Wiele osób zastanawia się, dlaczego dobre projektowanie i wdrożenie funkcji LAN i Edge w firmowej sieci jest konieczne.
Istnieje wiele odpowiedzi na to proste pytanie, a wśród nich wymienia się potrzebę posiadania dobrej sieci, która będzie jak najmniej podatna na niechciane ataki, a jednocześnie będzie w stanie spełnić wszystkie nasze wymagania.
Konfiguracja VLAN w urządzeniach sieciowych, takich jak przełączniki Cisco i Mikrotik, pozwala na tworzenie logicznych, odizolowanych segmentów sieci, co jest kluczowe dla zarządzania ruchem sieciowym i ograniczenia niepożądanych rozgłoszeń.
Przygotowaliśmy listę, dzięki której można sprawdzić, jak za pomocą standardowych funkcji, które często nie wymagają dodatkowych licencji, można zminimalizować wiele ryzyk oraz kiedy warto te funkcje włączyć.
To może wydawać się zaskakujące lub zabawne dla doświadczonych inżynierów, ale w rzeczywistości nie ma w tym nic zabawnego.
Z mojego doświadczenia wynika, że wielu administratorów systemów nawet nie wie dokładnie, czym jest VLAN i do czego służy! Tak, to smutna prawda, więc przejdźmy do sedna: VLAN to logicznie wydzielona sieć w ramach większej sieci fizycznej, co pozwala na ograniczenie ruchu rozgłoszeniowego, elastyczność w dostosowywaniu struktury sieci oraz zwiększone bezpieczeństwo poprzez separację ruchu sieciowego w różnych sieciach VLAN.
VLAN (Wirtualne Sieci Lokalna) pozwalają na tworzenie odizolowanych segmentów sieci, w których komunikacja odbywa się tylko między urządzeniami znajdującymi się w tej samej sieci VLAN. Integracja z urządzeniami, takimi jak serwery NAS, jest możliwa tylko dla tych, które są częścią tej samej sieci VLAN, co zwiększa bezpieczeństwo danych. Dodatkowo, każde VLAN działa jako niezależna domena rozgłoszeniowa, co pozwala na efektywną izolację ruchu sieciowego.
Segmentacja sieci jest kluczowym elementem w procesie odseparowania różnych typów ruchu sieciowego w dużych sieciach korporacyjnych. Segmentacja pozwala na izolację ruchu między urządzeniami, co jest szczególnie ważne dla zarządzania dostępem do zasobów i bezpieczeństwa w infrastrukturze sieciowej.
Potencjalne zagrożenia:
Rozwiązanie:
Rozważ segmentację sieci za pomocą VLANów. VLANy często działają w połączeniu z podziałem na podsieci IP, więc dobrym podejściem jest zaplanowanie i zaprojektowanie segmentów przed wprowadzeniem zmian.
Sieci wirtualne to technologia umożliwiająca tworzenie logicznych, odizolowanych segmentów w ramach jednej fizycznej sieci. Dzięki nim urządzenia mogą działać niezależnie od siebie, a także zapewniają zarządzanie ruchem i izolację między różnymi grupami użytkowników.
Pamiętaj, że dobre projektowanie jest skuteczne nawet wiele lat później, więc myśl o sumaryzacji adresowania IP, projektuj podsieci wystarczająco duże, ale nie za duże. Ułatwiaj sobie zarządzanie, przypisując trzeciemu oktetowi adresu IP identyfikator VLAN:
– dla podsieci 10.20.10.0/24 przypisz VLAN 10
– dla podsieci 10.20.11.0/24 przypisz VLAN 11
Kiedy w sieci pojawiają się pętle przełączania, zaczyna się gra w rozwiązywanie problemów, ponieważ systemy i usługi zaczynają wykazywać opóźnienia, a przeglądarki przestają odpowiadać, co prowadzi do skarg użytkowników i wzmożonego nacisku na działy IT. Dodając do tego efekt rozgłaszania, sieć może całkowicie przestać działać.
Identyfikator VLAN ID jest używany do określenia, do której sieci VLAN należy dany ruch, co jest kluczowe przy przesyłaniu ramek przez łącza trunk, gdzie każdy strumień danych musi zawierać odpowiedni tag z VLAN ID.
