Сегментация компьютерных сетей

Зачем нужно разделять сеть на сегменты?

Вот есть у Вас небольшая компьютерная сеть — узлов так на 50-60: компьютеры там, принтеры сетевые, пара серверов, маршрутизатор («роутер»). Всё подключено через пару-тройку коммутаторов («свичей» на жаргоне, от англ. switch), примерно вот так:

small_network

Все сотрудники за компьютерами Ax, Bx, Cx используют только почту и Интернет, некоторые (A1, B1, C1) — ещё и Базу данных клиентов на сервере DBS, третьи — бухгалтерия, к примеру, (B2, C2) — общие бухгалтерские файлы и базы данных на сервере FS.

Сегментация, или группирование компьютеров в отдельные группы по каким-то признакам, служит для повышения безопасности, т.е. (a) повышения доступности нужных данных авторизованным сотрудникам, (б) ограничения доступности данных неавторизованным сотрудникам. Особенность сегментирования в том, что сетевой трафик между сегментами в общем случае запрещён.

Первая цель (а) достигается тем, что компьютеры, способные вызвать перегрузку в сети, выделяются в отдельный сегмент. Ими могут быть компьютеры разработчиков, тестирующих новую версию программы сетевого обмена данными с базой данных. Некорректная работа программы может привести к слишком большой загрузке сети, но это никак не скажется на работе компьютеров в других сегментах.

Вторая цель (б) достигается тем, что в отдельный сегмент выделяются сервер с данными ограниченного доступа и те компьютеры, из которых и должны быть разрешены обращения к нему. Остальным компьютерам доступ будет запрещён.

Сегментация компьютерных сетей

Сегментация сетей на физическом уровне

Сегментацию можно провести на физическом уровне. Например, при первоначальном проектировании сети опеделить, что доступ к серверу FS должен быть только с компьютеров, подключённых к коммутатору B, и подключить к нему рабочие места бухгалтерии. При этом нужно будет отслеживат все перемещения сотрудников бухгалтерии: внутренние переезды из одной комнаты в другую, с этажа на этаж… — и выполнять соответствующую перекоммутацию проводов.

При наличии нескольких сегментов это не так просто. А что если сотрудник переезжает в соседнее здание?

Всё это существенно усложняет поддержку безопасности, а там где сложность — там проблемы, сложность — враг безопасности. Упростить эту задачу помогает

Логическая сегментация сетей (VLAN)

При этом отдельные компьютеры включаются в те или иные сегменты (VLAN-ы) путём изменения конфигурации на сетевом оборудовании — на коммутаторах. Разумеется коммутаторы должны быть достаточно «умными», обладающими соответствующими возможностями. Так, на рисунке вверху в один сегмент могут быть включены сервер FS и компьютеры B2 и C2, несмотря на то, что они подключены к разным коммутаторам. Из других компьютеров, даже из B1, физически подключённого к коммутатору B, доступа к серверу FS не будет.

 

Работы по настройке сетей — не для начинающих

Разумеется, полностью «отделить» один сегмент от другого, т.е. заблокировать сетевой трафик между ними нельзя. Ведь компьютеры B2 и C2 кроме обращений к серверы FS должны иметь возможность выхода в Интернет и обращения к почтовому серверу, т.е. к другим сегментам. Т.о. определённый (можно даже сказать «вполне и очень точно определённый») сетевой трафик должен быть разрешён. Все эти правила, списки доступа и фильтры конфигурируются на коммутаторах.

Проектирование сегментов, выбор сетевого оборудования, его первоначальная конфигурация и последующие изменения в конфигурации в соответствии с меняющимися условиями — задача для специалистов. Ошибки в конфигурации могут свести на нет все усилия (и затраты) по повышению безопасности. Если вы теперь стали убеждённым сторонником повышения безопасности путём сегментирования вашей компьютерной сети — обращайтесь к нашим специалистам.