Cyber Security Essentials Module 3 - Informatiestroom PDF
Document Details
Uploaded by DazzledChaparral
Howest Hogeschool
null
Kurt Schoenmaekers
Tags
Summary
Howest hogeschool presentation notes on cyber security fundamentals, including network communication and security protocols. Information includes web addresses, IP addresses, and various protocols (like HTTP, FTP).
Full Transcript
4 Communication Communicatie op het Internet Web adres:.. Voorbeeld: www.gva.be IP adres: elk op het Internet aangesloten apparaat heeft er een. IPv4: 4 nummers tussen de decimale nummers 0 en 255 Voorbeeld: 104.17.202.63 IPv6: 8 groepen van 16 bits gerepres...
4 Communication Communicatie op het Internet Web adres:.. Voorbeeld: www.gva.be IP adres: elk op het Internet aangesloten apparaat heeft er een. IPv4: 4 nummers tussen de decimale nummers 0 en 255 Voorbeeld: 104.17.202.63 IPv6: 8 groepen van 16 bits gerepresenteerd als 4 hexadecimale cijfers, gescheiden door een dubbel punt “:”. Voorbeeld: 2001:0db8:0000:0000:0000:0000:1428:57ab Noteer dat bij IPv6 de grootste sequentie van 0000-groepen kan vervangen worden door :: Voorbeeld: 2001:db8::1428:57ab als we het voorbeeld hierboven korter willen schrijven. Communication on the Internet IP-adresbereiken (ranges) IPv4 & IPv6: Net als bij het opsommen van een reeks getallen, kun je begin en einde verbonden met een streepje vermelden: IPv4: 192.168.0.0-192.168.0.255 IPv6: 2001:0db8:0000:0000:0000:0000:0000:0000-2001:0db8:ffff:ffff:ffff:ffff:ffff:ffff We voegen het aantal bits in het begin van het adres dat vast blijft toe met een schuine streep “/” aan het einde van het beginadres gevolgd door het aantal bits dat vast blijft (normaal gesproken een decimaal getal). IPv4: 192:168.0.0/24 IPv6: 2001:0db8::/32 Communicatie op het Internet Protocol: is een verzameling regels die bepalen hoe gegevens worden verzonden en ontvangen via een netwerk. Voorbeeld: HTTP, HTTPS, FTP, SSH Port (Poort): Een port specificeert waar ergens op het adres het protocol wordt gebruikt. Voorbeeld: 443 is de default voor het HTTPS protocol. Je kan de default gebruikte poort wijzigen door deze expliciet te specificeren, bijvoorbeeld https://www.gva.be:8443 geeft aan dat poort 8443 moet worden gebruikt in plaats van default 443 voor het https protocol. Communicatie op het Internet Commands en tool om (een deel van ) deze informatie te vinden: Command line Windows: ipconfig, tracert, nslookup Terminal command line Mac: ipconfig getifaddr en1 (of ipconfig getifaddr en0) Unix: ip a Nessus, OpenVAS (meer in System en Netwerk Pentesting) Het OSI model (meer in netwerk cursus) Application Bemiddelt tussen softwaretoepassingen en andere lagen van netwerkdiensten Presentation Vertaalt, formatteert, versleutelt en comprimeert gegevens. Session Coördineert en beheert de gebruikersverbindingen. Transport Zorgt ervoor dat de gegevens op betrouwbare wijze in de juiste volgorde worden overgedragen. Network Vertaalt netwerkadressen en stuurt gegevens via een bepaalde route van afzender naar ontvanger. Data Link Verdeelt gegevens in frames die door de fysieke laag kunnen worden overgedragen. Physical Beheer van signalen tussen netwerksystemen. De informatiestroom beveiligen Voettekst 18 De informatiestroom controleren Het internet is ontworpen voor openheid van communicatie. Kwaadwillende actoren maken daar gebruik van en kunnen inbreken om: Belangrijke gegevens te stelen (vertrouwelijkheid) of te beschadigen (integriteit) Computers of het bedrijfsnetwerk te beschadigen of aan te tasten (beschikbaarheid) Bedrijfscomputers en netwerk te gebruiken om het bedrijf te imiteren (aanvalsvector) => de bekendste “verzachtende” (mitigating) controle: firewalls Firewalls Firewall: is een systeem