Vrijwel ieder bedrijf maakt gebruik van een netwerk. Dit is in veel situaties minimaal een internetverbinding, maar er zijn ook veel organisaties die gebruik maken van een uitgebreider intern netwerk om bijvoorbeeld bestanden onderling te kunnen delen of toegang te bieden aan interne applicaties. In alle gevallen dient het netwerk goed beveiligd te zijn om problemen te voorkomen. Maar hoe pakt u dat aan?
Belangrijk bij netwerkbeveiliging is de zogenaamde netwerkzonering. Zonering is ook een onderdeel van fysieke en logische toegangsbeveiliging. Om u een goed beeld te geven van hoe u een effectieve netwerkbeveiliging kunt realiseren, staan wij stil bij:
● Goede netwerkbeveiliging
● Firewall
● VLAN
● Patchkast
● Wifi-netwerk
● Servers
● Beheer
● VPN
Goede netwerkbeveiliging
Een goede netwerkbeveiliging kenmerkt zich door het aanbrengen van een logische scheiding in netwerken (zones) met beperkingen in het netwerkverkeer dat tussen deze zones uitgewisseld wordt.
Een voorbeeld is de uitwisseling van gegevens tussen het publieke internet en het interne netwerk. Het is gebruikelijk om het binnenkomende verkeer sterk te beperken. Het uitgaande verkeer is vaak relatief vrij van beperkingen. Vanuit het interne netwerk kan men dus wel verbinding maken naar allerlei sites en servers op het internet en via verschillende protocollen, maar kan men van buitenaf in principe nergens naartoe.
Firewall
De belangrijkste schakel in een goede netwerkbeveiliging vormt de firewall. Deze past eerder genoemde beperkingen toe waardoor externen geen toegang hebben tot het interne netwerk. Typisch wordt hierbij een ‘block all’ policy toegepast voor binnenkomend verkeer met gerichte uitzonderingen. Zo’n uitzondering kan een website zijn die vanaf het internet bereikbaar moet zijn maar kan ook nodig zijn om een veilige VPN verbinding naar het interne netwerk op te kunnen bouwen.
VLAN
Ook de andere zones hebben hun eigen regels qua toegang en uitwisseling van verkeer of data. Dergelijke zones worden vaak via VLAN’s (virtual local area network) georganiseerd. Hierbij spelen ook switches een belangrijke rol – die regelen het verkeer tussen VLAN’s. Beperkingen op verkeer tussen verschillende VLAN’s moet vaak via een separate firewall, in enkele gevallen kan ook de switch hierin een rol spelen.
Patchkast
Het bedrade deel van het netwerk wordt meestal in een patchkast geregeld. Hier hangen de switches (en soms ook de firewall) en worden de (bedrade) verbindingen naar de verschillende (kantoor-) locaties gelegd.
Wifi
Daarnaast is er het draadloze netwerk, wifi. De best practice hier is om een semi-publiek draadloos netwerk te bieden aan gasten en voor privégebruik van medewerkers. Zo’n gast netwerk wordt uiteraard ook beveiligd om het gebruik te kunnen controleren en doorgaans is het alleen mogelijk om het internet op te gaan. Er zijn dus geen verbinding naar interne servers mogelijk. Voor laptops/workstations die ook via wifi aangesloten zijn is er dan vaak een intern draadloos netwerk wat wel die mogelijkheid biedt.
Servers
Servers worden doorgaans niet via draadloze netwerken aangesloten, maar via bekabelde verbindingen. De interne servers (dus niet die in de DMZ) staan doorgaans ook weer in hun eigen zone. Daarbij wordt weer onderscheid gemaakt tussen ‘ontwikkeling’, ‘test’, ‘acceptatie’ en ‘productie’. Deze OTAP (of DTAP in het Engels) zorgt er voor dat er niet ‘per ongeluk’ belangrijke gegevens vernietigd of beschadigd worden. Het is bijvoorbeeld niet ongebruikelijk om een kopie van een productie-applicatie en -database te herstellen in een testomgeving om bepaalde problemen te kunnen onderzoeken. Hierbij wilt u niet dat er per ongeluk verbinding wordt gemaakt met de verkeerde (productie-) systemen en daarmee schade veroorzaken. Tussen de OTAP omgevingen zijn dus beperkingen qua verkeer (doorgaans strikt gescheiden onderling maar wel bereikbaar vanuit beheer/werk-zones).
Beheer
Beheer wordt ook vaak gedaan vanuit een speciale netwerkzone. Zo wordt gecontroleerd dat een remote desktop op een server niet vanaf een normale werkplek kan plaatsvinden maar alleen vanaf een beheerslocatie – de IT afdeling bijvoorbeeld.
VPN
Tot slot is er het VPN: Virtual Private Network, zoals eerder genoemd. Hiermee kunnen medewerkers vanaf afstand (thuis of onderweg) een verbinding opzetten naar het interne netwerk. Een VPN vereist goede beveiliging, want het is in principe vanaf buiten benaderbaar en geeft toegang tot de interne netwerkdiensten (servers).
Zelf een goede netwerkbeveiliging realiseren
Heeft u nog vragen over het opzetten van een goede netwerkbeveiliging? Of wilt u een beleid voor uw organisatie vaststellen of de bewustwording over informatiebeveiliging onder werknemers vergroten? Neem vrijblijvend contact met ons op. Axxemble staat graag voor u klaar en voeren graag een onafhankelijke beoordeling voor u uit.
Lees het hele artikel op Axxemble.nl en ontdek meer best practices.
