Veilig netwerkdesign: 5 cruciale aandachtspunten
Een slim netwerkontwerp maakt het hackers lastiger om binnen te komen en data te ontfutselen. Deze 5 aandachtspunten zijn goed om in ogenschouw te nemen.
Voor een veilig netwerkontwerp kunnen we inspiratie halen uit de manier waarop Egyptenaren hun piramides ontwierpen. Binnenkomen was niet moeilijk, maar de buit bereiken en een weg naar buiten vinden was door het interne doolhof en de nauwe doorgangen haast onmogelijk. Hetzelfde geldt min of meer voor een slim netwerkontwerp. Nu is het openlaten van de voordeur niet verstandig, maar door vernuftig intern design kunt u het indringers wel zo lastig mogelijk maken. De volgende 5 tips helpen daarbij:
- Zorg ook voor fysieke veiligheidsmaatregelen
Fysieke beveiliging is een noodzakelijke voorwaarde voor goede netwerkbeveiliging. Zorg voor algemene gebouwbeveiliging, zoals toegangscontrole. Daarnaast is het belangrijk dat de fysieke netwerkonderdelen zoals switches, access points, firewalls en bekabeling zoveel mogelijk uit het zicht, aan het plafond en/of achter slot en grendel zijn geplaatst.
- Netwerksegmentatie met behulp van VLAN’s
Het is belangrijk de bewegingsruimte te beperken van indringers die eenmaal ‘voorbij de voordeur’ zijn. Een goede maatregel is segmentatie van het netwerk. Met behulp van VLAN’s verdeelt u het netwerk in zones. Deze zones zijn onderling begrensd. Zo kunt u een virtueel netwerk toekennen aan bijvoorbeeld alle opslagservers of aan bepaalde afdelingen.Het is verstandig diensten die voor de buitenwereld benaderbaar moeten blijven, te plaatsen in een ‘Demilitarized Zone’ (DMZ). Dat is een afgesloten deel van het netwerk dat geen verbinding heeft met de rest van het interne netwerk. Een DMZ is ideaal voor bijvoorbeeld een mailserver of een bestandsserver die voor externen benaderbaar moet zijn. Zo verkleint u het risico dat indringers deze zaken misbruiken als toegangspoort tot het netwerk.
- Pas ook op het bekabelde netwerk versleuteling toe
Vrijwel alle organisaties versleutelen hun wifinetwerk. Minder gebruikelijk is de versleuteling van de bekabelde verbinding. Dat is ingewikkelder dan wifiversleuteling en vereist de toepassing van technieken als IPsec of interne VPN-tunnels. Toch kan het de moeite waard zijn.Komt een hacker binnen op een bekabeld, versleuteld netwerk, dan kan hij of zij geen data verzenden, ontvangen of onderscheppen. Een nadeel is prestatievermindering: het versleutelen en weer leesbaar maken van het netwerkverkeer gaat ten koste van de prestaties.
Een extra beveiligingsmaatregel is authenticatie. Ook dit is gemeengoed voor wifi, maar zeldzaam op het bedrade netwerk. Met 802.1X-authenticatie staan hackers zonder aanmeldgegevens buitenspel. Deze technologie vereist wel een RADIUS-server of Windows Server.
- Perk de rechten van wifigebruikers in
Wifinetwerken zijn van nature kwetsbare toegangspoorten tot het bedrijfsnetwerk. De kans op een hack verkleint u door via deze weg alleen internettoegang toe te staan. Eventueel kunt draadloze communicatie met het bedrijfsnetwerk toestaan via een VPN-verbinding. - Leg uitgebreide logs aan
Informatie is een belangrijk wapen tegen hackers. Daarom is het belangrijk zoveel mogelijk informatie over het netwerkverkeer en -gebruik vast te leggen in logs. Logs stoppen aanvallers niet direct, maar uit de zee aan informatie kunnen intelligente systemen op handen zijnde aanvallen detecteren. Een SIEM-oplossing (Security Information and Event Management) kan de verzamelde logs eventueel met elkaar correleren om zo het totale dreigingsbeeld scherp te krijgen.
Het ontwerp van een veilig netwerk is niet gemakkelijk. Herstelwerkzaamheden na een cyberaanval zijn echter nog veel moeilijker. En dan zwijgen we nog over de kosten en andere ellende die gepaard gaat met downtime, verlies van gegevens en datalekken. Een goede basis verkleint het risico hierop.