of een combinatie van systemen dat een grens tussen twee of meer netwerken afdwingt en typisch een barrière vormt tussen een beveiligde en een open omgeving zoals het internet. Het past regels toe om het type netwerkverkeer te regelen dat in- en uitstroomt. De meeste commerciële firewalls zijn gebouwd om veelgebruikte internetprotocollen te controleren (Herinner je de netwerkprotocollen in OSI). Firewall – de verkeerspolitie Alice Kan ik Bob spreken? Bob Cedric Er is een regel voor Bob in de firewall die zegt dat inkomende gesprekken voor Donald hem zijn toegestaan. Firewall – de verkeerspolitie Alice Kan ik Alice spreken? Bob Cedric Er is een regel voor Alice in de firewall die stelt dat inkomende gesprekken Donald voor haar NIET zijn toegestaan. Firewall – de verkeerspolitie Alice Aan Bob: Kan ik je naam en wachtwoord krijgen? Bob Cedric Er is een regel voor Bob in de firewall die stelt dat inkomende oproepen waarin om inloginformatie wordt gevraagd, voor hem Donald NIET zijn toegestaan. Firewall – de verkeerspolitie Alice Bob Cedric Er is in de firewall geen regel die Donald de toegang tot www.facebook.com ontzegt OF Ik wil toegang tot er is een regel die hem specifiek toegang geeft Donald www.facebook.com. tot www.facebook.com. Firewall – de verkeerspolitie Ik wil toegang tot www.facebook.com. Alice Bob Cedric Er is een regel die Alice toegang weigert tot www.facebook.com Donald Firewall – de verkeerspolitie Normaal gesproken wordt er meer dan één firewall ingezet, hier bijvoorbeeld om een "publieke" zone te creëren (zogenoemde “demilitarized zone” of DMZ). Alice Firewalls kunnen uiteraard ook tussen twee "interne" netwerken worden geplaatst. Bob PUBLIC SERVER Cedric Donald Firewalls – Evolutie Generatie Naam Korte beschrijving First Generation Packet Filtering Een eenvoudige pakket-filtering router die individuele pakketten onderzoekt en regels afdwingt op basis van adressen, protocollen en poorten. Second Generation Stateful Inspection Houdt alle verbindingen bij in een statustabel. Dit maakt het mogelijk om regels af te dwingen op basis van pakketten in de context van de communicatiesessie. Third Generation Application Firewall Werkt op laag zeven (de applicatielaag) en is in staat om het eigenlijke protocol te onderzoeken dat wordt gebruikt voor communicatie, zoals Hypertext Transfer Protocol (HTTP). Deze firewalls zijn veel gevoeliger voor verdachte activiteiten met betrekking tot de inhoud van het bericht zelf, niet alleen de adresgegevens. Next Generation NGFW (Next Soms ook deep packet inspection genoemd - een verbetering van Generation Firewall) de derde generatie firewalls die de functionaliteit van een intrusion prevention systeem (IPS – zie verder) introduceert en die vaak ook geëncrypteerde verbindingen kan inspecteren. Packet Filtering Firewalls Bestudeert de packet headers en filtert ze op het niveau van de netwerklaag (OSI laag 3). Packet header bevat: (IP) adres van afzender en ontvanger -> "identiteit" van afzender en ontvanger bekend Poortnummers -> protocollen bekend (bijvoorbeeld poort 80 wordt gebruikt voor HTTP) De regels kunnen enkel en alleen mogelijke afzenders, ontvangers en poortnummers (dus protocollen) beperken. Het kan bijvoorbeeld verkeer van en naar verdachte bestemmingen (adressen) blokkeren. Houdt echter geen rekening met: Inhoud van pakketten Relatie tussen of volgorde van de pakketten Filters instellen en onderhouden is een full-time job! Packet Filtering Firewalls Voordelen Nadelen Stabiliteit Kwetsbaar voor aanvallen van onjuist geconfigureerde filters Eenvoud van één flessenhals naar het netwerk Kwetsbaar voor aanvallen die over de toegestane diensten worden getunneld (inhoud wordt niet gecontroleerd) Minimale impact op de