Document toolboxDocument toolbox

3.4.3.2. Netwerkzonering als maatregel

Netwerkzonering is een preventieve maatregel.

Netwerken maken lokale en wereldwijde connectiviteit mogelijk tussen (ICT-)apparatuur. Netwerken zijn meestal opgebouwd uit functionele zones, waarbij systemen logisch met elkaar gekoppeld zijn op een zone. Netwerkzonering is dus het opsplitsen van een netwerk in logische of fysieke gescheiden zones. Dit kan helpen bij het voldoen aan geldende wet- en regelgeving, informatiebeveiligingsbeleid, beperking van risico’s en vereenvoudigen van toezicht.

Zones bestaan op hun beurt uit één of meerdere technische netwerksegmenten.

In een zone kunnen datastromen vrij over het netwerk bewegen. Dat wil niet zeggen dat alles zomaar mogelijk is: er zijn immers nog andere maatregelen buiten de netwerkmaatregelen (zoals bv. authenticatie), maar op netwerkniveau is er binnen de zone geen beperking. Datastromen tussen zones zijn wel aan beperkende maatregelen zoals bv. filtering onderworpen.

Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. Bij logische scheiding wordt gebruik gemaakt van technieken zoals VLAN (Virtual Local Area Network), ACL (Access Control Lists), NAC (Network Access Control) en NGFW (Next Generation firewalls).
Onderstaande figuur schetst de belangrijkste netwerkzones binnen een organisatie. 

 

Een netwerkzone is een afgebakend deel van het netwerk van ICT-apparatuur, waarin trafiek vrij kan manoeuvreren. Gegevensuitwisseling met andere zones verloopt via gedefinieerde interfaces. Het primaire doel van segmentering is het isoleren van risico’s zodat bedreigingen en incidenten uit de ene zone niet kunnen doorwerken in de andere zone. Mocht één laag worden doorbroken, dan voorkomt de volgende beveiligingslaag in deze architectuur dat bedrijfsprocessen en gegevens direct kunnen worden benaderd vanuit de andere zone. Vergelijk het met de veiligheidsdeuren in een schip, die het ene compartiment afscheiden van het andere zodat bij waterdoorbraak het water niet in het andere compartiment kan lopen. 

Wanneer twee netwerkzones gekoppeld worden zodat netwerktrafiek van de ene zone naar de andere zone doorvloeit, geldt globaal het betrouwbaarheidsniveau van de zone met het laagste niveau. Bijkomende maatregelen zijn dan nodig om het niveau van betrouwbaarheid tot het gewenste niveau te verhogen door passende maatregelen te nemen in de zones (op netwerk- of systeemniveau) zelf of op de interface. 

Waar vroeger een netwerkarchitectuur geïmplementeerd werd binnen de muren van de organisatie, vervagen deze fysieke grenzen meer en meer door de toepassing van virtualisatie en het gebruik van clouddiensten. Fysieke bescherming en afscherming van een perimeter wordt op deze manier moeilijker omdat ook de fysieke grenzen verdwijnen. 

In de meeste netwerkarchitecturen vindt men een combinatie van volgende zones: 

  • DMZ: deze zone vormt een buffer tussen de organisatie en de buitenwereld;

  • Gebruikerszone: in deze zone bevindt zich de gebruikersapparatuur, d.w.z. dit is de enige zone waarin gebruikers interageren met ICT-apparatuur;

  • Datazone: deze zone bevat alle ICT-apparatuur nodig voor gebruikerstoepassingen; en

  • IoT-zone (Internet of Things): zone voor koppelen van intelligente apparatuur zoals printers, camera’s, sensoren, …

