- Сегментация сети – почему это важно?
- Для чего требуется сегментация сети?
- Популярные методы выполнения сегментации сети
- 17. Что такое сегментация сети и для чего она необходима
- 18. Для чего нужна маска сети и как она рассчитывается
- 19. Чему равна пропускная способность Fast Ethernet 0/1 и Gigabit Ethernet 0/2
- 20. Назовите основные принципы статической маршрутизации
- 21. Назовите основные принципы динамической маршрутизации
Сегментация сети – почему это важно?
Давайте для начала разберемся, что же такое сегментация сети. Это важный инструмент защиты информации, который позволяет уменьшить площадь атаки при проникновениях в сеть, а также способ защититься от таких атак с отказом в обслуживании как бродкастный шторм (слишком большое количество широковещательных запросов в единицу времени).
Для чего требуется сегментация сети?
Чтобы снизить риск на получения ущерба от злоумышленников в корпоративных инфраструктурах существует сегментация сети. Этот процесс помогает уменьшить вероятность повреждения данных, тем самым снизив многие риски информационной безопасности.
Сегментация сети выполняет разделение юзеров на различные сетевые группы, которые изолированы друг от друга. В зависимости от политик сегментации (которые чаще всего регламентируются департаментом ИБ), обмен информацией между группами может строго контролироваться, а также быть недоступным.
Политика безопасности компаний определяет некие принципы, которые позволяют подразделить сотрудников на некоторые подгруппы: гость, временный персонал, сотрудник. А также представленные подгруппы, можно разделить на группы, к примеру: рядовой работник, руководитель и так далее.
Сегментацию сети желательно выполнять при полной реализации бизнес-процессов. К таким процессам относится выдача доступа к сети интернет пользователям, не состоящих в рядах работников компании, так сказать, гостевым юзерам. Помимо гостей, к сети также требуется подключение различных устройств, которые используются в другой организации. А также возможно привести еще один пример с использованием сегментации сети, это разграничение доступа между работниками, которые используют одну сеть. Таковых сценариев может быть очень много.
Популярные методы выполнения сегментации сети
Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:
- Определить, действительно ли пользователь принадлежит той или иной группе в сети;
- Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других;
- Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию.
Решением первой задачи является использование технологии802.1x в корпоративных сетях — то есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть.
Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д — отдельный серверный сегмент, отдельная DMZ и пр.
Для решения третьей задачи обычно используется фильтрация на основе IP-адресов. Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. Это реализуется с помощью листов контроля доступа — обычных, расширенных и динамических.
Ограничения традиционных методов сегментации
Если использовать популярные подходы для исправления второй и третьей задачи, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть. Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. Например, могут отличаться:
- Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний;
- Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
- Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети;
Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств — то есть сегментация это не единовременная операция, а постоянный и очень важный процесс. На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec. Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.
17. Что такое сегментация сети и для чего она необходима
· Сегментация сети-это практика разбиения больших сетей или сред на более мелкие части или сети, иногда вплоть до самого хоста.
· Сегментация сети предотвращает распространение или перемещение злоумышленников, или угроз в сторону, в центрах обработки данных, облаках или кампусных сетях. Угроза будет содержаться в сетевом сегменте или сегменте хоста, который был создан, поэтому злоумышленники не смогут перемещаться в другие части среды. Небольшие инциденты безопасности сдерживаются, что означает, что организации лучше защищены от нарушений.
18. Для чего нужна маска сети и как она рассчитывается
· Используется для сегментации существующего IP-адреса в сети TCP/IP, разделяя его на отдельный сетевой адрес и адрес хоста. Подсети могут дополнительно подразделять хост-часть IP-адреса на подсети для маршрутизации трафика в более крупных подсетях.
· 256 — число необходимых узлов — 2 (?) (так как один IP-адрес (первый в задаваемом маской диапазоне) является IP-адресом подсети и ещё один IP-адрес (последний в задаваемом маской диапазоне) является широковещательным адресом (для отправки данных всем узлам подсети).
19. Чему равна пропускная способность Fast Ethernet 0/1 и Gigabit Ethernet 0/2
· Fast Ethernet (FE) — это термин для Ethernet в вычислительных сетях, описывающий передачу трафика со скоростью 100 Мбит / с.
· Gigabit Ethernet (GE) обеспечивает скорость 1000 Мбит / с в вычислительных сетях, отсюда и название Gigabit
20. Назовите основные принципы статической маршрутизации
· Принцип 1: маршрутизаторы пересылают пакеты только на основе информации, содержащейся в их таблицах маршрутизации.
· Принцип 2: Информация о маршрутизации на одном маршрутизаторе не означает, что другие маршрутизаторы в домене имеют ту же информацию.
o R1 не знает об информации в таблице маршрутизации R2. То же самое можно сказать о R2 и R3. Поэтому тот факт, что R1 имеет путь к сетям, подключенным к R2 и R3, не означает, что R2 и R3 имеют одинаковую информацию.
· Принцип 3: Маршруты на маршрутизаторе к удаленной сети не означают, что удаленный маршрутизатор имеет обратные пути.
· Этот принцип означает, что при настройке маршрута на одном маршрутизаторе удаленный маршрутизатор должен быть настроен с обратным маршрутом. Большая часть связи является двунаправленной, это означает, что на каждое сообщение, которое мы отправляем, ожидается ответ.
21. Назовите основные принципы динамической маршрутизации
· Протоколы динамической маршрутизации могут автоматически отслеживать изменения в топологии сети.
· При использовании протоколов динамической маршрутизации, администратор сети конфигурирует выбранный протокол на каждом маршрутизаторе в сети
· После этого маршрутизаторы начинают обмен информацией об известных им сетях и их состояний. Причем маршрутизаторы обмениваются информацией только с теми маршрутизаторами, где запущен тот же протокол динамической маршрутизации.
· Когда происходит изменение топологии сети, информация об этих изменениях автоматически распространяется по всем маршрутизаторам, и каждый маршрутизатор вносит необходимые изменения в свою таблицу маршрутизации.