Сегмент сети
Сегме́нт сети (в информатике) — логически или физически обособленная часть сети.
Разбиение сети на сегменты осуществляется с целью оптимизации сетевого трафика и/или повышения безопасности сети в целом.
Физическое разделение
Как правило, физический сегмент сети ограничен сетевым устройством, обеспечивающим соединение узлов сегмента с остальной сетью:
-
или коммутаторы (2-й уровень в модели OSI) (3-й уровень в модели OSI)
Физический сегмент сети является доменом коллизий. Устройства, работающие на первом уровне модели OSI (повторители или концентраторы), домен коллизий не ограничивают.
Логическое разделение
Широко практикуется разделение сети, основанной на протоколе IP, на логические сегменты, или логические подсети. Для этого каждому сегменту выделяется диапазон адресов, который задается адресом сети и сетевой маской. Например (в CIDR записи):
- 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 и т. д. — в каждом сегменте до 254 узлов
- 192.168.0.0/25, 192.168.128.0/26, 192.168.172.0/27 — в сегментах до 126, 62, 30 узлов соответственно
Логические подсети соединяются с помощью маршрутизаторов.
Литература
-
(англ.) Classless Inter-domain Routing (CIDR): The Internet Address Assignment and Aggregation Plan
- Компьютерные сети
- Маршрутизация
- TCP/IP
Wikimedia Foundation . 2010 .
Полезное
Смотреть что такое «Сегмент сети» в других словарях:
сегмент сети ethernet — (МСЭ T G.8010/ Y.1306). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN ETH segmentETHS … Справочник технического переводчика
Сегмент — (от лат. segmentum отрезок, полоса, от seco режу, рассекаю) часть чего либо. В математике Сегмент, или отрезок множество точек прямой, включающее свои концы. Сегмент (геометрия) плоская фигура, заключённая между … Википедия
СЕГМЕНТ РЫНКА ЦЕЛЕВОЙ — Сегмент, в наибольшей степени соответствующий возможностям организации и особенностям развития рынка. К выбору целевых сегментов рынка предъявляется ряд требований: сегмент должен быть однороден. Для сокращения постоянных и переменных издержек… … Словарь бизнес-терминов
сегмент внутренней магистрали — Сегмент, внутренней магистрали гибридного концентратора System 3000 или System 5000, используемый для организации кластеров из различных хост модулей одного сегмента, кольца или сети FDDI. [http://www.lexikon.ru/dict/net/index.html] Тематики… … Справочник технического переводчика
сегмент распространения — Часть битового времени, используемая для компенсации физических задержек сигнала в сети. Полное время задержки включает в себя время распространения сигнала по шине и время внутренней задержки сигнала в узлах сети. [http://can… … Справочник технического переводчика
сегмент — 1. Электронное соединение между двумя сетевыми устройствами. 2. В структурированных сетях физический набор оконечных станций (пользователи и элементы сети), формирующих область коллизий Ethernet. Границы области коллизий определяются мостами или… … Справочник технического переводчика
сегмент синхронизации — Часть битового времени, служащая для синхронизации различных узлов сети. В пределах сегмента синхронизации ожидается появление фронта сигнала. [http://can cia.com/fileadmin/cia/pdfs/CANdictionary v2 ru.pdf] Тематики сети вычислительные EN sync… … Справочник технического переводчика
сегмент (в информационных технологиях) — сегмент 1. Применительно к передаче данных — единица информации на транспортном уровне (L4). 2. В локальной сети сегментом называют домен коллизий. 3. Область оперативной памяти. Во времена 20 разрядной адресации памяти с помощью 16… … Справочник технического переводчика
сегмент ЛВС — Часть ЛВС, отделенная от других частей ЛВС с помощью одного или нескольких мостов, маршрутизаторов, повторителей или коммутаторов. [http://www.lexikon.ru/dict/net/index.html] Тематики сети вычислительные EN LAN segment … Справочник технического переводчика
сегмент управления — подсистема контроля и управления (ПКУ) Часть ГНСС, состоящая из расположенной на земле сети наземных станций, выполняющих непрерывные наблюдения всех спутников созвездия, передающая им обновленную информацию и управляющая их полетом. [РТМ 68 14… … Справочник технического переводчика
Устройства для объединения и структурирования сетей
В данной статье будут рассмотрены устройства при помощи которых становится возможным функционирование локальных вычислительных сетей. Сеть может быть разбита на сегменты. Сегмент сети представляет собой часть компьютерной сети. Характер и степень сегментации сети зависит от природы сети и устройства или устройств, используемых для соединения конечных станций.
