Blog

10 tips om uw netwerk te beveiligen

10 tips om uw netwerk te beveiligen

Het beveiligen van een netwerk lijkt in eerste instantie niet heel erg ingewikkeld. Er zijn tenslotte voldoende oplossingen beschikbaar die kunnen beschermen tegen alle mogelijke bedreigingen. Denk hierbij aan (next-generation) firewalls, IDS/IPS, NAC, etc. Echter, het simpelweg implementeren van alle security oplossingen die er te vinden zijn maakt een netwerk niet per definitie veiliger.

Er zijn een aantal zaken te benoemen die bijdragen aan de netwerkbeveiliging en daardoor bijdragen aan de beschikbaarheid.

1. Stel een policy op

Het opstellen van beleid, ofwel een security policy, rondom security is de eerste stap op weg naar een veilig netwerk. Er moeten immers regels zijn voor wat wél- en wat niet wordt toegestaan.

Er zijn in principe drie verschillende soorten policies:

  • Open policy - Alles dat niet expliciet wordt verboden, is toegestaan
  • Gesloten policy - Alles wat niet expliciet is toegestaan, wordt verboden
  • Beperkende policy - combinatie van specifieke permissies en beperkingen

Daarnaast heeft een security policy een bepaalde scope en doelgroep. In relatie tot netwerkbeveiliging kan de scope beperkt worden tot verkeersstromen en de doelgroep is het netwerk- of security team omdat zij degene zijn die het netwerk en de firewalls beheren.

Het probleem bij een dergelijke policy is vaak het inzichtelijk maken ervan. Wanneer een policy gelijk staat aan een dik pak papier zal niemand er naar kijken, met alle gevolgen van dien. Een betere oplossing is wellicht het in kaart brengen van verschillende security 'zones' en vervolgens in een matrix aangeven welke verkeersstromen zijn toegestaan tussen de verschillende zones. De figuur hieronder geeft daar een voorbeeld van.

security tips

Meer informatie over security policies kan bijvoorbeeld gevonden worden in het 'Site Security Handbook'.

2. Bepaal wat er waartegen beveiligd moet worden

Op dit moment zijn er een aantal 'populaire' aanvallen, zoals Ransomware en (D)DoS aanvallen. Het ligt dus voor de hand om daartegen te beschermen. Dit zijn aanvallen die over het algemeen van buitenaf komen.

Maar vertrouw er niet op dat alles aan de binnenkant van het netwerk vertrouwd kan worden. Veel beveiligings problemen ontstaan vanuit het interne netwerk, bijvoorbeeld doordat malware mee naar binnen wordt genomen op mobiele devices.

Begin daarom met een risk-assessment om te bepalen wat er beveiligd moet worden, waartegen dat beveiligd moet worden, en met welke middelen er beveiligd moet worden: Mag het veel tijd kosten, mag het veel geld kosten, etc.

Vervolgens zijn er vijf benaderingen ten aanzien van het omgaan met risico:

  • Accepteer het risico
  • Bescherm tegen het risico
  • Zwak het risico af
  • Schuif het risico door (bijvoorbeeld door het afsluiten van een verzekering)
  • Negeer het risico
  • De resultaten van deze stap zijn typisch zaken die worden opgetekend in de security policy.

3. Beperk het aantal in- en uitgangen van/naar het netwerk

Het beveiligen van een netwerk waarvan het niet duidelijk is via welke wegen het verkeer binnen komt of naar buiten gaat, is erg lastig. En hoewel je zou kunnen zeggen dat er slechts één gecombineerde in- en uitgang van het netwerk is, namelijk de internet verbinding, werkt dat in de praktijk toch anders. Bijvoorbeeld, wanneer alle gebruikers direct vanaf de PC of laptop het internet mogen benaderen, heb je net zoveel in/uitgangen als gebruikers. Wanneer deze gebruikers worden verplicht om gebruik te maken van een proxy-server, is er nog slechts één in/uitgang, namelijk de proxy server.

4. Segmenteer het netwerk

In een organisatie heeft niet iedereen dezelfde rol of functie. Als gevolg daarvan is het hoogstwaarschijnlijk dat niet iedereen dezelfde privileges nodig heeft. Vanzelfsprekend wordt dit geregeld aan de kant van de applicatie, bijvoorbeeld met een gebruikersnaam/wachtwoord, maar door te segmenteren kan ook op netwerk niveau de juiste scheiding worden aangebracht.