netwerk prestatie (fast) Alle privé netwerken zijn kwetsbaar wanneer een enkele pakket filtering firewall wordt gecompromitteerd. Goedkoop of gratis (ingebouwd in router) Packet Filtering Firewalls Mogelijke aanvallen IP Spoofing Gebruik van een (vals) adres van een vertrouwd intern of extern netwerk in het pakket. Source routing specification Door de route te bepalen, kan de aanvaller het laten lijken alsof het pakket van een vertrouwde bron komt. Dit kan de firewall misleiden om het pakket door te laten, denkende dat het van een veilige locatie komt. Miniature fragment attack Profiteert van het feit dat pakketten in kleine fragmenten kunnen worden verzonden in de hoop dat alleen het eerste fragment wordt onderzocht. In dat eerste fragment staat slecht een uiterst klein deel van de header van de boodschap. Stateful Inspection Firewall Ook wel "dynamic packet filtering" genoemd. Houdt de pakketten bij die vanuit de organisatie worden verzonden en accepteert alleen reacties op de verzonden pakketten. Vergelijkt de bron van de ontvangen pakketten van het internet met de bestemming van de verzonden pakketten van de organisatie door een logboek van de verzonden pakketten te controleren Je kan dus geen connectie opstarten van buiten de organisatie. Dus een aanvaller kan de communicatie niet starten! Biedt beter controle over de stroom van IP-verkeer. Outgoing Packet State Update in table Connection initiation Forwarding E.g. user opens If match is found, packet is www.example.com Packet allowed to be sent allowed through. State to www.example.com updated to ESTABLISHED. Outgoing Packet Response from Web Subsequent Packets Inspection Server The same happens for all Check Status table for The webserver responds other packets in this entry eg. with a webpage connection Incoming Packet Connection Termination State Table Entry Creation Inspection Packet received that closes New entry in status table connection => Connection Firewall checks status table (status INIT) set to CLOSED for matching entry Stateful Inspection Firewall Voordelen Nadelen Meer controle over de stroom van het IP-verkeer Complex om te beheren Grotere efficiëntie in vergelijking met CPU-intensieve Trager dan packet filtering applicatie firewall systemen en NGFW (zie verder) Relatief snel Stateful Inspection Firewall Mogelijke aanvallen State-Exhaustion DDoS Attacks Deze aanvallen hebben als doel om de status-tabel van de firewall te overweldigen door hem te overspoelen met een groot aantal TCP verbindingsaanvragen. Aangezien stateful firewalls de status van elke verbinding bijhouden, kan deze stortvloed van verzoeken de bronnen van de firewall uitputten, waardoor deze geen nieuwe legitieme verbindingen meer kan accepteren. Session Hijacking: Bij dit soort aanval neemt een aanvaller een bestaande, legitieme sessie over door kwaadaardige pakketten in de sessie te injecteren. Aangezien de firewall de status van verbindingen bijhoudt, is het mogelijk dat de firewall de kwaadaardige pakketten niet detecteert als ze deel lijken uit te maken van een bestaande sessie. Application Firewall Werkt als een "buffer" of “tussenpersoon” - in IT een "proxy" genoemd - voor de communicatie. Laat geen directe uitwisseling van pakketten tussen de twee partijen toe, maar zet aparte "sessies" op met de verzender en de ontvanger. Elk pakket gaat door een "proxy" op de firewall. Er is geen directe communicatieverbinding tussen zender en ontvanger. Bestudeert de inhoud van het pakket in de "proxy". De proxy kent het protocol, analyseert het pakket volgens het protocol en kan de geldigheid van het pakket controleren. Meerdere proxies hebben uiteraard invloed op de netwerkprestaties. Werkt op de applicatielaag (OSI laag 7). Controleert de