Netwerkinfrastructuren worden steeds complexer; je telt als bedrijf niet meer mee als je naast het gewone bedrijfsnetwerk geen draadloos lan hebt. Beide zijn op diverse manieren met de buitenwereld verbonden omdat medewerkers op afstand inloggen en partners toegang hebben tot het extranet. Die complexiteit en externe verbindingen maken het haast onmogelijk een netwerk 100 procent te beveiligen. Altijd zit wel ergens een zwakke plek, in het netwerk zelf of in het beheer ervan. Netwerkbeveiliging is complex en kostbaar. Wat kun je doen om de beveiliging te optimaliseren en tegelijkertijd de kosten in de hand te houden?
In dit tijdperk van globalisatie en e-zakendoen worden aan ict-infrastructuren steeds hogere eisen gesteld, zowel technisch als organisatorisch. Elke beveiligingsaanpak valt of staat met het goed regelen van processen, verantwoordelijkheden en bevoegdheden. Elke beslissing moet passen in een duidelijk beveiligingsbeleid. Zonder een juist beleid en een organisatie die zich daaraan houdt zijn zelfs de meest geavanceerde beveiligingstechnologieën zinloos.
Als dit beveiligingsbeleid eenmaal op de rails staat, komen we bij de systemen zelf. Organisaties moeten hun netwerken steeds robuuster en redundant uitvoeren om uitval te voorkomen. Om de kans op ongewenste inbraken tot een minimum te beperken, moeten ze het netwerk vervolgens op meerdere niveaus beschermen. Het netwerk moet bovendien in compartimenten worden opgedeeld om een inbraak in het ene gedeelte geen impact te laten hebben op een ander deel.
Omdat beveiligingsapparatuur meestal afkomstig is van meerdere leveranciers, heeft elk element zijn eigen managementsysteem en protocol. Hierdoor zijn ze niet alleen lastig te implementeren, maar worden ook het monitoren en het oplossen van problemen ingewikkelde processen. Dit leidt er vervolgens weer toe dat ict-managers vaak huiverig zijn voor het invoeren van nieuwe applicaties. De bijbehorende beveiligingsservices zijn immers duur en moeilijk te implementeren, en de angst voor uitval wint het van de noodzaak van deze nieuwe applicaties.
Op beveiligingsgebied zien we belangrijke ontwikkelingen op het gebied van vaste lan’s, draadloze lan’s (wlan’s) en het uitbesteden van zowel netwerk- als beveiligingsmanagement.
Virtualisatie
Netwerkvirtualisatie is een goede manier om een beveiligingsstrategie op het vaste lan foutloos en beheersbaar uit te voeren. Virtualisatie betekent dat de beperkingen van de fysieke wereld worden weggenomen en dat alle denkbare componenten op één platform draaien. Dit reduceert de complexiteit van zowel het netwerk als de beveiligingsmaatregelen. Omdat alle netwerkdiensten virtueel op één platform samenkomen, is de coördinatie eenvoudiger en treden minder configuratiefouten op. Een virtuele architectuur combineert een centrale managementconsole met virtuele ‘switches’. Een virtuele switch is een hardwareplatform dat speciaal is ontworpen om de implementatietijd, expertise en kosten terug te dringen die nodig zijn om geavanceerde ip-diensten te leveren en te beheren. Nieuwe diensten zijn in een handomdraai toe te voegen, zonder hardware te installeren, werkprocessen te verstoren, tijdverlies of beveiligingsproblemen. Sterker nog, de eenvoudige architectuur vergemakkelijkt de uitrol van een geavanceerd beveiligingsbeleid dat uitgaat van beveiliging op meerdere niveaus en dat het netwerk opdeelt in compartimenten.
Nu het gewone lan inmiddels door onder andere virtualisatie goed te beveiligen valt, is de zwakke plek bij veel organisaties verschoven naar de draadloze netwerken. Draadloze netwerken zijn vooral populair omdat ze de medewerkers meer bewegingsvrijheid geven met behoud van communicatiemogelijkheden. Een vpn (virtual private network) is een veelgebruikte manier om wlan’s te beveiligen, enerzijds omdat netwerkmanagers hier verstand van hebben, anderzijds omdat deze methode zich in de praktijk als behoorlijk efficiënt heeft bewezen. Wil je een wlan echter waterdicht maken, dan heb je ook authenticatie- en encryptieprotocollen nodig.
