Что такое сетевой сегмент

Сегментация сети для самых маленьких

Введение

Цель статьи: показать базовый подход к сегментации сети компании при разработке новых либо модернизации текущих автоматизированных систем.

В статье рассмотрим:

Правила межсетевого взаимодействия

Демилитаризованная зона (DMZ, уровень I)

Начнем рассмотрение принципов межсетевого экранирования и сегментации сети со следующей схемы:

Логическая схема одноуровневой сети:

Первый уровень

На картинке стрелка означает наличие сетевого доступа с IP адресом источника от того сетевого устройства от которого стрелка отходит, и с IP адресом назначения того сетевого устройства к которому стрелка направлена. Двухсторонняя стрелка соответственно будет означать наличие двух правил межсетевого экранирования в таблице правил межсетевого экранирования.

Давайте посмотрим как будут выглядеть правила межсетевого экранирования при прохождении обоих межсетевых экранов уровня сети:

Правила межсетевого экранирования

Как видим правила 2, правила могут быть как и идентичными, так и более широкими у того межсетевого экрана из-за которого трафик выходит, а более точечными за межсетевым экраном который трафик принимает. Так проще писать правила на межсетевом экране из-за которого трафик выходит, достаточно написать одно правило и если серверов много, то множество дублирующих правил писать не потребуется. То есть допустимы и такие правила:

Максимально широкие правила

Вот мы заодно рассмотрели и как понять какое правило межсетевого экранирования требуется написать.

Грубо говоря, в демилитаризованной зоне размещается то, что не жалко потерять, что потенциально может быть легко скомпрометировано.

Давайте пойдем дальше и перейдем к сегменту приложений (APP).

Сегмент приложений (APP, уровень II)

После первичной проверки, данные можно передавать веб приложению, выполняющее основную логику сервиса и размещенное на отдельном сервере:

Второй уровень сети

Схема для удобства упрощена до 3-х серверов:

Сервер с балансировщиком нагрузки;

Сервер с веб сервером;

Сервер с веб приложением.

Обратим внимание на пунктирную линию, она показывает следующее: все что за демилитаризованной зоной, является милитаризованной зоной, защищаемой другим межсетевым экраном. Отдельный межсетевой экран важен по следующей причине: если из сети интернет будет перегружен пограничный межсетевой экран, то вся сеть перестанет работать, он не сможет пропускать через себя трафик сегментов второго уровня. Если у нас 2 межсетевых экрана, то внутреннее взаимодействие при отказе пограничного межсетевого экрана сохранится:

Последствия DDoS пограничного МЭ

Усложненная схема

Давайте вернемся к упрощенной схеме с одним сервисом. Давайте взглянем на наше монолитное приложение с огромным количеством строк кода в разрезе сервера:

Монолитная архитектура

Мы видим, что на серверах могут быть размещены какие-то файлы необходимые для работы приложений, могут быть запущены сами приложения. Давайте представим, что у нас не одно монолитное приложение, а множество маленьких приложений и все они вместе решают всё ту же задачу, только размещены на разных серверах:

Микросервисная архитектура

Теперь у изначального сервиса может в единственном сетевом сегменте приложений быть уже N серверов.

Мы можем разрабатывать наши сервисы так:

Один DMZ только для входящих соединений из внешних сетей;

Другой DMZ только для исходящих соединений.

Такая хитрость позволит уменьшить возможные векторы атаки на нашу базу данных, но увеличит количество серверов и правил межсетевого экранирования:

2 типа DMZ

Как видим на картинке у нас есть DMZ 1 и DMZ 2. Например, в случае компрометации балансировщика, злоумышленник не сможет атаковать серверы в DMZ 2 из-за отсутствия правил разрешающих трафик, злоумышленнику сначала придется найти уязвимость в веб приложении в сегменте приложений, получить высокие привилегии в операционной системе сервера с веб приложением и только потом он сможет атаковать серверы в DMZ 2.

При этом стоит предполагать, что доступ открывается на известные DNS имена, а не на IP адреса либо во весь интернет. IP адрес может быть выдан нескольким владельцам, один из которых окажется злоумышленником То есть создавать можно только точечные доступы до доверенных сервисов в сети интернет.