gegevens in het pakket (meestal) niet! Vergelijk met een bewaker die een bericht van een afzender accepteert, controleert op bedreigingen (bijv. Antrax) en het bericht pas doorstuurt naar de ontvanger als alles veilig is, in plaats van de afzender van het bericht zelf toe te laten het bericht persoonlijk naar de ontvanger te brengen. Voorbeeld: WAF (Web Application Firewall) beschermt tegen typische web aanvallen. Circuit-level Firewall Ze controleren TCP en UDP handshakes en andere initiërende berichten voor netwerksessies om ervoor te zorgen dat de sessie legitiem is. Deze firewalls werken vooral op de transport laag van het OSI-model maar hebben ook interactie met de sessielaag aangezien ze vooral sessies opzetten, onderhouden en beëindigen. Richt zich dus vooral op het “tussenpersoon" aspect, het opzetten van sessies met beide kanten. Deze firewall geeft de informatie door as-is na het correct opzetten van de verbinding. Commercieel gezien vrij zeldzaam. Application Firewall Voordelen Nadelen Beveiligt veelgebruikte protocollen. Verminderde prestaties en “schaalbaarheid” naarmate het internetgebruik toeneemt. Verbergt in het algemeen het privé network van het Langzamer dan packet filtering en stateful inspection externe niet-betrouwde network (via proxy). Beperkt firewalls. de inbraken dan vooral tot de firewall zelf. Heeft de mogelijkheid om programmeercode van een Complex om te configureren. bepaald protocol (bv FTP – File Transport Protocol) na te kijken en te beveiligen. Next Generation Firewalls Twee belangrijke verbeteringen ten opzichte van de vorige firewalls: 1. De mogelijkheid om de lading (payload) van een pakket (data content) te inspecteren 2. De mogelijkheid om onderscheid te maken tussen soorten webverkeer, ongeacht welk protocol wordt gebruikt (detecteert zelf wat er gebeurt zoals bv file transfer) Een adaptief netwerkbeveiligingssysteem dat in staat is om geavanceerde aanvallen te detecteren en te blokkeren. Next Generation Firewalls Voert functies uit van eerdere generaties firewalls en voegt hieraan toe: "Applicatiebewust" Diepe pakketinspectie (DPI) Preventie van gegevensverlies (DLP) - facultatief Inbraakpreventiesysteem (IPS) - facultatief Secure Socket Layer (SSL), Transport Layer Security (TLS) en Secure Shell (SSH) inspectie Webfiltering AI, …? Next Generation Firewalls Applicatiebewust De firewall kan verkeer identificeren en regelen op basis van de specifieke applicaties die het verkeer genereren, in plaats van alleen de poorten of protocollen die worden gebruikt. Belangrijk, want het is steeds moeilijker geworden om onderscheid te maken tussen legitiem en kwaadwillig verkeer. De mogelijkheid van een NGFW om onderscheid te maken tussen soorten webverkeer zoals een geautoriseerde zakelijke webapplicatie en een streaming mediasite helpt bij de handhaving van het bedrijfsbeleid - ongeacht de poort of het protocol - en biedt inzicht in de activiteiten en het gedrag van de gebruiker. Dit betekent dat er beveiligingsbeleidsregels kunnen worden aangemaakt die specifieke toepassingen of zelfs specifieke functies binnen die toepassingen toestaan of blokkeren. Een NGFW kan bijvoorbeeld de toegang tot Facebook toestaan, maar Facebook-games blokkeren. Next Generation Firewalls Deep Packet Inspection (DPI) Maakt het mogelijk om de lading (payload) te onderzoeken naar handtekeningen/kenmerken van bekende exploits, malware, enz. Biedt veel informatie over het netwerkverkeer, wat helpt bij het bepalen van "normaal verkeer“. Daardoor wordt het opsporen van anomalieën effectiever, vooral in complexere netwerken. Stel bijvoorbeeld dat de verkeerspolitie een bekende crimineel in een auto ziet rijden en herkent, hoewel die in een toegestane richting en met een