować port przypisując mu dany VLAN. System dba o to, żeby rozpoznać, że osoba, która się podłącza do przełącznika to Jan Kowalski. Wtedy NAC automatycznie przydzieli mu VLAN dla Jana Kowalskiego lub dla grupy AD (Active Directory), do której on należy.

W momencie, kiedy gość albo użytkownik z innej grupy przyjdzie podłączyć się do tego samego portu, dostanie zupełnie inny VLAN i opcjonalnie inny zestaw uprawnień.

A access lista (ACL)? Czy ona też wspiera segmentację? 

To dobre pytanie. Listy kontrolne, czyli Access Control List, to mechanizmy rzadko stosowane do ograniczenia ruchu na poziomie warstwy 2, a na poziomie sieci lokalnej są stosunkowo trudne w utrzymaniu. Listy ACL bazują na nagłówku pakietu IP i posługują się polami Source i Destination IP (w niektórych przypadkach także identyfikatorem portu warstwy transportowej).

Access lista jest strukturą, która „nie rozumie” stanu połączenia przez nią przechodzącego, dlatego mówimy, że jest bezstanowa (ang. stateless). Jeśli jest skonfigurowana na przełącznikach L3 lub routerze, interpretuje pakiet bez żadnego kontekstu. Zagląda w nagłówek, analizuje, skąd i dokąd idzie pakiet. Jeśli pakiet „trafia” w regułę ACL, np. w zadany zakres adresów źródłowych i docelowych to albo ten pakiet blokuje, albo przesyła dalej. Dlatego paradoksalnie nie ma wiele wspólnego z segmentacją. Obecnie w projektach segmentacji sieci LAN odchodzi się od access list jako narzędzia filtracji na rzecz firewallingu ze stateful inspection.

Skoro segmentacja jest taka ważna, kto w firmie powinien się nią interesować?

Wszyscy powinni 🙂 Problem w tym, że kierownictwo często nie zdaje sobie sprawy, jak istotny jest projekt segmentacji sieci, a to oni powinni go zatwierdzać. Dlaczego zarząd, a nie dział techniczny? Segmentacja dotyczy bezpieczeństwa biznesu. Produkcji, logistyki, biura, maszyn, wszystkiego, co podłączone jest do sieci.

Brak segmentacji może być pokłosiem nie tyle zaniedbań, ile długoletniego rozwoju infrastruktury, która kiedyś nie wspierała VLANów, była budowana na urządzeniach starego typu np. hub, później przełączniki, które zostały podłączone bez wielkiego namysłu i pracowały w VLAN 1 i nikt się nie przejmował segmentami, dopóki nie stało się to krytyczne ze względów bezpieczeństwa.

Najczęstszym przyczynkiem do tego, żeby rozpocząć projekt segmentacji jest rekomendacja audytowa. Natomiast same projekty najczęściej inicjują świadomi administratorzy. Bardzo często jest tak, że dział IT zaczął wprowadzać VLANy, ale chce porozmawiać o dobrych praktykach i architekturze, np. pod kątem wydajnościowym. Tu diabeł tkwi w szczegółach.

Trzeba uważać, aby projektując segmentację wykorzystać do filtrowania i komunikacji stref odpowiednio wydajny firewall. Zastosowanie firewalla do obsługi ruchu w ramach sieci lokalnej w relacji tzw. wschód-zachód może wymagać obsługi kilkukrotnie większego wolumenu ruchu niż było to w przypadku obsługi połączeń do sieci Internet i WAN, czyli ruchu tzw. północ-południe. Zbyt pochopnymi decyzjami o wkomponowaniu firewalla w takiej architekturze można sobie strzelić w stopę.

Jesteśmy przy architekturze, pozwól, że zapytam, jakie błędy są najczęściej popełniane przy projektach segmentacji sieci?

Klasyczne. Najczęściej widzę trzy rodzaje błędów.

