Wat u moet weten om de veiligheid van de LAN- en WLAN-netwerken in uw bedrijf te garanderen
LAN’s en WLAN’s zijn in 2022 zo vanzelfsprekend, dat we bijna vergeten dat deze netwerken technische oplossingen zijn die gebreken kunnen vertonen. Het ideale netwerk moet tegelijk robuust, schaalbaar en perfect veilig zijn, zegt Bernard Opdecam, hoofd LAN- en WAN-producten en -diensten bij Win. In dit nieuwe artikel geeft hij enkele gouden tips voor het beveiligen van bedrijfsnetwerken.
We hebben al eerder aandacht besteed aan de kwaliteit van een professioneel WLAN (wifi)-netwerk en waarom het zo belangrijk is om LAN-netwerken klaar te maken voor fors hogere datavolumes.
In dit derde deel behandelen we het aspect veiligheid van bekabelde en draadloze netwerken. “Tegenwoordig verwachten we dat de vertrouwde dingen in ons leven ook altijd functioneren. Bij netwerken betekent dit dat een netwerk voldoende robuust moet zijn opgebouwd”, zegt Bernard Opdecam. “Als dat niet het geval is, worden we soms met onze neus op de feiten gedrukt: een netwerkstoring. En dat is heel vervelend: de eindgebruiker heeft plots geen toegang meer tot zijn apps en bestanden en dat beïnvloedt zijn werk.”
LAN/WLAN-veiligheid: de CIA-classificatie
Wanneer IT’ers het over de veiligheid van LAN- en WLAN-netwerken hebben, gebruiken ze vaak de Engels term CIA Triad. De letters CIA staan voor "Confidentiality, Integrity and Availability" en worden in het Nederlands vaak vertaald als de BIV-classificatie. De letters BIV betekenen Beschikbaarheid, Integriteit, Vertrouwelijkheid. Voor een veilig netwerk zijn verschillende mechanismen nodig, die we kort gaan bespreken.
De CIA-classificatie is belangrijk als volledige en toch eenvoudig te begrijpen checklist om beveiligingsprocedures en -tools te beoordelen. Een IT-systeem dat lacunes vertoont op één van de drie aspecten van de “triade”, is kwetsbaar. Een efficiënt netwerk voldoet altijd aan de drie eisen hierboven.
Beschikbaarheid (Availability)
Een (W)LAN is goed te vergelijken met een wegennetwerk. Je ziet meteen de overeenkomsten, zegt Bernard Opdecam: “Je hebt een goed onderhouden wegdek nodig, maar ook genoeg rijstroken om de verkeersdrukte te verwerken. En bij een incident of file moet je over omleidingen beschikken.”
Een zorgvuldig ontworpen LAN/WLAN moet altijd voldoen aan de onderstaande eisen. Let op, zegt onze expert, het zijn er heel wat:
- Een end-to-end aangepaste bandbreedte om verkeersopstoppingen te vermijden, zowel op het LAN- als op het WLAN-netwerk.
- Redundantie (ontdubbeling) van:
- de netwerkapparatuur
- de links tussen de onderdelen
- de aggregatiepunten
- de processoren en/of frames
- de stroomvoedingen en
- Een Power-over-Ethernet-oplossing met voldoende vermogen om alle aangesloten randapparaten van stroom te voorzien.
- Aangepaste configuraties en protocols om fysieke redundanties optimaal te gebruiken en te coördineren.
Inzake redundantie zijn ook een aantal elementen noodzakelijk voor de eindgebruikers van bekabelde en draadloze netwerken:
- redundantie van de toegangstechnologieën (zowel bekabeld als draadloos),
- redundantie van de wifi-dekking, een aspect dat uitvoerig is behandeld in ons artikel over WLAN-netwerken.
Integriteit (Integrity)
“Mijn vergelijking met het wegennet gaat ook hier op”, zegt Bernard Opdecam. “Wat zou de impact op het verkeer zijn als iemand met kwade bedoelingen de verkeerssignalisatie ontregelt, uitschakelt of gebruikt om het verkeer te verstoren?” Om de integriteit te garanderen, moet je kunnen bepalen of data authentiek, exact en betrouwbaar zijn.
Voor een optimale configuratie van het LAN- of WLAN-netwerk moeten de volgende voorwaarden vervuld zijn:
- gecontroleerde toegang tot de netwerkconfiguratie op elk niveau, dus zowel fysiek (toegang tot hardware en technische lokalen) als logisch (toegang tot de configuratietools),
- mechanismen die beschermen tegen logische veiligheidsrisico’s (op allerlei domeinen: de gebruikte protocols, de configuraties zelf en het al dan niet toestaan van data-uitwisseling tussen elementen die met het netwerk verbonden zijn).
Vertrouwelijkheid
Vertrouwelijkheid veronderstelt dat de organisatie een strategie hanteert die garandeert dat de data geheim, veilig en privé blijven. Dit is alleen mogelijk als de toegang tot informatie volledig wordt gecontroleerd. Informatie delen zonder toestemming (opzettelijk of per ongeluk) moet ten koste van alles worden vermeden.
“Het doel is dat de netwerkmiddelen alleen toegankelijk zijn voor bevoegde personen. Met andere woorden: wie geen recht heeft op toegang of het netwerk probeert binnen te dringen, wordt geweerd”, zegt Bernard Opdecam. Hij waarschuwt ook: “Bij een wifi-netwerk heeft men daar gewoonlijk aandacht voor, maar het geldt ook voor bekabelde netwerken. Die mogen zeker niet de zwakste schakel in de keten zijn.”
Network Access Control (NAC) of controle van de netwerktoegang moet de vertrouwelijkheid van de data-uitwisseling en van de data zelf garanderen.
In een NAC zijn verschillende beveiligingsniveaus mogelijk, van de meest elementaire tot heel geavanceerde oplossingen. Enkele mogelijkheden, van eenvoudig tot meer verfijnd:
- een gewoon statisch wachtwoord, zoals bij veel gast-internetnetwerken (openbare wifi),
- mechanismen voor toegangsauthenticatie die zijn verbonden met authenticatieservers,
- geavanceerde controle-instrumenten voor de aan te sluiten elementen “om te verifiëren of ze het beveiligingsbeleid naleven en het mogelijke gebruik van herstelmechanismen wanneer niet-naleving wordt ontdekt”.
Beveiliging alleen mogelijk met de juiste competenties
Beveiliging is een complex IT-domein. Je hebt veel competenties nodig, zegt Bernard Opdecam. “LAN- en WLAN-beveiliging is een multidisciplinair vakgebied, met gevolgen voor de gebruikte hardware, de configuratie ervan en de integratie in de IT-mechanismen van de omgeving waarin de hardware wordt opgezet.”
Netwerken beveiligen is onmogelijk zonder een voorafgaande inventaris: “Je moet altijd beginnen met een inventaris van alles en iedereen die verbinding maakt met de netwerken”. Een organisatie moet over de juiste kerncompetenties en experts beschikken om de beveiliging te configureren volgens de BIV-classificatie, “zeker als het om geavanceerde systemen met herkenning van de beveiligingsstatus gaat”.
Bernard Opdecam wijst erop dat zijn bedrijf een integrator met ISO 27001-certificatie is en dus over voldoende competenties beschikt om beveiligde LAN/WLAN-projecten te ontwerpen, uit te voeren en te onderhouden.