Netwerksegmentering

Het nut en de noodzaak

In een klassieke netwerkarchitectuur wordt een enkele firewall gebruikt en een scheiding gemaakt tussen extern (onvertrouwd) en intern (vertrouwd) middels een soort kasteelmuur om interne componenten. Het grootste gevaar van deze oplossing is dat zodra een aanvaller (hacker) weet binnen te dringen op het interne netwerk men vrij spel heeft. Na een succesvolle inbraak kan de aanvaller zich vrij binnen het interne gemeentenetwerk verplaatsen. Een veel voorkomende methode van bijvoorbeeld Ransomware criminelen is naast het versleutelen van de gegevens, ook de waardevolle gegevens informatie en kroonjuwelen extraheren. Binnen deze architectuur is dat buitengewoon eenvoudig.[1]

Tekening 1: Schematische netwerktekening zonder segmentering

Netwerksegmentatie is het opknippen van het totale netwerk in kleinere segmenten, met tussen de segmenten een beveiligd koppelvlak. Dit zorgt ervoor dat kwaadwillenden die zich in een netwerksegment bevindt niet direct ongehinderd toegang heeft tot andere netwerksegmenten.

Het verkeer tussen deze netwerksegmenten kan gecontroleerd en/of geblokkeerd worden door goede regels in de beveiligde koppelvlakken (meestal firewalls) in te stellen en dit te controleren. Hierdoor wordt een eventueel incident beperkt tot een afgeschermd deel van het netwerk en kan men zich dus niet direct vrij bewegen door het hele netwerk.

Tekening 2: Schematische netwerktekening met segmentering[2]

Segmenteren van het netwerk

Het is belangrijk dat netwerk segmentatie met beleid wordt toegepast om te voorkomen dat er verstoringen optreden doordat legitiem verkeer tussen eindgebruikers en applicaties door de segmentatie niet meer kan plaatsvinden. Het is daarom van belang om dit goed en doordacht te doen, het is raadzaam om dit in veel gevallen in samenwerking met een ervaren specialist te doen. Het segmenteren is een meerjaren programma en er dienen meerdere stakeholders betrokken te worden waaronder een ICT architect. Mogelijk dient een gemeente ook aanvullende netwerkcomponenten aan te schaffen met aanvullende functionaliteiten om segmentering mogelijk te maken.

Het project bestaat op hoofdlijnen uit drie onderdelen:

  1. Maken van segmenten

Hier dient het netwerk, op basis van het segmentatie ontwerp, geconfigureerd te worden zodat er verschillende segmenten ontstaan; zogenoemde Virtual Local Area Networks (VLAN’s). In deze eerste stap zal al het netwerkverkeer tussen de VLAN’s gerouteerd worden en zal er nog geen verkeer geblokkeerd worden tussen de segmenten. Een voorbeeld hiervan is om specifieke segmenten te configureren waar beheeractiviteiten worden uitgevoerd; een management segment. Andere voorbeelden van segmenten zijn o.a. DMZ, Printers, VOIP, VDI/RDS Servers, Applicatie Servers, Database Servers, PC’s eindgebruikers, Gebouwbeheersystemen, IOT en Wifi. In de eerste stap van het maken van segmenten worden tevens de bijbehorende componenten in het juiste netwerksegment geplaatst.

Tekening 3: Voorbeeld netwerkarchitectuur met segmentering

  1. Firewalling tussen de segmenten

Segmenteren van het netwerk alleen is niet voldoende, het verkeer tussen de verschillende segmenten dient gereguleerd en/of geblokkeerd te worden middels een beveiligd koppelvlak. Een eindgebruiker communiceert niet direct met de database, maar doet dat bijvoorbeeld middels een webapplicatie. De eindgebruiker heeft dus geen communicatiestroom met de database, maar alleen met de webapp. Op basis van deze verkeersstromen dienen de firewalls geconfigureerd te worden, zodat ze
het legitieme verkeer toestaan & controleren en al het andere verkeer controleren en blokkeren.
Voordat er daadwerkelijk wordt overgaan op blokkeren van netwerkverkeer, moet begonnen worden met het analyseren en inventariseren (loggen) van de netwerkstromen.

  1. Dynamische toewijzing juiste netwerksegment

In een gemeente vinden regelmatig interne verhuizingen plaats. Componenten als PC’s, IoT-devices en printers worden in een andere opstelling of ruimte geplaatst en dienen weer opnieuw aangesloten te worden op het netwerk. Laptop’s verplaatsen natuurlijk ook constant waardoor in de laatste fase van het project segmentatie er aandacht is om dit soort apparaten dynamisch in het juiste segment te plaatsen. Hiervoor kan gebruik gemaakt worden van Network Access Control (NAC), die dynamisch computers identificeren, controleren en automatisch in het juiste segment plaatsen.

Aandachtspunten

Door verkeer te controleren en te blokkeren kan het ook voorkomen dat legitiem verkeer onbedoeld niet meer op de bestemming aankomt. Om dit risico te minimaliseren dienen enkele veelgemaakte fouten voorkomen te worden:

  • Onzorgvuldig configureren van de verschillende segmenten
  • Te snelle en grote stappen willen zetten
  • Ongecontroleerd het verkeer blokkeren, zonder eerst te loggen en te analyseren

Om netwerksegmentering op een goede manier uit te voeren raadt de IBD aan om in een meerjarenplan budget en capaciteit vrij te maken en dit programma in samenwerking met een ervaren (externe) specialist uit te voeren.

Volgende stap

De volgende stap na netwerksegmentering is Zero Trust[3]. Dit gaat een stuk verder dan netwerksegmentering. Bij Zero Trust wordt niets binnen het netwerk vertrouwd en moeten alle verkeersstromen continu gecontroleerd worden. Door dit toe te passen worden de risico’s van een mogelijk incident nog verder beperkt. Let op, dit vergt veel inspanning en ook hiervoor geldt dat netwerksegmentatie één van de maatregelen is die moet zijn ingericht.

==

[1] Voor deze factsheet is ter inspiratie gekeken naar een pagina van KPN

[2] Tekening 1 en 2 zijn vereenvoudigde schematische netwerktekeningen en representeren niet alle verschillende segmenten die aanwezig dienen te zijn bij een gemeente

[3] Zie factsheet ‘Bereid u voor op Zero Trust’ van het NCSC