Potencjalne zagrożenia:
Rozwiązanie:
Funkcje, takie jak Loop Guard, mogą zapobiegać tworzeniu się pętli poprzez wprowadzanie dodatkowych kontroli i umieszczanie portu w stanie niespójności pętli STP, gdy zostanie wykryty warunek pętli. Stan niespójności pętli działa jak stan blokowania STP.
ARP to coś, co nadal nie jest w pełni rozumiane przez wszystkich. Jak pisałem tutaj: ARP – What is it for? jest to podstawowe zagadnienie, które powinien zrozumieć każdy specjalista sieciowy.
Integracja z urządzeniami, takimi jak serwery NAS, jest możliwa tylko dla tych, które są częścią tej samej sieci VLAN, co zwiększa bezpieczeństwo danych.
Ze względu na rozgłoszeniowy charakter ARP może on być wykorzystywany do naruszenia poufności danych użytkowników poprzez ataki typu man-in-the-middle.
Potencjalne zagrożenia:
Złośliwy użytkownik (lub haker) działający w segmencie Ethernet może użyć kilku technik do infekowania tablicy ARP innych urządzeń w tym samym segmencie, powodując, że zaczną one myśleć, iż złośliwy komputer jest zaufaną bramą. Kiedy zaczynają wysyłać ruch do złośliwego adresu MAC, hakerzy mogą przechwytywać sesje i podsłuchiwać prawdziwy ruch.
Rozwiązanie:
Jedną z metod zapobiegawczych jest użycie techniki inspekcji ARP na poziomie portu przełącznika ethernetowego. Dzięki temu przełącznik kontroluje wszystkie wiadomości ARP wpływające do portów i porównuje pary MAC i IP z tablicą uzyskaną z procesu DHCP Snooping. Jeśli przełącznik wykryje nieprawidłowe pary MAC i IP, wyłącza port.
DHCP to powszechnie używany protokół do dynamicznego uzyskiwania adresów IP w sieciach Ethernet. Ponieważ korzysta on z rozgłoszeń, podobnie jak ARP, DHCP jest podatny na ataki spoofingowe na warstwie 2, które mogą prowadzić do phishingu wrażliwych informacji.
Potencjalne zagrożenia:
DHCP działa na zasadzie „kto pierwszy, ten lepszy”, dlatego każdy host w tym samym segmencie L2 sieci może odpowiedzieć na komunikaty DHCP discover/request, stając się serwerem DHCP. Może to prowadzić do fałszywych ofert DHCP, co może skutkować przerwami w usługach lub atakami phishingowymi.
Rozwiązanie:
Zapobieganie takim problemom może być proste, ponieważ prawie wszyscy kluczowi dostawcy rozwiązań LAN oferują mechanizmy takie jak DHCP Snooping.
Administrator IT konfiguruje porty przełącznika, dzieląc je na zaufane (na których są dozwolone wiadomości DHCP server) i niezaufane (gdzie są one blokowane).
Czasami, zwłaszcza podczas projektów Proof of Concept (PoC) lub audytów infrastruktury, administratorzy sieci zaczynają dostrzegać podejrzany ruch pochodzący z wewnętrznej sieci, który pochodzi z zakresów IP nie należących do sieci firmowej. Może to być znak złośliwej działalności, takiej jak fałszowanie IP.
Segmentacja sieci jest kluczowym elementem w procesie odseparowania różnych typów ruchu sieciowego, co pozwala na izolację ruchu między urządzeniami i jest szczególnie ważne dla zarządzania dostępem do zasobów oraz bezpieczeństwa w infrastrukturze sieciowej.
Potencjalne zagrożenia:
With IP spoofing issues there are two general problems associated.
Rozwiązanie:
Aby zapobiec fałszowaniu, można użyć odwrotnego przekazywania ścieżki (Reverse Path Forwarding), które sprawdza adres źródłowy pakietu względem tablicy routingu. Jeśli urządzenie widzi trasę, której użyłoby do przekazania ruchu do źródłowego adresu IP, pakiet jest akceptowany; w przeciwnym razie router go odrzuca.
Dodaj komentarz