Informační technologie

Správná sít - Perimetr LAN / WAN

Po dlouhé době a současně s novým vzhledem webových stránek Pilsedu.cz je tu další pokračování Správné sítě. Tentokrát se budeme věnovat rozhranní mezi vnitřní a vnější částí sítě. Co je tedy LAN / WAN perimetr?

Je část sítě, kde se nachází zařízení, které z jedné strany komunikuje do internetu (WAN) a ze strany druhé obsluhuje vnitřní síť LAN. Takové zařízení bývá zpravidla router. Ten by měl mít také funkci firewallu, ale není to podmínkou, jelikož firewall může být samostatné zařízení, nebo software na serveru.
Tato část sítě je ovšem jedna z nejdůležitějších, jelikož router spolu s firewallem tvoří zabezpečení a oddělení sítí od sebe, zároveň zajišťují komunikaci mezi jednotlivými sítěmi a zařízeními v těchto sítích.

Router

NATRouter (směrovač) se stará o vytváření a komunikaci mezi sítěmi a většinou zajišťuje další služby pro funkčnost celé sítě. Nejjednodušší nastavení routeru je z jedné strany připojení do internetu, z druhé strany připojení sítě LAN. Mezi těmito sítěmi pak dojde k oddělení (tzv. NAT), aby se obě sítě neviděli napřímo mezi sebou a aby bylo možné ve vnitřní síti používat tzv. neveřejné IP adresy (např. 192.168.x.x, 10.x.x.x). Takto nastavený router je ovšem zcela nevyhovující pro jakoukoli školní síť, kde je nutná segmentace (oddělení) různých druhů zařízení tak, aby bylo možné zablokovat, nebo řídit jejich vzájemnou komunikaci. Pro představu je například nežádoucí připojování mobilních telefonů žáků do stejné sítě s učitelskými počítači, stejně tak je vhodně oddělit jednotlivé učebny, aby v případě napadení nedošlo k rozšíření útoku po celé organizaci. Segmentace sítě se provádí právě na routeru, kde se nastaví potřebný počet sítí. Těm se pak blokují, nebo povolují možnosti komunikace mezi sebou. Toto nastavení má zpravidla na starosti firewall, který bývá součástí routeru.

Firewall

Firewall má za úkol zabezpečit komunikaci mezi sítěmi tak, aby nedocházelo k možnému napadení jednotlivých zařízení jak z internetu, tak také z vnitřní sítě například připojením zavirovaného zařízení na vnitřní Wi-Fi síť. Základní funkčnost firewallu je rozdělení jednotlivých sítí a nastavení pravidel komunikace mezi těmito sítěmi. Pravidla se nastavují jako příchozí (IN), nebo odchozí (OUT) pro danou síť nebo segment, případně se určují pravidly konkrétní služby (porty, nebo protokoly) – například PC z učebny mohou komunikovat do internetu, ale ne do sítě pro pedagogy a na síť se servery mohou komunikovat pouze na službu pro sdílení souborů a složek pro přístup k síťovému úložišti, ale nemohou se připojit například na vzdálenou plochu serveru.

Pokročilejší firewally pak mají funkci zón, tzv. zónová pravidla. Místo pravidel, která se určují pro jednotlivé sítě (subnety) se určují pravidla mezi zónami. Každá zóna pak může obsahovat jednu nebo několik sítí, síťových rozsahů apod. Tyto zóny se pak mohou pojmenovat podle jejich funkcí. Můžeme tak mít zóny WAN, LAN, DMZ, Wi-Fi, Veřejná Wi-Fi, Učebny apod. Výhodou je, že zóna Učebny může obsahovat několik sítí, například všechny sítě učeben, kde každá učebna má vlastní síť (subnet). Pravidla pak se pak nenastavují mezi každou sítí (subnetem) zvlášť, ale mezi zónami. Je to tedy rychlejší a přehlednější systém nastavení firewallových pravidel.

NextGen Firewall

NGFirewallExistují také tzv. NextGeneration Firewally (NextGen), které mají mnoho dalších služeb, starajících se o bezpečnost. Většinou se jedná o zabezpečení perimetru WAN/LAN tak, aby nedocházelo k útokům z internetu do vnitřní sítě. Bezpečnostních služeb může být velké množství dle výrobce firewallu a zakoupené licence, jelikož tyto služby bývají zpravidla placené. Pokročilé funkce tak mohou například obsahovat antivirus, antispam řešení pro poštu, GeoIP fitr zabraňující útokům dle zemí původu útoku, Botnet filtr, IDS/IPS fitr a mnoho dalších). Vřele doporučuji využití NextGen firewallů, jelikož kybernetická bezpečnost je velmi důležitá vzhledem k stále narůstajícím útokům jak co do početnosti, tak co do sofistikovanosti.

Časté chyby v nastavení firewallů

  • Slabé zabezpečení přístupu k routeru, firewallu – slabá hesla, nezměněná výchozí hesla.
  • Zbytečné účty, které již nejsou třeba.
  • Přístup na zařízení z internetu (správa z veřejné IP adresy), povolení cloudové správy bez nutnosti.
  • Ponechání firewallových pravidel na routeru ve výchozím nastavení.
  • Nedostatečné rozdělení sítí.
  • Nesprávné nastavení pravidel (většinou málo restriktivní), špatná nebo žádná konfigurace pokročilých služeb (IDS/IPS, GeoIP, VPN).
27 únor 2025
Správná sít - Perimetr LAN / WAN Po dlouhé době a současně s novým vzhledem webových stránek Pilsedu.cz je tu další pokračování Správné sítě. Tentokrát se budeme věnovat rozhranní mezi vnitřní a vnější částí sítě. Co je tedy LAN / WAN perimetr? Je...
9 listopad 2023
Správná síť - kabeláž Základem síťové infrastruktury je především kabeláž a její zakončení. Bez správně navržené a dimenzované kabeláže síť fungovat nemůže. Bohužel je kabelová infrastruktura často opomíjená, nebo upozaděná vzhledem k její...
10 říjen 2023
Názvy aplikací a druhy licencí Office 365, Office 2024, Microsoft 365 Apps Microsoft v roce 2020 začal s postupným nahrazováním jmen v souvislosti s desktopovým balíčkem Office. Je to logický krok, který je vyústěním ze situace, kdy máme Office 365...
9 březen 2023
Správná síť - Konektivita do internetu Především (nejen😉) díky mojí pracovní vytíženosti publikuji druhou část „Správné sítě“ poněkud se zpožděním od původního plánu. Tak nebudu zdržovat dlouhými úvody a pustím se rovnou do dnešního tématu –...
9 leden 2023
Správná síť - Úvod Už více než 15 let mám díky práci na Středisku služeb školám Plzeň jako IT konzultant náhled do IT ve školství. Ač se za tuhle dobu IT infrastruktura ve školách jistě o dost zlepšila, nároky na vybavení rychle rostou a tím stoupá...
15 leden 2021
Možnosti aktivace Microsoft 365 Apps (dříve Office 365 Pro Plus) Od léta 2020 je dostupný produkt Microsoft 365 Apps (M 365 Apps), což je přejmenovaný desktopový balík Office 365 Pro Plus . Název je změněný také pro licence k tomuto produktu. S...