1. Błędy planistyczne, a czasem wręcz brak planowania. Konsekwencją braku planu są problemy z adresacją, skalą, niekonsekwentną numeracją czy nazewnictwem, np. wyczerpanie puli adresów, za mało wydajny firewall, o czym mówiliśmy przed chwilą albo problemy z nabudowaniem reguł bezpieczeństwa.
2. Błędy wykonawcze albo niepoprawna konfiguracja. Najczęściej mamy z nią do czynienia, jeśli zespół IT korzystał z tzw. obejść czy „workaroundów”, powiększając konfiguracyjny dług technologiczny. Wtedy każda kolejna konfiguracja musi „wziąć pod uwagę” wcześniejszy dług itd. Może nie powiem nic odkrywczego, ale prostsze rozwiązania są po prostu lepsze, precyzyjniejsze i łatwiejsze do odczytania. Jeśli są do tego dobrze opisane, sieć i konfiguracja jest dla każdego administratora czytelna.
3. Błędy poprojektowe. Tu wymieniłbym brak dokumentacji tej opisowej jak i w formie cyfrowej, np. brak bazy CMDB, czy informacji w systemie IPAM, brak automatyzacji tam, gdzie by się przydała, co szybko prowadzi do chaosu i niekontrolowanych zmian.

Dobra wiadomość jest taka, że wszystkie te błędy można wyeliminować, jeśli poświęcimy czas na dobre zaplanowanie projektu.

Trzeba zacząć od kartki papieru. Serio. Najpierw mapa sieci, analiza adresacji i obserwacja charakterystyki ruchu. Dzięki temu zrozumiemy, jak działają usługi i które obszary należy rozdzielić. Następnie budujemy matrycę segmentacji, dopiero później wdrażamy system NAC jako element wykonawczy i wybieramy pozostałe narzędzia.

Jakie jest największe wyzwanie podczas wdrażania segmentacji?

To proces readresacji, w którym każdemu segmentowi przydziela się nową adresację IP. Ta zmiana związana jest wprost z readresacją funkcjonujących już urządzeń. W przypadku użytkowników biurowych można ją stosunkowo łatwo wykonać: zmieniamy pulę adresów DHCP, użytkownicy przychodzą rano na drugi dzień do pracy, dostają nowy adres IP i nawet o tym nie wiedzą.

Natomiast jeśli segmentacją dotykamy obszarów produkcyjnych, dotykamy adresacji maszyn. Tymczasem administratorzy IT często nie mają wiedzy ani być może uprawnień, żeby dokonać zmiany w ich konfiguracji. Muszą posiłkować się serwisantami, utrzymaniem ruchu albo firmami zewnętrznymi i planować pracę w oknach serwisowych, bo procesy produkcji nie mogą się tak po prostu zatrzymać. To wyzwania biznesowe. Technicznie zdarza się nawet, że maszyny mają adresy IP zaszyte na stałe w kodzie oprogramowania, które nimi steruje. Konsekwencja jest niestety niekorzystna ze względu na to, że bardzo często nikt nie podejmuje się zmiany w kodzie takich parametrów po wielu latach funkcjonowania urządzenia.

Dlatego tak bardzo potrzebny jest plan segmentacji, dzięki któremu można przewidzieć większość ryzyk i konsekwencji.

I co potem? Jak to utrzymywać? 

Trzeba mieć dokumentację w formie elektronicznej, IPAM do zarządzania adresacją, CMDB (Configuration Management Database) do zarządzania konfiguracją. I to wszystko aktualizować przy najdrobniejszych zmianach.

Sieć nie jest statyczna. Tu wszystko żyje. Dlatego wyzwaniem jest zawsze utrzymanie spójności i logowanie zmian. Jest wiele systemów, które służą do utrzymania higieny pracy z siecią i bezwzględnie należy z nich korzystać.

Dzisiaj coraz częściej można te rzeczy automatyzować, np. za pomocą systemów typu Nautobot. Prowadzimy w tym momencie kilka projektów automatyzujących takie zadania jak provisioning, czyli konfiguracje nowej usługi, nowego segmentu czy nowych portów. Robimy to dla jednego z naszych klientów do tego stopnia automatycznie, że zmianę nanosi w systemie ewidencyjnym, który później ma za zadanie wyzwolić proces i skonfigurować urządzenia w odpowiednich miejscach i zapisać zmianę w dokumentacji cyfrowej.

To są ciekawe inżyniersko projekty, ale powiedziałbym, że w kontekście projektu segmentacji to kwestie opcjonalne, taka wisienka na torcie.

A teraz najważniejsze. Ile kosztuje projekt segmentacji? 

Zaskoczę Cię, bo być może mniej niż myślisz.  

Projekt segmentacji czasami nie wymaga inwestycji w infrastrukturę. Oczywiście, jeśli dodajemy do tego NAC, podnosimy koszt projektu. Ale to i tak nie jest tan kaliber co wdrożenie i zakup dużych systemów bezpieczeństwa jak XDR na pół tysiąca urządzeń końcowych albo budowa własnego SOC (Security Operations Center).

