что такое разъемы сегмента и vlan
Безопасная домашняя сеть: создаём изолированный сегмент для гостей
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Скриншот с сайта производителя
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.
Как организовать сегментирование сети с помощью VLAN
Технический директор IntegraSky, тренер MikroTik
Сертифицированный тренер по работе с оборудованием MikroTik рассказывает, как правильно сегментировать сети с помощью VLAN и какие частые ошибки допускают при этом организации, к чему это приводит.
Откуда появилась технология VLAN
Большинство локальных сетей берут начало от Ethernet — технологии, которая появилась ещё в 1984 году. В те времена применяли шинную топологию сети: один провод, на который ответвлениями подключали устройства.
Шинная топология имела ограничения: длина провода не могла превышать 200 м, а расстояние между ответвлениями должно было быть не менее 20 см. На одной шине размещалось до 100 устройств. Эти ограничения не были проблемой, потому что устройств использовали не много, и инженерам не приходилось думать, как спроектировать сеть.
Но со временем появились новые устройства, и теперь в одной сети их может быть несколько тысяч. Из-за этого стали возникать проблемы со скоростью передачи данных. Технология VLAN была создана, чтобы снизить широковещательный трафик, который влияет на скорость сети.
VLAN позволяет разделить сеть на сегменты, и в случае широковещательного шторма или других проблем ложится не все сеть, а только её часть.
Как организовать сегментацию сети с помощью VLAN
Каждый сетевой сегмент — логическая единица, которая определяется индивидуально. Например, в коворкинге, можно разделять VLANы по кабинетам или этажам, а сеть в производственной компании — по отделам. Но главные принципы сегментации — это безопасность и экономическая обоснованность.
1. Определите, какие подразделения компании нуждаются в защите данных
Узнайте, есть ли в организации данные, которые не должны свободно распространяться. Так, нужно выделить в отдельный VLAN компьютеры в бухгалтерии, если на них обрабатывается конфиденциальная информация, утечка которой повредит организации. Если же опасность нет, сегментировать сеть не обязательно. Иногда стоит сделать сегментацию и внутри отдела — если в команде есть младшие и старшие специалисты с разными уровнями доступа к информации.
2. Определите подразделения с высокой стоимостью простоя
Если в отделе продаж работает 100 сверхприбыльных менеджеров, даже час простоя перерастает в большие финансовые потери. Тогда внутри отдела стоит разделить сеть на небольшие группы.
3. Разделите устройства по функциональности
Некоторые устройства начинают широковещательные рассылки или просто флуд в сеть. Чаще всего бывает с китайским оборудованием для видеонаблюдения, с принтерами, когда подходит их срок службы, или же некоторыми компьютерами, если в них были повреждения от электросети. Например, если на оборудование подать большее напряжение, могут произойти проблемы с материнской платой, и устройство начинает посылать в сеть кадры.
Перед тем, как проектировать сеть, разделите оборудование по функциональности. Для средних компаний на 100-200 рабочих станций я советую такую сегментацию в качестве основной.
Видеокамеры Часто видеокамеры могут иметь ненадежные прошивки, которые легко взломать. Поэтому видеокамеры лучше выделить в отдельную сеть.
Принтеры Принтеры могут стать источником утечки данных. Например, бухгалтер может напечатать на принтере отдела маркетинга финансовую информацию, которая не должна покидать отдел.
WI-FI Wi-Fi-клиенты должны общаются с интернетом, принтером и серверами, но не между собой. Поэтому лучше всего изолировать каждого абонента Wi-Fi, чтобы между ними не было никакой передачи данных. Это повысит скорость сети.
Телефоны Телефоны должны получать доступ только к телефонной станции и не подключаться к интернету.
Распространенные атаки, от которых защищает VLAN
Использование VLAN повышает безопасность — отдельный сегмент сети труднее взломать, Но даже если хакерская атака удастся, скомпрометирована будет не вся сеть, а её часть.
Сегментация защищает инфраструктуру от популярных атак: ARP-spoofing, DHCP-spoofing, DHCP-голодание, CAM-table overflow, атака на телефонную линию.
ARP-spoofing Устройство злоумышленника отправляет ARP-ответ с подмененным MAC-адресом. Цель атаки — изменить соответствие IP-адреса и MAC-адреса, чтобы получить возможность перехватывать трафик между хостами.
DHCP-spoofing Создается поддельный DHCP-сервер, чтобы заставить другие устройства использовать ложные DNS и WINS-серверы.
В результате злоумышленник может создавать фишинговые сайты, получать незашифрованные пароли и доступ к конфиденциальной информации.
DHCP-голодание С устройства злоумышленника отправляют множество запросов на получение IP-адреса от DHCP-сервера – до тех пор, пока пул IP-адресов не будет исчерпан. В результате сервер не может обслуживать клиентов, и вся сеть «падает».
