Rozdział sieci wewnętrznej na co najmniej dwie podsieci jest wskazany wszędzie tam, gdzie dopuszczamy możliwość podłączenia niezaufanych sprzętów. Niezależnie, czy mówimy tu o siedzibie firmy, czy łączu domowym. Wydzielenie sieci gościa niesie ze sobą szereg możliwości i jest jedną z kluczowych metod zabezpieczenia udziałów wewnątrz LAN.

Rozdział sieci a bezpieczeństwo

W przypadku sieci domowej najprostszym rozwiązaniem jest zakup routera WIFI, posiadającego funkcję automatycznego rozgłaszania sieci gościa. Dopuszczalną alternatywą jest użycie dwóch routerów i rozgłaszanie dwóch osobnych sieci WLAN. Dlaczego jednak warto dopłacić do takiego rozwiązania i w jaki sposób poprawia ono nasze bezpieczeństwo? Załóżmy, że do naszego domu przychodzą goście i podłączają do sieci domowej swoje urządzenia. W przypadku braku rozdziału na podsieci nowe urządzenia mogą bez żadnych utrudnień przeglądać dostępne udziały sieciowe, takie jak dane czy drukarki - jedynym narzędziem ich ochrony pozostaje logowanie. Okazać się jednak może, że podłączony do sieci niezaufany sprzęt posiada zainstalowane złośliwe oprogramowanie, które podejmie próbę siłowego wyłamania hasła, podsłucha ruch wewnątrz sieci, bądź wykradnie niezabezpieczone dane - wszystkich tych problemów pomoże uniknąć separacja sieci gościa.

Sieci VLAN w firmie

Bardziej zaawansowany podział sieci znajduje zastosowanie w sieciach firmowych. Tutaj również podstawową kwestią jest wydzielenie sieci gościa, do której będą mogli łączyć się pracownicy oraz goście sprzętami prywatnymi. Jednak warto pójść o krok dalej i dokonać podziału sieci produkcyjnej na VLANy. Virtual Local Area Network to programowo wydzielona podsieć w obrębie jednej sieci fizycznej. W praktyce pozwala ona - podobnie jak sieć gościa - pogrupować urządzenia i odizolować je od pozostałych grup. Podziału takiego można dokonać za pomocą wielu różnych kryteriów - często spotykany jest podział przypisujący osobny VLAN dla każdego działu firmy. W ten sposób przykładowo urządzenia z działu księgowości nie będą posiadały dostępu do udziałów sieciowych działu realizacji kontraktów, co ma kilka zalet. Po pierwsze, pozwala na ochronę wewnętrznych udostępnionych danych, oraz izoluje drukarki sieciowe, umożliwiając dostęp do nich jedynie pracownikom danego działu. Po drugie stanowi swoisty "zawór bezpieczeństwa" w przypadku ataku złośliwym oprogramowaniem. Niestety, mimo szeroko zakrojonych akcji uświadamiających ataki oprogramowaniem ransomware szyfrującym dyski lokalne, jak i wszelkie osiągalne udziały SMB nie należą do rzadkości - w przypadku rozdziału sieci szkody nie rozprzestrzenią się poza udziały w obrębie jednego VLANu. W zastosowaniach profesjonalnych nie bez znaczenia jest możliwość wprowadzenia QoS z podziałem na sieci VLAN. Oznacza to, że dostępną przepustowość łącza firmowego można podzielić poprzez stworzenie osobnych limitów. Pozwala to uniknąć sytuacji, w której nadmierne obciążenie sieci przez jeden z VLANów powoduje wysycenie całego łącza firmowego - ograniczony dostęp do połączenia będzie dotyczył tylko pozostałych klientów VLAN. Trzecią możliwością, jaką daje rozdział sieci, jest łatwe wprowadzenie różnych reguł filtrowania ruchu. Przykładowym zastosowaniem jest wydzielenie sieci pracowniczej z ograniczeniami dla portali społecznościowych oraz sieci dyrektorskiej z wyłączonymi ograniczeniami, jednak w odróżnieniu od sieci gościa posiadającej dostęp do udziałów firmowych.

Jak podzielić sieć?

W zastosowaniach profesjonalnych najprostszym rozwiązaniem jest podział na sieci wirtualne poprzez filtrację po adresach MAC. W przypadku urządzeń służbowych rotacje w sprzęcie występują stosunkowo rzadko, przez co aktualizacja przypisań nie nastręcza większych problemów. Oczywiście podziału można dokonać za pomocą szeregu innych parametrów. Słuszność ich zastosowania zależna jest od konkretnego przypadku. Niezależnie od metodyki podział sieci pozwala na uniknięcie wielu problemów, a odpowiednia konfiguracja sieci jest o wiele łatwiejsza i szybsza niż odzyskiwanie danych czy przywracanie sprawności sieci w przypadku ataku przez jedno z urządzeń pracowniczych.