Сегмент сети — логически либо физически обособленная часть сети. Разбиение сети на сегменты в основном используется с целью оптимизации сетевого потока и/либо увеличения уровня защищенности сети в целом.
Физическое разделение
Как правило, физический сегмент сети ограничен сетевым устройством, обеспечивающим соединение узлов сегмента с остальной сетью:
- Мосты или коммутаторы (2-й уровень в модели OSI);
- Маршрутизаторы (3-й уровень в модели OSI).
- Физический сегмент сети является домен коллизии. Устройства, работающие на первом уровне модели OSI (повторители или концентраторы), домен коллизий не ограничивают.
Логическое разделение
Широко практикуется разделение сети, основанной на протоколе IP, на логические сегменты, или логические подсети. Для этого каждому сегменту выделяется диапазон адресов, который задается адресом сети и сетевой маской. Например (в CIDR записи):
- 10.100.1.0/24, 10.100.2.0/24, 10.100.3.0/24 и т. д. — в каждом сегменте до 254 узлов;
- 10.10.0.0/25, 10.10.10.0/26, 10.10.10.0/27 — в сегментах до 126, 62, 30 узлов соответственно.
Логические подсети соединяются с помощью маршрутизаторов.
Устройства объединения сетей обеспечивают связь между сегментами локальных сетей, отдельными ЛВС и подсетями любого уровня. Существуют следующие классы устройств для объединения и сегментации сетей:
Концентратор (hub, хаб)
Концентратор — работает на первом (физическом) уровне модели OSI. Объединяет сеть в сегмент на физическом уровне (домен коллизии). Также концентратором называют сетевое устройство первого уровня модели OSI. Суть работы концентратора проста: любой пакет приходящий на произвольный порт концентратора, передается на все порты, кроме порта, откуда пакет пришел. Использование концентраторов в современных сетях нежелательно, поскольку устройство забивает сеть излишними широковещательными пакетами. По этой причине, рекомендуется использовать коммутаторы.
Коммутатор (switch, свич, свитч)
Коммутатор — работает на втором (канальном) уровне модели OSI. Соединяет несколько узлов компьютерной сети в пределах одного или нескольких физических сегментов сети. Также коммутатором называют сетевое устройство второго уровня модели OSI. Коммутатор передаёт данные только непосредственно получателю, в отличии от концентратора. Это повышает производительность (уменьшает количество широковещательных запросов) и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались.
Маршрутизатор (router, рутер, роутер)
Работает на третьем (сетевом) уровне модели OSI. Пересылает пакеты данных между различными сегментами сети (физическими или логическими). Также маршрутизатором называют сетевое устройство третьего уровня модели OSI. Обычно маршрутизатор использует адрес получателя (IP-адрес), указанный в пакетных данных, и определяет по таблице маршрутизации путь, по которому следует передать данные, тем самым организуется перенаправление и оптимизация потока данных. Если в таблице маршрутизации для адреса нет описанного маршрута, пакет отбрасывается. В роли маршрутизатора может использоваться как отдельное сетевое устройство, так и обычный компьютер, у которого в наличии как минимум две сетевые карты и он настроен на выполнение функций маршрутизации.
Межсетевые интерфейсы (gateways, шлюз, шлюзы)
Объединяют сети на прикладном уровне и используют функциональные возможности всех нижележащих уровней. Сетевой шлюз конвертирует протоколы одного типа физической среды в протоколы другой физической среды (сети). Например, при соединении локального компьютера с сетью Интернет вы используете сетевой шлюз.