Сегмент баз данных (DB, уровень III)

В процессе работы с данными, их необходимо где-то хранить, это могут быть различные базы данных SQL и no-SQL, файловые хранилища, каталоги LDAP, хранилища криптографических ключей, паролей и т.д.

Третий уровень, уровень данных

На картинке не нарисован третий межсетевой экран, давайте представлять, что пересечение прямоугольника показывающего границы сегмента сети = пересечение межсетевого экрана, то есть считаем, что любое перемещение трафика между сегментами это прохождение трафика через межсетевой экран. Упрощенная схема:

Третий уровень, уровень данных (без сетевых устройств)

Если есть желание отображать межсетевые экраны, их можно рисовать так:

Отображение межсетевых экранов цветами

Так мы не сильно нагружая картинку показываем за каким межсетевым экраном какие сегменты находятся. Изображать можно и как-то иначе, например, выделяя сегменты определенным цветом.

Межсервисное взаимодействие

Идеальная ситуация если в организации между серверами сервисов взаимодействие происходит всегда через демилитаризованную зону:

Идеальное межсервисное взаимодействие

Теперь представим, что мы достаточно безопасно настроили каждый сервер и приложения, мы доверяем администраторам, у нас имеются средства защиты серверов, двухсторонняя усиленная аутентификация и т.д. Так же в случае если в организации объявить такую политику, то администраторы, архитекторы сервисов вместо разработки сервисов по объявленной политике, в DMZ будут размещать безусловные прокси серверы, которые просто будут проксировать трафик между сегментами DMZ 1 и DMZ 2 без какой-либо проверки. То есть политика будет исполняться лишь формально.

В таком случае, логичным будет разрешить такие взаимодействия:

Межсервисное взаимодействие с учетом рисков

То есть мы разрешаем условно любые взаимодействия между зонами DMZ и APP всех сервисов внутри компании.

При этом, доступ в базу данных чужого сервиса нельзя разрешать ни в коем случае.

В итоге мы получаем такой перечень основных базовых правил определения возможности предоставления сетевого доступа:

Правила межсетевого взаимодействия

Источник

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Сегментация сети – почему это важно?

Разделяй и властвуй

Давайте для начала разберемся, что же такое сегментация сети. Это важный инструмент защиты информации, который позволяет уменьшить площадь атаки при проникновениях в сеть, а также способ защититься от таких атак с отказом в обслуживании как бродкастный шторм (слишком большое количество широковещательных запросов в единицу времени).

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Для чего требуется сегментация сети?

Чтобы снизить риск на получения ущерба от злоумышленников в корпоративных инфраструктурах существует сегментация сети. Этот процесс помогает уменьшить вероятность повреждения данных, тем самым снизив многие риски информационной безопасности.

Сегментация сети выполняет разделение юзеров на различные сетевые группы, которые изолированы друг от друга. В зависимости от политик сегментации (которые чаще всего регламентируются департаментом ИБ), обмен информацией между группами может строго контролироваться, а также быть недоступным.

Политика безопасности компаний определяет некие принципы, которые позволяют подразделить сотрудников на некоторые подгруппы: гость, временный персонал, сотрудник. А также представленные подгруппы, можно разделить на группы, к примеру: рядовой работник, руководитель и так далее.

Сегментацию сети желательно выполнять при полной реализации бизнес-процессов. К таким процессам относится выдача доступа к сети интернет пользователям, не состоящих в рядах работников компании, так сказать, гостевым юзерам. Помимо гостей, к сети также требуется подключение различных устройств, которые используются в другой организации. А также возможно привести еще один пример с использованием сегментации сети, это разграничение доступа между работниками, которые используют одну сеть. Таковых сценариев может быть очень много.

Популярные методы выполнения сегментации сети

Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:

Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть. Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. Например, могут отличаться:

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Источник

Сегмент сети

Сегме́нт сети (в информатике) — логически или физически обособленная часть сети.

