Сегментация сети и VLAN

Урок про то, как разбиение сети на зоны ограничивает ущерб от взлома одной машины.

Сегментация сети — разделение сети на изолированные зоны, между которыми трафик контролируется, чтобы атака не растекалась по всей инфраструктуре.

Зачем дробить сеть

В плоской сети взломанный ноутбук видит серверы, базы и принтеры — нарушитель свободно двигается «вбок» (lateral movement). Сегментация ставит границы: даже захватив один сегмент, атакующий упирается в фильтрацию на пути к остальным. Это прямое применение минимума привилегий к сети.

Что такое VLAN

VLAN (виртуальная локальная сеть) позволяет на одном физическом коммутаторе создать несколько независимых логических сетей. Устройства разных VLAN не видят друг друга на канальном уровне, даже будучи в одном коммутаторе.

            [ Коммутатор ]
 VLAN 10 (офис) | VLAN 20 (серверы) | VLAN 30 (гости)
     изолированы друг от друга на L2
          \         |        /
        [ Маршрутизатор/Firewall ]  <- фильтрует трафик между VLAN

Типичная схема зон

Как работает под капотом

Кадры в VLAN помечаются тегом (802.1Q) с номером VLAN. Коммутатор передаёт кадр только портам той же VLAN. Чтобы трафик пошёл между VLAN, он должен пройти через маршрутизатор или L3-коммутатор, где и применяется межсегментная фильтрация. Так граница доверия появляется не только на периметре, но и внутри.

Частые ошибки

• Плоская сеть без сегментации — рай для горизонтального движения нарушителя.
• VLAN есть, но между ними разрешено всё — изоляция формальна.
• Серверы и рабочие станции в одном сегменте.
• Доверять тегу VLAN на ненадёжных портах (риск VLAN hopping) — нужны корректные настройки trunk/access.

Итоги

• Сегментация ограничивает распространение атаки внутри сети.
• VLAN дают логическую изоляцию на одном коммутаторе.
• Трафик между сегментами должен проходить фильтрацию.