Většina malých firem má síť postavenou stejně. Jeden router, jeden switch, jedna velká plochá síť, ve které spolu mluví úplně všechno. Účetní notebook vidí IP kamery, tiskárna vidí server, telefon hosta na Wi-Fi je teoreticky ve stejné síti jako počítač jednatele. Funguje to. Do prvního průšvihu.
Co je VLAN
VLAN znamená Virtual Local Area Network, tedy virtuální lokální síť. Místo abyste museli fyzicky tahat další kabely a kupovat další switche, jeden chytrý switch dokáže předstírat, že je vlastně několik samostatných switchů zároveň. Každá VLAN se chová jako vlastní oddělená síť, i když fyzicky všechno běží po stejných kabelech.
Představte si kancelářskou budovu. Můžete mít jednu velkou open space místnost, kde sedí všichni dohromady, slyší na sebe a chodí si navzájem do počítače. Nebo můžete postavit příčky a udělat z toho samostatné kanceláře s vlastními dveřmi. Síť je úplně to samé. Bez VLAN máte open space. S VLAN máte rozdělené kanceláře, mezi kterými projde jen ten, koho pustíte.
Proč to není jen pro velké korporáty
Slýchám to často: „Jsme malá firma, máme dvacet lidí, to je zbytečně složité." V praxi je to naopak. Čím menší firma, tím větší šance, že má v jedné síti pomíchané věci, které by spolu nikdy neměly mluvit. A když přijde problém, dopady jsou stejné jako ve velké firmě, jen bez IT oddělení, které to umí rychle hasit.
Typická malá firma v Brně nebo Olomouci, ke které přijdu, má v jedné síti zhruba tohle: pracovní počítače, server nebo NAS s firemními daty, tiskárnu, IP telefony, kamerový systém, chytré termostaty nebo klimatizaci, Wi-Fi pro zaměstnance a Wi-Fi pro hosty. Všechno spolu vesele komunikuje. A přesně tohle je problém.
Bezpečnostní úhel: proč to není jen teorie
Když útočník pronikne do ploché sítě, dostane se prakticky kamkoli. Stačí, aby se někomu povedlo kliknout na phishingový e-mail a nainstalovat si do počítače škodlivý kód. Z toho jednoho počítače pak ransomware skenuje, co všechno je v dosahu, a šifruje to. Server s účetnictvím? V dosahu. Záloha na NAS? V dosahu. Tiskárna s pamětí, do které šly všechny citlivé dokumenty? Taky v dosahu.
S VLAN segmentací vypadá ten samý útok jinak. Napadený počítač sedí ve VLAN pro zaměstnance. Server je ve VLAN pro infrastrukturu. Mezi nimi je firewall, který pouští jen konkrétní druhy provozu, které tam patří (přístup ke sdíleným složkám, autentizace), a všechno ostatní zahodí. Útočník místo plošného šifrování firmy získá zašifrovaný jeden notebook. Rozdíl mezi katastrofou a nepříjemností.
Stejně tak IP kamery. Levné kamery od neověřených výrobců jsou bezpečnostní noční můra, firmware roky neaktualizovaný, výchozí hesla, otevřené porty. Když je dáte do vlastní VLAN, ze které ven mluví jen do nahrávacího serveru a nikam jinam, je úplně jedno, jak špatně jsou zabezpečené. Útočník se k nim přes obyčejnou síť nedostane a ony zase nedosáhnou na vaše data.
Praktický úhel: pořádek a výkon
Bezpečnost není jediný důvod. VLAN segmentace řeší i obyčejné provozní bolesti, které jsou v ploché síti běžné.
Wi-Fi pro hosty je první kandidát. Host přijde na schůzku, dostane heslo na lísteček nebo přes QR kód, připojí se a má internet. Co ale nesmí mít, je přístup k vaší tiskárně, sdíleným diskům nebo počítačům zaměstnanců. Host VLAN tohle řeší elegantně, návštěvník vidí jen internet a nic víc. Nevyžaduje to dvě Wi-Fi sítě s vlastními access pointy, stačí jedno AP, které vysílá dedikované sítě.
Druhá běžná situace je multicast a broadcast provoz, což jsou v podstatě zprávy, které zařízení posílají všem v síti najednou. Tiskárny, smart TV a všelijaké chytré krabičky toho generují překvapivě hodně. V malé síti to nepoznáte, ale jak firma roste, plochá síť začne být zbytečně ukecaná a pomalá. Rozdělení do VLAN tohle dramaticky utiší.
Třetí věc je provozní přehled. Když přijde problém s tiskárnami, řeším jen jednu VLAN. Když si někdo stěžuje na pomalou Wi-Fi, vím, kde se to děje. Když chci vidět, co přesně kamerový systém posílá ven, je to izolovaná zóna, kde vidím všechno.
Jak by to mělo v praxi vypadat
Konkrétní rozdělení záleží na velikosti a typu firmy, ale typický scénář pro firmu s dvaceti až padesáti zaměstnanci vypadá zhruba takhle:
- Pracovní stanice zaměstnanců — počítače a notebooky, ze kterých se pracuje
- Servery a firemní úložiště — všechno, kde leží firemní data
- Tiskárny — oddělené od pracovních stanic, bez přístupu na internet
- Wi-Fi zaměstnanců — připojení firemních notebooků a telefonů
- Wi-Fi hostů — přístup jen na internet, nikam jinam
- Kamerový systém — kamery a NVR, plně izolované
- IoT zařízení — chytré termostaty, klimatizace, vlastní zóna
Mezi VLAN jsou pak nastavená pravidla na firewallu, která určují, kdo s kým může mluvit a jakým způsobem. Zaměstnanci se dostanou na sdílené disky a tiskárny, ale ne do kamerové VLAN. Hosté nemají přístup nikam kromě internetu. Tiskárny nepotřebují přístup do internetu vůbec, takže ho prostě nedostanou.
Co to znamená pro vaši firmu
Pokud máte v kanceláři jen unmanaged switch, VLAN na něm neuděláte, ten to neumí. Přechod na segmentovanou síť znamená investici do pořádného switche, který VLAN podporuje (takzvaný managed switch), a firewallu nebo routeru, který umí mezi VLAN směrovat a filtrovat provoz. U menších firem se to dá zvládnout od desítek tisíc korun za hardware, plus práce na návrhu, konfiguraci a instalaci.
Není to investice, kterou děláte každý rok. Dobře navržená síť vám vydrží klidně deset let a roste s vámi. A když potom přijde NIS2 nebo bezpečnostní audit, nemusíte řešit, jak například vysvětlit, že IoT zařízení pochybného původu jsou ve stejné síti jako server s daty zákazníků.
Závěr
VLAN segmentace není luxus pro velké firmy. Je to základní princip sítě, který zvyšuje bezpečnost (jedno proklikání phishingu nazastaví celou firmu), zlepšuje výkon a dělá ve firemním IT pořádek. Otázka pro vás nezní, jestli VLAN potřebujete, ale jestli o tom víte a jestli to máte správně nastavené.
Pokud si nejste jistí, jak je na tom vaše síť, nebo plánujete stěhování do nové kanceláře a chcete to udělat rovnou pořádně, ozvěte se mi na impactit.cz. Návrh sítě a infrastrukturní řešení dělám pro firmy v Jihomoravském a Olomouckém kraji běžně, od malých kanceláří po výrobní haly.