CAM-table overflow На коммутатор отправляются запросы с несуществующими MAC-адресами источника назначения. Из-за этого таблица MAC-адресов коммутатора переполняется, и он начинает отправлять широковещательный трафик всем устройствам сети, чтобы продолжить работу.
В этот момент злоумышленник может перехватывать данные по всей сети. Кроме того, сильно снижается производительность сети.
Атаки на телефонную линию Злоумышленник может взломать телефонную станцию в выходной день, когда сотрудников нет в офисе, и позвонить на Кубу. Кубинский оператор выставит счет компании, а затем передаст часть полученных денег взломщику.
Эта схема мошенничества дает преступнику легкие доступ к деньгам. Также она менее рискованна по сравнению с кражей конфиденциальных данных — преступнику не приходится думать, как продать информацию, не попавшись.
Ошибки при сегментировании VLAN
Не продуманы вопросы безопасности
Я бываю в офисах, которые за месяц тратят на IT тратят десятки тысяч долларов, потому что размещаются в облаках. Если спросить сотрудников таких компаний о том, как устроена их сеть, они ответят: «Мы не знаем. У нас просто есть WI-FI и розетки. А если случится авария, мы возьмем ноутбуки и пойдем в ближайшее кафе». Это классическая ситуация, когда в компании не задумываются о безопасности сети и не продумывают её устройство.
Сеть недостаточно сегментирована
Мне встречаются ситуации, когда сеть не сегментирована и в ней находятся тысячи устройств. Такие сети могут прекрасно работать некоторое время, а затем происходит авария, и вся инфраструктура падает. Бизнес-процессы в таких компаниях зависят от того, насколько быстро инженер умеет бегать и выдергивать провода. Также снижается взаимозаменяемость персонала. Если в компанию придет новый сотрудник, ему будет тяжело разобраться в расположении розеток и коммутационного оборудования.
Сеть избыточно сегментирована на небольшие VLAN
В небольших компаниях инженеру зачастую бывает скучно без интересных задач. Тогда он начинает учиться: ставить эксперименты и создавать очень маленькие сетевые сегменты. В результате для 30 пользователей создаются 30 VLAN. И сеть маленькой компании имеет топологию как у крупной организации. Некоторое время это может не сказываться на бизнесе: принтеры будут по-прежнему печатать, а wi-fi — раздавать сеть.
Но как только инженер захочет уйти из штата, возникнут проблемы. Например, при установке нового компьютера окажется, что он не виден соседним устройствам. Инженер найдет пароль от коммутатора, записанный на бумажке, и увидит множество настроек. Неподготовленному человеку будет сложно с ними разобраться.
Сегментация сети не должна быть параноидальной: создавать большое число маленьких VLAN нецелесообразно.
Советы: как избежать ошибок при сегментации сети
DCImanager для легкого управления VLAN
Обычно для настройки VLAN требуется умение работать с командами коммутатора. Платформа для управления DCImanager позволяет управлять VLAN на оборудовании различных вендоров прямо из интерфейса. Созданные на устройстве VLAN платформа найдёт автоматически. С DCImanager за несколько секунд можно:
Что такое разъемы сегмента и vlan
Что такое VLAN? Какая-то дорогостоящая технология виртуальной реальности? На самом деле это относительно простой, но, в то же время, предлагающий широкие возможности способ улучшения вашей сети.
VLAN, или Virtual LAN (виртуальная локальная сеть) это технология позволяющая делить физическую сеть на логические сегменты на 2-м уровне OSI. Функционально, VLAN позволяет сетевому администратору разбивать сеть на отдельные независимые сегменты. Существует много причин делить сеть на VLANы и множество параметров, которые нужно учесть.
VLAN оказывается полезен как в малых, так и в более крупных сетях. В компьютерных сетях среднего и большого размера VLAN иногда используются для объединения физически отделенных сегментов в единый логический сегмент.
В этой статье мы объясним и обсудим основные принципы организации VLAN а так же причины использования в малых сетях. Так же на конкретном примере мы узнаем как конфигурируется реальный свитч с поддержкой технологий VLAN для сегментации сети.
VLAN и коммутаторы
Если у вас есть несколько компьютерных устройств в вашей компьютерной сети, то вы используете для их объединения свитч. Свитч или коммутатор это простое устройство оперирующее данными на 2-м уровне модели OSI, передавая фреймы Ethernet-проткала от одного устройства к другому на основание их аппаратных адресов — так называемых MAC адресов. Простейшие свитчи 2-го уровня ничего не знают о существовании IP адресов (адреса 3 уровня модели OSI) и не учитывают их при операциях над фреймами.
