Projektowanie sieci wysokodostepnych
Błędnie zaprojektowana sieć nie zawodzi od razu. Zawodzi w piątek wieczorem, kiedy połowa firmy pracuje zdalnie i nikt nie wie, co się stało. Projektujemy sieci, które mają plan awaryjny wbudowany w architekturę.
Kiedy sieć zawodzi firma stoi
Zanim sieć całkiem padnie, długo daje sygnały ostrzegawcze. Tylko, że większość firm traktuje je jako normę. Zwykłe, codzienne incydenty "tak to u mnie działa". To nie jest normalna praca, to sieć, która powoli przestaje działać.
Jeden switch, cała firma bez dostepu
Brak redundancji na poziomie core lub dystrybucji sprawia, że awaria jednego urządzenia odcina cały budynek lub oddział od systemów firmowych.
Płaska sieć to raj dla ransomware
W sieci bez segmentacji VLAN złośliwe oprogramowanie przemieszcza się swobodnie między działami. Jeden zainfekowany komputer wystarczy.
Łącze padło, ERP niedostepny
Jedno łącze WAN bez failoveru na backup. Gdy dostawca internetu ma awarię, firma traci dostęp do systemów chmurowych i zdalnych oddziałów.
Firma urosła, sieć została w miejscu
Topologia zaprojektowana dla 20 osób obsługuje teraz 200. Wąskie gardła, przeciążone switche i rosnąca liczba incydentów to skutek, nie przypadek.
jakie sieci projektujemy
Każde środowisko sieciowe ma inne wymagania
Pracujemy z całym spektrum technologii
LAN
Sieć lokalna wysokiej dostępności
Topologia trójwarstwowa (core, dystrybucja, dostęp), redundantne uplinki, protokoły RSTP/MSTP. Segmentacja VLAN dla każdego działu i systemu.
Technologie
DCN, Hillstone, VRRP, LACP, 802.1X
WAN
Sieć lokalna wysokiej dostępności
Redundancja łączy z automatycznym failoverem, SD-WAN, VPN site-to-site. Protokoły BGP i OSPF dla skalowalnego routingu między oddziałami.
Technologie
Hillstone SD-WAN, BGP, OSPF, IPSec VPN
Wi-Fi
Bezpieczna, bezprzewodowa sieć firmowa
Pokrycie bez martwych stref, separacja sieci gości od produkcyjnej, uwierzytelnianie RADIUS. Wi-Fi 6/6E dla środowisk o dużej gęstości.
Technologie
Ubiquiti, Zyxel, RADIUS, WPA3-Enterprise
OT / IT
Integracja sieci przemysłowej z IT
Sieci OT i IT przez lata funkcjonowały osobno. Dziś muszą ze sobą rozmawiać, bo dane z hali trafiają do ERP, a sterowanie maszynami odbywa się zdalnie. Problem w tym, że sieć OT powstawała z myślą o ciągłości działania, nie o bezpieczeństwie. Podłączenie jej do IT bez właściwej separacji otwiera atakującym gotową drogę. Przy NIS2 to nie jest już ryzyko, które można zignorować.
Segmentacja stref OT i IT
Firewall między siecią przemysłową, a biurową. Ruch między strefami kontrolowany polityką, nie domyślnie otwarty dla wszystkich.
Strefa DMZ dla komunikacji między domenami
Systemy SCADA i HMI nie komunikują się bezpośrednio z siecią biurową. Cały ruch przechodzi przez izolowaną strefę pośrednią.
Monitoring ruchu OT
Obserwujemy ruch między urządzeniami przemysłowymi i wyłapujemy anomalie zanim przerodzą się w incydent. Nieautoryzowane połączenia i zmiany w protokołach widać wcześniej, niż ktokolwiek zdąży zareagować ręcznie.
Zgodnośc z NIS2 dla sektorów OT
Energetyka, produkcja, transport. Projektujemy z myślą o wymaganiach NIS2 dla podmiotów kluczowych, z pełną dokumentacją jako dowodem zgodności podczas audytu.