Разбиение сети на сегменты осуществляется с целью оптимизации сетевого трафика и/или повышения безопасности сети в целом.

Физическое разделение

Как правило, физический сегмент сети ограничен сетевым устройством, обеспечивающим соединение узлов сегмента с остальной сетью:

Физический сегмент сети является доменом коллизий. Устройства, работающие на первом уровне модели OSI (повторители или концентраторы), домен коллизий не ограничивают.

Логическое разделение

Широко практикуется разделение сети, основанной на протоколе IP, на логические сегменты, или логические подсети. Для этого каждому сегменту выделяется диапазон адресов, который задается адресом сети и сетевой маской. Например (в CIDR записи):

Логические подсети соединяются с помощью маршрутизаторов.

Литература

Полезное

Смотреть что такое «Сегмент сети» в других словарях:

сегмент сети ethernet — (МСЭ T G.8010/ Y.1306). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN ETH segmentETHS … Справочник технического переводчика

Сегмент — (от лат. segmentum отрезок, полоса, от seco режу, рассекаю) часть чего либо. В математике Сегмент, или отрезок множество точек прямой, включающее свои концы. Сегмент (геометрия) плоская фигура, заключённая между … Википедия

СЕГМЕНТ РЫНКА ЦЕЛЕВОЙ — Сегмент, в наибольшей степени соответствующий возможностям организации и особенностям развития рынка. К выбору целевых сегментов рынка предъявляется ряд требований: сегмент должен быть однороден. Для сокращения постоянных и переменных издержек… … Словарь бизнес-терминов

сегмент внутренней магистрали — Сегмент, внутренней магистрали гибридного концентратора System 3000 или System 5000, используемый для организации кластеров из различных хост модулей одного сегмента, кольца или сети FDDI. [http://www.lexikon.ru/dict/net/index.html] Тематики… … Справочник технического переводчика

сегмент распространения — Часть битового времени, используемая для компенсации физических задержек сигнала в сети. Полное время задержки включает в себя время распространения сигнала по шине и время внутренней задержки сигнала в узлах сети. [http://can… … Справочник технического переводчика

сегмент — 1. Электронное соединение между двумя сетевыми устройствами. 2. В структурированных сетях физический набор оконечных станций (пользователи и элементы сети), формирующих область коллизий Ethernet. Границы области коллизий определяются мостами или… … Справочник технического переводчика

сегмент синхронизации — Часть битового времени, служащая для синхронизации различных узлов сети. В пределах сегмента синхронизации ожидается появление фронта сигнала. [http://can cia.com/fileadmin/cia/pdfs/CANdictionary v2 ru.pdf] Тематики сети вычислительные EN sync… … Справочник технического переводчика

сегмент (в информационных технологиях) — сегмент 1. Применительно к передаче данных — единица информации на транспортном уровне (L4). 2. В локальной сети сегментом называют домен коллизий. 3. Область оперативной памяти. Во времена 20 разрядной адресации памяти с помощью 16… … Справочник технического переводчика

сегмент ЛВС — Часть ЛВС, отделенная от других частей ЛВС с помощью одного или нескольких мостов, маршрутизаторов, повторителей или коммутаторов. [http://www.lexikon.ru/dict/net/index.html] Тематики сети вычислительные EN LAN segment … Справочник технического переводчика

сегмент управления — подсистема контроля и управления (ПКУ) Часть ГНСС, состоящая из расположенной на земле сети наземных станций, выполняющих непрерывные наблюдения всех спутников созвездия, передающая им обновленную информацию и управляющая их полетом. [РТМ 68 14… … Справочник технического переводчика

Источник

Сегментирование сети

Ответ на вопрос о том, сегментировать или не сегментировать сеть, ни у кого не вызывает сомнения. Задача состоит в выборе наиболее эффективного метода для вашей среды. ЗАЧЕМ СЕГМЕНТИРОВАТЬ? АКТ СЕГМЕНТИРОВАНИЯ

Ответ на вопрос о том, сегментировать или не сегментировать сеть, ни у кого не вызывает сомнения. Задача состоит в выборе наиболее эффективного метода для вашей среды.

