Netwerksegmentatie is het aanbrengen van virtuele netwerkzones (vlan’s) binnen een bestaande netwerkinrichting met behulp van vlan’s en subnetten. De communicatie en de controle op het verkeer tussen de segmenten vindt plaats via een geavanceerde netwerkswitch of via een Firewall. Waarom zou je je netwerk segmenteren?
Voordelen netwerksegmentatie
Wanneer er geen segmenten zijn, kunnen alle aanwezige devices met elkaar communiceren. Virussen kunnen eenvoudig van de ene naar de andere device overspringen. Is er sprake van netwerksegmentatie dan kun je schade bij besmetting beperken. Het zorgt ervoor dat een virus zich niet verder verspreidt. Met behulp van een firewall controleer en blokkeer je het verkeer tussen virtuele groepen in het netwerk.
Een ander voordeel van netwerksegmentering is het verminderen van het zogenaamde “broadcast” verkeer. Een broadcast is het versturen van een bericht naar alle werkstations die in een bepaald netwerk aanwezig zijn. Alle systemen (Servers, computers, printers etc.) in een netwerk die met elkaar zijn verbonden vormen een “broadcast domain”. Wanneer systemen op het netwerk met elkaar willen communiceren gebruiken ze initieel een “broadcast” om het doelsysteem te ontdekken. Broadcast-pakketten zijn eigenlijk alleen bedoeld voor de betreffende ontvanger, terwijl elk aangesloten systeem deze ontvangt. Dit veroorzaakt veel netwerkverkeer, vooral in de grotere IP-subnetten.
Hoe segmenteer je een netwerk?
Een volledige segmentatie bestaat uit drie onderdelen:
1. Aanbrengen van segmenten
Je configureert het netwerk zodat er genummerde groepen van computers ontstaan, zogenaamde Virtual Local Area Networks (Vlan’s). Over het algemeen kan dit met de bestaande netwerkapparatuur. Het gebruik van “Vlan’s” vermindert het aantal mogelijke systemen in een IP-subnet, waardoor de belasting op het netwerk vermindert. In veel gevallen wordt interne netwerksegmentatie door een “Layer3 netwerkswitch” toegepast. Zo zitten bijvoorbeeld Servers, kantoor Pc’s, Wireless en bijvoorbeeld printers in een aparte netwerkzone of “vlan”. De “L3-Switch” regelt het verkeer tussen de verschillende netwerksegmenten.
2. Firewalling tussen de segmenten
Voor het controleren en blokkeren van het verkeer tussen de segmenten binnen het netwerk. In het geval van netwerksegmentering met een “L3-Switch” hebben in de basis alle devices onbeperkt toegang tot elkaar. Deze situatie brengt een risico met zich mee omdat er geen controle is op het verkeer tussen de netwerksegmenten. De toegang kan worden uitgevoerd door het toepassen van Access Lists (ACL’s) op de communicatie tussen de betreffende Vlan’s. Echter is het gebruik van ACL’s niet heel gebruiksvriendelijk en het is lastig om deze ACL’s te beheren en wijzigingen door te voeren.
Door het netwerkverkeer niet via een “L3-Switch” maar via een firewall te regelen, wordt het netwerk veiliger en is het mogelijk om meer invloed op het verkeer uit te oefenen. Een firewall inspecteert alle verkeer en grijpt bij een mogelijke dreiging in. Door gebruik van een firewall én door filtering tussen de segmenten te implementeren, heeft een kwaadwillende aanvaller binnenshuis maar beperkte mogelijkheden.
3. Dynamische toewijzing
Vroeger toen we nog een vaste werkplek hadden op kantoor was segmentatie makkelijk. Tegenwoordig werken we het liefst zo flexibel mogelijk, onderweg, thuis, bij de klant, of toch op kantoor. Onze werkplek verhuist continu met ons mee. Daarom is het belangrijk om computers te kunnen identificeren, controleren en automatisch, ongeacht de fysieke locatie, in het juiste segment te plaatsen. Dat noemen we Network Access Control (NAC).
Wanneer er gekozen wordt voor een “Network Access Control” (NAC) oplossing, waarmee dynamisch devices worden herkend en aan het juiste netwerk (Vlan) worden gekoppeld, dan is het mogelijk dynamisch de toegang tussen de verschillende netwerken (Vlan’s) te regelen. Met “NAC” kan per poort dynamisch een “access list” worden geactiveerd zodat, onafhankelijk van op welke poort een systeem zich bevindt, de toegang en ingestelde policies altijd gelijk zijn
Voorkomen van fouten bij segmentatie
Bij een segmentatieproject is er altijd een risico op verstoringen. Maar dit risico is minimaal als een aantal veelgemaakte fouten worden voorkomen, zoals:
- Het onzorgvuldig configureren van Vlan’s,
- Te snel en in te grote stappen willen werken,
- Het op ongecontroleerde wijze blokkeren van verkeer.
Met netwerksegmentatie kun je voorkomen dat je hele netwerk wordt plat gelegd. Een segmentatieproject kan complex zijn, maar het resultaat na afronding is absoluut de moeite waard.