Jak segmentacja sieci wpływa na jej bezpieczeństwo?

 

Niestety podczas audytów bezpieczeństwa najczęściej spotykam sieci o płaskiej architekturze.
Często administratorzy argumentują to szybko rozwijającą się firmą i rosnącymi wymaganiami względem infrastruktury. Zawsze jednak jest to wynikiem błędnie przeprowadzonej analizy i braku wiedzy na temat projektowania sieci.

 

Każdy pracownik działu IT już na samym początku swojej drogi dowiaduje się, że problemy sieciowe zaczynamy rozwiązywać od najniższych warstw modelu OSI (Open System Inter Connection). Podobne podejście powinniśmy przejawiać w przypadku zabezpieczania firmy przed atakami hakerskimi. Poprawnie zaprojektowana infrastruktura zapewni nam po pierwsze kontrolowany przepływ pakietów pomiędzy podsieciami, a ponadto uporządkuje urządzenia w sieci. Na tym etapie poruszać się będziemy jednocześnie w ramach trzech pierwszych warstw modelu OSI: fizyczna, danych i sieciowa. W tych trzech warstwach w większości pracują nasze urządzenia sieciowe i na tych poziomach musimy się skupić na początku. Generalnie sieci możemy podzielić na te posegmentowane i na płaskie.

Sieci płaskie

Sieci płaskie to po prostu takie, w których wszystkie urządzenia sieciowe należą do tego samego segmentu sieci (rys 1). Jak wiecie sieć jednoznacznie charakteryzuje adres sieci i jej maska. Odpowiednio „szeroka” maska podsieci zapewni nam większą jej pojemność. W szybko rosnących i źle zaprojektowanych infrastrukturach proces projektowania polega na stworzeniu już na początku skrajnie szerokiej (czasem nawet 8 bitowej) maski po to by w przyszłości, w razie potrzeby jedynie dołączać do systemu kolejne przełączniki.

Rys 1. Struktura płaska

Administrator tworzy sobie sieć klasy A, o pojemności ponad 16 milionów urządzeń i może spać spokojnie. Podłącza taką sieć do routera w port który radośnie opisuje jako LAN i gotowe. Prosta płaska struktura sieci, dwa segmenty (LAN i INTERNET), a pomiędzy nimi router który bardzo często pełni również rolę firewalla niestety zwykle w formie prostego, bezstanowego filtra pakietów.

Sieci posegmentowane

Najprostszym sposobem posegmentowania sieci jest stworzenie kilku mniejszych podsieci na każdym interfejsie routera i udostępnieniem tak stworzonego segmentu za pomocą przełącznika (rys 2). Minusem tego rozwiązania jest przede wszystkim ograniczona liczba interfejsów w routerze, a tym samym mała elastyczność całego rozwiązania oraz ograniczona kontrola poprzez zastosowanie topologii fizycznej zamiast logicznej. Dużo lepszym rozwiązaniem jest pogrupowanie urządzeń sieciowych w sieci wirtulanej za pomocą VLANów.

Rys 2. Struktura posegmentowana.

Głównymi zaletami infrastruktury podzielonej na segmenty z punktu widzenia IT jest zmniejszenie obciążenia sieci jak również zmniejszenie liczby kolizji pakietów poprzez separacje ruchu na ten odbywający się w ramach jednego segmentu i ten międzysegmentowy. Z punktu widzenia bezpieczeństwa dochodzi jeszcze jedna ważna zaleta – separacja sieci umożliwia ograniczenie w prosty sposób dostępu z jednego segmentu do drugiego, a tym samym umożliwia odseparowanie sieci użytkowników od sieci serwerów czy sieci telefonów IP.

Niestety podczas audytów bezpieczeństwa najczęściej spotykam sieci o płaskiej architekturze. Często administratorzy argumentują to szybko rozwijającą się firmą i rosnącymi wymaganiami względem infrastruktury. Zawsze jednak jest to wynikiem błędnie przeprowadzonej analizy i braku wiedzy na temat projektowania sieci. Dodatkowo sama segmentacja nie zapewnia nam jeszcze bezpieczeństwa.