toegestane snelheid voor de auto rijdt. De politie zal de auto tot stilstand brengen vanwege de "lading", niet vanwege de richting (of snelheid). Mogelijke Firewall Implementaties/Configuraties Dual-Homed Firewall Heeft twee netwerkinterfaces (NICs). Eén interface maakt verbinding met het interne netwerk en de andere met het externe netwerk (bv. het Internet). Blokkeert of filtert typisch alle verkeer dat probeert te passeren tussen de netwerken die ermee verbonden zijn, bijv. tussen dataservers en werkstations. Een Multi-Homed Firewall heeft meerder NICs en verbindt dus meerdere netwerken. Mogelijke Firewall Implementaties/Configuraties Screened-host firewall Maakt gebruik van een packet filtering firewall (Screened Host Gateway) en een gateway op applicatieniveau. Inkomende communicatie gaat eerst door Screened Host Gateway en dan ALTIJD naar de applicatieniveau-gateway. Uitgaande communicatie volgt de omgekeerde weg. Uitzonderingen kunnen worden toegestaan, afhankelijk van het bedrijfsbeleid. De aanvaller moet door twee afzonderlijke systemen gaan voordat de veiligheid van het privé-netwerk in gevaar kan worden gebracht. Mogelijke Firewall Implementaties/Configuraties Screened-subnet Maakt gebruik van twee firewalls om een netwerkzone te creëren tussen het onbetrouwbare internet en het vertrouwde, private netwerk met de werkstations (Network clients). Deze zone wordt de DMZ- of gedemilitariseerde zone genoemd. Kan een extra (derde) applicatie firewall bevatten in de DMZ. Wordt gebruikt om "publieke" servers te isoleren van het private netwerk, zoals bijvoorbeeld een publieke webserver. Mogelijke Firewall problemen Configuratiefouten – Fout geconfigureerde firewalls kunnen onbekende en gevaarlijke diensten vrij doorlaten. Controle eisen - Het is noodzakelijk om de logboeken op de juiste manier te controleren, maar het is mogelijk dat de controles niet altijd op regelmatige basis plaatsvinden. Beleidsonderhoud - Het is mogelijk dat het firewall beleid (de regels) niet regelmatig wordt onderhouden. Kwetsbaarheid voor applicatie- en inputgebaseerde aanvallen - Veel firewalls werken op de netwerklaag; daarom stoppen ze geen applicatie- of inputgebaseerde aanvallen, zoals SQL-injectie- en buffer-overloopaanvallen. Nieuwere next generation firewalls kunnen het verkeer op de applicatielaag inspecteren en sommige van deze aanvallen stoppen. Verschillende mogelijke Firewall platformen Hardware Prestaties zijn zeer goed met minimale systeemoverhead Niet zo flexibel of schaalbaar als softwarematige firewalls Speciale apparatuur met gehard besturingssysteem, bijv. Cisco-apparaten Software Over het algemeen langzamer dan hardware met aanzienlijke systeemoverhead Flexibel met aanvullende diensten Kwetsbaar via het besturingssysteem van de computer waarop deze zich bevindt Gebruikt voor onder andere host-based firewall (d.w.z. op een desktop) Virtueel platform Tussen hard- en software in voor en nadelen Gebruikt op cloud platformen Web Gateway = Web Application Firewall Past regels toe op een specifieke web applicatie (meestal een HTTP communicatie) = zelfde als een Application Firewall Kan vele soorten aanvallen identificeren en blokkeren, zoals cross-site scripting (XSS) en Structured Query Language (SQL) injectie. Vaak op de Internet perimeter. Database Security Ontdekken en classificeren van gegevens: Identificeert en categoriseert gevoelige gegevens in de database om de juiste beveiligingsmaatregelen toe te passen. Toegangscontrole: Beheert wie toegang heeft tot de database en welke acties ze kunnen uitvoeren, zodat alleen bevoegde gebruikers toegang hebben tot gevoelige gegevens. Encryptie: Beschermt gegevens in rust en tijdens het transport door ze om te zetten in een veilig