Technologie
Hillstone NGFW, Purdue Model, IDS/IPS dla protokołów OT (Modbus, DNP3), LibreNMS
architektura wysokodostępna
Jak projektujemy sieć, która nie zawodzi
Wysokodostępność to nie redundantny kabel. Budujemy ją warstwa po warstwie, od core po firewall.
WARSTWA 1
Core
Dwa switche core pracujące w MC-LAG. Żadne pojedyncze urządzenie nie odcina reszty sieci. Ruch przełącza się automatycznie, bez interwencji i bez przestoju.
Technologie: MC-LAG, 10/25G uplinki, DCN.
WARSTWA 2
Dystrybucja
Segmentacja VLAN dla każdego działu i każdego systemu osobno. Routing między segmentami, kontrola dostępu przez ACL. To tutaj decydujemy, kto z kim może rozmawiać w sieci, a kto nie.
Technologie: OSPF, BGP, ACL, QoS.
WARSTWA 3
Dostęp
Switche dostępowe z PoE dla telefonii IP i kamer. Uwierzytelnianie 802.1X, czyli każde urządzenie musi się przedstawić zanim dostanie dostęp do sieci. Nie wystarczy podłączyć kabel.
Technologie: 802.1X, PoE+, port security.
WARSTWA 4
Firewall
Hillstone NGFW na granicy sieci z internetem. IPS, filtrowanie ruchu, SD-WAN z automatycznym failoverem między łączami ISP. Tu zaczyna się egzekwowanie polityk Zero Trust.
Technologie: Hillstone NGFW, IPS, SD-WAN, redundancja ISP.
Sieć a bezpieczeństwo
NIS2 i Zero Trust zaczynają się od sieci
Większość firm myśli o bezpieczeństwie jako o osobnej warstwie, którą dokłada się do gotowej sieci. To błąd. Sieć zaprojektowana bez myślenia o bezpieczeństwie wymaga późniejszego łatania, a łatanie nigdy nie daje tyle co dobry projekt od początku.
NIS2
Sieć zgodna z NIS2
NIS2 nie jest kolejnym certyfikatem do zdobycia. To wymóg wdrożenia konkretnych środków technicznych, a część z nich dotyczy wprost architektury sieciowej. Segmentacja sieci, kontrola dostępu, monitoring ruchu i dokumentacja środków technicznych to nie opcje, to obowiązki dla podmiotów kluczowych i ważnych.
Projektujemy sieci, które spełniają te wymagania od podstaw, nie jako nakładkę na istniejącą infrastrukturę. Przy okazji wdrożenia dostajemy dokumentację powykonawczą, która podczas audytu jest dowodem, nie deklaracją.
- Segmentacja krytycznych systemów od reszty sieci
- Monitoring ruchu i wykrywanie anomalii przez LibreNMS
- Dokumentacja architektury gotowa na audyt
Zero Trust
Zero Trust w praktyce sieciowej
Zero Trust to nie produkt, który się kupuje i instaluje. To model, w którym żadne urządzenie i żaden użytkownik nie ma domyślnego zaufania, nawet jeśli jest już w środku sieci firmowej. Największy błąd przy wdrożeniu Zero Trust to założenie, że skoro ktoś przeszedł przez bramkę, można mu ufać.
W praktyce sieciowej Zero Trust oznacza mikrosegmentację, uwierzytelnianie 802.1X na poziomie dostępu do sieci i polityki oparte na tożsamości urządzenia i użytkownika, nie na tym, z którego portu się podłączył.
- Mikrosegmentacja: każdy segment z minimalnymi uprawnieniami
- Urządzenie musi się uwierzytelnić przed dostępem do sieci
- Hillstone jako platforma do egzekwowania polityk Zero Trust
Sprzęt i oprogramowanie, na którym pracujemy
Znamy te rozwiązania na wylot i za nie ręczymy. Sieć jest tak dobra jak sprzęt, na którym stoi. Pracujemy z urządzeniami, które znamy od środka, czyli wiemy nie tylko jak je wdrożyć, ale też gdzie są ich granice.
