Document toolboxDocument toolbox

3.3.3.2. Netwerkzonering als maatregel 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 06 Dec, 2024 by Tom De Cubber
9 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICR v2.x als volgt in de tekst duidelijk gemaakt:

  • Nieuwe tekst wordt overal in het rood weergegeven

Netwerkzonering is een preventieve maatregel.

Netwerken maken lokale en wereldwijde connectiviteit mogelijk tussen (ICT-)apparatuur. Netwerken zijn meestal opgebouwd uit functionele zones, waarbij systemen logisch met elkaar gekoppeld zijn op een zone. Netwerkzonering is dus het opsplitsen van een netwerk in logische of fysieke gescheiden zones. Dit kan helpen bij het voldoen aan geldende wet- en regelgeving, informatiebeveiligingsbeleid, beperking van risico’s en vereenvoudigen van toezicht.

Zones bestaan op hun beurt uit één of meerdere technische netwerksegmenten.

In een zone kunnen datastromen vrij over het netwerk bewegen. Dat wil niet zeggen dat alles zomaar mogelijk is: er zijn immers nog andere maatregelen buiten de netwerkmaatregelen (zoals bv. authenticatie), maar op netwerkniveau is er binnen de zone geen beperking. Datastromen tussen zones zijn wel aan beperkende maatregelen zoals bv. filtering onderworpen.

Zones kunnen worden onderscheiden door gebruikmaking van routering van datastromen, verificatie van de bron- en de bestemmingsadressen, door toepassing van verschillende protocollen, encryptietechnologie, partitionering of virtualisatie van servers, maar ook door fysieke scheiding. Bij logische scheiding wordt gebruik gemaakt van technieken zoals VLAN (Virtual Local Area Network), ACL (Access Control Lists), NAC (Network Access Control) en NGFW (Next Generation firewalls).
Onderstaande figuur schetst de belangrijkste netwerkzones binnen een organisatie. 

 

Een netwerkzone is een afgebakend deel van het netwerk van ICT-apparatuur, waarin trafiek vrij kan manoeuvreren. Gegevensuitwisseling met andere zones verloopt via gedefinieerde interfaces. Het primaire doel van segmentering is het isoleren van risico’s zodat bedreigingen en incidenten uit de ene zone niet kunnen doorwerken in de andere zone. Mocht één laag worden doorbroken, dan voorkomt de volgende beveiligingslaag in deze architectuur dat bedrijfsprocessen en gegevens direct kunnen worden benaderd vanuit de andere zone. Vergelijk het met de veiligheidsdeuren in een schip, die het ene compartiment afscheiden van het andere zodat bij waterdoorbraak het water niet in het andere compartiment kan lopen. 

Wanneer twee netwerkzones gekoppeld worden zodat netwerktrafiek van de ene zone naar de andere zone doorvloeit, geldt globaal het betrouwbaarheidsniveau van de zone met het laagste niveau. Bijkomende maatregelen zijn dan nodig om het niveau van betrouwbaarheid tot het gewenste niveau te verhogen door passende maatregelen te nemen in de zones (op netwerk- of systeemniveau) zelf of op de interface

Waar vroeger een netwerkarchitectuur geïmplementeerd werd binnen de muren van de organisatie, vervagen deze fysieke grenzen meer en meer door de toepassing van virtualisatie en het gebruik van clouddiensten. Fysieke bescherming en afscherming van een perimeter wordt op deze manier moeilijker omdat ook de fysieke grenzen verdwijnen. 

3.3.3.2.1. Logische indeling

Elke context of zone vereist een specifieke benadering in termen van beveiligingsbeleid en -maatregelen om te zorgen voor een veilige en efficiënte IT-omgeving. Door deze in de praktische uitwerking te aligneren met de referentie architectuur zorgt dit tevens voor een versterking in het overkoepelende beveiligingsopzet. 

De vijf zones die we bij de Vlaamse overheid onderscheiden zijn demilitarized zone of DMZ, applicatiezone, gebruikerszone, toestellenzone of IoT zone, en bezoekerszone. 

