5 belangrijke aandachtspunten voor veilig netwerkontwerp

23-06-2020

5 belangrijke aandachtspunten voor veilig netwerkontwerp

Met een doordacht design en enkele slimme instellingen kun je het hackers vanuit de basis lastiger maken. Maar hoe doe je dat? 5 leerpunten voor wie hackers zo min mogelijk beweegruimte gunt.

De oude Egyptenaren wisten al hoe ze met een vernuftig ‘binnenhuisontwerp’ voor hun piramides waardevolle bezittingen konden beschermen tegen rovers. Binnenkomen was niet al te lastig. Maar dankzij de ingewikkelde gangenstelsels en nauwe doorgangen was vinden van de schatkamer haast onmogelijk zonder een goede kaart of uitgebreide voorkennis. Laat staan het tijdig ontsnappen met de buit.

Wat betreft het ontwerp van een veilig bedrijfsnetwerk kunnen we van deze oude beschaving leren. Het is niet slim de voordeur wagenwijd open te zetten. Maar met een doordacht ontwerp en enkele slimme keuzes kun je het aanvallers eenmaal voorbij die voordeur wel zo lastig mogelijk maken. Deze 5 aandachtspunten zorgen voor een solide basis:

1. Vergeet de fysieke beveiliging niet

Zelfs de modernste digitale securityvoorzieningen bieden onvoldoende bescherming wanneer de fysieke beveiliging niet op orde is. Naast algemene gebouwbeveiliging is het belangrijk dat niemand bij de fysieke netwerkinfrastructuur kan komen. Het is voor insluipers of kwaadwillende medewerkers anders niet moeilijk om bijvoorbeeld een draadloze router in een vrije netwerkpoort te prikken en een vals wifinetwerk op te zetten.

Fysieke beveiligingsmaatregelen zijn niet ingewikkeld. Leg netwerkbekabeling zoveel mogelijk uit zicht, plaats sloten op de kasten voor de netwerkhardware, hang routers en access points aan het plafond en zorg voor een strikt ‘deurbeleid’.

2. Segmenteer het netwerk met VLAN’s

Is een hacker binnengedrongen op het netwerk, dan heeft deze zonder speciale maatregelen een behoorlijke bewegingsruimte. Segmentatie van het netwerk met met behulp van VLAN’s (virtual LAN’s) kan deze ruimte behoorlijk beperken. Met behulp van VLAN’s verdeelt u het netwerk in meerdere strikt begrensde ‘zones’. Met deze zones kunt u een eigen virtueel netwerk toekennen aan bijvoorbeeld alle wifi-accesspoints, een server vol gevoelige data of specifieke groepen gebruikers. Het is daarbij belangrijk om deze gesegmenteerde netwerken te scheiden met een firewall om de additionele belangrijke beveiliging te waarborgen.

Een slimme strategie is om diensten die via het internet benaderd moeten worden, te plaatsen in een aparte DMZ (demilitarized zone). Denk aan de mail- of webserver. Dat is een voor de buitenwereld toegankelijk deel van het bedrijfsnetwerk, dat wel volledig afgescheiden is van de rest van het netwerk. Dat voorkomt dat externe personen gemakkelijker tot in de meer gevoelige delen van het netwerk doordringen. Heb je daarentegen je diensten in de cloud of online gehost, dan is het van belang om óók daar een goede security in te regelen om je informatie en beschikbaarheid veilig te stellen.VLAN’s zijn naast goed voor de beveiliging ook nuttig voor de scheiding van het netwerk naar verkeerstype. Denk aan een zone voor gastentoegang, voor VoIP-verkeer of een SAN. Op die manier kunt u specifieke bandbreedten toewijzen en zo de algehele gebruikservaring verbeteren.

3. Overweeg versleuteling en authenticatie op het bekabelde netwerk

Het versleutelen van wifiverbindingen is gelukkig gemeengoed. Minder voor de hand ligt de encryptie van bekabelde verbindingen. Het is ingewikkelder dan wifiversleuteling en vereist het toepassen van interne VPN-trucs of de toepassing van IPsec, maar kan toch de moeite waard zijn.

Heeft een hacker eenmaal toegang tot een bekabeld netwerk, dan kan hij of zij in ieder geval geen data verzenden of ontvangen. Houd wel rekening met een prestatievermindering. Versleuteling en weer leesbaar maken van data kost nu eenmaal verwerkingscapaciteit.Hetzelfde geldt min of meer voor authenticatie. Hoewel voor wifiverbindingen gesneden koek, is het dat voor het bekabeld netwerk lang niet altijd. Met 802.1X-authenticatie kunnen hackers zonder aanmeldgegevens hier weinig aanrichten. Voor deze authenticatievariant is een RADIUS-server of Windows Server noodzakelijk.

4. Beperk de rechten van wifigebruikers

Draadloze netwerken zijn van nature kwetsbare toegangspunten tot het netwerk. Toch valt het risico op een hack via dit kanaal te verkleinen door enkel internettoegang toe te staan. Wifigebruikers die toch met het bedrijfsnetwerk willen verbinden, kunnen dat doen via VPN. De firewall zal dan zorgen voor de extra beveiliging van de data en aan de hand van policy’s bepalen wat een gebruiker wel of niet mag.

5. Log liever teveel dan te weinig

Logs beschermen niet tegen hackers, maar kunnen wel helpen met de detectie van een op handen zijnde aanval. Ook tijdens een audit of na een hack is het beter om teveel data te hebben dan te weinig. Het is belangrijk dat het juiste controleniveau is ingeschakeld en dat u niet alleen de systeemlogboeken bijhoudt. Een SIEM (security information and event management)-oplossing kan de verzamelde logs eventueel met elkaar correleren om zo het totale dreigingsbeeld scherp te krijgen.

Het ontwerpen van een veilig netwerk is een grote uitdaging. Deze inspanningen vallen echter in het niet bij de herstelwerkzaamheden, de downtime en de imagoschade als gevolg van een gelukte hack, mogelijk gemaakt door een ondoordacht netwerkontwerp. De extra inspanning is het vrijwel altijd waard.

Door: Hans Schenkelaars, Solution Design Specialist bij Tech Data 

Terug naar nieuws overzicht

Tags

Security
Security