СЕГМЕНТИРОВАНИЕ МОЖЕТ ПОМОЧЬ РАЗРАБОТЧИКАМ
Защита от разработчиков

Это последнее, что вы хотели бы услышать в пятницу утром. Единственное, что сдерживает ваш гнев, так это понимание того, что программистам необходимо тестировать приложения, которые они разрабатывают для вашей организации. И проблема здесь шире, чем восстановление работоспособности отказавшего сервера.

ЗАЧЕМ СЕГМЕНТИРОВАТЬ?

Не являющиеся больше изолированными островками, состоящими из одного или двух серверов файлов и печати и небольшого количества рабочих станций, корпоративные сети превратились в сложные, высококритичные среды, состоящие из множества серверов различных типов, а также многочисленных рабочих групп, нуждающихся в связи друг с другом. В такой среде несегментированная сеть способна привести к хаосу, прямыми последствиями которого станут снижение производительности, уменьшение надежности и ухудшение безопасности сети (см. Рисунок 1).

(1×1)

Обычно крупные сети имеют высокоскоростную магистраль, но если, например, весь сетевой трафик направляется туда, то он может запросто исчерпать доступную пропускную способность, сводя на нет все преимущества в производительности, которая ваша организация могла бы извлечь при другом подходе. Ввиду того, что рабочие станции взаимодействуют в основном с локальными серверами файлов и печати гораздо чаще, чем с внешними серверами Web, имеет смысл сегментировать сеть в соответствии с рабочими группами, в которых большая часть трафика не выходит за пределы локального сегмента. Такой подход позволяет разным группам выделить разную пропускную способность. Например, разработчикам и инженерам может потребоваться коммутируемый Fast Ethernet, в то время как пользователям из отдела маркетинга будет достаточно и разделяемого Ethernet на 10 Мбит/с.

Сегментирование повышает также и надежность сети за счет изолирования проблем в данном сегменте. Например, если разработчики выведут из строя свой собственный сегмент сети, то на других пользователях это никак не скажется.

Кроме того, сегментирование помогает упростить управление защитой. Например, доверенным пользователям в каждом сегменте можно дать полномочия определять и реализовывать правила и процедуры безопасности, в то время как администратор сохраняет контроль над коммуникациями между сегментами. Такой подход применим для организаций, где разные отделы и рабочие группы реализуют разные уровни защиты. К примеру, отделы продаж и маркетинга принимают строгие меры защиты внутри соответствующих сегментов, в то время как группа по разработке приложений реализует более мягкие меры защиты. Последнее связано с тем, что в тестовой и отладочной среде программистам зачастую необходимо использовать несколько рабочих станций поочередно, и реализация строгих мер защиты на тестовых серверах и рабочих станциях усложнит их работу, что, как правило, нежелательно. Поэтому внутри группы пользователи могут иметь доступ ко всем тестовым рабочим станциям и серверам, однако к ресурсам в других сегментах или даже к некоторым ресурсам в своем собственном сегменте (например, базам данных с исходными кодами) будет разрешен только ограниченный доступ.

АКТ СЕГМЕНТИРОВАНИЯ

При сегментировании сети основной целью является получение описанных преимуществ при сохранении необходимого уровня взаимодействия между группами, некоторые из которых могут даже не быть частью вашей организации. Консультантам и заказчикам, например, может понадобиться тот или иной уровень доступа к ресурсам вашей сети.

В какой степени разрешить пользователям взаимодействовать друг с другом, зависит от того, что им необходимо для совместной работы. Например, отделу продаж и группе разработчиков нужна для общения друг с другом только электронная почта, а не общий файловый сервер. Или при более сложной конфигурации компания может иметь сегмент отдела продаж, общий сегмент и сегмент группы разработчиков. База данных с исходными кодами в сегменте группы разработчиков должна быть недоступна пользователям в сегменте отдела продаж; однако готовые приложения могут находиться в базе данных в общем сегменте, причем доступ к ним будет разрешен пользователям в обеих группах. При желании в общий сегмент помещаются и такие ресурсы, как серверы Web.