Różnica w cenie między poszczególnymi projektami segmentacji wynika głównie z wielkości sieci, liczby lokalizacji, rodzaju urządzeń czy charakteru firmy. Prowadzimy projekty, w których segmentację przeprowadzamy w 3 miesiące albo nawet w miesiąc, a są takie, które trwają 2 lata, bo skala i dystrybucja lokalizacji firmy obejmuje cały świat, a do tego firma pracuje 24x7x365 z zaledwie 2-tygodniową przerwą w cyklu rocznym. Koordynacja takiego kalendarza i pogodzenie poszczególnych grup interesu to wbrew pozorom niełatwe zadanie.

Natomiast polecam traktować koszt segmentacji jak inwestycję w polisę ubezpieczeniową.

Inne pytanie to takie, czy segmentacja się opłaca, czyli jakie mamy dla niej ROI (Return on Investment). Wystarczy policzyć koszty w przypadku ataku ransomware, przestoju produkcji, odzyskiwania zbieżności sieci, niedostępności systemów. Jeśli np. niedostępność procesu produkcji lub magazynu przez godzinę jest liczona na poziomie miliona złotych straty, mamy nasze ROI. Segmentacja szybko się zwraca.

A gdyby firma rozważała poprawę swojego bezpieczeństwa, lepiej, żeby inwestowała w XDR albo wydajniejsze firewalle, czy jednak w segmentację?

Myślę, że powinna myśleć o jednym i drugim w rozsądnej perspektywie. Wychodzę z założenia i tak też polecam klientom, żeby zacząć od porządków, a segmentacja jest tego typu projektem. Jeśli zrobimy odwrotnie, nabudujemy nowe na istniejący dług technologiczny.

Zacząłbym od rzeczy, które można zrobić na starcie:

• audyt tego, co już jest,
• uporządkowanie adresacji,
• wytyczenie segmentów,
• ewentualna wymiana części infrastruktury.

Znam przykłady, w których administratorzy dokładali do sieci małe i niezarządzalne przełączniki, bo brakło gniazd sieciowych. Nie tylko w efekcie zapętlili sieć, ale przestali panować nad tym, kto się do sieci podłącza.

Na moich prezentacjach o segmentacji pokazuję zestaw działań, które można robić bez inwestycji w sprzęt. Wiąże się to z porządkowaniem i wykorzystaniem mechanizmów, które najczęściej mamy dostępne w ramach naszych urządzeń, ale z nich nie korzystamy.

To i tak sporo pracy. Co jeśli nie jesteśmy w stanie zrobić tego sami? Jak sprawdzić, czy integrator, z którym rozmawiamy jest solidnym partnerem do projektu segmentacji?

Trzeba szukać partnerów, którzy mają doświadczenie nie tylko deklaratywne, ale przede wszystim praktyczne. Tacy, którzy opowiadając o segmentacji zwracają uwagę na problemy, z jakimi spotykają się najczęściej.

Warto zapytać partnera, z którym rozmawiamy o etapy projektu segmentacji i czas ich trwania. Tu nie ma się co oszukiwać – w dwa tygodnie nikt porządnie takiego projektu nie zrobi, choćby z uwagi na wymagane okna serwisowe.

Sprawdzając kompetencje integratora oczekiwałbym opowieści o tym, jak segmentacja wygląda, jakiej skali projekty prowadził, na jakich urządzeniach pracował, czy dla jakich branż. Chciałbym też usłyszeć, jakie rzeczy wziąć pod uwagę, żeby projekt przebiegł możliwie bez przeszkód.

Co na koniec doradzisz managerom IT, których zadaniem jest zabezpieczenie organizacji przed incydentami?

Jeśli z audytu wychodzi, że nie masz segmentacji, zrób ją jak najszybciej. Uporządkuj adresację, usuń pętle, zaprojektuj segmenty, wykonaj matrycę, wdróż system NAC i zaplanuj readresację (RE-IP). A jeśli nie robiłeś audytu, teraz jest dobry czas, żeby go zrobić. Prędzej czy pózniej ktoś się o tę segmentację upomni.

Chcesz wdrożyć segmentację, ale nie wiesz, od czego zacząć? Pobierz bezpłatną checklistę.

FAQ