Контроль над многооблачными средами
Обеспечьте использование любых платформ и средств для безопасного, согласованного и быстрого развертывания приложений в любом облаке.
Подключение и защита ПО и облаков
Предоставляйте средства защиты и сеть как распределенные сервисы для пользователей, ПО, устройств и рабочих нагрузок в любом облаке.
Работа ПО в любых средах
Используйте корпоративные приложения и сервисы платформ в нужном масштабе в различных облаках, ЦОД и граничных средах.
Автоматизация/оптимизация ПО/облаков
Унифицированное управление и визуализация производительности и расходов обеспечивают согласованную эксплуатацию приложений и среды.
ПО на любом устройстве
Обеспечьте продуктивность распределенных сотрудников благодаря безопасному доступу к приложениям с любого устройства.
Распределенная рабочая область
Безопасный доступ к ПО с любых устройств
Платформа приложений
Создание и использование облачного ПО
Облачные и граничные среды
Работа ПО в любых средах
Управление облаком
Автоматизация и оптимизация ПО и облаков
Гипервизор для настольных ПК
Управление ПО в локальной песочнице
Безопасность и сеть
Подключение и защита программ и облаков
Решения VMware в любых облаках и средах по всему миру
В публичных и гибридных облаках
В частных облаках и HCI
Решения
Распределенная рабочая область
Безопасный доступ к ПО с любых устройств
Платформа приложений
Создание и использование облачного ПО
Облачная инфраструктура
Работа ПО в любых средах
Управление облаком
Автоматизация и оптимизация ПО и облаков
Граничная инфраструктура
Многооблачные граничные среды
Возможности подключения для ПО и облаков
Безопасность
Безопасность приложений и облаков
По отраслям
Управление многооблачной средой
Упрощение многооблачной среды благодаря сервисам для создания, использования, контроля и защиты любого ПО в любом облаке.
Для заказчиков
Для партнеров
Сотрудничество с партнерами для успеха заказчиков
Узнайте, как мы помогаем компаниям перейти к многооблачной среде.
Инструменты и обучение
Услуги
Поддержка
Marketplace
Блоги и сообщества
Заказчики
События
Сегментация сети
Что такое сегментация сети?
Сегментация сети — метод обеспечения безопасности сети, который заключается в разделении сети на более мелкие отдельные подсети. При этом специалисты по сети могут распределять эти подсети по сегментам и предоставлять уникальные средства и службы управления безопасностью для каждой из них.
Процесс сегментации сети включает в себя разделение физической сети на разные логические подсети. После разделения сети на более мелкие и удобные в управлении единицы средства управления применяются к отдельным распределенным сегментам.
Подробности о микросегментации читайте в информативной книге.
Связанные темы
- Модель безопасности нулевого доверия
- Безопасность сети
- Микросегментация
Преимущества сегментации сети
Сегментация сети предоставляет уникальные службы безопасности для каждого сегмента сети, повышая уровень контроля сетевого трафика, оптимизируя производительность сети и улучшая систему безопасности.
Сначала рассмотрим повышение безопасности. Общеизвестно, что уровень безопасности определяется самой уязвимой точкой. Крупная одноуровневая сеть неизбежно имеет большую площадь атаки. Однако если крупная сеть разделена на более мелкие подсети, изоляция сетевого трафика внутри подсетей уменьшает площадь атаки и препятствует горизонтальному распространению угроз. Таким образом, если периметр сети нарушен, сегментированная сеть не позволяет злоумышленникам перемещаться по сети горизонтально.
Кроме того, сегментация предоставляет логический способ изолировать активную атаку до того, как она распространится по сети. Например, сегментация гарантирует, что вредоносное ПО в одном сегменте не повлияет на системы в другом. Создание сегментов ограничивает дальность распространения атаки и сокращает площадь атаки до абсолютного минимума.
Теперь поговорим о производительности. Сегментация снижает перегрузку сети, что повышает ее производительность за счет устранения ненужного трафика в определенном сегменте. Например, медицинское оборудование в больнице может находиться в сегменте, отделенном от сети посетителей, чтобы на него не влиял трафик просмотра веб-сайтов гостевыми пользователями.