DMZ

De DMZ, of demilitarized zone, is een kritische component in netwerkbeveiliging, fungerend als een bufferzone tussen het interne netwerk van een organisatie en externe netwerken zoals het internet. Deze zone is speciaal ontworpen om externe toegang tot bepaalde publieke diensten te faciliteren terwijl de veiligheid en integriteit van het interne netwerk behouden blijven.  

De buitenrand van een DMZ bevat robuuste beveiligingsmaatregelen zoals firewalls en Network Address Translation (NAT) die alle inkomende en uitgaande verkeer filteren. Deze maatregelen zijn ontworpen om ongewenste toegang te blokkeren en aanvallen van buitenaf af te weren.  

Binnen de DMZ worden specifieke externe diensten gehost zoals web-, e-mail-, en DNS-servers. Deze servers zijn geoptimaliseerd om externe aanvragen te verwerken, terwijl ze strikt gescheiden blijven van het kernnetwerk van de organisatie. Verkeer dat door de DMZ gaat, wordt nauwkeurig geïnspecteerd en gelogd om verdachte activiteiten te detecteren en te reageren op potentiële beveiligingsincidenten. Mechanismen zoals intrusion detection systems (IDS) en intrusion prevention systems (IPS) zijn vaak geïmplementeerd om deze functionaliteit te ondersteunen.  

Een DMZ kan lokaal in een eigen datacenter worden opgezet, maar ook gehost worden bij een serviceprovider of in een cloud omgeving. Dit biedt organisaties de flexibiliteit om de beveiligingsarchitectuur aan te passen aan hun specifieke behoeften en schaal. 

Applicatiezone

De applicatiezone omvat de omgevingen waarin softwaretoepassingen draaien, essentieel voor de dagelijkse bedrijfsvoering. Dit gebied bestaat voornamelijk uit servers, databases en de bijbehorende infrastructuur die nodig zijn om applicaties soepel en efficiënt te laten functioneren. De applicatiezone omvat bedrijfskritische systemen zoals CRM-systemen, ERP-software, financiële toepassingen en andere gespecialiseerde software die nodig zijn voor specifieke bedrijfsactiviteiten. 

Gebruikerszone

De gebruikerszone is gericht op de interactie tussen gebruikers en de IT-systemen. Hier vind je werkstations van medewerkers en toegangspunten die gebruikt worden voor dagelijkse taken zoals e-mail, documentverwerking en toegang tot bedrijfsspecifieke applicaties. Deze zone herbergt ook de gebruikersprofielen en -credentials die hen toegang geven tot verschillende onderdelen van het IT-netwerk, afhankelijk van hun rol en verantwoordelijkheden binnen de organisatie. 

Toestellenzone of IoT-zone

De toestellenzone omvat alle vaste netwerkverbonden apparaten die gegevens leveren of verwerken, maar die niet primair door gebruikers voor algemene computertaken worden bediend. Dit gebied bevat IoT-apparaten, industriële controle systemen, printers, scanners, en andere gespecialiseerde apparatuur zoals meetinstrumenten die essentieel zijn voor het verzamelen van data en uitvoeren van specifieke functies binnen een organisatie. Deze zone speelt een belangrijke rol in de automatisering van processen en het verzamelen van operationele data die gebruikt worden voor besluitvorming en prestatiebeoordeling. 

Bezoekerszone 

De bezoekerszone omvat de toegang en controle van bezoekers binnen het netwerk. Het bieden van beperkte en gecontroleerde toegang voor bezoekers via tijdelijke accounts en/of afgescheiden gastnetwerken is essentieel.  

Nauwlettend volgen van de netwerkactiviteiten van bezoekers om ongebruikelijk of ongeautoriseerd gedrag snel te detecteren is een belangrijk aspect van deze zone. Zorgen voor een duidelijke scheiding tussen de middelen die toegankelijk zijn voor bezoekers en de interne systemen van de organisatie helpt de algemene netwerkveiligheid te handhaven.  