formaat dat alleen kan worden gelezen door bevoegde gebruikers. Data Masking: Verbergt gevoelige gegevens door ze te vervangen door fictieve maar realistische gegevens, handig voor test- en ontwikkelomgevingen. Database Security Activiteitenbewaking: Controleert voortdurend databaseactiviteiten om verdacht gedrag of potentiële beveiligingslekken te detecteren en hierop te reageren. Laat vaak toe om ook de Database Administrator te controleren. Kwetsbaarheidsbeheer: Identificeert en beperkt kwetsbaarheden binnen de databasesoftware en -configuraties. Patchen van database servers is immers niet altijd evident! Rapportage over compliance: Helpt organisaties te voldoen aan wettelijke vereisten door gedetailleerde rapporten te leveren over gegevenstoegang en beveiligingsmaatregelen. Bestaat in software op de database server zelf of hardware box die juist voor de Database server wordt geplaatst. Data Loss Prevention Controleert de exfiltratie (egressie) van gegevens/informatie door de gegevens aan bepaalde regels te toetsen. Bijvoorbeeld: een verzonden gegevensbestand mag niet meer dan één creditcard- of socialezekerheidsnummer bevatten. Een goede DLP oplossing kijkt naar de 3 mogelijke toestanden voor data: Data at rest Data in transit Data in use Data Loss Prevention “Data at rest”: Met behulp van een "crawler“ (=eigenlijk een goedaardige worm), vindt de DLP waar de gegevens zijn opgeslagen en exact welke informatie is opgeslagen (bijv. credit card gegevens, e-mailadressen, etc.). “Data in transit”: Gebruikt Deep Packet Inspection (DPI) om de gegevens te analyseren op gevoelige inhoud. Kan bij transport van gevoelige informatie: waarschuwen, blokkeren, in quarantaine plaatsen of coderen/versleutelen. “Data in use”: Controleert de toestemming voor het gebruik van gegevens op een werkstation, inclusief printen, kopiëren naar externe apparaten zoals USB en zelfs kopiëren naar het klembord. Sommige controleren zelfs of men de tekst in een andere toepassing intypt! Kan monitoren, beveiliging waarschuwen, gebruiker opleiden, blokkeren. IPS (Intrusion Prevention System) en IDS (* Detection *) (*) “Host”: Meestal betekent dit werkstation/werkcomputer bij gebruik in een IT-beveiligingscontext.. IPS en IDS Verschil tussen FIREWALL (behalve NGFW) IPS IDS Algemeen Een Firewall is een IPS is een apparaat/toevoeging of IDS is een apparaat/toevoeging of netwerkbeveiligingsapparaat dat host(*) software die verkeer inspecteert, host(*) software die het verkeer inkomend en uitgaand netwerkverkeer detecteert, classificeert en vervolgens controleert op kwaadaardige activiteiten filtert op basis van vooraf bepaalde proactief kwaadaardig verkeer of overtredingen van het beleid en een regels, meestal gebaseerd op IP-adres tegenhoudt. waarschuwing stuurt bij detectie. en poortnummers. Zoekt naar verkeerspatronen of Zoekt naar verkeerspatronen of handtekeningen van een aanval. handtekeningen van een aanval. Controleert op anomalieën en kan zero- Controleert op anomalieën en kan zero- day-aanvallen voorkomen. day-aanvallen detecteren. Verkeerspatronen Niet geanalyseerd Geanalyseerd Geanalyseerd Actie bij detectie Blokkeert verkeer dat de regels niet Voorkomt het verkeer bij detectie van Luidt een alarm bij detectie van een van verboden volgt een anomalie. anomalie. verkeer (*) “Host”: Meestal betekent dit werkstation/werkcomputer bij gebruik in een IT-beveiligingscontext.. IDS en IPS Kan worden onderverdeeld in: Netwerk IPS/IDS Host IPS/IDS (bij IPS dan vaak HIPS genoemd) Soorten IDS/IPS vertrekkende vanuit hun defensieve capaciteiten: Handtekening-gebaseerd - Beschermt tegen gedetecteerde aanvalspatronen. De patronen die ze kunnen identificeren worden opgeslagen in de vorm van handtekeningen (significante delen van de programmacode van bekende aanvallen). Statistisch-gebaseerd - Controleert het huidige gedrag versus het verwachte gedrag. Deze systemen hebben een uitgebreide definitie nodig van het bekende en verwachte gedrag van systemen. Neurale netwerken - Onderzoekt de algemene activiteiten- en verkeerspatronen op het netwerk en leert patronen te herkennen. Het is net als het statistische model, maar met zelflerende functionaliteit toegevoegd. NGFW hebben nu vaak een ingebouwde IPS of IDS component. Virtual Local Area Networks Netwerken kunnen fysiek worden gesegmenteerd (gescheiden), maar dit is niet altijd optimaal, bijvoorbeeld wanneer mensen die aan dezelfde gegevens werken zich op verschillende locaties bevinden en toch in één netwerk moeten zitten. Oplossing: Virtuele lokale netwerken. Een virtueel lokaal netwerk groepeert apparaten van een of meer logisch gesegmenteerde LAN's. Segmenteert het netwerk van een organisatie, zodat elk segment afzonderlijk kan worden gecontroleerd, bewaakt en beschermd. Het is een beetje zoals mensen die aan hetzelfde project werken in één en dezelfde ruimte zetten voor eenvoudigere beveiliging, samenwerking en controle. Virtual Local Area Networks Een Virtueel lokaal netwerk kan worden ingesteld door gebruik te maken: Firewalls Switches (doos met kabelaansluitingen die werken op OSI-laag 2 en 3) Software gedefinieerde netwerken (SDN – Software Defined Network) Microsegmentatie (het instellen van regels op elk aangesloten apparaat dat alleen communicatie met andere apparaten in hetzelfde Virtual LAN mogelijk maakt, vaak door middel van een opsomming). Een Virtual LAN geeft toegang tot bronnen op het Virtual LAN alleen aan andere apparaten op het Virtual LAN, wat de communicatie en dus de noodzakelijke bandbreedte beperkt. Virtual Local Area Networks Het opzetten van Virtuele Lokale Netwerken vereist planning! Denk bij het opzetten in ieder geval aan volgende opsplitsingen: Externe/niet-vertrouwde apparaten: Hebben een directe verbinding met het internet die niet achter een firewall of een of andere vorm van toegangscontrolecontrole zit. Dergelijke apparaten kunnen dingen zijn zoals uw externe router/switch of VPN- aansluitpunten. DMZ-apparaten: Bieden diensten aan die toegankelijk zijn vanaf externe apparaten/klanten op het internet. Best practice is dat alles wat toegang heeft vanaf het internet niet in uw interne netwerk moet aanwezig zijn. Door apparaten in de DMZ te plaatsen, kunt u extra lagen van technische controles en beveiligingen toevoegen. Interne Servers: elke server die op uw interne netwerk staat, moet in zijn eigen groep staan. Werkstations: voor beveiligingsdoeleinden is het zinvol om werkstations te segmenteren van de rest, omdat zij vaak de belangrijkste aanvalsvector zijn waarlangs malware in de omgeving wordt geïntroduceerd. Voorbeelden Virtual LAN De financiële systemen van een bank scheiden, zodat ze zich in hetzelfde Virtuele LAN bevinden als de financiële medewerkers en er geen andere medewerkers in hetzelfde Virtuele LAN zitten. Gebruikt in hotels om het apparaat van de gasten te scheiden van andere apparaten in het gastennetwerk. Elk apparaat zit in zijn eigen Virtuele LAN. Sidebar: Dit creëert een probleem -> als u Apple TV of Chromecast gebruikt, kan uw Iphone dat apparaat ook niet vinden. Kan interessant zijn om thuis te gebruiken. Bv. geen controle over TV of TV-box software betekent risico's. Als u ze op een andere Virtuele LAN dan uw computers en NAS (Network Access Storage = kleine opslagserver) zou zetten, dan heb je betere controle. Ook het scheiden van IoT-apparaten op hun eigen Virtual LAN is een goed idee. Isoleren van de productieomgeving en de administratieve omgeving bij een bedrijf.