В результате сегментации сети требуется меньше узлов для каждой подсети, минимизируется локальный трафик каждой подсети, а внешний трафик ограничивается только предназначенным для подсети.
Каковы принципы работы сегментации сети?
Сегментация сети обеспечивает создание нескольких изолированных сегментов в пределах более крупной сети, каждый из которых может иметь различные требования к безопасности и политику защиты. Эти сегменты содержат приложения или конечные устройства определенного типа с одинаковым уровнем доверия.
Есть несколько способов сегментации сети. Мы рассмотрим сегментацию на основе периметра, реализуемую с использованием сетей VLAN, а затем сегментацию, выполняемую на более глубоком уровне сети с помощью методов виртуализации сети.
Сегментация на основе периметра
Сегментация на основе периметра предусматривает создание внутренних и внешних сегментов на основе доверия: система доверяет элемента, которые являются внутренними по отношению к сетевому сегменту, и не доверяет внешним элементам. В результате применяются несколько ограничений в отношении внутренних ресурсов, которые обычно работают в одноуровневой сети с минимальной внутренней сегментацией. Фильтрация и сегментация выполняются в фиксированных точках сети.
Изначально виртуальные локальные сети были введены для разделения широковещательных доменов с целью повышения производительности сети. Со временем они стали использоваться в качестве средства безопасности, хотя никогда не предназначались для подобного применения. Проблема виртуальных локальных сетей заключается в том, что они не предоставляют возможности внутренней фильтрации и имеют очень широкий уровень доступа.
Кроме того, для перемещения между сегментами требуется политика. С помощью политики можно либо остановить поток трафика из одного сегмента в другой, либо ограничить его (в зависимости от типа, источника и пункта назначения трафика).
Сетевой брандмауэр — это распространенное средство, используемое для сегментации на основе периметра. Изначально он использовался для управления движением вертикального сетевого трафика, разрешая при этом взаимодействие между всеми компонентами в пределах сегмента.
Виртуализация сети
В настоящее время многие организации поддерживают множество сетевых областей с конкретными функциями, требующими сегментации в многочисленных сетевых точках. Кроме того, теперь существует множество типов конечных устройств, которые должна поддерживать сеть, и каждый из этих типов имеет различные уровни доверия.
В связи с этим сегментации на основе периметра уже недостаточно. С появлением, например, облачных и мобильных технологий, а также стратегий использования личных устройств периметр теперь не имеет четких точек разграничения. Теперь нам требуется более глубокая сегментация сети, чтобы достичь более высокого уровня безопасности и производительности сети. Более того, при современных моделях горизонтального трафика требуется еще большая сегментация сети. Именно здесь становится полезной виртуализация сети, поскольку она выводит процесс сегментации на новый уровень.
Простейшая форма виртуализация сети — это предоставление сетевых служб и служб безопасности независимо от физической инфраструктуры. Обеспечивая сегментацию в пределах всей сети, а не только по периметру, виртуализация сети играет важную роль в эффективной сегментации. Фактически сегментация на основе периметра, к которой мы привыкли, теперь виртуализирована и распределена — наряду с гибкими детализированными политиками безопасности, — охватывая каждый сегмент сети.
Сегментация сети для самых маленьких
Цель статьи: показать базовый подход к сегментации сети компании при разработке новых либо модернизации текущих автоматизированных систем.
В статье рассмотрим:
Демилитаризованная зона (DMZ, уровень I)
Начнем рассмотрение принципов межсетевого экранирования и сегментации сети со следующей схемы:
Пограничный маршрутизатор — соединяет нашу корпоративную сеть с пограничным межсетевым экраном, фильтрует трафик по ACL на 3-м уровне модели OSI;
Межсетевой экран — защищает сеть на 4-м уровне модели OSI, «терминирует» соединения;
Балансировщик нагрузки — ПО, выполняющее распределение нагрузки между веб серверами, расшифрование HTTPS трафика;
Веб сервер — первичный сервер реализующий обработку входящих запросов.
