Сегментация сети: практическая защита сложной инфраструктуры⁠⁠

🔒 Сегментация сети: практическая защита сложной инфраструктуры

Единая сеть без сегментации уязвима: взлом одного устройства открывает доступ ко всем системам, включая серверы, базы данных, приложения. В компаниях, где разные системы размещены на одном гипервизоре, сегментация усложняется из-за их зависимостей и разной критичности. Разделение сети на зоны ограничивает угрозы, упрощает мониторинг и предотвращает неконтролируемое распространение трафика.

🧩 Подготовка к сегментации
Сегментация начинается с инвентаризации всех устройств, серверов и приложений с учетом их критичности: Active Directory и бухгалтерия — высокая, гостевой Wi-Fi — низкая.

📊 Для выявления взаимодействий трафик анализируют с помощью инструментов вроде Wireshark или NetFlow. Exchange требует доступа к Active Directory по протоколам LDAP (порты 389, 636), Kerberos (порт 88) и DNS (порт 53). Такие зависимости определяют структуру сети, чтобы сохранить работоспособность при разделении.

🗂 План сегментации
Разделение сети начинается с логического разграничения, без необходимости изменений физической инфраструктуры. Сеть делится на зоны по функциональности и критичности:

- 🌐 DMZ: изолирует внешние сервисы, такие как почта и веб-сервисы, без прямого доступа к внутренней сети — чтобы минимизировать риски компрометации.

- 🔐 Trusted: включает критичные системы, такие как Active Directory, ERP и бухгалтерия, требующие строгой защиты.

- 📶 Untrusted: охватывает гостевые устройства и тестовые среды с минимальным доступом.


Эти зоны формируют основу сегментации, позволяя чётко разграничить доступ и контролировать трафик. Между зонами используется межсетевой экран нового поколения (NGFW), поддерживающий фильтрацию не только по портам, но и на уровне приложений (L7) 🧠.

📌 Такой подход позволяет блокировать нежелательный трафик даже при использовании допустимых портов — например, фильтровать по типу HTTP-запросов или протоколу внутри TLS.

🏗 Архитектура сети
На гипервизоре виртуальные машины подключаются к разным VLAN через виртуальные сетевые интерфейсы (vNIC), управляемые виртуальным коммутатором (vSwitch).

💾 Exchange размещается в VLAN 10 (DMZ), Active Directory — в VLAN 20 (Trusted). Трафик между ними фильтруется NGFW, разрешающим только указанные порты.

Для критичных систем рекомендуется отдельный физический сервер, чтобы исключить риски гипервизора. Списки контроля доступа (ACL) на vSwitch ограничивают взаимодействие виртуальных машин.

⚠️ Защита от скрытых угроз
Атака VLAN Hopping позволяет злоумышленнику переключаться между VLAN при некорректной настройке коммутаторов. Устраняется отключением Dynamic Trunking Protocol и явным указанием разрешённых VLAN на портах.

🔒 Устройства, не поддерживающие 802.1X, авторизуются по MAC-адресам, но подмена MAC возможна. Настройка ARP Inspection и Port Security на коммутаторах снижает риски подобных атак.

⚙️ В промышленных системах (АСУ ТП) протоколы вроде Modbus или CIP уязвимы к манипуляциям. Специализированные системы обнаружения вторжений (IDS), ориентированные на OT-протоколы, отслеживают аномалии — например, попытки изменения параметров оборудования. Зеркалирование портов (SPAN) помогает анализировать трафик в реальном времени и выявлять несанкционированный доступ.

🧠 Управление сложной инфраструктурой
В сложной инфраструктуре сегментация начинается с изоляции некритичных систем, таких как гостевой Wi-Fi, с минимальными изменениями.

🙅‍♂️ Человеческий фактор, например случайное открытие порта на NGFW, устраняется регулярным аудитом логов и настройкой алертов на несанкционированные изменения. Постепенное внедрение сегментации позволяет тестировать изменения, снижая риски сбоев.

🚧 Микросегментация — следующий уровень защиты после классической сегментации, особенно для плотных сред (виртуализация, облака) или систем с максимальной критичностью. Внедряется постепенно, начиная с наиболее ценных активов (AD, базы данных).