Home Data & Storage Netwerksegmentatie in 7 stappen

Netwerksegmentatie in 7 stappen

Door
Erik Remmelzwaal
-
2531
Netwerksegmentatie

De WannaCry- en Petya-campagnes onderstrepen het belang van netwerksegmentatie. Maar wat is dit precies, en hoe pak je een segmentatieproject aan? Een praktisch stappenplan.

Wat is netwerksegmentatie?

Netwerksegmentatie is het aanbrengen van virtuele groepen in het computernetwerk. Het verkeer tussen deze ‘virtuele netwerken’ controleer of blokkeer je met behulp van een firewall. Met als doel een incident op te sluiten in een deel van het netwerk, zodat andere delen ongeschonden blijven. Dit is dus het digitale equivalent van branddeuren.

Waarom netwerksegmentatie?

In een niet-gesegmenteerd netwerk kunnen alle computers met elkaar ‘praten’. Hierdoor is het voor virussen mogelijk om van één computer automatisch naar de volgende te springen en zo in korte tijd het hele netwerk te besmetten. Dit gedrag zagen we ook bij WannaCry en Petya. Segmentatie behoort dan ook tot de ‘basishygiëne’ voor netwerken.

Toch hebben veel organisaties hun netwerk nog niet gesegmenteerd. Dat komt omdat het vrij complex is om te realiseren. Bovendien loop je bij een onjuiste aanpak het risico op verstoring van bedrijfsprocessen. Maar met een zorgvuldige aanpak is het prima te doen.

Hoe segmenteer je een netwerk?

Een segmentatieproject bestaat grofweg uit drie onderdelen:

  1. Aanbrengen van segmenten – Het configureren van het netwerk zodat er genummerde groepen van computers ontstaan, zogenaamde Virtual Local Area Networks (VLAN’s).
  2. Firewalling tussen de segmenten – Er is pas sprake van branddeuren als je tussen de segmenten een firewall plaatst die verkeer tussen de segmenten reguleert en blokkeert. Dat is mogelijk binnen fysieke of virtuele netwerken, en zelfs binnen de publieke cloud-infrastructuren van Amazon of Microsoft. In de volgende video wordt dit op eenvoudige wijze uitgelegd.
  3. Dynamische toewijzing – Het is belangrijk om computers te kunnen identificeren, controleren en automatisch, ongeacht de fysieke locatie, in het juiste segment te kunnen plaatsen. Dat noemen we Network Access Control (NAC). Deze video geeft meer uitleg over NAC:

Netwerksegmentatie in 7 stappen

De netwerkarchitecten van DearBytes hanteren de volgende stapsgewijze aanpak:

  1. Ontwerp – Maak het netwerkdesign. Dus het bepalen van de netwerken in scope, gewenste segmenten, IP-reeksen daarbinnen, enzovoorts. Dit leidt doorgaans tot een mooie schematische weergave in Microsoft Visio. Die is nodig om later de implementatie van nieuwe applicaties in het netwerk goed te kunnen plannen.
  2. VLAN-configuratie – Leg de genummerde VLAN’s in de netwerkapparatuur aan.
  3. Routering – Implementeer een next-generation firewall die de routering van het verkeer tussen de VLAN’s kan verzorgen en tegelijkertijd inspecteren. In deze fase moet de firewall nog geen verkeer tussen de segmenten blokkeren, dat doe je pas later op gecontroleerde wijze.
  4. Workstations in VLAN’s plaatsen – Plaats de client-computers in de nieuwe VLAN’s. Dit zijn over het algemeen de computers die via DHCP automatisch van een IP-adres worden voorzien.
  5. Bevolken van andere VLAN’s – Plaats de overige systemen (servers, IoT-devices, printers, et cetera) in overige VLAN’s. Na deze stap loopt al het verkeer tussen de segmenten dus effectief door de firewall en kun je beginnen met reguleren.
  6. Inventariseren passerend verkeer – Laat de situatie een tijdje ongemoeid om in de firewall te kunnen zien welk verkeer er allemaal passeert. Er zullen namelijk altijd verkeersstromen zijn die onbekend waren, maar wel belangrijk zijn voor je processen. Ter indicatie: neem een week de tijd. Maar dit hangt helemaal af van je netwerk. Deze stap vereist de nodige expertise, dus schakel vooral een specialist in.
  7. Blokkeren van ongewenst verkeer – Na de inventarisatie en het inrichten van goede policy’s in de firewall kan de rest van het verkeer worden geblokkeerd. Ook dit moet stapje voor stapje gebeuren om effecten van blokkades goed te kunnen overzien.

Dynamische toewijzing

Hierna is er sprake van een gesegmenteerd netwerk: de branddeuren zijn een feit. Het inrichten van de dynamische toewijzing komt daarna. Eerst bepaal je dan de VLAN’s die dienen voor quarantaine en herstel, dus waar computers in worden geplaatst die je niet kent of die niet voldoen aan het securitybeleid. Het inrichten van NAC is op zichzelf ook een uitgebreide stap die goed moet worden doordacht.

Veelgemaakte fouten

Bij een segmentatieproject is er altijd het risico op verstoringen. Maar dit risico is minimaal als je een aantal veelgemaakte fouten voorkomt, zoals:

  • het onzorgvuldig configureren van VLAN’s,
  • te snel en in te grote stappen willen werken, en
  • het op ongecontroleerde wijze blokkeren van verkeer.

 

Netwerksegmentatie is een belangrijke preventieve maatregel tegen cyberaanvallen. Een segmentatieproject kan vrij ingewikkeld zijn, maar het resultaat na afronding is zeker de moeite waard.

Erik Remmelzwaal, directeur van DearBytes

GERELATEERDE ARTIKELENMEER VAN DEZE AUTEUR

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in