Jednym z najlepszych sposobów zabezpieczenia sieci lokalnych jest zwiększenie liczby zapór ogniowych instalowanych już nie tylko na styku sieci firmowej z Internetem, ale także w obrębie LAN.

Zapory sieciowe wdrażane są zazwyczaj na styku sieci firmowej z sieciami obcymi. W czasach gdy powszechnie korzystamy z zasobów sieci firmowej, z komputerów domowych i notebooków podpiętych do sieci publicznych coraz popularniejszą metodą zabezpieczeń stały się "zapory osobiste".

System, na którym działa dobrze skonfigurowana i zaktualizowana zapora, jest odporny na znakomitą większość ataków wykonywanych przez człowieka. Stanowi także tamę dla fali wirusów, robaków sieciowych i programów szpiegujących, które stanowią obecnie znacznie poważniejsze zagrożenie dla firm niż nastoletni hakerzy.

Zapory gdzie się da

Skoro zapory są tak skuteczne, to być może warto zastosować je tam, gdzie ich do tej pory nie było, np. w sieciach LAN. Rolę zapory ogniowej w takiej sieci może pełnić dedykowane urządzenie (np. router) albo komputer z systemem Linux, BSD, a nawet Microsoft Windows (to ostatnie rozwiązanie jest dość niebezpieczne ze względu na długi czas między wykryciem luki i pojawieniem się łatek; w międzyczasie wirus może poczynić znaczne szkody w sieci lokalnej firmy, obejmując także serwer).

Jednym z elementarnych sposobów zabezpieczeń może być podzielenie sieci lokalnej na strefy oddzielone od siebie zaporami. Trzeba tylko wiedzieć, jak to zrobić, by przy okazji nie napytać sobie problemów z działaniem aplikacji i usług oraz by nie ograniczyć możliwości skalowania sieci.

Typ, liczba, umiejscowienie i konfiguracja zapór działających w sieci LAN zależą od jej topologii. Najpopularniejsze są architektury: zapora/zapory na styku segmentów sieciowych (tj. na porcie szkieletowym przełącznika lub jako samodzielne urządzenia), zapora na każdym porcie przełącznika oraz zapora na każdej stacji roboczej.

Mały świat LAN

W małej firmie sieć to kilka lub kilkanaście komputerów spiętych prostym przełącznikiem, na którym nie pracuje żadne wyszukane oprogramowanie zarządzające. W takiej sieci nie ma serwerów plików czy wydruków. Każdy komputer udostępnia innym wydzielone katalogi lokalnego dysku i pośredniczy w drukowaniu na swojej drukarce lokalnej.

Prostota takiego rozwiązania to duża zaleta, jednak z punktu widzenia bezpieczeństwa (oprogramowanie szpiegujące, wirusy błyskawiczne itp.) stwarza ono spore zagrożenie. Brak w nim nawet elementarnych zabezpieczeń (np. ograniczeń uprawnień) i rozwiązań umożliwiających optymalizację ruchu.

Do zabezpieczenia niewielkiej sieci zazwyczaj wystarczy zainstalowanie zapory na styku sieci LAN z Internetem. Jeśli jednocześnie zapewni się filtrowanie treści i skaner antywirusowy (również na stacjach roboczych) takie rozwiązanie w większości przypadków powinno wystarczyć.

Niektóre firmy do dziś korzystają z systemów z rodziny Windows 95/98/Me, których usługi sieciowe są mniej wrażliwe na ataki wirusów. Po zainstalowaniu skanera antywirusowego i przy założeniu rezygnacji z przeglądarki Internet Explorer oraz edukacji użytkowników, poziom bezpieczeństwa - jak na małą firmę - będzie wystarczający.

Dziel i rządź

W miarę wzrostu liczby komputerów w sieci pojawia się potrzeba optymalizacji ruchu w sieci. Polepszyć wydajność sieci można poprzez jej podział na segmenty.

Popularnym rozwiązaniem optymalizującym ruch w takiej sieci było do niedawna wyposażenie serwera (zazwyczaj Novell Net-Ware) w kilka kart sieciowych, dzięki czemu każdy segment był obsługiwany przez własny interfejs serwera. Niestety, wadą takiego rozwiązania było obciążenie serwera routingiem pakietów między segmentami, statystycznie niezbyt dużym, ale jednak znaczącym. Dziś, gdy dostępne są serwery z kartami gigabitowymi, rozwiązanie to nie ma większego sensu.

Jednak podział sieci na segmenty to wciąż dobry pomysł. Sieć biura obejmującego ok. 100 stacji roboczych zakłada rozłożenie ruchu na cztery części. Każdy segment posiada osobny przełącznik z portami Fast Ethernet i magistralą Gigabit Ethernet pomiędzy nimi. W dobrze zaprojektowanej sieci wymiana ruchu między przełącznikami obsługującymi poszczególne segmenty powinna odbywać się przez dedykowane dla każdego z nich zapory IP.