Chúng ta đều biết, an ninh tuyệt đối là một huyền thoại. Và, rất nhiều lần, mặc dù chúng tôi cố gắng thực thi bảo mật tốt nhất của chúng tôi nhưng kẻ tấn công vẫn đạt được quyền truy cập trái phép vào mạng. Những kẻ tấn công, một khi họ truy cập trái phép vào mạng họ sẽ cố gắng di chuyển trên mạng đó, để họ có thể được truy cập vào các hệ thống cần thiết để có được dữ liệu nhạy cảm.

Vì vậy, một khi những kẻ tấn công đạt được quyền truy cập trái phép vào mạng và bất chấp tất cả các biện pháp an ninh, cách tốt nhất để ngăn chặn chúng là hạn chế sự di chuyển của hacker trong mạng. Và, đó là động lực chính đằng sau phân đoạn mạng.

750.jpg
Mạng phân đoạn là chia mạng thành các mạng nhỏ hơn, chủ yếu nhằm mục đích nâng cao hiệu suất và cải thiện an ninh. Nếu kẻ tấn công đạt được quyền truy cập trái phép vào mạng, phân đoạn mạng có thể giới hạn sự tiến xa hơn của những kẻ tấn công trên mạng.

Ưu điểm của Mạng Segmentation

Có một số lợi thế của việc sử dụng phân đoạn mạng. Một số trong số họ được đề cập dưới đây:

Giảm tắc nghẽn

Sử dụng phân đoạn mạng, một mạng lưới có thể được chia thành các mạng nhỏ hơn khác nhau, do đó số lượng các thiết bị trong một mạng đơn giảm. Và sẽ có ít cơ hội va chạm trong một mạng, do đó có thể tăng hiệu suất của mạng.

Điều khiển truy cập mạng

phân đoạn mạng có thể được sử dụng để kiểm soát tất cả những gì người dùng cần truy cập vào, đó là một phần của mạng. Ví dụ, trong một tổ chức, các nhóm khác nhau của người lao động như nhân sự, quản trị máy chủ, giám đốc điều hành vv có thể cần phải truy cập các mạng tách biệt của riêng mình. Ngay cả các bên thứ ba cũng cần phải có mạng cách ly riêng của họ, do đó, những kẻ tấn công không thể được truy cập vào dữ liệu nhạy cảm trong mạng thông qua một trang web của bên thứ ba ít được bảo vệ và bị tổn hại.

Mạng phân đoạn có thể được sử dụng để phân biệt một mạng thành các vùng khác nhau, do đó nhóm nhất định của người sử dụng có quyền truy cập vào khu vực nhất định chỉ mạng.

Thi hành Chính sách

PCI-DSS và các tiêu chuẩn tương tự như tách dữ liệu thẻ (nem. số tài khoản, mật mã,… mỗi cái một nơi) từ phần còn lại của mạng, do đó, ngay cả khi một phần của mạng được thỏa hiệp, những kẻ tấn công không thể truy cập được vào các máy chủ chứ dữ liệu nhạy cảm một cách dễ dàng. Phân đoạn mạng có thể cung cấp nhiều khu vực, với thay đổi mức độ bảo mật tùy nhu cầu do đó có thể giúp đỡ trong việc thực thi nghiêm ngặt của chính sách bảo mật

Hạn chế các vấn đề mạng

Khi mạng lưới phân đoạn phân chia mạng thành các mạng khác nhau, một sự cố mạng ở một mạng nhỏ trong một phần của mạng không ảnh hưởng đến các bộ phận khác của mạng.

Cải thiện bảo mật

phân đoạn mạng kiểm soát truy cập của các bộ phận khác nhau của mạng, nó có thể hạn chế sự di chuyển ngang của những kẻ tấn công trên mạng trong trường hợp những kẻ tấn công đạt được quyền truy cập trái phép một phần của mạng, do đó nó làm tăng tính bảo mật của các phần nhạy cảm của mạng.

Những cách khác nhau của phân đoạn mạng

Một mạng lưới có thể được phân đoạn sử dụng cầu, thiết bị định tuyến và chuyển mạch. Hãy hiểu làm thế nào mà có thể được thực hiện.

Mạng Phân đoạn sử dụng Bridges

Bridging là một công nghệ sử dụng trong đó hai hoặc nhiều mạng nội bộ mà sử dụng cùng một giao thức, như Ethernet hoặc Token Ring, có thể được tổng hợp lại với nhau. Mạng này làm việc ở lớp 2 của mô hình tham chiếu OSI.

Ưu điểm của phân đoạn mạng sử dụng Bridges

Bridges có thể giao thông đoạn trong một mạng, và do đó làm giảm lưu lượng nhìn thấy trong mỗi mạng nhỏ. Điều này cải thiện thời gian phản ứng của mạng. Nó cũng có thể bù đắp cho sự khác biệt tốc độ của hai mạng khác nhau sử dụng khả năng đệm của nó.

Mạng Phân đoạn bằng Router

Khi chúng ta cần để tổng hợp hai hoặc nhiều mạng sử dụng giao thức khác nhau, chúng ta có thể sử dụng router. Một router có thể kết nối hai hoặc nhiều mạng, cho phép giao tiếp giữa chúng.