Зона (зона безопасности) — набор сегментов сети содержащих серверы одного назначения, например, сегменты содержащие только базы данных, или сегменты содержащие только персональные рабочие станции, и т.д.
DMZ — сегмент сети, предназначенный для размещения сетевых устройств взаимодействующих с внешними сетями, в частности с сетью интернет.
Логическая схема одноуровневой сети:
Первый уровень
На картинке стрелка означает наличие сетевого доступа с IP адресом источника от того сетевого устройства от которого стрелка отходит, и с IP адресом назначения того сетевого устройства к которому стрелка направлена. Двухсторонняя стрелка соответственно будет означать наличие двух правил межсетевого экранирования в таблице правил межсетевого экранирования.
Давайте посмотрим как будут выглядеть правила межсетевого экранирования при прохождении обоих межсетевых экранов уровня сети:
Правила межсетевого экранирования
Где HTTP — это транспортный протокол TCP и порт стандартный — 80-й.
Как видим правила 2, правила могут быть как и идентичными, так и более широкими у того межсетевого экрана из-за которого трафик выходит, а более точечными за межсетевым экраном который трафик принимает. Так проще писать правила на межсетевом экране из-за которого трафик выходит, достаточно написать одно правило и если серверов много, то множество дублирующих правил писать не потребуется. То есть допустимы и такие правила:
Максимально широкие правила
Вот мы заодно рассмотрели и как понять какое правило межсетевого экранирования требуется написать.
С точки зрения практической безопасности, бОльшую роль играет тот факт, что балансировщик нагрузки и веб сервер — это те сетевые устройства, в которых наверняка почти сразу будут найдены уязвимости, а в случае нахождения уязвимостей удаленного выполнения кода (RCE) злоумышленник сможет получить высокие права в операционной системе. В таком случае если бы на сервере была база данных, то злоумышленник достаточно быстро смог бы до нее добраться.
Так же веб сервер выполняет первичную проверку данных на соответствие каким-то правилам и стандартам: как внутренним так и общеизвестным, например, XML проверяются по DTD , а сами полезные данные, на соответствие форматам данным, например, проверка того, что в поле для чисел пользователь вписал действительно числа, а не только символы.
Грубо говоря, в демилитаризованной зоне размещается то, что не жалко потерять, что потенциально может быть легко скомпрометировано.
Давайте пойдем дальше и перейдем к сегменту приложений (APP).
Сегмент приложений (APP, уровень II)
После первичной проверки, данные можно передавать веб приложению, выполняющее основную логику сервиса и размещенное на отдельном сервере:
Второй уровень сети
Схема для удобства упрощена до 3-х серверов:
Сервер с балансировщиком нагрузки;
Сервер с веб сервером;
Сервер с веб приложением.
Обратим внимание на пунктирную линию, она показывает следующее: все что за демилитаризованной зоной, является милитаризованной зоной, защищаемой другим межсетевым экраном. Отдельный межсетевой экран важен по следующей причине: если из сети интернет будет перегружен пограничный межсетевой экран, то вся сеть перестанет работать, он не сможет пропускать через себя трафик сегментов второго уровня. Если у нас 2 межсетевых экрана, то внутреннее взаимодействие при отказе пограничного межсетевого экрана сохранится:
Последствия DDoS пограничного МЭ
Чтобы больше понять что же такое сегмент, а что такое зона, усложним схему: представим, что наша компания разрешает аутентификацию пользователей через внешнего провайдера аутентификации, пускай это будет Единая система идентификации и аутентификации (ЕСИА). В таком случае? у нас появляется еще один сервис помимо того, что у нас уже имеется — сервис аутентификации:
Усложненная схема
Как видим, пунктирный прямоугольник логически объединяет все сетевые сегменты уровня 2 — сегменты приложений, в данном примере в каждом из сегментов по одному серверу.
В демилитаризованной зоне у нас так же 2 сетевых сегмента, в исходном размещено 2 сервера, в новом — 1.