ИСПОЛЬЗОВАНИЕ СЕРВЕРОВ

(1×1)

Для сегментирования сети с помощью серверов каждый сервер должен иметь по крайней мере две сетевые платы. Одна сетевая плата будет поддерживать локальную группу или сегмент, в то время как другая сетевая плата будет служить для связи с сетью серверов. Такая конфигурация позволяет организовать связь между различными серверами в сети, хотя рабочая группа может обращаться напрямую только к своему серверу. Пользователи внутри данной рабочей группы имеют возможность при посредничестве proxy-сервера, выполняющегося на файловом сервере, обращаться ко всем серверам Web в сети.

При таком подходе обмен информацией происходит на прикладном уровне, а это означает, что серверные посредники (proxy), к примеру, для почты и Web работают только с теми приложениями, которые они понимают. Клиенты Lotus Notes, например, могут обмениваться электронной почтой с серверами Notes; однако клиент IMAP4 такой возможности иметь не будет, поскольку серверы Notes поддерживают только Notes и POP3 (во время написания нашей статьи Lotus собиралась начать бета-тестирование клиента IMAP4 для Notes).

Помимо защиты proxy-серверы, как правило, поддерживают кэширование. Это повышает производительность за счет получения пользователями доступа к локальным кэшированным данным, что позволяет, в свою очередь, снизить трафик в сети. В случае proxy-сервера Web, если один пользователь, например, запрашивает конкретную страницу Web, то proxy-сервер запрашивает указанный сервер Web, затем предоставляет результат пользователю и, кроме того, сохраняет копию переданной страницы Web в кэше на диске. Если другой пользователь запрашивает ту же самую страницу, то proxy-сервер берет ее из кэша, а не обращается лишний раз в Internet.

Еще одно преимущество серверного подхода к сегментированию в области защиты состоит в четком определении точек взаимодействия. Например, пользователь в одном сегменте отправляет почту в другой сегмент. Почта передается по маршруту отправитель-почтовый сервер-другой почтовый сервер-получатель. Проходящую через интерфейс информацию можно контролировать в трех местах: трафик между отправителем и первым сервером, между двумя серверами и между вторым сервером и получателем. Эти точки четко определены, причем пользователи не имеют иного способа общения.

Сегментирование с помощью серверов хорошо подходит в тех случаях, когда вся инфраструктура завязана на серверы, и задержка при связи между сегментами не существенна. Например, в случае таких приложений, как электронная почта или сервисы Web, некоторая задержка вполне допустима. Однако если взаимодействие между сегментами должно осуществляться в реальном времени, то сегментирование с помощью маршрутизаторов, брандмауэров или виртуальных сетей может оказаться более эффективным.

ИСПОЛЬЗОВАНИЕ МАРШРУТИЗАТОРОВ И БРАНДМАУЭРОВ

Маршрутизаторы и брандмауэры обеспечивают большую производительность, нежели подход с использованием серверов. Маршрутизаторы и брандмаэуры, функционирующие на третьем уровне модели OSI, анализируют пакеты, а затем сразу передают их адресату. Очевидно, что такой механизм эффективнее передачи с промежуточным хранением. Благодаря тому, что задержка на маршрутизаторах и брандмауэрах невелика, эти устройства хорошо подходят для поддержки удаленного управления, видеоконференций и потокового видео.

Обычно брандмауэры ассоциируются с обеспечением защиты в Internet, но они в равной мере применимы для внутреннего использования. Часто маршрутизаторы за счет ограничения доступа между сегментами предоставляют достаточную для внутренних целей защиту (см. Рисунок 3).

(1×1)

Рисунок 3.
Брандмауэры и маршрутизаторы предотвращают конфликты между соседями. По большей части трафик остается внутри сегмента, а брандмауэр или маршрутизатор фильтрует и продвигает только соответствующую информацию.

Недостаток такого подхода в том, что у вас немного средств контроля за тем, какого рода информация передается. Например, приложение для видеоконференций работает по UDP. Если не хотите, чтобы это приложение использовалось между сегментами, то вы просто блокируете этот протокол. Однако блокирование UDP означает, что и другие, зависящие от него приложения работать не будут.

