Bij een elektriciteitsnetwerk vraag je je niet meer af waar de stroom vandaan komt. Voor een IT-netwerk geldt steeds meer hetzelfde: de gebruiker gaat ervan uit dat hij zijn data op het juiste moment op de juiste plaats kan raadplegen. Hoe pak je dit aan als netwerkbeheerder zonder te verzaken aan security?

Advertentie

Bij het netwerk van de toekomst draait het – zonder heel technisch te worden – rond Unified Access Control (UAC)/ Network Access Control (NAC). Het belangrijkste bij de uitrol van zo een project is te starten met de juiste blueprint.  Je moet daarbij drie stappen doorlopen: eerst catalogiseer je de gebruikte toestellen in groepen. Vervolgens ga je die groepen onderverdelen in je netwerk om tot slot de mapping van al deze groepen te maken.

Als je dit consequent doet, kunnen je collega’s eender wat aansluiten op eender welke plaats. Met hun eigen authorisaties en restricties. Laat ons even die drie stappen in detail bekijken. 

1. Verdeel de toestellen in groepen.

Alle toestellen die op het netwerk worden aangesloten, behoren tot een bepaalde categorie: managed devices, unmanaged devices of guest devices. BYOD bespreek ik hier bewust niet, omdat dit te specifiek is.

Managed devices heb je 100% in beheer. Je kunt ze voorzien van 802.1X authentication (machine en/of user authentication) via een 802.1X supplicant. Denk maar aan laptops, desktops of thin clients. De security check gebeurt op 3 niveaus.

Alvorens deze op het netwerk komen, wordt nagegaan of de security policy van het bedrijf werkt. Met een ‘Machine Authentication’ (802.1X) weet je zeker dat dit een toestel van het bedrijf is. De ‘User Authentication’ (802.1X) identificeert de gebruiker. Blijkt één van deze zaken niet correct , dan kan je een bepaalde actie ondernemen (bijvoorbeeld in quarantaine plaatsen).

Unmanaged devices (wireless access points, printers, badgereaders, camera’s) behoren wel tot je organisatie maar je kunt hierop geen 802.1X supplicant installeren of gebruiken. Dus moet je een andere manier zoeken om deze toestellen te authenticeren: MAC authentication. 

Nadelen hiervan zijn de manageability en security. Een MAC adres is wel uniek voor ieder toestel maar je zou voor elk toestel een database moeten aanmaken. Quasi onbeheersbaar: tel zelf maar het aantal Access points (AP), printers, badge readers op jullie netwerk. Een vendor MAC database, met enkel het vendor gedeelte van het MAC adres, is een oplossing. Maar dan kunnen alle access points van deze vendor op het netwerk.

Ook al zouden we per toestel een specifiek MAC-adres gebruiken, kan dit nog altijd door iemand misbruikt worden (MAC spoofing). Dit wil zeggen dat iemand op zijn toestel het MAC adres gebruikt van een toestel dat reeds op het netwerk aangesloten is. Op iedere printer staat een label met het MAC-adres en dus is dit zeer gemakkelijk terug te vinden. Dit veiligheidsrisico verklein je door oplossingen te gebruiken die toestellen op het netwerk ‘profilen’. Deze geven via bepaalde technieken (DHCP vendor id, traffic streams, OS fingerprinting, webclient id, etc) een zekerheidswaarde (uitgedrukt in %) aan de toestellen. Vervolgens kun je deze database raadplegen met de UAC/NAC oplossing in plaats van enkel MAC-authentication te doen.

Guest devices behoren toe aan bezoekers of externe consultant. Je beheert ze zelf niet, maar zij moeten op je netwerk toegang krijgen tot bepaalde resources. Zonder dat je weet of ze de juiste security policy (antivirus, personal firewall, …) hanteren die in je bedrijf van toepassing is. Dus alles wat niet Managed/Unmanaged is, is gelijk aan Guest.

 

2. Verdeel de groepen onder op het netwerk

Tweede stap is het netwerk opsplitsen in 3 groepen:

  • Routed: deze groep zal geen firewall moeten passeren om aan de business applicaties te kunnen.
  • Firewalled: Hier zullen de toestellen altijd in een aparte VLAN (gebaseerd op username, user groep, departement, ..) zitten van het netwerk. Deze VLAN is via een firewall afgescheiden van de andere VLAN’s.
  • Guest: deze groep moet geen toegang tot business resources hebben. Je zal deze daarom helemaal moeten loskoppelen van het netwerk en deze gebruikers zullen beperkte toegang hebben tot het internet.

3. Mapping: toestelgroepen aan netwerkgroepen koppelen

De derde stap in het verhaal is de twee onderverdelingen (toestel- en netwerkgroepen) via mapping met elkaar linken. En dat is vrij eenvoudig schematisch voor te stellen:

  • Managed devices = Routed en Firewalled: sommige afdelingen (bijvoorbeeld Human Resources of R&D) willen volledig afgescheiden zijn van anderen. Je zal deze op een andere VLAN plaatsen en ook achter de firewall. Ik geef ook de raad Managed devices ook door een firewall/IDP (Intrusion detection and prevention) te laten gaan. Deze firewall met IDP zal voor de Datacenter resources geplaatst worden.
  • Unmanaged devices moeten sowieso door een Firewall.
  • Guest devices = Guest: deze hebben de minste mogelijkheden en zijn afgescheiden van het netwerk

Geen velden gevonden.