3.3.3.2.1. Logische indeling

DMZ

Dit domein is een neutraal gebied tussen de buitenwereld en de organisatie en fungeert voornamelijk als doorgeefluik. De buitenkant van een DMZ (demilitarized zone) wordt gevormd door een grensbescherming met filterfuncties, zoals NAT (Network Address Translation) en/of network based firewall. De DMZ omvat één of meer mechanismen voor filtering van protocollen en ongewenste communicatie, afhandelen van malware, functies voor ontkoppeling (proxy), voor protocoltransformatie, misleiding van hackers en monitoring. Als de grensbescherming aan de buitenkant wordt gebroken, dan kan een hacker toegang krijgen tot de data binnen de DMZ. De filterende mechanismen en de grensbescherming tussen DMZ en de organisatie moeten voorkomen dat hackers vanuit de DMZ door kunnen gaan naar interne zones.  

De DMZ bevat in veel gevallen ook webservers, die publiek toegankelijke organisatiegegevens bevatten. Dit zijn zowel informatieverstrekkende webservers opgesteld als webservers die transacties van gebruikers kunnen doorzetten naar de achterliggende, interne omgeving. Vanuit de externe omgeving gerekend fungeert de DMZ als doorgeefluik waar klantinformatie wordt verwerkt tot organisatie-informatie en omgekeerd.  

Een DMZ kan in een eigen datacenter opgezet worden, of hosted bij een provider of in een publieke cloud. 

Gebruikerszone

Deze zone bevat zowel ondersteunende systemen als systemen voor het operationeel verwerken van systemen en de gebruikersapparatuur (bv. laptop, desktop, …). Hier werken toepassingen voor de normale bedrijfsvoering van de organisatie. 

Deze zone is een hoog-risicozone omwille van de grote aantallen aansluitingen, de directe toegang op de toestellen door gebruikers en de relatief grote kwetsbaarheid voor inbreuk. De controle op naleving van beveiligingsrichtlijnen in de gebruikerszone is doorgaans beperkt. 

Gebruikers kunnen potentieel overal zijn: op kantoor, werken van thuis uit of vanuit elke omgeving die één of andere vorm van door de organisatie toegelaten connectiviteit aanbiedt. 

Datazone

Deze zone bevat de apparatuur waarop de toepassingen draaien voor normale bedrijfsvoering van de organisatie. Deze toepassingen worden door de gebruikers in de gebruikerszone benaderd voor verwerking van informatie.  

Vaak kiezen organisaties voor het uitbesteden van het beheer en onderhoud van de toepassingen of van de apparatuur waarop deze toepassingen draaien. Deze apparatuur komt dan fysiek in een datacenter te staan. 

Zo’n datacenter kan onder eigen beheer vallen (on premise) of hosted bij een provider of in een niet-publieke cloud. 

IoT-zone

Een IoT-zone (Internet of Things) bestaat uit toestellen die met elkaar communiceren. Deze communicatie omvat het meten en doorsturen van meetgegevens vanuit diverse sensoren, het verzamelen van gegevens en het geven van commando’s. Sommige apparatuur doet specifiek één taak, anderen combineren meerdere taken. Een voorbeeld van IoT is het aansturen van huishoudapparatuur vanaf de smartphone, maar ook bijvoorbeeld printers op een netwerk, camera’s en toegangspoortjes voor beheer van gebouwen, enz. 

IoT kan over diverse netwerken werken. Sommige netwerken zijn heel specifiek en beperkt tot een bepaalde omgeving of zelfs organisatie (bv. ProRail van de Nederlandse Spoorwegen). Maar er zijn ook publieke netwerken voor IoT. Het mobiele netwerk (3G, 4G, 5G), GPRS, bluetooth en wifi worden als IoT-netwerk ingeschakeld waar er grote hoeveelheden data aan hoge snelheid moeten worden verwerkt, maar er zijn ook standaarden ontwikkeld specifiek voor IoT met als voornaamste kenmerk een laag verbruik. Ze worden LPWA (Low Power Wide Area) genoemd en voorbeelden hiervan zijn LoRa en SigFox. Een geslaagd IoT-netwerk bestaat uit de juiste combinatie van LPWA en de klassieke mobiele, bluetooth- en wifi-oplossingen. 