Firewall / NGFW / SD-WAN
Hillstone Networks
Nasz główny wybór w zakresie bezpieczeństwa sieciowego. NGFW, SD-WAN, IPS i polityki Zero Trust w jednej platformie. Hillstone oferuje pełną funkcjonalność enterprise, bez licencyjnego cennika, który zjada połowę budżetu na IT. W środowiskach, gdzie liczy się bezpieczeństwo, a nie nazwa na obudowie, to świadomy wybór, nie kompromis.
Switche core i dystrybucja
DCN Networking
Switche core i dystrybucyjne dla środowisk wymagających niezawodności. MC-LAG, routing L3, wysokie przepustowości. DCN sprawdza się zarówno w serwerowniach, jak i sieciach kampusowych. Znamy te urządzenia od środka i wiemy gdzie są ich granice.
Wi-Fi i sieci dostepowe
Ubiquiti / Zyxel
Sieci bezprzewodowe i switche dostępowe dla biur i kampusów. Wi-Fi 6/6E, zarządzanie z jednej konsoli. Dobry wybór dla środowisk o dużej gęstości użytkowników, gdzie pełny stack enterprise byłby po prostu niepotrzebny.
Firewall
Fortinet FortiGate
Pracujemy z Fortinetem tam, gdzie klient ma istniejące środowisko lub konkretne wymagania integracyjne. Szeroki ekosystem, sprawdzony w dużych wdrożeniach, dobrze znany zespołom bezpieczeństwa.
Monitoring sieci
LibreNMS
Monitoring infrastruktury sieciowej przez SNMP. Alerty na anomalie, widoczność topologii, historia zdarzeń. O awarii wiemy zanim dowiedzą się o niej użytkownicy.
dla kogo
Z jakimi firmami pracujemy?
Nie ma dwóch takich samych sieci. Ale są sytuacje, które powtarzają się u naszych klientów na tyle często, że wiemy co w nich działa, a co nie.
Firmy z sieciami OT i IT
Produkcja, logistyka, energetyka. Macie maszyny, linie produkcyjne lub systemy SCADA, które gdzieś po drodze zaczęły rozmawiać z siecią biurową. Integrujemy obie domeny z zachowaniem separacji, wdrażamy firewalle między strefami OT i IT i projektujemy DMZ dla systemów, które muszą być widoczne z obu stron. Przy okazji zapewniamy zgodność z NIS2 dla podmiotów kluczowych.
Firmy wielooddziałowe
Kilka lokalizacji, jeden zespół IT i rosnąca liczba systemów, które muszą działać wszędzie jednocześnie. Projektujemy połączenia WAN z redundancją łączy i automatycznym failoverem, stawiamy VPN site-to-site i SD-WAN. Każdy oddział jako zarządzana, bezpieczna gałąź sieci, widoczna z jednego miejsca.
Środowiska wirtualizacyjne i serwerownie
Klastry XCP-ng, VMware lub Proxmox potrzebują sieci zaprojektowanej z myślą o wirtualizacji. Redundantne uplinki do klastra, osobna sieć storage, sieć zarządzania oddzielona od produkcyjnej. Awaria sieci w środowisku wirtualizacyjnym to nie problem jednej maszyny, to problem całego klastra.
Firmy po incydencie lub audycie
Atak ransomware, awaria, która obnażyła luki, albo wynik audytu bezpieczeństwa z długą listą zastrzeżeń. Zaczynamy od analizy stanu obecnego, wskazujemy co wymaga natychmiastowej reakcji, a co może poczekać. Wdrażamy zmiany etapami, bez zatrzymywania działalności firmy.
Porozmawiajmy o Twojej sieci
Ocenimy istniejącą infrastrukturę, wskażemy słabe punkty i zaproponujemy architekturę dopasowaną do skali i budżetu Twojej firmy. Bez zobowiązań, bez oferty zanim nie wiemy co tak naprawdę potrzebujecie.