Daarnaast zorgt segmentatie ervoor dat wanneer bijvoorbeeld een laptop in het ene segment is geïnfecteerd met malware, deze malware niet zomaar naar een ander segment kan overspringen.

5. Stop spoofing

Wanneer gebruikers de mogelijkheid wordt geboden tot het spoofen van het IP-adres, vormt dat niet alleen een bedreiging voor het eigen netwerk, maar ook voor andere netwerken. Het voorkomen van spoofing is een eenvoudige maatregel die te allen tijde genomen zou moeten worden. Eén van de mogelijke anti-spoofing technieken is 'unicast Reverse Path Forwarding' (uRPF). Bijkomend voordeel van deze techniek is dat het in combinatie met BGP eenvoudig ingezet kan worden om verkeer te blokkeren gebaseerd op source IP-adres. Dit wordt 'Remote Triggered Blackhole' filtering (RTBH) genoemd en is een effectieve manier voor DDoS Beveiliging.

6. Bescherm DNS

Vaak realiseert men zich niet dat DNS cruciaal is voor het functioneren van het netwerk, of liever gezegd het gebruiken van het netwerk. Zo goed als alle systemen zijn afhankelijk van DNS. Wanneer DNS niet beschikbaar is, stopt alles. Een goed voorbeeld hiervan is waarschijnlijk een recente DDoS aanval welke gericht was tegen DNS infrastructuur.

7. Automatiseer

Hoewel er gediscussieerd kan worden over wat de oorzaken van incidenten zijn en of deze worden veroorzaakt door menselijk handelen, heeft automatisering in ieder geval het voordeel dat taken consistent worden uitgevoerd. En dit kan zeker bijdragen aan toevallige typefouten waardoor (security) kwetsbaarheden of incidenten kunnen ontstaan. Daarnaast kan automatisering saaie, dagelijkse taken overnemen van een beheerder waardoor deze zich beter kan focussen op de algehele beveiliging van het netwerk.

8. Monitor

Binnen het bestaande security framework 'Prevent - Detect - Recover' werd in het verleden vooral veel aandacht gegeven aan 'Prevent'. Dit vertaalde zich o.a. in firewalls aan de perimeter met als doel het 'fort' te beschermen. Met de huidige trend van het meenemen van eigen apparatuur zoals smartphones en tablets, komt de dreiging niet langer alleen van buitenaf. Daarom is het waarschijnlijk verstandiger om de aandacht te verleggen van 'Prevent' naar "Detect'. Hierbij is het uitgangspunt dat het niet te voorkomen is dat er iets gebeurt, maar dat het dan in ieder geval snel opgemerkt kan worden. Hierbij is het vooral van belang om te monitoren op afwijkingen in bijvoorbeeld het  volume van netwerkverkeer, maar ook Syslog kan van onschatbare waarde zijn.

9. Keep it Simple

"Complexity is security's worst enemy". Ondanks dat netwerken vaak complex kunnen zijn, streef er toch naar om de complexiteit op te delen in beheersbare stukken. Dit ligt in het verlengde van het eerder genoemde punt over het segmenteren van het netwerk.

Kijk ook vooral naar hoeveel 'security oplossingen' er geïmplementeerd zijn en in hoeverre deze elkaar overlappen. Wanneer er veel overlap is zou overwogen kunnen worden om sommige oplossingen uit te faseren.

10. Audit

Het netwerk en de configuraties van netwerk apparatuur zijn niet statisch. In sommige gevallen wijzigt dit zelfs wekelijks. Het is aam te raden om regelmatig te controleren of het netwerk en de configuraties nog voldoen aan het opgestelde beleid. Het uitvoeren van een audit verloopt in verschillende stappen. De eerste stap: zorg dat er toestemming is om een audit te mogen uitvoeren! Vervolgens is het een kwestie van het plannen van de audit, het opstellen van een audit-plan en het uitvoeren van de audit. Als laatste stap in dit proces mag rapportage niet worden vergeten.

Meer weten?

Neem dan contact op met Infradata.

- 10 januari 2017

Pagina delen:
Ontvang het laatste nieuws en relevante updates rechtstreeks in je browser. (max. één bericht per week)