3.3.3.2.2. Verfijnde netwerkzonering binnen applicaties

Microsegmentatie 

  • Microsegmentatie is een verfijndere vorm van netwerksegmentatie. Hierbij worden individuele werklasten, applicaties en zelfs applicatielagen in afzonderlijke netwerk segmenten beveiligd. Dit helpt om beveiligingsbeleid gedetailleerder en strikter toe te passen en beperkt de mogelijke bewegingen van potentiële bedreigingen binnen het netwerk. 

  • Onder applicatielagen wordt verstaan: presentatie laag, business logica laag en persistentie laag: elk van deze lagen wordt volledig apart ontwikkeld en interactie op netwerkniveau is enkel mogelijk tussen deze lagen onderling, niet van buitenaf 

 

Screenshot from 2024-12-06 08-01-04.png

3.3.3.2.3. Beheer

Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerk-verbinding. 

Een beheerszone kan opgezet worden op netwerkniveau door bv. Out-of-Band (OoB), maar ook via andere maatregelen zoals centralisatie van beheers tools, sterke authenticatie op beheers tools, enz. 

Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet. 

3.3.3.2.4. Datacenter

Een datacenter bevat bedrijfskritische ICT-apparatuur. Een datacenter is dan ook uitgerust met diverse voorzieningen zoals klimaatbeheersing, geavanceerde branddetectie en -blussystemen, beveiliging enz. 

Omdat er in zo’n datacenter typisch grote hoeveelheden data verwerkt wordt, bestaat het netwerk vaak uit complexe, ontdubbelde en snelle netwerkverbindingen. Redundantie is belangrijk omdat men moet kunnen garanderen dat de servers geplaatst in een datacenter beschikbaar zijn volgens de specificaties van de SLA (Service Level Agreement). 

In een datacenter zijn geen gebruikers actief, zij werken vanuit de gebruikerszone. Maar ook beheerders opereren meestal buiten het datacenter via de beheerszone. Enkel specifieke taken die niet vanop afstand kunnen uitgevoerd worden, vereisen rechtstreekse (fysieke) toegang tot de systemen en het netwerk van het datacenter

Meer en meer wordt het opzetten en beheer van een datacenter uitbesteed. Gespecialiseerde organisaties (serviceproviders) zetten groots opgebouwde datacenters op voor de verschillende klanten die hun systemen hierin plaatsen en laten beheren. Het netwerk (of op zijn minst toch een gedeelte ervan) in zo’n datacenter wordt dan gedeeld door de verschillende klant-organisaties, wat natuurlijk aangepaste beveiliging vergt om de scheiding tussen de verschillende klanten te handhaven. 

3.3.3.2.5. Fysieke indeling

Er bestaan diverse manieren om netwerken op te zetten. Zo is een belangrijk onderscheid te maken tussen bekabelde en draadloze netwerken. Onder de draadloze netwerken is wifi het meest verspreide. Draadloze netwerken hebben zo hun eigen uitdagingen wat betreft beveiliging, omdat de netwerktrafiek en -signalen over de lucht gaan en dus niet fysiek af te scheiden zijn. 

Bekabelde netwerken

Hoewel draadloze netwerken aan een niet te stuiten opmars bezig zijn, vindt men nog steeds veel bekabelde netwerken, bijvoorbeeld in de kantooromgeving en in datacenters. Om fysieke inbreuk zoals interceptie en beschadiging, illegale verbindingen of wijzigingen in de netwerktopologie te voorkomen, is het dan ook belangrijk om de nodige fysieke controlemaatregelen te nemen. Hiertoehoren de fysieke afscheiding van hoofdkabels door middel van kabelgoten of mantelbuizen, een doordacht bekabelingsschema waarbij de kabels zo min mogelijk door openbare ruimten lopen, het gebruik van afsluitbare patch-kasten en het toezicht op het gebruik van de sleutels ervan. Beveiliging van het bekabeld netwerk houdt ook in dat enkel geautoriseerde netwerkverbindingen mogen opgezet worden, bijvoorbeeld door toegang tot de patch-kasten te beperken tot geautoriseerd personeel of door machine-authenticatie toe te passen zie hoofdstuk ‘machine-authenticatie als maatregel' (op volgende pagina 3.2. Minimale maatregelen - ICT 3.0 )