Маршрутизаторы и брандмауэры весьма полезны для ограничения трафика между сегментами, но получение статистики об уровнях трафика по сети при этом затруднено. Однако такую информацию необходимо собирать на регулярной основе, т. к. статистика позволяет обнаружить проблемы, связанные с ограниченностью пропускной способности. Она позволяет также выявить факт генерации больших объемов трафика одним пользователем или группой. Это сигнал к тому, что сеть надо сегментировать. Например, постоянная 10-процентная загрузка сети одним лицом может означать, что его необходимо выделить в отдельный сегмент или, возможно, применить к нему те или иные санкции: все зависит от причин, по которым создается такой большой трафик.

ПОДХОД НА ОСНОВЕ ВИРТУАЛЬНЫХ СЕТЕЙ

Одна из причин, по которой виртуальные сети приобретают популярность, состоит в том, что сегменты редко бывают статичными: в силу производственных соображений, а также из-за кадровых перемен сегменты находятся в состоянии постоянного видоизменения. Конфигурация этих изменений вручную, например перевод людей из одной группы в другую или предоставление доступа членам одной группы к ресурсам другой, по большей части весьма утомительное и трудоемкое занятие. Как правило, для этого требуется дополнительное оборудование, к примеру маршрутизаторы и брандмауэры, а значит, мониторинг и обслуживание дополнительных устройств в сложной и без того сети. Поэтому виртуальные сети становятся наиболее предпочтительным способом сегментирования, особенно в крупных сетях (см. Рисунок 4). В виртуальных сетях все функции сегментирования выполняются программным обеспечением внутри коммутаторов.

(1×1)

Рисунок 4.
Эта диаграмма изображает одну крупную сеть, но в случае применения виртуальных сетей логическая иерархия не должна обязательно соответствовать физической структуре. Коммутаторы запрограммированы на продвижение трафика в соответствии с логическими сегментами, а не физическими соединениями.

Технология ВЛС моложе маршрутизаторов и брандмауэров. Оборотной стороной этого подхода является то, что реализации виртуальных сетей остаются пока нестандартными. В то же время гибкость виртуальных сетей вкупе с их остальными достоинствами может перевесить возможный риск; тем более что комитет 802.1Q пытается разработать соответствующий стандарт.

Лучше всего то, что конфигурация, контроль и управление ВЛС осуществляются программным образом, независимо от физического местоположения оборудования. Например, чтобы переместить рабочую станцию из одной виртуальной сети в другую, все, что надо сделать, это отбуксировать пиктограмму рабочей станции из одного места на экране в другое. Некоторые продукты для ВЛС могут даже определять идентификационный номер сетевого адаптера, так что пользователи портативных компьютеров могут перейти из одного здания в другое, воткнуть его в любой свободный сетевой разъем и быть по-прежнему подключенными к своей виртуальной сети.

ВОПРОСЫ УДАЛЕННОГО ДОСТУПА

Как один из вариантов, здесь подойдет использование многопользовательских односистемных сегментов для удаленного доступа, таких как серверы UNIX или WinFrame. Удаленные пользователи получают прямой доступ к универсальным серверам приложений, где каждое приложение выполняется в защищенном контексте в соответствии с правами доступа удаленного пользователя. Они имеют право только на определенные приложения и ресурсы. В свою очередь серверы могут быть ограничены тем сегментом, в котором они находятся.

В СУММЕ

В наши дни ответ на вопрос, сегментировать или не сегментировать сеть, ни у кого не вызывает сомнения. Скорее, задача в том, какой подход выбрать. Выбор подхода зависит от того, какие приложения будут функционировать в нескольких сегментах, какой уровень контроля за этими приложениями вам нужен, какая информация передается по сети и как часто приходится заниматься конфигурацией сетевых сегментов.

СЕГМЕНТИРОВАНИЕ МОЖЕТ ПОМОЧЬ РАЗРАБОТЧИКАМ

Защита от разработчиков

Поделитесь материалом с коллегами и друзьями

Источник