IT-NETWERK BEVEILIGEN
We zien steeds vaker voorbeelden van cybercriminaliteit in de media verschijnen. Zoals over phishing e-mails, klikken op onveilige links, grote hoeveelheden gestolen wachtwoorden en facturen die worden overgemaakt naar een rekeningnummer van cybercriminelen.
Het beveiligen van de netwerk-infrastructuur is een onderwerp dat je minder vaak in de media tegenkomt. De typische onderdelen van deze infrastructuur zijn een firewall, switches en virtuele netwerken (zogenaamde VLAN’s).
Die verminderde media-aandacht laat zich uitleggen door het feit dat netwerkscheiding een taai technisch verhaal is. Het is de lezer niet altijd even duidelijk hoe dit werkt. In dit artikel leggen we uit wat het belang is van de beveiliging van het lokale IT-netwerk en waar je op moet letten.
Beveilig datgene wat belangrijk is
Het beveiligen van een IT-netwerk begint met de juiste prioriteiten stellen. Eerst moet worden vastgesteld welk deel van het IT-netwerk je wilt beveiligen. Niet elk gedeelte van het netwerk hoeft extreem goed beveiligd te worden. Het doel moet zijn om medewerkers zo min mogelijk te hinderen bij het uitvoeren van hun werkzaamheden.
Ook is het belangrijk om te weten waar waardevolle bedrijfsgegevens zijn opgeslagen. Vaak zijn dit specifieke documenten, een centrale database, een klantenbestand of de financiële gegevens. Net als in een juwelierswinkel, waar de duurste en belangrijkste juwelen in een goed beveiligde lade of in een kluis zijn opgeborgen, moeten de bedrijfskritische IT-juwelen ook goed beveiligd worden.
Scheiden van het IT-netwerk
Voor een van onze klanten hebben wij een project uitgevoerd om de beveiliging van de netwerkinfrastructuur te verbeteren. Onderdeel van deze verbetering was de scheiding van het IT-netwerk in verschillende categorieën:
Server-netwerk
In dit afgeschermde deel van het IT-netwerk staan de servers waar de belangrijkste informatie van de klant op staan. Alleen specifieke apparaten en geautoriseerde medewerkers hebben toegang tot deze servers.
Management-netwerk
Moderne netwerkapparatuur als WiFi-access points en switches worden via een website beheerd. Deze websites, ook als beheerportals bekend, worden in een gescheiden beheernetwerk geplaatst. Hierdoor wordt het voor hackers lastig om ongeautoriseerde toegang te krijgen tot belangrijke delen van de IT-infrastructuur.
PC/Laptop-netwerk
Tot dit deel van het beveiligde IT-netwerk krijgen alleen geregistreerde laptops en pc’s van de klant toegang. Vanuit dit netwerkdeel krijgt de gebruiker toegang tot het server-netwerk.
DMZ/EDGE-netwerk
Dit netwerkdeel staat los van de overige netwerkdelen en heeft beperkt toegang tot het server-netwerk. Hier staan alleen servers en/of websites die vanaf het internet te benaderen zijn. Wanneer een van deze servers wordt gehackt kan de inbreker niet direct bij de andere servers of werkstations komen.
Gasten-netwerk
Op dit netwerkdeel kunnen gasten zich aanmelden en gebruik maken van WiFi. De gast kan uitsluitend gebruik maken van internet en overige netwerkdelen zijn onbereikbaar. Voor deze scheiding was het IT-netwerk van onze klant één groot netwerk. Als je eenmaal binnen op het IT-netwerk kwam, dan was het relatief eenvoudig om bij belangrijke informatie te komen. Nu zijn er voor elk netwerkdeel specifieke firewall-regels en toegangsrechten gedefinieerd. Het is als buitenstaander zeer moeilijk geworden om bij vertrouwelijke informatie te komen.
Iedereen die met IT-security bezig is, weet dat een IT-netwerk nooit 100% veilig gemaakt kan worden. Desalniettemin valt er in veel IT-netwerken nog veel te verbeteren en kunnen risico’s veel kleiner gemaakt worden.
