TeamIT blog

FÅ HJÆLP TIL DINE NETVÆRKSLØSNINGER I SAMARBEJDE MED TEAMIT

af Patrick Jensen – Network & Security Consultant

Har du overblik over hvad der kommer ind og ud af virksomheden, når det kommer til dit netværk? Skab et sikkert, hurtigt og stabilt netværk med de rette netværksløsninger, det er alfa omega for din virksomhed, hvis der opstår kritiske komplikationer.

Hvad er et netværk?

Netværket er samlingen af alle dine enheder der kan snakke sammen, det kan fx. være switche, routere, firewalls men også ting som klienter, servere, printere og IP-kameraer.

Alle disse enheder snakker sammen over TCP/IP protokollen, som danner grundlaget for det vi kalder netværk.

Nærmest alle virksomheder i dag indgår i en større eller mindre grad i et netværk, som bruges til at gemme data, udskrive dokumenter, tilgå internettet og meget andet. Dette er i høj grad ved brug af udstyr fra producenter som Cisco, HP, Aruba og mange flere.

Typisk er der to former for netværk, et LAN (Local area network) og et WAN (Wide area network). Forskellen mellem de to er generelt set størrelsen. Et LAN er meget mindre og dækker typisk over en enkelt bygning eller virksomhed. Et WAN dækker over store geografiske områder, det kunne være på størrelse med en by, et område, eller et helt land eller flere lande. Typisk er WAN et mere udbyder fokuseret netværk som fx Stofa, TDC eller meget store virksomheder der har lokationer mange steder, i flere forskellige lande.

Der er en form for netværk mere, som vi kalder for internettet. Internettet kan ses som samlingen af alle de mindre LAN og alle de store WAN som sammen skaber det vi kender som internettet.

Men LAN behøver ikke ende indenfor virksomhedens lokaler, med teknologier som VPN og Site to Site tunneller kan man skabe et netværk mellem flere lokationer, logge på servere og fildrev, selvom man ikke er direkte forbundet til virksomhedens netværk.

Gode råd til dit netværk – enkelthed er sikkerhed!

IT kan ofte være en stor del af budgettet, og kan ofte også være svært at kvantificere når der skal tages stilling til hvad man får for pengene. Hos TeamIT anbefaler vi altid enkelthed – enkelthed er nemlig sikkerhed i vores optik.

Læs mere om it-sikkerhed her

Et ordentligt og fungerende netværk, er kommunikations-nerven hos mange virksomheder. Og som det er tilfældet med så mange andre steder i livet, er det en stor fordel at være på forkant og forebygge ved at forhindre et brud på sit netværk, fremfor at vente til det er sket, og efterfølgende skulle rydde op efter et angreb.

Fordele ved et sikkert designet netværk

  • Afklar jeres behov:
    Hvilke brugere og hvilke enheder skal det trådløse netværk betjene, er vigtigt for, hvordan netværket skal sættes op. Der er forskellige enheder, som skal på netværket. Der er alt fra bærbare til mobiler til gæster, og det er derudfra at man skal definere sikkerheden og kapaciteten. Derfor er det væsentligt, at man har styr på sine behov fra start eller kan det blive meget dyrt at lave om senere.
  • Sikkerhed, sikkerhed og atter sikkerhed:
    En opdeling af enhedernes adgang til netværket, så mobiltelefoner og tablets kører på et separat SSID fra firmaets computere, så man kan sætte sikkerhedsniveauet efter de brugere, som betjenes på den enkelte lokation. Og gæster skal køre på et helt tredje netværk. Det er en god ide at dele enhederne op og justere sikkerhedsniveauerne derefter i stedet for at køre laveste fællesnævner på hele netværket.
  • Opsætning af Hardware:
    Placeringen af de forskellige access points er kritisk for det trådløse netværk. Den nemmeste placering er ikke nødvendigvis den bedste placering. Det kan give udfordringer ved både for mange og for få access points. Lav altid en site-survey før og efter installation for at sikre ordentlig dækning.
  • Overvåg jeres netværk:
    En god plan for overvågning og vedligeholdelse – hvor meget overvågning skal der være, og hvor hurtigt skal man reagere på fejl og nedetid. Ligeledes er det vigtigt med en afklaring ift. hvor meget en time eller en hel dags nedetid koster virksomheden. Det betyder at virksomheden har nemmere ved at vurdere indsatsområderne i form af nedetid.
  • Enkelthed er sikkerhed:
    Jo flere indgange eller subnets man har, jo nemmere kan det for en hacker at bryde ind i netværket. Et netværk er aldrig sikrere end det svageste led – og derfor gælder det om, at skabe så få ̈led ̈, som overhovedet muligt. Derfor mener vi, at et sikkert designet kredsløb, hvor der kun er én indgang, er den bedste løsning. På den måde kan I fokusere alt jeres energi på at optimere sikkerheden på lige netop den indgang, og det gør det langt sværere at bryde ind.

