VLAN как дополнительный уровень защиты

Некоторые сотрудники обрабатывают много писем извне и рискуют стать жертвами вредоносного спама. Рассказываем, как не допустить заражения всех систем компании.

Внесение изменений в уже построенную сетевую инфраструктуру — это всегда боль для системных администраторов

В каждой компании есть сотрудники, обрабатывающие большой объем корреспонденции извне.  Кадровики, пиарщики, продажники… Помимо нормальных писем они получают много спама, фишинговых сообщений и вредоносных вложений. Причем по роду деятельности им приходится открывать непроверенные вложения и переходить по ссылкам из незнакомых писем. Специалисты по информационной безопасности, как правило, изолируют такие отделы от критически важных узлов корпоративной сети. А вот в компаниях, где выделенного безопасника нет, они продолжают представлять риск для других сотрудников. Рассказываем, что с этим делать.

Сегментация локальной сети

Один из самых эффективных способов защитить подразделения, работающие с критически важной информацией, от риска заражения — разбить корпоративную сеть на несколько автономных подсетей. Сегментация позволяет изолировать отдельные компьютеры или группы компьютеров от других устройств.

По-хорошему, все потенциально опасные отделы надо бы изолировать физически. То есть установить несколько маршрутизаторов и с их помощью разделить корпоративную сеть на несколько обособленных подсетей. Однако тут мы сталкиваемся с серьезными недостатками: во-первых, дополнительное оборудование означает дополнительные расходы, а во-вторых, внесение изменений в уже построенную сетевую инфраструктуру — это всегда боль для системных администраторов.

Альтернативный и более простой вариант — использовать виртуальные сети VLAN. То есть, не меняя оборудования, организовать на базе одной физической сети несколько логических. Они конфигурируются программно, а значит, не нужно менять даже кабельную разводку.

VLAN

Чаще всего технологию VLAN используют для объединения в одну подсеть компьютеров, подключенных к разным физическим маршрутизаторам (например, машины, находящиеся в разных офисах). Однако с точки зрения информационной безопасности у нее тоже много преимуществ. Она не только позволяет обезопасить устройство одной подсети от несанкционированного доступа из другой, но и облегчает управление политиками безопасности, позволяя применять эти политики к целой подсети, а не к отдельным устройствам.

Для полноценного использования VLAN вам понадобится любое сетевое оборудование профессионального уровня. Впрочем, сейчас технология поддерживается и некоторыми бытовыми роутерами, в частности Keenetic.

Не сегментацией единой…

Разумеется, применение виртуальных локальных сетей — это не панацея. Так вы просто минимизируете шансы заражения критических узлов. Сами отделы «зоны риска» это никак не защищает. Поэтому для верности будет не лишним:

  • Повышать грамотность ваших сотрудников в сфере информационной безопасности и регулярно напоминать им, что стоит с осторожностью относиться к подозрительным письмам.
  • Регулярно обновлять программное обеспечение на рабочих станциях, сетевых и других устройствах, чтобы злоумышленники не могли проникнуть в вашу инфраструктуру через давно известные уязвимости.
  • Использовать надежные защитные решения для рабочих станций и серверов, распознающие и обезвреживающие вредоносные программы и ресурсы.
Советы