В настоящее время в новых домах все комнаты оснащены сетевым разъемом RJ-45 для удобного подключения к Интернету. На уровне предприятия сетевые разъемы RJ-45 также обычно устанавливаются на рабочих местах сотрудников. Если у нас есть порты Ethernet, к которым может подключиться кто угодно, мы не будем защищены от атак на нашу сеть передачи данных. Сегодня мы поговорим о рисках и о том, как защитить вашу сеть.
Проводная сеть всегда будет намного безопаснее, чем сеть Wi-Fi, просто потому, что требуется физический доступ к порту, а с помощью Wi-Fi вы можете находиться на расстоянии десятков метров от точки доступа и без проблем подключиться. Но не стоит думать, что проводные локальные сети неуязвимы для всех типов атак, потому что мы забываем о большой проблеме: защите портов Ethernet, как тех, которые мы используем, так и тех, которые не используются.
Что может случиться, если оставим порты Ethernet открытыми и без защиты
Основной риск заключается в том, что любой может подключиться к этому порту. Представьте себе, что в больнице мы, пациент или просто посетитель подключаемся к порту RJ-45 в комнате ожидания. Это может позволить напрямую подключиться к сети LAN, а затем, в зависимости от того, как настроен порт, мы можем получить доступ к другим компьютерам в локальной сети и даже к сети администрирования.
Очень важно, чтобы сетевые разъемы RJ-45 были расположены в специальных местах, а не в комнате ожидания или в середине коридора, где любой может подключиться. Часто компании проводят ремонты, и изменяя расположение нужных портов, совсем забывают о старых. Забывают их убрать или хотя бы скрыть, а ведь это потенциальная лазейка для проникновения в их локальную сеть. Любой злоумышленник, или даже работник, или клиент, может воспользоваться этой физической уязвимостью для атаки или кражи данных компании.
Как защитить открытые порты Ethernet
Если из-за сетевой инфраструктуры в некоторых случаях необходимо иметь разъемы Ethernet для подключения различного оборудования, то мы должны правильно защитить эти порты.
Отключите порты на коммутаторе или используйте расписание активации
Если мы не собираемся использовать эти порты Ethernet, то лучше просто их отключить, чтобы никто не мог подключиться. Если вы иногда, но пользуетесь ими, то подключите их через коммутатор и запрограммируйте их на включение в определенное время. И теперь независимо от того, подключено ли что-то к этому порту, сигнал будет передаваться только в определенные время. Если ваш маршрутизатор или коммутатор не имеет эту опцию, вы также можете физически отключить кабель от коммутатора или маршрутизатора, хотя в больших компаниях, это явно не выход.
Создайте отдельную и неиспользуемую VLAN и используйте ее для доступа к этим портам
Если мы не хотим отключать порты, но хотим, чтобы человек, который подключается, не имел доступа к администрированию данной сети, мы можем создать сеть VLAN, которую нельзя увидеть в других сетях, и, следовательно, она недоступна для других сетей.
Частная сеть и настройка портов как изолированных
Еще одна возможность, которая нам доступна при работе с VLAN, – это возможность настройки частной сети VLAN. Только коммутаторы L2 + самого высокого уровня коммутаторы L3 имеют эту опцию. Эта функция позволит нам создавать специальные VLAN-сети, чтобы автоматически изолировать всех клиентов друг от друга, просто создав VLAN-сеть типа «VLAN Isolated». Таким образом, если устройство подключено к такой сети, оно не будет иметь связи с другими устройствами в той же изолированной VLAN.