Давайте вернемся к упрощенной схеме с одним сервисом. Давайте взглянем на наше монолитное приложение с огромным количеством строк кода в разрезе сервера:
Монолитная архитектура
Мы видим, что на серверах могут быть размещены какие-то файлы необходимые для работы приложений, могут быть запущены сами приложения. Давайте представим, что у нас не одно монолитное приложение, а множество маленьких приложений и все они вместе решают всё ту же задачу, только размещены на разных серверах:
Микросервисная архитектура
Теперь у изначального сервиса может в единственном сетевом сегменте приложений быть уже N серверов.
Мы можем разрабатывать наши сервисы так:
Один DMZ только для входящих соединений из внешних сетей;
Другой DMZ только для исходящих соединений.
Такая хитрость позволит уменьшить возможные векторы атаки на нашу базу данных, но увеличит количество серверов и правил межсетевого экранирования:
2 типа DMZ
Как видим на картинке у нас есть DMZ 1 и DMZ 2. Например, в случае компрометации балансировщика, злоумышленник не сможет атаковать серверы в DMZ 2 из-за отсутствия правил разрешающих трафик, злоумышленнику сначала придется найти уязвимость в веб приложении в сегменте приложений, получить высокие привилегии в операционной системе сервера с веб приложением и только потом он сможет атаковать серверы в DMZ 2.
В таком случае становится возможным разрешить исходящие доступы во внешние сети из сегментов уровня 2 — APP минуя DMZ, так как особо демилитаризованная зона не дает какой-либо защиты:
APP -> внешние сети
При этом стоит предполагать, что доступ открывается на известные DNS имена, а не на IP адреса либо во весь интернет. IP адрес может быть выдан нескольким владельцам, один из которых окажется злоумышленником То есть создавать можно только точечные доступы до доверенных сервисов в сети интернет.
Сегмент баз данных (DB, уровень III)
В процессе работы с данными, их необходимо где-то хранить, это могут быть различные базы данных SQL и no-SQL, файловые хранилища, каталоги LDAP, хранилища криптографических ключей, паролей и т.д.
Так мы переходим к зоне третьего уровня — DB.
Третий уровень, уровень данных
На картинке не нарисован третий межсетевой экран, давайте представлять, что пересечение прямоугольника показывающего границы сегмента сети = пересечение межсетевого экрана, то есть считаем, что любое перемещение трафика между сегментами это прохождение трафика через межсетевой экран. Упрощенная схема:
Третий уровень, уровень данных (без сетевых устройств)
Если есть желание отображать межсетевые экраны, их можно рисовать так:
Отображение межсетевых экранов цветами
Так мы не сильно нагружая картинку показываем за каким межсетевым экраном какие сегменты находятся. Изображать можно и как-то иначе, например, выделяя сегменты определенным цветом.
Межсервисное взаимодействие
Межсервисное взаимодействие — взаимодействие серверов разных сервисов между собой. Такое взаимодействие должно предусматривать правила взаимной аутентификации серверов между собой и правила межсетевого экранирования.
Идеальная ситуация если в организации между серверами сервисов взаимодействие происходит всегда через демилитаризованную зону:
Идеальное межсервисное взаимодействие
Теперь представим, что мы достаточно безопасно настроили каждый сервер и приложения, мы доверяем администраторам, у нас имеются средства защиты серверов, двухсторонняя усиленная аутентификация и т.д. Так же в случае если в организации объявить такую политику, то администраторы, архитекторы сервисов вместо разработки сервисов по объявленной политике, в DMZ будут размещать безусловные прокси серверы, которые просто будут проксировать трафик между сегментами DMZ 1 и DMZ 2 без какой-либо проверки. То есть политика будет исполняться лишь формально.
В таком случае, логичным будет разрешить такие взаимодействия:
Межсервисное взаимодействие с учетом рисков
То есть мы разрешаем условно любые взаимодействия между зонами DMZ и APP всех сервисов внутри компании.
При этом, доступ в базу данных чужого сервиса нельзя разрешать ни в коем случае.
В итоге мы получаем такой перечень основных базовых правил определения возможности предоставления сетевого доступа:
Правила межсетевого взаимодействия
Бонус
Если вы дочитали до конца, Вам может быть интересен проект Network-segmentation-cheet-sheet