// FAQ
Najczęściej zadawane pytania
-
Co oznacza sieć wysokodostępna i czym różni się od zwykłej?
Sieć wysokodostępna jest zaprojektowana tak, żeby awaria pojedynczego elementu nie wyłączała całości. To konkretne decyzje architektoniczne: redundantne switche core, zdublowane łącza, protokoły takie jak VRRP lub MC-LAG, które przełączają ruch automatycznie w sekundy, bez żadnej interwencji. W zwykłej sieci awaria jednego urządzenia oznacza przestój do czasu naprawy. W sieci wysokodostępnej użytkownicy często nawet nie wiedzą, że coś się stało.
-
Dlaczego stawiacie na Hillstone, a nie Cisco czy Fortinet?
Bo uważamy, że nazwa na obudowie nie powinna kosztować więcej niż sama funkcjonalność. Hillstone oferuje pełne NGFW, SD-WAN i IPS w cenie, przy której Cisco lub Palo Alto są po prostu nieproporcjonalne do potrzeb większości firm w Polsce. Fortinet używamy tam, gdzie klient ma istniejące środowisko. Cisco rekomendujemy wtedy, gdy środowisko naprawdę tego wymaga. Nie jesteśmy resellerami, dobieramy sprzęt do problemu, nie odwrotnie.
-
Co to jest integracja OT/IT i czy nas to dotyczy?
Jeśli macie maszyny, linie produkcyjne, systemy SCADA lub sterowniki PLC, które w jakikolwiek sposób komunikują się z siecią biurową lub internetem, to dotyczy. Sieć OT powstawała z myślą o ciągłości działania, nie o bezpieczeństwie. Bez właściwej separacji staje się łatwą drogą dla atakujących. NIS2 wymaga tego wprost od podmiotów z sektorów kluczowych.
-
Czy przejmiecie opiekę nad siecią zaprojektowaną przez kogoś innego?
Tak. Zaczynamy od audytu i dokumentacji istniejącej infrastruktury. Oceniamy co działa, co jest ryzykowne i co wymaga zmiany w pierwszej kolejności. Często okazuje się, że sieć nie jest zła, tylko wymaga kilku konkretnych poprawek. Dopiero po tym etapie rozmawiamy o modelu opieki.
-
Czy projektujecie sieci zgodne z NIS2?
Tak. NIS2 wymaga m.in. segmentacji sieci, kontroli dostępu, monitorowania ruchu i udokumentowania środków technicznych. Projektujemy architektury spełniające te wymagania od podstaw, nie jako nakładkę na istniejącą infrastrukturę. Dokumentacja powykonawcza, którą dostajecie po wdrożeniu, jest dowodem zgodności podczas audytu.
-
Od czego zacząć, jeśli nie wiemy co dokładnie wymaga zmiany?
Od rozmowy z naszym inżynierem. Opisujecie środowisko, skalę firmy i problemy, które zauważacie. Na tej podstawie proponujemy audyt infrastruktury sieciowej, który daje konkretną odpowiedź: co działa dobrze, co jest ryzykowne i co warto zmienić w pierwszej kolejności. Bez audytu każda oferta to strzelanie na oślep.
-
Czy możecie wdrożyć sieć bez przerwy w działaniu firmy?
Tak, i robimy to regularnie. Wdrożenie planujemy etapami, tak żeby każdy etap był odwracalny i nie wpływał na działanie systemów produkcyjnych. Zmiany wymagające krótkiej przerwy technicznej planujemy w oknie serwisowym, najczęściej w nocy lub w weekend, po wcześniejszym uzgodnieniu z klientem.
//blog
Aktualności
W dzisiejszym świecie, gdzie technologia jest nieodłączną częścią naszego życia, zarządzanie ruchem
Czym jest wirtualizacja?Wyobraź sobie, że jeden komputer może uruchomić wiele „wirtualnych” systemów
W świecie ciągle zmieniających się technologii, Twoja firma potrzebuje nie tylko nowoczesnych