Beveiliging van IoT-netwerken is een belangrijk onderwerp. Niet alleen toegang tot deze netwerken, maar ook de beveiliging van (gevoelige) data die over deze netwerken gaan, moeten in orde zijn. 

3.3.3.2.2. Beheer

Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerk-verbinding. 

Een beheerszone kan opgezet worden op netwerkniveau door bv. Out-of-Band (OoB), maar ook via andere maatregelen zoals centralisatie van beheers tools, sterke authenticatie op beheers tools, enz. 

Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet. 

3.3.3.2.3. Datacenter

Een datacenter bevat bedrijfskritische ICT-apparatuur. Een datacenter is dan ook uitgerust met diverse voorzieningen zoals klimaatbeheersing, geavanceerde branddetectie en -blussystemen, beveiliging enz. 

Omdat er in zo’n datacenter typisch grote hoeveelheden data verwerkt wordt, bestaat het netwerk vaak uit complexe, ontdubbelde en snelle netwerkverbindingen. Redundantie is belangrijk omdat men moet kunnen garanderen dat de servers geplaatst in een datacenter beschikbaar zijn volgens de specificaties van de SLA (Service Level Agreement). 

In een datacenter zijn geen gebruikers actief, zij werken vanuit de gebruikerszone. Maar ook beheerders opereren meestal buiten het datacenter via de beheerszone. Enkel specifieke taken die niet vanop afstand kunnen uitgevoerd worden, vereisen rechtstreekse (fysieke) toegang tot de systemen en het netwerk van het datacenter. 

Meer en meer wordt het opzetten en beheer van een datacenter uitbesteed. Gespecialiseerde organisaties (serviceproviders) zetten groots opgebouwde datacenters op voor de verschillende klanten die hun systemen hierin plaatsen en laten beheren. Het netwerk (of op zijn minst toch een gedeelte ervan) in zo’n datacenter wordt dan gedeeld door de verschillende klant-organisaties, wat natuurlijk aangepaste beveiliging vergt om de scheiding tussen de verschillende klanten te handhaven. 

3.3.3.2.4. Fysieke indeling

Er bestaan diverse manieren om netwerken op te zetten. Zo is een belangrijk onderscheid te maken tussen bekabelde en draadloze netwerken. Onder de draadloze netwerken is wifi het meest verspreide. Draadloze netwerken hebben zo hun eigen uitdagingen wat betreft beveiliging, omdat de netwerktrafiek en -signalen over de lucht gaan en dus niet fysiek af te scheiden zijn. 

Bekabelde netwerken

Hoewel draadloze netwerken aan een niet te stuiten opmars bezig zijn, vindt men nog steeds veel bekabelde netwerken, bijvoorbeeld in de kantooromgeving en in datacenters. Om fysieke inbreuk zoals interceptie en beschadiging, illegale verbindingen of wijzigingen in de netwerktopologie te voorkomen, is het dan ook belangrijk om de nodige fysieke controlemaatregelen te nemen. Hiertoehoren de fysieke afscheiding van hoofdkabels door middel van kabelgoten of mantelbuizen, een doordacht bekabelingsschema waarbij de kabels zo min mogelijk door openbare ruimten lopen, het gebruik van afsluitbare patch-kasten en het toezicht op het gebruik van de sleutels ervan. Beveiliging van het bekabeld netwerk houdt ook in dat enkel geautoriseerde netwerkverbindingen mogen opgezet worden, bijvoorbeeld door toegang tot de patch-kasten te beperken tot geautoriseerd personeel of door machine-authenticatie toe te passen zie hoofdstuk ‘machine-authenticatie als maatregel' (op volgende pagina 3.2. Minimale maatregelen - ICT )

WiFi

Inbreukgevoeligheid is één van de belangrijkste bedreigingen van draadloze lokale netwerken. Naast de implementatie van beveiligde netwerkprotocollen zoals WPA 2, moet de nodige aandacht besteed worden aan beveiliging tegen de inherente risico’s van het mobiele apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie (zie hiervoor ook 3.1. Minimale maatregelen - Cryptografie )  en het up-to-date houden van OS (operating systems) door regelmatige installatie van patches. 

