VLAN jako dodatkowa warstwa ochrony

Część pracowników otrzymuje wiele wiadomości z zewnątrz, ryzykując zainfekowanie całej firmy. Dziś wyjaśniamy, jak zabezpieczyć systemy firmowe.

W każdej firmie znajdują się osoby, które otrzymują wiele wiadomości e-mail z zewnątrz. Są to na przykład pracownicy działu kadr, kontaktu z mediami czy sprzedaży. Oprócz swojej tradycyjnej korespondencji pocztowej na ich skrzynki trafia wiele spamu, wiadomości phishingowych i szkodliwych załączników. Co więcej, muszą oni otwierać nieznane załączniki oraz klikać łącza przesłane im przez nieznajomych. Pracownicy działu bezpieczeństwa informacji zwykle izolują takie działy od najważniejszych węzłów w sieci firmowej. Jednak w firmach, które nie posiadają działu bezpieczeństwa IT takie osoby stwarzają zagrożenie dla pozostałych pracowników.

Segmentacja sieci LAN

Do najskuteczniejszych sposobów zabezpieczenia przed infekcją działów firmy, które mają do czynienia z informacjami krytycznymi, jest podział firmowej sieci na kilka niezależnych podsieci.

W sytuacji idealnej wszystkie potencjalnie zagrożone działy powinny zostać wyizolowane fizycznie. W tym celu należy zainstalować kilka routerów i wykorzystać je do podziału firmowej sieci na oddzielne podsieci. Jednak rozwiązanie to ma swoje wady. Po pierwsze, wykorzystywanie dodatkowego sprzętu wiąże się z większymi wydatkami; po drugie, modyfikowanie istniejącej infrastruktury sieci zawsze jest solą w oku administratorów systemu.

Prostszą alternatywą jest użycie wirtualnej sieci LAN (VLAN) w celu skonfigurowania kilku logicznych sieci w oparciu o jedną sieć fizyczną, bez konieczności dokonywania zmian w sprzęcie. Sieci takie są skonfigurowane programowo, co oznacza, że całe okablowanie zostaje na swoim miejscu.

Sieć VLAN

Technologia VLAN jest najczęściej używana do wcielenia komputerów łączących się z różnymi routerami fizycznymi (na przykład zlokalizowanymi w różnych biurach) w jedną podsieć. Ma to również wiele korzyści pod względem bezpieczeństwa: nie tylko zapobiega nieautoryzowanemu uzyskiwaniu dostępu z jednej podsieci do urządzeń znajdujących się w innych podsieciach, ale także upraszcza zarządzanie polityką ochronną, umożliwiając administratorom stosowanie polityk do całej podsieci za jednym razem.

Aby maksymalnie wykorzystać swoją sieć VLAN, należy dysponować profesjonalnym sprzętem sieciowym. Technologia ta jest teraz obsługiwana również przez niektóre routery domowe, np. Keenetic.

Złoty środek?

VLAN nie jest jednak panaceum. Pomaga minimalizować ryzyko rozprzestrzeniania się infekcji na węzły krytyczne, jednak nie zapewnia specjalistycznej ochrony przed „strefą ryzyka”. Aby więc zapewnić sobie bezpieczeństwo, warto:

  • Uczyć pracowników odpowiednich umiejętności w zakresie bezpieczeństwa informacji, jak również często przypominać o zachowaniu ostrożności względem podejrzanych wiadomości e-mail.
  • Regularnie aktualizować oprogramowanie na stacjach roboczych, w sieciach i innych urządzeniach, uniemożliwiając cyberprzestępcom przeniknięcie do infrastruktury za pośrednictwem znanych luk.
  • Na stacjach roboczych i serwerach zainstalować niezawodne rozwiązania ochronne, które potrafią wykrywać i unieszkodliwiać szkodliwe programy i zasoby.
Porady