Ваш свитч может быть миниатюрным устройством на 4 порта, встроенным в маршрутизатор, или маленьким неуправляемы (не конфигурируемым) коммутатором как D-Link DGS-2205 на рис. 1. Или это может быть более продвинутый свитч с поддержкой технологий VLAN, иногда называемый управляемым, «умным» или многоуровневым коммутатором. Большие сети обычно состоят из множества коммутаторов, расположенных в разных местах.
Рисунок 1. Свитч D-Link без поддержки VLAN
Как заявлено ранее, свитч передает данные от одного устройства к другому на основе их MAC адреса. Ключевой вопрос – откуда свитч знает на каком порту расположен конкретный MAC адрес?
Даже самые простые свитчи умеют «учиться» — они читают MAC адрес устройства в заголовке фрейма и сохраняют его в таблице МАС адресов, расположенных в памяти. Если найден неизвестный МАС адрес в поле «источник», он добавляется в эту таблицы, привязываясь к определенному порту.
Рисунок 2. Таблицы MAC-адресов
Широковещательные сообщения
Важность VLAN особенно заметна, когда дело касается широковещательных сообщений. Широковещательные сообщения, или броадкасты, это фреймы (кадры) посылаемые всем устройствам на свитче. В большинстве случаев это нормальное и частое явление. Широковещательный домен – это набор устройств, которые получают одинаковые широковещательные сообщения. Малые сети обычно состоят из единственного широковещательного домена.
Каждое устройство в сети генерирует солидное количество широковещательного трафика. Широковещательное сообщение генерируется когда устройство пытается послать данные другому устройству, но не знает его МАС адрес назначения. Компьютер, который знает IP адрес другого компьютера но не знает ассоциированные с ним МАС адрес, так же будет посылать широковещательные сообщения. Такие типы броадкасты называются ARP (Address Resolution Protocol – протокол разрешения адресов) броадкастами.
Такие устройства, как компьютеры, будут собирать и поддерживать список IP адресов ассоциированных с МАС адресами в так называемом ARP-кеше. ARP-кеш является временным, может быть переписан и перестраивается каждый раз, когда компьютер включается. Вдобавок, записи устаревают через две минуты после добавления в операционных системах Windows XP и 2000.
На компьютере с ОС Windows вы можете посмотреть содержимое ARP-кеша с помощью команды arp –a выполненной в командной строке. В рис. 3 вы видите содержимое ARP-кеша моего компьютера, полученное с сетевого интерфейса.
Другой пример броадкастов, генерируемых компьютерами – DHCP запросы. DHCP (Dynamic Host Configuration Protocol) – протокол динамического назначения сетевых адресов. Компьютеры посылают широковещательное сообщение сервису DHCP всякий раз когда они включаются или подключаются к сети что бы получить IP адрес, если их сетевой адрес не был задан вручную.
Еще один источник броадкастов – сами свитчи. Когда на свитч приходит фрейм с неизвестным, т.е. отсутствующим в таблице МАС-адресов адресом назначения, свитч отправляет броадкасты на все порты за исключением того, с которого получен фрейм, ожидая от устройств отклика.
Устройство с соответствующим адресом ответит на броадкаст. Свитч проанализирует пришедший ответ и добавит новую запись в таблицу МАС-адресов для соответствующего порта. Как и на компьютерах, таблица МАС-адресов обычно хранится во временной памяти и перестраивается каждый раз после включения свитча.
IP мультикаст еще один источник броадкастов. Примером может служить потоковое видео, передающееся с использованием такой технологии, которое может занимать бОльшую часть доступной полосы пропускания. По этим соображениям, IP мультикаст зачастую отключен в больших сетях а так же выключен по умолчанию на потребительских маршрутизаторах.
Броадкаст может занимать значительную часть доступной полосы пропускания а так же поглощать драгоценное процессорное время. Каждое устройство в сети принимает броадкасты и должно анализировать и определять – отвечать или нет на каждый такой фрейм. С ростом сети автоматически увеличивается и широковещательный трафик.
И тут на сцену выходят VLAN – средство разбиения броадкаст-доменов. Броадкасты распространяются внутри VLANа и не передаются между ними. Сегментируя сеть на VLANы вы увеличиваете доступную пропускную способность сети, освобождаете ресурсы и улучшаете быстродействии, просто уменьшая количество широковещательного трафика.
Маршрутизаторы
Для деления широковещательных доменов предназначены и маршрутизаторы. Они работают на 3-м уровне, пересылая пакеты на основе их IP адресов, а не МАС-адресов. Получая фрейм на одном из своих Ethernet-интерфейсов (обычный сетевой порт), маршрутизатор отбрасывает заголовок с МАС-адресом и принимает решение о маршрутизации, основываясь на IP адресах отправителя и получателя.
