Blog

Access

Open netwerken: hoe moeilijk kan je het maken?

2 jul 2019

Enterprise netwerken hebben als doel om applicaties en de gebruikers daarvan met elkaar te verbinden op een snelle en veilige manier. In het verleden was duidelijk wie zich waar begaf. De eindgebruiker zat in een kantoorpand en de applicaties in een (redundant) datacenter. Als de eindgebruiker op het internet wilde, werd dit als een connectiviteitservice door het datacenter veilig aangeboden. Daar waar de eindgebruiker voorheen een vaste verbinding had en het netwerk eigenlijk open was, is dit met de intrede van wifi en VPN-toegang een stuk complexer geworden. In deze blog ga ik dieper in op de oorzaak van de complexiteit en bied ik handvatten om hiermee om te gaan.

Michael Stolwijk door Michael Stolwijk

Externe partijen op open netwerken

Tegenwoordig is het steeds normaler geworden om externe partijen toe te laten op de open netwerken van organisaties. Denk bijvoorbeeld aan de volgende partijen:
• Gasten
• Extern ingehuurd
• Remote beheerde apparatuur

Deze partijen willen voornamelijk gebruik maken van internet met hun laptop, tablet of telefoon. De gebruikersgroep gasten brengt over het algemeen geen grote problemen met zich mee. Deze krijgen namelijk alleen wifi-access door zich aan een gast-SSID te verbinden. De toegang komt uit op een portal waar een disclaimer getoond wordt of een sponsor portal waar de gast langs moet met een tijdelijke gebruikersnaam en wachtwoord. Na het passeren van de betreffende portal heeft de gast alleen toegang tot internet.

Voor extern ingehuurde partijen wordt het een stapje ingewikkelder, in de zin dat deze ook werken met applicaties in het datacenter. Met het ondersteunen van verschillende type externe partijen wordt het complexer om te regelen wie toegang heeft tot welke applicatie.
De derde partij, remote beheerde apparatuur, wordt te vaak vergeten. Steeds meer fabrikanten van specifieke apparatuur willen deze namelijk zelf beheren. Hierbij valt te denken aan koffiemachines, klimaatapparatuur of verlichting. De fabrikant monitort en onderneemt automatisch actie bij een mogelijke verstoring. Het nadeel van de remote beheerde apparatuur is dat deze veelal een vaste netwerkverbinding nodig hebben in plaats van een wifi-verbinding. En dan is er dus vreemde apparatuur op het interne netwerk aangesloten!

5 stappen voor een goede inrichting van je netwerk

De uitdaging bij het inrichten van open netwerken is niet zozeer fysiek, maar de vraag blijft: Hoe zorg ik ervoor dat alle partijen op het netwerk kunnen komen en op een veilige manier van elkaar gescheiden worden? Om hiervoor te zorgen dienen de volgende stappen genomen te worden:

  1. Welke gebruikersgroepen kunnen gedefinieerd worden?
    Hierbij is het noodzaak dat de eindgebruiker herkend wordt, ook wel authenticatie genoemd. De meest praktische aanpak om dit te doen is door gebruik te maken van 802.1x. Hiermee kan een eindgebruiker herkend worden op basis van een gebruikersnaam en wachtwoord of op basis van een machine certificaat op bijvoorbeeld een laptop.
  2. Hoe worden de gebruikersgroepen herkend?
    Bepaal hoe de gebruiker op het netwerk komt. In of buiten het kantoor. Via een vast netwerk, wifi of VPN.
  3. Welke beveiligingsniveaus worden gedefinieerd?
    Bepaal op basis van stap twee het beveiligingsniveau van de gebruiker.
  4. Welke applicatiegroepen kunnen gemaakt worden
    Zorg voor een logische zonering van het netwerk. Door de diverse aangesloten gebruikers van elkaar te isoleren wordt het onmogelijk gemaakt om elkaar te beïnvloeden. En door applicatiegroepen in het datacenter van elkaar te scheiden wordt beïnvloeding ook uitgesloten. Door het logisch scheiden van ingaand en uitgaand internetverkeer hou je de controle op een specifieke manier.
  5. Hoe wordt de koppelmatrix opgezet
    Koppel de juiste beveiligingsniveaus aan de juiste applicatiegroep of internetgroep, ook wel profiling genoemd. Hierbij komt het erop neer dat een matrix wordt opgesteld waarin staat wie waarbij mag komen en welke beveiliging wordt toegepast.

Het is dus belangrijk om bovenstaande zaken vooraf te definiëren. Zo bouw je een netwerk dat zowel open als goed beveiligd is. Benieuwd naar meer informatie of behoefte aan een sparringspartner? De experts van Telindus helpen graag.

Geïnteresseerd?

Michael Stolwijk
Neem contact op met onze specialist Michael Stolwijk

Michael Stolwijk is al bijna 26 jaar pre-sales Consultant in de IT en al enige jaren werkzaam bij Telindus. Ongebonden aan een bepaald marktsegment werkt hij binnen een brede en diverse klantenkring. Deze varieert van enterprise klanten tot service providers. Dit maakt dat Michael een duidelijke en heldere visie heeft op de impact van infrastructuren op de business processen van diverse organisaties. Dat ook IP-netwerken een brede diversiteit kennen, blijkt al uit de verschillen tussen enterprise-infrastructuren, waarbij beschikbaarheid en beveiliging van belang zijn, en ISP-infrastructuren, waarbij services en transport differentiatie van belang zijn.

Naast dat Michael één van de eerste CCIE’s is binnen Nederland, was hij ook de eerste Cisco-gecertificeerde mainframespecialist binnen Nederland die mainframekoppelingen op basis van Cisco wist te realiseren naar IP-omgevingen. Vanuit de bovenstaande kennisgebieden is het dan ook niet vreemd om Michael aan te treffen in de snel ontwikkelende wereld van de datacenters, waarbij unified computing, virtualisatie en software defined de nieuwe uitdagingen zijn geworden.

geen reacties
Plaats een reactie