Gekraakt
Het eerste protocol, wep (wired equivalent privacy), dat in februari 2001 beschikbaar kwam, was niet erg veilig. Dit had te maken met het feit dat de gebruikte code, RC4, niet juist werd toegepast. Daarom is een nieuw protocol beschikbaar gekomen, wpa (wifi protected access), dat net als wep gebruikmaakt van de RC4-code, maar deze verpakt in vier algoritmen, waardoor hij niet meer zo gemakkelijk te kraken is. Een ander voordeel van wpa boven wep is de bredere toepasbaarheid van dit protocol; het is geschikt voor grote en kleine bedrijven en thuiskantoren. Omdat wpa pas kort op de markt is, zal de praktijk moeten uitwijzen of het ook echt veilig is.
De verwachting is dat hackers erin slagen de nieuwe algoritmen te kraken. Daarom is er nu al een derde standaard in ontwikkeling die gebruik gaat maken van aes (advanced encryption standard): 802.11i. Voor aes heb je echter nieuwe toegangspoorten nodig en moeten enkele nic’s (netwerkinterfacekaarten) worden vervangen. Gezien de hoge investeringen die dat met zich meebrengt en het feit dat wpa nog niet is gekraakt, is er vooralsnog nog geen reden om snel op te waarderen naar 802.11i/aes.
Het grootste nadeel van het vpn voor draadloze toepassingen lag in de beperkte mogelijkheden voor ‘roaming’. Inmiddels zijn ook daar nu goede technische oplossingen voor, waardoor een dergelijk geavanceerd vpn toch weer de voorkeur heeft. Hiermee valt immers één oplossing voor vast en draadloos op te zetten, terwijl de specifieke draadloze beveiligingsprotocollen zich alleen tot het draadloze deel van het netwerk beperken. Daarnaast zijn die standaarden momenteel ook nog sterk aan verandering onderhevig.
Schaars
Er is dus veel technische kennis en investeringsruimte nodig om een netwerk voortdurend aan alle criteria te laten voldoen. Niet elk bedrijf wil of kan daarover beschikken. De combinatie van netwerk- en beveiligingsexpertise is immers schaars en kostbaar. Beveiligingsexperts moeten volcontinu beschikbaar zijn om direct in te grijpen als het nodig is. Tegelijkertijd moeten ze op de hoogte zijn van de nieuwste technologieën, mogelijke kwetsbaarheden, hacker-technieken, patches en procedures.
In het huidige economische tij is het voor de meeste bedrijven lastig om investeringsruimte vrij te maken voor de benodigde software en hardware. Uitbesteding van het netwerk- en beveiligingsmanagement aan een gespecialiseerde organisatie, gericht op gecombineerd centraal netwerk- en beveiligingsmanagement, kan een oplossing zijn. Een evenwichtige combinatie van intern netwerkmanagement en strategische uitbesteding van netwerk- en beveiligingsbeheer aan een vertrouwde partij kan een positief resultaat hebben op de kernactiviteiten van vrijwel iedere organisatie, zonder beslag te leggen op schaarse mensen en middelen. Slagvaardigheid en flexibiliteit kunnen behouden blijven, terwijl het bedrijf zich kan concentreren op zijn kernactiviteiten.
Bij de trend naar uitbesteding van netwerk- én beveiligingsmanagement is vooral de combinatie van beide van belang. Netwerkmanagement vereist andere expertise en middelen dan beveiligingsmanagement. Het is niet zo dat één van beide makkelijk toe te voegen is bij de ander. De integratie van beide soorten management moet van meet af aan zo zijn opgezet. Deze gecombineerde expertise is momenteel nog schaars.< BR>
Teun Tonino, salesconsultant security Telindus
