Planning voor netwerkbeveiliging

Netwerkbeveiliging is welhaast het meest wezenlijke en uitdagende aspect van de netwerkplanning. Uw netwerkverbindingen moeten legitiem dataverkeer doorlaten, terwijl het illegale gegevensverkeer wordt buitengesloten.

Voordat u begint
__	Stel een lijst op van de ingangspunten van uw netwerk.
__	Stel voor uw organisatie een beveiligingsbeleid vast waarvan het netwerkbeveiligingsbeleid een afgeleide is. Hierin moet het beleid ten aanzien van de toegang tot vertrouwelijke en gevoelige informatie worden opgenomen, en door wie welke acties moeten worden ondernomen bij inbreuk.

Taken voor de planning van netwerkbeveiliging
__	Ontwikkel een netwerkbeveiligingsbeleid Neem het bedrijfsbeveiligingsbeleid als startpunt voor de ontwikkeling van een netwerkbeveiligingsbeleid. De volgende elementen worden aanbevolen: Bouw een firewall Elk adequaat beveiligingsbeleid bevat het gebruik van een firewall voor het filteren van het inkomende en het uitgaande gegevensverkeer op het netwerk. De firewall moet alleen verkeer toelaten dat overeenstemt met het gebruikte protocol en moet verkeer stopzetten als het protocol niet overeenkomt met de poort via welke wordt geprobeerd de gegevens te verplaatsen. Het beleid moet ook het aantal open poorten zoveel mogelijk beperken om te voorkomen dat indringers toegang krijgen tot het bedrijfsnetwerk. Scherm vertrouwelijke informatie af Geen enkel systeem waarop zich vertrouwelijke of gevoelige informatie bevindt, mag rechtstreeks van buitenaf toegankelijk zijn. Verder dient ook de toegang van binnenuit tot dergelijke systemen te worden bepekt: alleen gemachtigde gebruikers moeten toegang hebben. Maak een gedemilitariseerde zone Een gedemilitariseerde zone is een gebied buiten de firewall waarin transacties kunnen plaatsvinden zonder het netwerk in gevaar te brengen. Alle anonieme toegang tot het netwerk dient in de gedemilitariseerde zone plaats te vinden. Ontwikkel een verificatieprocedure Verificatie is het proces waarin een gebruikers-ID plus wachtwoord of een vorm van verificatie op basis van een certificaat wordt verlangd bij de toegang tot een netwerkdomein. Voor alle rechtstreekse toegang tot het bedrijfsintranet moet verificatie plaatsvinden. Ook voor alle rechtstreekse toegang via de firewall moet verificatie worden vereist. In de praktijk bewezen vereisten voor gebruikers-ID's en wachtwoorden zijn: lange wachtwoorden (ten minste 8 tekens), gemengde wachtwoorden (een combinatie van hoofdletters, kleine letters en cijfers), en regelmatige wijziging van wachtwoorden (elke twee of drie maanden). Ontwikkel een encryptiesysteem Encryptie of versleuteling is een proces waarbij alle gegevens worden gecodeerd en alleen kunnen worden ontcijferd met behulp van een systeem van persoonlijke en openbare sleutels. Alle gevoelige gegevens die het bedrijfsnetwerk verlaten, moeten worden versleuteld. Alle gevoelige gegevens afkomstig vanaf externe werkplekken moeten eveneens worden versleuteld. Ontwikkel een systeem tegen social engineering Social engineering is het proces waarbij telefonisch een betrouwbare persoon wordt voorgewend met als doel om gevoelige informatie te verzamelen, zoals wachtwoorden en organisatiegegevens. Dit is een veel gebruikte techniek onder hackers om toegang te verkrijgen tot een netwerk. De enige verdediging tegen dit type inbreuk op de beveiliging is het trainen van medewerkers om dergelijke informatie nooit telefonisch te verstrekken. Voor informatie over het ontwikkelen van een beleid voor netwerkbeveiliging raadpleegt u het hoofdstuk over IP-beveiliging in de publicatie IP Network Design Guide..
__	Maak een planning voor IP Security Architecture IP Security Architecture (IPSec) is een open, normgerichte beveiligingsarchitectuur die voorziet in de volgende functionaliteit: Gegevensintegriteit (voorkomt indringing op basis van foutief geformatteerde gegevens) Herhaalbeveiliging (voorkomt indringing op basis van herhaling van berichten) Veilig maken en automatisch vernieuwen van encryptiesleutels Sterke cryptografische algoritmen Op certificaten gebaseerde verificatie IPSec omvat verschillende protocollen die elk een van deze functies verzorgen. Veel beveiligingsproducten gebruiken IPSec als basisarchitectuur. Meer informatie over IPSec vindt u in het hoofdstuk over IP-beveiliging in de publicatie IP Network Design Guide..
__	Planning voor VPN's VPN's (Virtual Private Networks) maken gebruik van IPSec voor het tot stand brengen van een beveiligde, persoonlijke verbinding, ook wel tunnel genoemd, via een openbaar netwerk zoals internet. Voor elk platform zijn er verscheidene hulpprogramma's beschikbaar om een gewone internetverbinding om te zetten in een VPN. Met het oog op de communicatiebehoeften tussen gebruikers op afstand, de verschillende vestigingen en diverse partners, vormen VPN's een belangrijke manier voor de versleuteling en de verificatie van informatie tussen de knooppunten op afstand van een bedrijfsnetwerk. Informatie over het implementeren van een VPN vindt u in het hoofdstuk over IP-beveiliging in de publicatie IP Network Design Guide..
__	Planning voor virus- en spywarebescherming Virussen en andere schadelijke software, ook wel malware genoemd, vermommen zichzelf als legitieme inhoud en voeren hun kwaadaardige activiteiten pas uit nadat ze het bedrijfsnetwerk zijn binnengedrongen. Malware is de meest algemeen voorkomende vorm van inbreuk op netwerkbeveiligingen. Elke host op uw netwerk dient te zijn uitgerust met antivirus- en antispywaretoepassingen die elke week worden ge-update en minimaal eenmaal per week worden uitgevoerd. Deze programma's zijn bedoeld om malware te blokkeren voordat deze zich over het netwerk kan verspreiden. Informatie over het voorkomen van virus- en spyware-infecties raadpleegt u het hoofdstuk over IP-beveiliging in de publicatie IP Network Design Guide..

Als u de taken hebt voltooid die in dit onderwerp zijn aangegeven, beschikt u over een netwerkbeveiligingsplan dat de volgende elementen bevat:

__	Stel een netwerkbeveiligingsbeleid op, inclusief firewalls, gedemilitariseerde zones, toegangregels voor gevoelige informatie, verificatie, encryptie en training tegen social engineering.
__	Leg de topologie van uw beveiligingsarchitectuur vast en geef aan voor welke gebieden toegangsverificatie vereist is, welke gebieden door firewalls worden beschermd, waar de gedemilitariseerde zones zijn aangesloten en welke gebruikers op afstand en externe locaties gebruikmaken van VPN's.
__	Stel een lijst op van antivirus- en antispywaretoepassingen die u op de hostmachines wilt installeren. Ontwikkel een beleid voor wekelijkse updates en configureer de hosts zodanig dat de toepassingen ten minste eenmaal per week worden uitgevoerd.