Сегментация и пивотинг (для понимания защиты)

Разбираем, зачем делить сеть на изолированные сегменты и почему плоская сеть позволяет атакующему свободно перемещаться — чтобы выстроить барьеры.

Сегментация сети — разделение единой сети на изолированные зоны с контролируемыми переходами между ними, чтобы доступ к одной части не означал автоматического доступа ко всей сети.

Многие сети устроены «плоско»: бухгалтерия, серверы, камеры видеонаблюдения и гостевой Wi-Fi живут в одном адресном пространстве и свободно видят друг друга. Это удобно настраивать, но опасно: захватив одну скромную машину, атакующий получает сетевую видимость до всего остального. Сегментация ломает этот сценарий. Чтобы её грамотно спроектировать, защитнику полезно понимать, как именно используют её отсутствие.

Зачем это знать защитнику

Пивотинг — это перемещение атакующего от уже захваченного узла к новым целям, используя его как плацдарм. Понимая логику пивотинга, вы проектируете сеть так, чтобы каждый такой шаг упирался в межсетевой экран и фиксировался в логах. Цель защитника — не сделать проникновение невозможным (абсолюта не бывает), а замедлить продвижение и сделать его шумным.

Как используют отсутствие сегментации

Латеральное перемещение

В плоской сети после захвата одной машины атакующий сканирует соседей и ищет, к чему ещё может подключиться теми же учётными данными. Если повсюду открыты порты администрирования и используются одинаковые локальные пароли, переход на следующую машину тривиален. Так компрометация рядового ноутбука превращается в путь к серверам.

Пивотинг как принцип

Если напрямую до внутреннего сервера атакующему не дотянуться, он использует захваченную машину как «трамплин»: маршрутизирует через неё трафик к недоступной снаружи зоне. Концептуально это выглядит как туннель «через занятый узел вглубь сети».

# Концепция пивотинга (лаборатория, без реальных целей)
[Атакующий] ──▶ [Узел A: захвачен] ──▶ [Сегмент серверов: напрямую недоступен]
                       ▲ используется как плацдарм для доступа дальше
# Защита: между A и сегментом серверов должен стоять firewall с журналированием

Вывод для защитника один: каждый «прыжок» должен пересекать контролируемую границу. Если между сегментами стоит межсетевой экран, который пропускает только нужные порты и пишет журнал, пивотинг либо блокируется, либо оставляет заметный след.

Как это работает под капотом

Сетевая видимость определяется маршрутизацией и правилами фильтрации. В одной подсети узлы общаются напрямую на канальном уровне — фильтровать такой трафик нечем. Как только мы разносим группы по разным подсетям/VLAN и заставляем трафик между ними идти через маршрутизатор с правилами, у нас появляется точка, где можно разрешать, запрещать и логировать. Безопасность сегментации — это, по сути, ответ на вопрос «кто с кем вообще имеет право разговаривать», вынесенный в явные правила.

# Иллюстрация мышления правил (псевдоконфиг, не для копипаста на бой)
# Разрешаем только необходимое, остальное — запрет по умолчанию
allow  users_vlan   -> app_servers : tcp/443      # доступ к приложению
allow  app_servers  -> db_segment  : tcp/5432     # приложение к БД
deny   users_vlan   -> db_segment  : any          # пользователям к БД нельзя
deny   any          -> any         : any   log    # всё прочее запретить и журналировать

Типичная ловушка: «сегментация на бумаге»

Частая ошибка — нарисовать красивую схему сегментов, но оставить между ними слишком широкие разрешающие правила вроде «пользовательский сегмент → серверы: любой порт». Формально сегменты есть, а на деле граница прозрачна, и пивотинг работает как в плоской сети. Поэтому сегментацию проверяют не по схеме, а по фактическим правилам: для каждого разрешения должен быть понятный бизнес-смысл, иначе его убирают. Полезно периодически прогонять реальные проверки связности между зонами и сверять с тем, что задумано.

DMZ и движение к zero trust

Сервисы, доступные извне (веб-сайт, почтовый шлюз), выносят в отдельную демилитаризованную зону (DMZ): даже если такой сервер взломают, из DMZ нет прямого пути во внутреннюю сеть — только через ещё один межсетевой экран со строгими правилами. Развитие этой идеи — подход zero trust: сеть не считается доверенной только потому, что устройство «внутри»; каждое соединение проверяется и авторизуется отдельно. Для защитника это означает смещение от «крепостной стены по периметру» к множеству мелких проверяемых границ внутри.

Как защититься

• VLAN и подсети по назначению. Разнесите рабочие станции, серверы, управляющие интерфейсы, гостевой Wi-Fi и IoT по отдельным сегментам. Между ними трафик идёт только через маршрутизатор с правилами.
• Межсетевые экраны и принцип «запрет по умолчанию». Разрешайте только явно нужные соединения, всё остальное блокируйте и логируйте. Это и есть наименьшие привилегии на уровне сети.
• Микросегментация. Для критичных систем спускайтесь до уровня отдельных рабочих нагрузок: даже две машины в одном сегменте по умолчанию не видят друг друга, пока соединение не разрешено явно.
• Изоляция управляющего трафика. Порты администрирования и интерфейсы управления выносите в отдельную защищённую зону, доступную лишь с административных рабочих мест.
• Мониторинг переходов. Логируйте и просматривайте трафик между сегментами: всплеск соединений из пользовательского сегмента к серверам — повод для расследования.

Сканирование и «прыжки» по чужой сети без разрешения владельца неправомерны (ст. 272 УК РФ), а нарушение работы сети может попасть под ст. 274. Отрабатывайте пивотинг исключительно на собственных стендах и в учебных лабораториях.

Итоги

• Плоская сеть позволяет атакующему после одного захвата свободно видеть и атаковать остальные узлы.
• Латеральное перемещение и пивотинг используют отсутствие границ между зонами.
• Сегментация создаёт контролируемые точки, где трафик можно разрешать, запрещать и журналировать.
• Защита: VLAN и подсети по назначению, межсетевые экраны с «запретом по умолчанию», микросегментация критичных систем, изоляция управления и мониторинг межсегментных переходов.