Segmentacja sieci LAN/WLAN

Segmentacja sieci

W wielu polskich firmach VLANy (IEEE 802.1Q) są technologią, która zapewnia segmentacje sieci pozwalającą na podział sieci LAN na mniejsze części. Teoretycznie segmentacja na VLANy pozwala na odseparowanie od siebie konkretnych urządzeń lub grup użytkowników, zapewniając większe bezpieczeństwo.

W jaki sposób zapewnione jest bezpieczeństwo?

Urządzenia będące w jednej domenie bradcastowej (VLANie) mogą komunikować się miedzy sobą a transmisja miedzy tymi urządzeniami nie jest ani weryfikowana przez urządzenie nadrzędne w sieci (Router z funkcjonalnością FireWall) ani w żaden sposób monitorowania.

Natomiast urządzenia znajdujące się w tym VLANie aby komunikować się z innymi urządzeniami w sieci (pozostałe VLANy) muszą przejść przez urządzenie brzegowe (Router z funkcjonalnością FireWall, Switch z funkcjonalnością routingu, UTM itp.). Przy dobrze skonfigurowanym routingu miedzy VLANami wraz z odpowiednimi politykami na FireWall (FireWall Policy), tak wykreowania siec zapewnia podstawowy poziom bezpieczeństwa.

Gdzie jest w takim bądź razie haczyk?

Statyczne przypisywanie VLANow do portów, czyli najczęstszy błąd konfiguracyjny sieci. Posłużmy się przykładem systemu IP CCTV, który jest spotykany w większości firm, a proces instalacji i konfiguracji tych urządzeń w sieci wygląda następująco:

  1. Administrator sieci tworzy VLAN dla sieci CCTV na każdym przełączniku
  2. Administrator przypisuje VLANy jako nietagowane (natywne) na portach do których mają być podłączone kamery CCTV.
  3. Taką listę przekazuje instalatorom CCTV
  4. Instalatorzy odszukają konkretny przełącznik i konkretny port na przełączniku. Wpinają do przełącznika instalowane urządzenie.
  5. Urządzenia działa

Na tym proces instalacji kamer jest skończony oraz (w większości przypadków) monitoring i weryfikacja ruchu takiego urządzenia nie jest nigdy przeprowadzana.

Niestety problemy zaczynają się w przypadku remontów, niesfornych pracowników przekładających kable, zmianach w infrastrukturze lub zmianach samych administratorów. Urządzenia zmieniają swoje miejsce podłączenia na przełączniku, generując nie tylko problem w ich utrzymaniu ale tworząc także luki bezpieczeństwa. Nagle okazuje sie, że urządzenia np. laptopy korporacyjne znajdują się nagle w tym samym VLANie co kamera CCTV.

W jaki sposób kamera CCTV może stanowić zagrożenie?

Na wstępie: Nie tylko kamera CCTV może stanowić zagrożenie dla sieci korporacyjnej, ale każde inne urządzenie IoT, których w każdej firmie a nawet domu jest coraz więcej:

  • Urządzenia skanujące/drukujące
  • Serwery plików NAS
  • BMS (building management system)
  • Smart devices – TV, Radia, Lodówki itp.
Urządzenia IoT – to nie tylko enigmatyczne sformułowanie – to wszystkie urządzenia, które podłączamy do sieci i nie mamy nad nimi pełnej kontroli

Takie urządzenia posiadają bardzo zaawansowane systemu operacyjne, które zainfekowane zachowują się w sieci bardzo agresywnie w stosunku do urządzeń korporacyjnych.

Kamera CCTV i przykład podmiany „oficjalnego oprogramowania” tych kamer opisany na stornie https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html to tylko jeden z niewielu przykładów ataków Ransomware wykonanych na urządzenia IoT w ostatnim czasie. Podmiana software na urządzań IoT, które nagle stają się backdoorem do całej sieci LAN, pokazuje jak ważna jest segmentacja sieci.

Zainfekowane urządzenia IoT – jak się przed tym chronić

Dynamiczna segmentacja sieci

Nowoczesne systemy wielu producentów oraz oprogramowanie dostępne na przełącznikach i Access Pointach pozwala na dynamiczna segmentacje sieci, czyli przypisywanie konkretnych urządzeń do konkretnych profili dostępu (Access Role Profile). Profil przypisuje się nie tylko na podstawie MAC Adresu urządzenia (bardzo łatwo można podmienić) ale także za pomocą DHCP fingerprintingu – czyli parametrów dostarczanych przez każde urządzenie podłączane do sieci w wyniku wysłania żądania DHCP.

W przypadku prawidłowo wykonanej konfiguracji przełącznik wraz z system do zarządzenia urządzeniami IoT, automatycznie weryfikuje podłączenie urządzenie. Profiluje je oraz podłącza do konkretnego logicznego segmentu sieci. UWAGA: w 95% przypadków logicznym segmentem sieci będzie VLAN, ale w zależności od posiadanego przełącznika może być to usługa SPB, VxLAN, tunel GRE itp.

ACL & QoS

Oprócz prawidłowo wykonanej segmentacji potrzebny jest monitoring i analiza ruchu takich urządzeń. Możliwości jakie dają nam nowoczesne systemy (posługując się dalej przykładem kamer CCTV):

  • Ustalenie wspólnej polityki dla wszystkich urządzeń CCTV. Pojedyncza kamera  ma możliwość wysyłania ruchu np. tylko UDP do rejestratora (organicznie IP adresu i/lub MAC adresu). Dodatkowo kamera nie może komunikować się z innymi urządzeniami wewnątrz danego VLANu (innymi kamerami)
  • Jeśli kamera w jakiś sposób została zainfekowana ransomware i np. zaczyna skanować siec, taki ruch powinien zostać wychwycony a danej kamerze powinien zostać nadany nowy profil dostępu. Profil, który całkowicie odetnie ją od innych urządzeń lub…
  • Port Ethernetowy, na którym podłączona jest zainfekowana kamera powinien zostać wyłączony lub wyłączone powinno zostać zasilanie PoE kamery
Segmentacja sieci w podziale na kategorie urządzeń IoT, według firmy Alcatel Lucent Enterprise

Warto zauważyć ze segmentacja sieci jest możliwa także w sieci bezprzewodowej, gdzie coraz więcej urządzeń korzystając z coraz większej wydajności i pojemności Access Pointów (zobacz) podłącza się do sieci WLAN.

Chcesz prawidłowo zaprojektować sieci LAN/WLAN na potrzeby mikro segmentacji? Daj nam znać -konsultację przeprowadzimy dla Ciebie bez kosztowo.

pl_PLPolish