Netværkets udfordringer

At drive og vedligeholde et netværk er dog ikke uden sine udfordringer, der er typisk
mange enheder at holde styr på, og det kan hurtigt blive kompliceret.

Det er derfor vigtigt at holde styr på sin dokumentation med blandt andet netværksdiagrammer, IP-Tabeller og routes. Dette kan man fx gøre ved at have en Visio tegning af den logiske opsætning af netværksplanen.

Et netværksdiagram eksempel af TeamIT

Et netværksdiagram af, hvordan et netværk kan være bygget op med routere, modem, switches og pc’er med diverse forbindelser

I diagrammet ses et overblik over alle subnets i det interne netværk, samt en beskrivelse af enhederne. Med dette diagram er det nemt at danne sig et overblik over hvordan netværket virker, og hvilke IP-adresser hører til hvilke subnets. (Netværket er blot et eksempel)

IPAM er også en rigtig god ting at have til at dokumentere IP-adresser og skabe et typisk normalbillede af infrastrukturen i virksomheden.

Herunder ses et billede af Netbox, som er en kombineret dokumentationsplatform der kombinerer IPAM (IP Adress management) og DCIM (Data center infrastructe management)

Med Netbox har man muligheden for at dokumentere hele netværket, og dets enheder. Der er derudover en masse angreb som kan give problemer på netværket så som:

Man-In-The-Middle, IP-Spoofing, DDoS, CAM Table Overflow, MAC-Address flooding og mange flere.

Alle disse kan der beskyttes imod med forskellige teknologier, det er dog vigtigt at nævne at det er nærmest umuligt at sikre at man er 100% sikret på sit netværk. Det bedste man kan gøre, er at gøre det så besværligt for hackere at bryde ind som overhovedet muligt.

Det er dog vigtigt at man konstant er opmærksom på hvordan trusselslandskabet udvikler sig, og ikke lader sig falde bagud. Dertil er det også vigtigt at man husker at de fleste trusler ikke sker ved at udnytte et sikkerhedshul, men i stedet ved at en bruger åbner en mail, installerer noget software, eller ved svage passwords og ubeskyttede enheder.

Er det tilpas besværligt kan man gøre det uattraktivt for en hacker at angribe virksomheden, da tiden og besværligheden ikke giver nok incitament til at fortsætte!

Next Generation Firewall

En Firewall er ikke bare en firewall mere. I takt med teknologien udvikler sig, er man nødsaget til adaptere. Med en Next generation firewall udvider du dine muligheder for inspektion af netværket og dets trafik. Med nye features som SSL-Inspektion, GeoIP blokering, Applikationskontrol og Sandboxing, er du med til at sikre dit netværk bedst muligt.

En next generation firewall gør det muligt at finjustere din sikkerhed baseret på både IP, Port, Applikation, Bruger og meget mere. Med teknologier som GeoIP blokering kan man blokere grupper af GeoIP adresse
segmenter. Dette kan være med til at sikre netværket mod potentielle hackere eller andre uønskede forbindelser.

Et eksempel i Fortinets produkt,
Fortigate kunne se sådan ud:

Som ses på billedet er en forbindelse fra 52.81.64.96
oprettet til 82.52.42.174.
Fortigaten har derefter sporet IP’en til en kinesisk source,
og noteret at den har forsøgt at pinge den offentlige IP-adresse.

Det er derefter muligt at filtrere baseret på denne information. Ønsker man fx ikke forbindelser fra Kina kan denne region udelukkes med en firewall policy.
På nyere firewalls, er det en af de mange muligheder man har for at holde styr på trafikken i netværket, og det er med til at sikre at man kan undgå angreb.