Маршрутизация это неотъемлемая часть любой сети, состоящей из нескольких подсетей и играет ключевую роль в VLANах. VLANы могут быть настроены для каждой подсети в отдельности, требуя для обеспечения межсетевого взаимодействия маршрутизатор.
Например, сеть подсоединенная к интернету обычно использует граничный маршрутизатор — шлюз, обычно предоставляющий сервисы DHCP и NAT (Преобразование сетевых адресов). Если VLANы созданы в разных подсетях, тогда шлюз или другой маршрутизатор должен предоставлять эти сервисы для каждой виртуальной сети – VLAN. В больших локальных сетях, обеспечение маршрутизации между VLANами, а так же сегментации сети зачастую ложится на плечи коммутаторов 3-го уровня (называемых «multilayer» — «многоуровневыми»).
Так же VLANы можно настроить для использования одной подсети с целью изоляции различных устройств друг от друга. Я буду использовать модель с одной подсетью в статье, где SRW – управляемый свитч 2-го уровня и маршрутизатор Linksys RV042 (рис. 4) для доступа в Интернет. Так же маршрутизатор настроен как DHCP сервер и обеспечивает трансляцию адресов посредством NAT.
Рисунок 4. Маршрутизатор Linksys RV042
Практическая реализация
Теперь, когда вы начали понимать основы технологии VLAN, перейдем к веселой части! Я покажу, как разделить локальную сеть с одной подсетью на несколько изолированных сегментов. Это базовая техника использования VLAN добавляет дополнительные меры безопасности для клиентов и серверов, которые содержат конфиденциальные данные. Так же VLAN можно применять для обеспечения общего доступа к интернету в общежитиях или съемных апартаментах, одновременно изолируя сети жильцов друг от друга, позволяя им безопасно использовать собственные сетевые папки и принтеры не беспокоясь о любопытных соседях. Я уверен, вы самостоятельно сможете придумать множество применений.
Используем Linksys SRW2008 (Рис. 5) с 8-ю гигабитными портами и приятным веб-интерфейсом. Это коммутатор устройство 2-го уровня с обширным функционалом и большим количеством, включая поддержку VLAN.
Рисунок 5. Коммутатор Linksys SRW2008
Основные шаги по конфигурации VLAN:
1. Составьте план своей сети
3. Установите соответствие портов и VLANов.
4. Проверьте работоспособность VLAN
5. Примените необходимые настройки безопасности
Планирование
Самым важным процессом по внедрению технологии VLAN даже в малой сети является планирование. Необходимо описать все устройства и определить, в каком VLAN будет находиться каждое их них. На этапе планирования cетевой администратор должен тщательно обдумать компоненты, функции и типы трафика каждого элемента сети.
К коммутатору подсоединены 8 устройств, которые я буду использовать для демонстрации примера:
· 1 порт – маршрутизатор RV042
· 2 порт – WiFi маршрутизатор
· 3 порт – Windows Server on port 3
· 6 порт – сервер Linux VoIP
· 7 порт – шлюз VoIP ATA
Рис. 6 показывает первоначальное состояние сети.
Рисунок 6. Сеть перед делением на VLANы
Ни один из этих компонентов не поддерживает VLAN, т.е. они никак не помечают фреймы. Устройства с поддержкой VLAN, такие как коммутаторы и продвинутые сетевые карты, могут помечать принадлежность фрейма к определенному VLANу при помощи тегов с номером VLAN. Необходимо учитывать этот фактор при построении сети из нескольких коммутаторов.
Стандартная практика при построении VLAN состоит в том, что все VoIP устройства помещаются в отдельную VLAN что бы исключить интерференцию разнородного типа трафиков. Поэтому у нас будет:
· Data VLAN – для обмена данными
· VoIP VLAN – для голосового трафика
Необходимо предоставить всем устройствам доступ в интернет. Поэтому нужен:
· Internet access VLAN – общий доступ в Интернет.
Возможность включить порты сразу в несколько VLANов является ключевой для нашего примера.
Так же я собираюсь разрешить ноутбуку доступ ко всем VLAN и разрешить ему доступ к функциям управления SRW. Сам коммутатор (управляющий интерфейс) так же является членом сети и имеет IP адрес. Важно об этом помнить и включить его в соответствующий VLAN, что бы иметь доступ к интерфейсу управления коммутатором. Об этом позже.
Создание графического отображения сети – важная часть процесса планирования. Коммутатор SRW позволяет назначить устройствам на каждом порту имена, что является хорошим заделом на будущее при решении проблем возникающих в сети. Я потратил несколько минут что бы описать подключение всех моих устройств по физическим портам коммутатора. Затем на коммутаторе я впечатал в поле Description раздела меню Port Management (рис. 7) понятные имена для упрощения распознавания подключенных устройств.
Рисунок 7. Именование портов
(с) June 20, 2007 Doug Reid
(с) March 2010 перевод tchr