WiFi

Inbreukgevoeligheid is één van de belangrijkste bedreigingen van draadloze lokale netwerken. Naast de implementatie van beveiligde netwerkprotocollen zoals WPA 2, moet de nodige aandacht besteed worden aan beveiliging tegen de inherente risico’s van het mobiele apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie (zie hiervoor ook 3.1. Minimale maatregelen - Cryptografie 3.0 )  en het up-to-date houden van OS (operating systems) door regelmatige installatie van patches

Er kunnen ook fysieke maatregelen genomen worden om afluisteren zo veel mogelijk te voorkomen, namelijk door het netwerk zodanig in te delen dat er zo weinig mogelijk straling buiten de fysiek beveiligde zone van een organisatie terecht komt. Richtantennes en ontwerp-tools voor de fysieke netwerktopologie helpen daarbij. Zo’n zone kan ook gesitueerd worden in een bepaalde ruimte in een gebouw. Met behulp van speciale beheers-tools is het stralingsdiagram van wifi-netwerken nauwkeurig vast te stellen. De beschikbaarheid wordt gegarandeerd door te zorgen dat er geen dode plekken in het stralingsdiagram van wifi-netwerken voorkomen en dat het netwerk qua nuttige bandbreedte geografisch zo goed mogelijk is afgestemd op het gebruik binnen de organisatie.

 

Sommige toestellen bieden de mogelijkheid tot authenticatie en/of het toestel kan zich authentiseren aan het bedrijfsnetwerk. Bij wifi wordt dit opgelost binnen de 801.11 standaard.  

Een speciale uitdaging van wifi is het gebruik van draadloze publieke netwerken. Inbreukgevoeligheid is hier meestal niet echt een probleem, omdat de protocollen stabiel zijn en de communicatie standaard versleuteld is. Het zwakke punt ligt bij het draadloze toestel zelf. Trojaanse paarden en andere malware kunnen voor de hacker mogelijkheden bieden om direct dan wel indirect de datastroom af te luisteren. Merk op dat bij gebruik van publieke netwerken waarbij het toestel connecteert tot aan de interne zone van een organisatie, een inspectieonderbreking in de DMZ moet worden voorzien.  

Sterke authenticatie door middel van 2-factor-authenticatie kan een bijkomende maatregel zijn. Dit kan bijvoorbeeld via internet naar het bedrijfsnetwerk en met behulp van een token, waarbij men minder afhankelijk is van het mobiele apparaat en het type netwerk. Voorwaarde is wel dat bedrijfstoepassingen op deze wijze ontsloten kunnen worden. 

Bluetooth

Bluetooth is een open standaard voor draadloze verbinding tussen apparaten op korte afstand door middel van een radioverbinding. Bluetooth werkt binnen een straal van 1 tot 10 meter, maar dit kan uitgebreid worden door het zendvermogen op te voeren. 

Bluetooth wordt vooral gebruikt als vervanger voor korte kabels om allerlei apparatuur met elkaar te laten communiceren, zoals bijvoorbeeld een draadloze muis of een headset voor een computer. Daar gebruik gemaakt wordt van goedkope radiotechniek is bluetooth in vele apparaten ingebouwd. En omdat het weinig energie verbruikt, is het ook terug te vinden in vele mobiele, batterij gestuurde toestellen. 

Omdat de radiosignalen kunnen worden opgevangen door alle ontvangers die zich in de buurt van de bluetoothapparaten bevinden, wordt bluetooth beveiligd door middel van authenticatie en encryptie. Authenticatie vindt plaats met behulp van een geheime sleutel, die zich op beide apparaten moet bevinden. Na authenticatie is het mogelijk om de verbinding te versleutelen.  

Als het bluetoothapparaat niet voldoende beveiligd wordt, kan illegaal informatie verzonden worden naar het apparaat. Het ongevraagd en dus illegaal lezen van de documenten via bluetooth is ook mogelijk. Verder kan een apparaat onbruikbaar worden gemaakt door middel van DoS-aanvallen