Wielokrotnie byłem świadkiem sytuacji w której mimo wymuszonej segmentacji poprzez podział geograficzny i konieczność połączenia kilku biur za pomocą tunelu VPN, routery które realizowały funkcję filtrowania pakietów nie ograniczały ruchu pomiędzy segmentami. W efekcie z sieci WiFi w jednym mieście mieliśmy pełen dostęp do wszystkich urządzeń w sieciach serwerowych czy użytkowników w innym biurze. Zwykle nie ma uzasadnienia biznesowego do stosowania tak szerokiego dostępu a jeżeli są takie pokusy to zadaniem pracowników działu IT jest ich ograniczenie.

Podsłuchiwanie (Man in the Middle)

W płaskiej strukturze sieci atakujący, który przejął kontrolą nad jednym z komputerów podłączonych do sieci czy też złamał zabezpieczenia fizyczne lub zabezpieczenia sieci bezprzewodowej i ze swoim sprzętem pojawił się w sieci, jest w stanie zatruwając pakiety ARP podsłuchiwać cały segment (ARP spoofing). Wszystkie niezabezpieczone informacje które przesyłane są często nieświadomie przez użytkowników mogą zostać w ten sposób przechwycone. Niejednokrotnie w ciągu kilku tylko minut takiego podsłuchiwania, byliśmy w stanie przejąć hasła i loginy do serwisów webowych, całe dokumenty przesyłane między urządzeniami w sieci czy pobrać w formie pliku mp3 zapisy prowadzonych za pomocą telefonów IP rozmów telefonicznych.

Szyfrowanie istotnego ruchu sieciowego jest metodą zabezpieczenia się przed podsłuchiwaniem, ale bez pełnej świadomości wszystkich użytkowników jej skuteczność spada do kilkudziesięciu procent.Zabezpieczony formularz logowania do serwisu WWW (dostęp tylko po HTTPS) może również paść ofiarą ataku polegającego już nie tylko na przechwyceniu ruchu ale jego odszyfrowaniu, ponownym zaszyfrowaniu własnym certyfikatem i wysłaniu do użytkownika. Jeżeli oprogramowanie używane przez ofiarę (przeglądarka WWW, klient poczty) automatycznie zaakceptuje niezaufany certyfikat wystawiony przez atakującego, cały odszyfrowany ruch sieciowy zostanie przechwycony. W dzisiejszych czasach większość programów zgłasza użytkownikowi fakt wykrycia nieautoryzowanego certyfikatu. Wówczas los całej komunikacji i bezpieczeństwo zaszyfrowanych w ten sposób danych spoczywa w rękach zaatakowanej ofiary. W większości przypadków użytkownik jest tak zdeterminowany chęcią wykonania danej czynności – wysłania wiadomości mail, wejścia na stronę WWW, że często nawet nie przeczyta komunikatu tylko szybko zamknie okno klikając .

Rys 3. Man in the middle w strukturze płaskiej.

Niezabezpieczona a posegmentowana infrastruktura pozwoli nam zabezpieczyć się co prawda przed podsłuchiwaniem ruchu odbywającego się w innym segmencie sieci, ale na podstawie analizy przechwyconego w tym segmencie ruchu sieciowego pozwoli atakującemu odgadnąć inne segmenty.

Rys 4. Man in the middle w strukturze posegmentowanej.

Sama nieograniczona dostępność w sieci kluczowych serwerów stwarza ryzyko włamania lub wykradzenia istotnych informacji.
Za pomocą oprogramowania dostępnego dla każdego atakujący może swobodnie, nie zmieniając swojej lokalizacji skanować kolejne segmenty sieci rozsiane często po różnych zakątkach kraju czy świata.

 

Autor: Wojciech Kubiak, IT Manager