In het licht van de WannaCry- en Petya-campagnes is een veelgehoord advies: netwerksegmentatie. Wat is dit precies, en hoe pak je het aan? Wij helpen je op weg.
Segmentatie behoort tot de ‘basishygiëne’ voor netwerken. Toch ontbreekt de maatregel binnen veel organisaties nog. Dat komt omdat het vrij complex is om te realiseren en er bij een onjuiste aanpak kans is op verstoring van bedrijfsprocessen. Maar met een zorgvuldige aanpak is het prima te doen.
Wat is netwerksegmentatie?
In een netwerk dat geen segmenten kent, kunnen alle computers met elkaar ‘praten’. En dat maakt het mogelijk voor virussen om van één computer automatisch naar de volgende te springen en zo in een mum van tijd het hele netwerk te infecteren. Exact het gedrag dat we zagen bij WannaCry en Petya.
Netwerksegmententatie is het aanbrengen van virtuele groepen in het computernetwerk. Het verkeer tussen deze ‘virtuele netwerken’ controleer of blokkeer je met behulp van een firewall. Met als doel om een incident op te sluiten in een deel van het netwerk, zodat andere delen ongeschonden blijven. Het digitale equivalent dus van branddeuren.
Hoe segmenteer je een netwerk?
Een segmentatieproject bestaat op hoofdlijnen uit drie onderdelen:
- Aanbrengen van segmenten - Het configureren van het netwerk zodat er genummerde groepen van computers ontstaan, zogenaamde Virtual Local Area Networks (VLAN’s). Over het algemeen kan dit met de bestaande netwerkapparatuur, en is het dus puur een goed doordachte configuratieklus.
- Firewalling tussen de segmenten - De segmenten zijn de kamers. Die hebben we nodig, maar er is pas sprake van branddeuren als we tussen de segmenten een firewall plaatsen die verkeer tussen de segmenten reguleert en blokkeert. Dat is mogelijk binnen fysieke of virtuele netwerken, en zelfs binnen de publieke cloudinfrastructuren van Amazon of Microsoft. In deze video wordt dit op eenvoudige wijze uitgelegd.
- Dynamische toewijzing - Vroeger toen we met onze desktop altijd op één plek in hetzelfde kantoor zaten en deze met een kabel op het netwerk aansloten, was segmentatie makkelijk. Tegenwoordig hebben we laptops en rennen we van de ene naar de andere ruimte of werken we buiten de deur. In dit tijdperk is het belangrijk om computers te kunnen identificeren, controleren en automatisch, ongeacht de fysieke locatie, in het juiste segment te plaatsen. Dat noemen we Network Access Control (NAC). Deze video geeft meer uitleg over NAC.
Netwerksegmentatie in 7 stappen
Wanneer netwerksegmentatie niet goed is doordacht, kan het tot ernstige verstoringen leiden. De grootste valkuil is dan ook om te snel en in te grote stappen te willen werken. Onze netwerkarchitecten hanteren bij segmentatieprojecten de volgende stapsgewijze aanpak:
- Ontwerp - Het netwerkdesign maken. Dus het bepalen van de netwerken in scope, gewenste segmenten, IP-reeksen daarbinnen, enzovoorts. Doorgaans leidt dit tot een mooie schematische weergave in Microsoft Visio. Die is nodig om op een later moment de implementatie van nieuwe applicaties in het netwerk goed te kunnen plannen.
- VLAN-configuratie - Het feitelijk aanleggen van de genummerde VLAN’s in de netwerkapparatuur.
- Routering - Het implementeren van een next-generation firewall die de routering van het verkeer tussen de VLAN’s kan verzorgen en tegelijkertijd inspecteren. De firewall moet in deze fase nog geen verkeer tussen de segmenten blokkeren, dat doen we pas later op gecontroleerde wijze.
- Workstations in VLAN’s plaatsen - Het plaatsen van de clientcomputers in de nieuwe VLAN’s. Dit zijn over het algemeen de computers die via DHCP automatisch van een IP-adres worden voorzien.
- Bevolken van andere VLAN’s - Het plaatsen van de overige systemen (servers, printers, IoT-devices, et cetera) in overige VLAN’s. Na deze stap loopt al het verkeer tussen de segmenten dus effectief door de firewall en kunnen we beginnen met reguleren.
- Inventariseren passerend verkeer - Laat de situatie een tijdje ongemoeid om in de firewall te kunnen zien welk verkeer er allemaal passeert. Er zullen namelijk altijd verkeersstromen zijn die onbekend waren, maar wel belangrijk zijn voor je processen. Puur ter indicatie: neem een week de tijd. Maar eigenlijk hangt het helemaal af van je netwerk. Deze stap vereist wel de nodige kennis en ervaring, dus schakel vooral een expert in.
- Blokkeren van ongewenst verkeer - Na de inventarisatie en het inrichten van goede policy’s in de firewall kan de rest van het verkeer worden geblokkeerd. Ook dit moet weer stapje voor stapje gebeuren om effecten van blokkades goed te kunnen overzien.
Hierna is er sprake van een gesegmenteerd netwerk en zijn de branddeuren een feit. Het inrichten van de dynamische toewijzing komt daarna. Eerst bepalen we dan de VLAN’s die dienen voor quarantaine en herstel, dus waar computers in worden geplaatst die we niet kennen of die niet voldoen aan het securitybeleid. Het inrichten van NAC is op zichzelf ook een uitgebreide stap die goed moet worden doordacht.
Netwerksegmentatie zonder verstoringen
Bij een segmentatieproject is er altijd een risico op verstoringen. Maar dit risico is minimaal als u een aantal veelgemaakte fouten voorkomt, zoals:
- het onzorgvuldig configureren van VLAN’s,
- te snel en in te grote stappen willen werken,
- en het op ongecontroleerde wijze blokkeren van verkeer.
Netwerksegmentatie is een belangrijk instrument om te voorkomen dat een cyberaanval je hele netwerk platlegt. Een segmentatieproject kan vrij complex zijn, maar het resultaat na afronding is absoluut de moeite waard.