Segmentacja sieci domowej i firmowej – jak odizolować IoT, serwery i komputery użytkowników
Segmentacja sieci domowej i firmowej – jak odizolować IoT, serwery i komputery użytkowników
Jedna płaska sieć to dziś poważne zagrożenie bezpieczeństwa. Wystarczy jedno zainfekowane urządzenie IoT, aby atakujący uzyskał dostęp do komputerów użytkowników, serwerów, backupów czy systemów firmowych.
Segmentacja sieci pozwala zatrzymać atak w jednym segmencie, ograniczyć ruch boczny (lateral movement) i realnie podnieść poziom bezpieczeństwa – zarówno w domu, jak i w firmie.
Czym jest segmentacja sieci?
Segmentacja polega na:
- podziale sieci na odizolowane strefy
- kontrolowaniu ruchu między nimi
- stosowaniu reguł firewall zamiast „wszystko do wszystkiego”
Segment to nie tylko VLAN – to polityka komunikacji.
Dlaczego brak segmentacji to realne zagrożenie?
W płaskiej sieci:
- IoT widzi komputery użytkowników
- malware skanuje całą podsieć
- atak boczny jest trywialny
- jeden błąd = kompromitacja całości
👉 Segmentacja to fundament Zero Trust.
Typowy podział sieci (dom / firma)
Zalecane strefy:
| Segment | Przeznaczenie |
|---|---|
| LAN-USERS | komputery, laptopy |
| LAN-SERVERS | NAS, serwery |
| LAN-IOT | smart TV, kamery |
| LAN-GUEST | goście |
| MGMT | zarządzanie |
Segmentacja w sieci domowej – praktyczny przykład
Sprzęt:
- router z VLAN (OpenWRT, MikroTik, pfSense, Linux)
- zarządzalny switch (opcjonalnie)
- jeden punkt Wi-Fi z SSID VLAN
Przykładowa adresacja:
| VLAN | Sieć |
|---|---|
| 10 | 192.168.10.0/24 (USERS) |
| 20 | 192.168.20.0/24 (SERVERS) |
| 30 | 192.168.30.0/24 (IoT) |
| 40 | 192.168.40.0/24 (GUEST) |
Zasada numer jeden: blokuj wszystko między segmentami
Domyślna polityka:
DENY inter-VLAN
ALLOW tylko to, co potrzebne
To najczęściej pomijany krok.
Reguły firewall – przykładowa logika
IoT:
✔ dostęp do Internetu
❌ brak dostępu do LAN
❌ brak dostępu do serwerów
Users:
✔ dostęp do serwerów
✔ dostęp do Internetu
Servers:
❌ brak inicjowania połączeń do Users
✔ odpowiedzi na zapytania
Guest:
✔ tylko Internet
Przykład reguł (logika)
- VLAN_IOT → WAN → ALLOW
- VLAN_IOT → VLAN_USERS → DROP
- VLAN_USERS → VLAN_SERVERS → ALLOW (tylko porty)
- VLAN_GUEST → ANY → DROP (poza WAN)
Segmentacja w firmie – architektura
W firmach segmentacja powinna obejmować:
- użytkowników
- serwery
- DMZ
- stacje administracyjne
- backup
👉 Jedna stacja admina ≠ zwykły laptop użytkownika.
VLAN to za mało – co jeszcze?
1. Firewall L3/L7
- kontrola protokołów
- inspekcja ruchu
2. ACL i polityki
- precyzyjne reguły
- brak „any any”
3. Monitoring
- NetFlow
- IDS/IPS
- logowanie
Najczęstsze błędy przy segmentacji
❌ VLAN bez firewall
❌ allow any między segmentami
❌ brak segmentu zarządzania
❌ IoT w tej samej sieci co PC
❌ brak dokumentacji
Segmentacja a ataki – realne korzyści
Segmentacja:
✔ blokuje ransomware
✔ ogranicza LOLBins i lateral movement
✔ izoluje kompromitowane IoT
✔ ułatwia audyt i logowanie
👉 Powiązane tematy na netbe.pl:
- Linux jako router i firewall
- VLAN w sieci domowej
- bezpieczeństwo IoT
- Zero Trust w praktyce
Minimalna segmentacja – jeśli masz słaby sprzęt
Jeśli router nie obsługuje VLAN:
- osobne Wi-Fi dla IoT
- osobny router dla gości
- firewall blokujący ruch LAN↔LAN
To lepsze niż nic.
Podsumowanie
Segmentacja sieci to jedna z najskuteczniejszych metod ochrony, często ważniejsza niż antywirus czy IDS.
Jeśli:
- masz IoT
- trzymasz dane na NAS
- pracujesz zdalnie
- prowadzisz firmę
👉 brak segmentacji to proszenie się o incydent.
Konfiguracja MikroTik – Część 40: Zaawansowane monitorowanie sieci MikroTik za pomocą Grafana i Prometheus W poprzedniej części serii skupiliśmy się Czytaj dalej
Jak rozdzielić światłowód na dwa routery? Kompleksowy poradnik Wstęp Światłowód zapewnia szybkie i stabilne połączenie z internetem, ale co zrobić, Czytaj dalej