Er kunnen ook fysieke maatregelen genomen worden om afluisteren zo veel mogelijk te voorkomen, namelijk door het netwerk zodanig in te delen dat er zo weinig mogelijk straling buiten de fysiek beveiligde zone van een organisatie terecht komt. Richtantennes en ontwerp-tools voor de fysieke netwerktopologie helpen daarbij. Zo’n zone kan ook gesitueerd worden in een bepaalde ruimte in een gebouw. Met behulp van speciale beheers-tools is het stralingsdiagram van wifi-netwerken nauwkeurig vast te stellen. De beschikbaarheid wordt gegarandeerd door te zorgen dat er geen dode plekken in het stralingsdiagram van wifi-netwerken voorkomen en dat het netwerk qua nuttige bandbreedte geografisch zo goed mogelijk is afgestemd op het gebruik binnen de organisatie.

 

Sommige toestellen bieden de mogelijkheid tot authenticatie en/of het toestel kan zich authentiseren aan het bedrijfsnetwerk. Bij wifi wordt dit opgelost binnen de 801.11 standaard.  

Een speciale uitdaging van wifi is het gebruik van draadloze publieke netwerken. Inbreukgevoeligheid is hier meestal niet echt een probleem, omdat de protocollen stabiel zijn en de communicatie standaard versleuteld is. Het zwakke punt ligt bij het draadloze toestel zelf. Trojaanse paarden en andere malware kunnen voor de hacker mogelijkheden bieden om direct dan wel indirect de datastroom af te luisteren. Merk op dat bij gebruik van publieke netwerken waarbij het toestel connecteert tot aan de interne zone van een organisatie, een inspectieonderbreking in de DMZ moet worden voorzien.  

Sterke authenticatie door middel van 2-factor-authenticatie kan een bijkomende maatregel zijn. Dit kan bijvoorbeeld via internet naar het bedrijfsnetwerk en met behulp van een token, waarbij men minder afhankelijk is van het mobiele apparaat en het type netwerk. Voorwaarde is wel dat bedrijfstoepassingen op deze wijze ontsloten kunnen worden. 

Bluetooth

Bluetooth is een open standaard voor draadloze verbinding tussen apparaten op korte afstand door middel van een radioverbinding. Bluetooth werkt binnen een straal van 1 tot 10 meter, maar dit kan uitgebreid worden door het zendvermogen op te voeren. 

Bluetooth wordt vooral gebruikt als vervanger voor korte kabels om allerlei apparatuur met elkaar te laten communiceren, zoals bijvoorbeeld een draadloze muis of een headset voor een computer. Daar gebruik gemaakt wordt van goedkope radiotechniek is bluetooth in vele apparaten ingebouwd. En omdat het weinig energie verbruikt, is het ook terug te vinden in vele mobiele, batterij gestuurde toestellen. 

Omdat de radiosignalen kunnen worden opgevangen door alle ontvangers die zich in de buurt van de bluetoothapparaten bevinden, wordt bluetooth beveiligd door middel van authenticatie en encryptie. Authenticatie vindt plaats met behulp van een geheime sleutel, die zich op beide apparaten moet bevinden. Na authenticatie is het mogelijk om de verbinding te versleutelen.  

Als het bluetoothapparaat niet voldoende beveiligd wordt, kan illegaal informatie verzonden worden naar het apparaat. Het ongevraagd en dus illegaal lezen van de documenten via bluetooth is ook mogelijk. Verder kan een apparaat onbruikbaar worden gemaakt door middel van DoS-aanvallen.Â