fbpx
verdeel en heers

“Verdeel en heers”

Inleiding

In de onderneming is een Local Area Network (LAN).  Een router verzorgt de connectie tussen het LAN en het Wide Area Network (WAN, het internet).  De router is dit geval de eerste en enige bescherming tegen ongewenst bezoek vanaf het WAN.  Als het LAN niet in segmenten is opgedeeld, kan ongewenst bezoek meteen in alle hoeken en gaten komen van het LAN.  In IT termen is dat een plat netwerk.

Segementeren

Het opdelen van een netwerk in segment geeft als voordeel dat per segment aangegeven is wie waar naar toe mag.  Segmenten kunnen hard opgezet worden of softwarematig.  De softwarematige oplossingen noemen wij VLANs en zij zorgen ervoor dat meerdere netwerken gebruik kunnen maken van dezelfde kabel en switches.  In een hardware matige oplossing (segmenten) is er dus voor ieder netwerk een eigen kabel en switch nodig.

Normalisatie

Ieder soort aan het netwerk gekoppeld apparaat heeft zijn eigen niveau van mogelijke beveiliging.  Een server of een computer is veel beter beveiligd dan bijvoorbeeld een camera of een (huis, tuin en keuken) printer.  Dat is een reden om deze een eigen VLAN te geven.  Het is dan als voorbeeld mogelijk om er voor te zorgen dat de camera’s zelf niet te vinden zijn vanaf het WAN en alleen te gebruiken zijn middels een daartoe aangewezen apparaat dat wel goed beveiligd kan worden.

Laag hangend fruit

Slecht te beveiligen apparaten zijn voor Cyber boefjes “low hanging fruit”.  Het zijn gewoon computertjes en kunnen dus ingezet worden voor malafide zaken.  In 2016 is een botnet opgerold met 1.5 miljoen camera’s….  Voor Pinters geldt hetzelfde, een botnet van 150.000 printers is in 2017 opgerold met 150.000 printers.
Voor wie niet weet wat een botnet is, een botnet is plastisch gezegd een leger van apparaten die op commando een taak uitvoeren.  Denk aan de DDOS (Distributed Denial of Service) bij de bekende nieuws items dat een website van een grote instelling niet meer bereikbaar was (in weekeinde Januari 2018: ABN Amro, ING, Rabobank, SNS, de Belastingdienst, DigiD en Rijkswaterstaat in één weekeinde).  Het “leger” krijgt dan de opdracht om allemaal tegelijk en duizenden keren achter elkaar naar een bepaalde website te gaan.  De website raakt zodoende overbelast en is voor ander verkeer niet meer bereikbaar.

Gasten

Een andere belangrijke reden om met VLANS te werken zijn de gasten in de onderneming en de privé wifi apparaten van de medewerkers.  Het is ZEER ongewenst om deze apparaten op het zakelijke netwerk toe te laten.  En apart VLAN voor hen geeft de mogelijkheid dat deze apparaten maar één ding mogen en dat is naar Internet.  Mocht één van deze apparaten gehackt zijn, zal dat apparaat nooit het zakelijke netwerk kunnen bereiken.

Geen heerschappij…

Segmenten en VLANS zijn niet op te zetten met de standaard Huis-Tuin en Keuken routers die men krijgt bij een Internet abonnement, waar de meeste MKB’rs toch gebruik van maken.  Daarnaast wordt er door de MKB’r geen aandacht gegeven aan het feit dat deze routers ingesteld staan met de standaard meegeleverde wachtwoorden (om in de admin-console te komen en de WIFI wachtwoorden).

De tip van vandaag is twee ledig: verander onmiddellijk alle standaard wachtwoorden van alle aan het netwerk gekoppelde apparaten: routers, switches, TV’s, printers, camera’s, etc.
En, ga ervoor zorgen dat het netwerk wordt opgedeeld in segmenten/VLANS.

En veilige dag en, een heel fijn weekeinde!

Deel deze blog post!