En af de mange features på nyere firewalls er SSL-Inspection eller SSL-Decryption. Da vi i større og større grad er begyndt at kryptere alt vores trafik igennem SSL- og TLS-forbindelser, er det blevet svære og svære at få indblik i sit netværks trafik.

Eksempel på liste fra Fortinet

Med decryption og inspection kan du igen få styr på om der sendes skadeligt trafik selvom det er krypteret. Det kan samtidigt være med til at forhindre at vigtige filer og
dokumenter ikke forlader dit netværk. Det virker ved at firewallen får lov til at udstede et certifikat som installeres på
computerne i netværket, og derefter kan den læse den krypterede trafik.

Typisk vil man dog have en liste af sider som ikke dekrypteres af respekt for brugerne. Dette kunne fx være som ses på
listen her.
Denne liste kan selvfølgelig ændres så den passer til virksomheden og dets normale brugsmønster.
Disse lister opdateres automatisk af producenten af den givne firewall, fx Palo Alto, Fortinet eller Checkpoint.

Liste med programmer, der er givet adgang til af firewallen, såsom Adobe, appstore og skype.

SSL-Inspektion kan kobles med teknologier som Deep packet inspection, der undersøger mistænkelig trafik for malware og andre trusler mod netværket. Dette betyder at det er muligt at dekryptere SSL trafik, scanne det og derudfra besluttes det automatisk om det indeholder malware og bliver blokeret.

Det kan endda taget et skridt længere endnu, hvor man tilknytter teknologier som sandboxing, hvor firewallen automatisk forsøger at køre den mistænkelige trafik i et ”Sandbox” miljø der ikke påvirker det normale netværk.

Sker der ikke noget som firewallen beslutter er risikabelt, kan trafikken få lov til at blive
sendt til netværket.

Fordele ved etablering af ny Firewall

Aller Aqua har i mere end 50 år, produceret fiskefoder til dam- og havbrug. Aller Aqua har i dag fabrikker i Danmark, Polen, Tyskland, Egypten, Zambia, Kina og Serbien og eksportere til mere end 70 lande på verdensplan.

Fremdrift efter ny firewall

Hos Aller Aqua har der været stor fremdrift, og dertil har de haft muligheden for at åbne nye fabrikker i udlandet. Men da truslen om cyberkriminalitet er voksende, er det vigtigt at indtænke sikkerhed, som et led i sin infrastruktur.

I den forbindelse har teamIT været med til at implementere flere Fortigates, i både Danmark, Polen og Egypten. Med den nye teknologi i netværket kan Aller Aqua nu begynde at udnytte mange af de nye og vigtige funktioner som kun er muligt ved en nyere firewall.

Aller Aqua har i mere end 50 år, produceret fiskefoder til dam- og havbrug.
Aller Aqua har i dag fabrikker i Danmark, Polen, Tyskland, Egypten, Zambia, Kina og
Serbien og eksportere til mere end 70 lande på verdensplan.

Fremdrift efter ny firewall

Hos Aller Aqua har der været stor fremdrift, og dertil har de haft muligheden for at åbne nye fabrikker i udlandet. Men da truslen om cyberkriminalitet er voksende, er det vigtigt at indtænke sikkerhed, som et led i sin infrastruktur.

I den forbindelse har teamIT været med til at implementere flere Fortigates, i både Danmark, Polen og Egypten. Med den nye teknologi i netværket kan Aller Aqua nu begynde at udnytte mange af de nye og vigtige funktioner som kun er muligt ved en nyere firewall.

Aller Aqua har i mere end 50 år, produceret fiskefoder til dam- og havbrug.
Aller Aqua har i dag fabrikker i Danmark, Polen, Tyskland, Egypten, Zambia, Kina og
Serbien og eksportere til mere end 70 lande på verdensplan.

Sikkerheden kan altså holdes i top, uden at det skal have betydning for brugere, maskiner eller servere der oftest er afhængige af netværket og internettet.

TeamIT har været med hele vejen igennem indkøb, udskiftning, opsætning samt drift af de nye firewalls. Et godt fungerende samarbejde og en meget professionel tilgang til løsningen og vi er yderst tilfreds med den assistance vi har modtaget hos TeamIT i forbindelse med opsætning og drift af vores Fortigates.

Dennis D. Bønnelycke
IT Technical Supporter, Aller Aqua