Router hoạt động ở lớp 3 trong mô hình tham chiếu OSI. Nó nhìn vào địa chỉ IP đích của gói mạng đi qua nó và tham khảo một bảng để xác định, trong đó mạng được chuyển tiếp. Router cũng có thể thực hiện các bộ lọc phát sóng và tường lửa logic.

Ưu điểm của phân đoạn mạng sử dụng router

Có một số lợi thế của việc sử dụng các bộ định tuyến trong phân đoạn mạng:

Router có thể kết nối hai hoặc nhiều mạng sử dụng giao thức khác nhau.
Router có thể kiểm soát chương trình phát sóng trong mạng.
Router có thể lọc các gói tin trong và ngoài mạng giữa các phân đoạn mạng LAN và WAN.
Router có thể phân mảnh gói tin lớn thành các phần nhỏ và gửi chúng qua mạng, trong khi Bridges loại bỏ!

Mạng Phân đoạn sử dụng thiết bị chuyển mạch

Thiết bị chuyển mạch như Bridges có thể cho phép hai hoặc nhiều hơn các mạng được kết nối với nhau. Nhưng chúng ta biết chuyển đổi được thực hiện trong phần cứng thay vì các phần mềm làm cho các thông tin liên lạc giữa các mạng kết nối với nhau nhanh hơn nhiều.

Một switch đọc các địa chỉ Ethernet của các thiết bị của mỗi mạng và dựa trên đó nó tạo ra một bảng. switch cơ bản hoạt động ở lớp 2 của mô hình tham chiếu OSI. Nhưng, có thể có lớp 3, lớp 4 hoặc lớp 7 bị chuyển mạch cũng.

Ưu điểm của phân đoạn mạng sử dụng switch

Chuyển đổi công nghệ cho phép một mạng được tách ra thành các miền va chạm khác nhau, trong đó có thể cải thiện hiệu suất mạng đáng kể. Thiết bị chuyển mạch có thể kết nối các loại mạng khác nhau như Ethernet và Fast Ethernet.

Hơn nữa, chuyển mạch có thể được sử dụng để tạo VLAN, có thể tăng cường an ninh của một mạng lưới để một mức độ lớn.

VLAN là gì

Image12005.gif

Như đã thảo luận trước đó, chuyển mạch can phân đoạn mạng thành các mạng nhỏ khác nhau liên kết với nhau. Một công việc chuyển đổi cơ bản trong lớp 2 của mô hình tham chiếu OSI. Nếu chúng ta nhìn kỹ, đây là cách hoạt động:
Khi một khung cho địa chỉ MAC vào một chuyển đổi, như vậy các địa chỉ MAC đích là không có mặt trong bảng MAC của switch, switch chương trình phát sóng khung để các thiết bị kết nối đến tất cả các port, trừ port nhận. Các thiết bị có địa chỉ MAC cụ thể đáp ứng cho sự chuyển đổi. Việc chuyển đổi sau đó lưu trữ các địa chỉ MAC trong bảng MAC của nó, do đó thời gian tới một khung đến với cùng một địa chỉ MAC đích, chuyển đổi có thể chuyển tiếp nó cho phù hợp. bảng MAC này thường được lưu trữ trong một bộ nhớ tạm thời trong chuyển đổi và được xây dựng lại mỗi khi switch được bật lên.

Một kẻ tấn công có thể tận dụng lợi thế của các tin nhắn quảng bá để tìm hiểu những địa chỉ MAC của một thiết bị nhạy cảm và tấn công sau đó. Và để ngăn chặn điều đó VLAN được sử dụng.

Sử dụng một chuyển đổi thông minh, một mạng có thể được chia nhỏ thành nhiều VLAN, như vậy mà chương trình phát sóng có thể lan truyền trong một VLAN, nhưng không phải bên ngoài của nó.

Một VLAN sử dụng một tập hợp các cổng của một chuyển đổi và tạo ra một mạng ảo, chẳng hạn như các thiết bị trong mạng ảo có thể nói chuyện với nhau, nhưng họ không thể giao tiếp bên ngoài mạng. Ví dụ, nếu máy chủ 1, 2 máy chủ và máy chủ 3 của một công ty được kết nối với cổng 1, 3 và 5 của một chuyển đổi, và chúng ta tạo một VLAN dùng những cổng, sau đó các thiết bị kết nối với ba cổng có thể giao tiếp với nhau . Tuy nhiên, họ không thể giao tiếp với bất kỳ thiết bị khác mà không phải là một phần của các VLAN.

Vì vậy, nếu một máy tính sẽ gửi một thông điệp truyền thông yêu cầu các địa chỉ MAC của máy chủ 1, 2 máy chủ hoặc máy chủ 3 và máy tính đó không phải là một phần của các VLAN, sau đó nó sẽ không thể có được địa chỉ MAC của các máy chủ. Kết quả là, VLAN có thể tăng cường an ninh của các thiết bị trong mạng tới một mức độ lớn.

Như tôi đã nói, an ninh tuyệt đối là một huyền thoại. Nhưng, chúng tôi luôn luôn có thể cố gắng hết sức để ngăn chặn những kẻ tấn công càng nhiều càng tốt. Vì vậy, cần chú ý các biện pháp bảo mật khác nhau và luôn an toàn, luôn bảo đảm.

Comments

comments