Het feit dat uw bedrijf klein is, betekent niet dat hackers zich niet op u zullen richten. De realiteit is dat geautomatiseerde scantechnieken en botnets er niet om geven of uw bedrijf groot of klein is, ze zijn alleen op zoek naar gaten in uw netwerkbeveiliging om misbruik van te maken.
Het onderhouden van een veilig klein bedrijf of thuisnetwerk is niet eenvoudig, en zelfs voor een oude rot in de IT kost het nog steeds tijd en energie om dingen op slot te houden. Hier zijn 10 van de meest kritieke stappen die u kunt nemen om te voorkomen dat uw gegevens ergens anders terechtkomen, en geen van hen kost veel tijd of moeite om te bereiken.
Krijg een firewall
De eerste stap voor elke aanvaller is het vinden van kwetsbaarheden in het netwerk door te scannen op open poorten. Poorten zijn de mechanismen waarmee uw netwerk voor kleine bedrijven zich opent en verbinding maakt met de wijdere wereld van internet. Een hacker ziet een open poort als een onweerstaanbare uitnodiging voor toegang en exploitatie. Een netwerkfirewall vergrendelt poorten die niet open hoeven te staan.
Een correct geconfigureerde firewall fungeert als de eerste verdedigingslinie op elk netwerk. De netwerkfirewall bepaalt welke poorten open en welke gesloten moeten zijn. De enige poorten die open moeten zijn, zijn poorten voor services die u moet uitvoeren.
Meestal bevatten de meeste routers voor kleine bedrijven een soort firewall-functionaliteit, dus de kans is groot dat als je een router achter je serviceprovider of DSL-/kabelmodem hebt, je waarschijnlijk al een firewall hebt. Om te controleren of u al firewallmogelijkheden op routerniveau in uw netwerk heeft, logt u in op uw router en kijkt u of er instellingen zijn voor Firewall of Beveiliging. Als u niet weet hoe u zich moet aanmelden bij uw router op een Windows-pc, zoek dan uw netwerkverbindingsinformatie op. Het item dat wordt geïdentificeerd als standaardgateway is waarschijnlijk het IP-adres voor uw router.
Er zijn tegenwoordig ook veel desktop-firewalltoepassingen beschikbaar, maar verwar deze niet met een vervanging voor een firewall die zich op het primaire toegangspunt tot uw kleine bedrijfsnetwerk bevindt. U zou een firewall moeten hebben die precies achter de plek zit waar uw netwerkconnectiviteit uw bedrijf binnenkomt om slecht verkeer uit te filteren voordat het een desktop of andere netwerkactiva kan bereiken.
Wachtwoord Bescherm uw firewall
Geweldig dat je een firewall hebt, maar het is nooit genoeg om hem gewoon in je netwerk te plaatsen en aan te zetten. Een van de meest voorkomende fouten bij het configureren van netwerkapparatuur is het behouden van het standaardwachtwoord.
In veel gevallen is het voor een aanvaller een triviale zaak om het merk en modelnummer van een apparaat op een netwerk te identificeren. Het is even triviaal om eenvoudig Google te gebruiken om de gebruikershandleiding te verkrijgen om de standaard gebruikersnaam en wachtwoord te vinden.
Neem de tijd om deze eenvoudige oplossing te maken. Log in op je router/firewall en je krijgt de mogelijkheid om een wachtwoord in te stellen; meestal vindt u het onder het menu-item Beheer.
Router-firmware bijwerken
Verouderde router- of firewall-firmware is een ander veelvoorkomend probleem. Netwerkapparatuur voor kleine bedrijven moet, net als applicaties en besturingssystemen, worden bijgewerkt voor beveiliging en bugfixes. De firmware die bij uw router en/of firewall voor kleine bedrijven is geleverd, is waarschijnlijk binnen een jaar verouderd, dus het is van cruciaal belang dat u deze bijwerkt.
Sommige routerverkopers hebben een eenvoudig dialoogvenster waarmee u vanuit het beheermenu van de router kunt controleren op nieuwe firmwareversies. Voor routers die geen automatische controle van de firmwareversie hebben, zoek je het versienummer in het beheerdersscherm van je router en ga je naar de ondersteuningssite van de leverancier om te zien of je de nieuwste versie hebt.
Pingen blokkeren
De meeste routers en firewalls bevatten meerdere instellingen die helpen bepalen hoe zichtbaar uw router en/of firewall voor de buitenwereld zal zijn. Een van de eenvoudigste methoden die een hacker gebruikt om een netwerk te vinden, is door een ping-verzoek te verzenden, wat slechts een netwerkverzoek is om te zien of iets zal reageren. Het idee is dat als een netwerkapparaat reageert, er iets is dat de hacker dan verder kan onderzoeken en mogelijk kan exploiteren. U kunt het aanvallers moeilijker maken door uw netwerkrouter of firewall zo in te stellen dat deze niet reageert op netwerkpings. Meestal is de optie om netwerkpings te blokkeren te vinden in het beheermenu voor een firewall en/of router als configuratieoptie.
Scan jezelf
Een van de beste manieren om te zien of u open poorten of zichtbare netwerkkwetsbaarheden heeft, is door hetzelfde te doen wat een aanvaller zou doen: uw netwerk scannen. Door uw netwerk te scannen met dezelfde tools die beveiligingsonderzoekers (en aanvallers) gebruiken, ziet u wat zij zien. Een van de meest populaire netwerkscantools is de open source nmap-tool). Voor Windows-gebruikers bevat de Nmap-download nu een grafische gebruikersinterface, dus het is nu gemakkelijker dan ooit om uw netwerk gratis te scannen met industriestandaardtools. Scan uw netwerk om te zien welke poorten open zijn (die niet zouden moeten zijn), en ga vervolgens terug naar uw firewall om de nodige wijzigingen aan te brengen.
IP-adressen vergrendelen
Standaard gebruiken de meeste routers voor kleine bedrijven iets dat DHCP wordt genoemd, dat automatisch IP-adressen toewijst aan computers die verbinding maken met het netwerk. DHCP maakt het u gemakkelijk om gebruikers verbinding te laten maken met uw netwerk, maar als uw netwerk wordt misbruikt, kunnen aanvallers ook gemakkelijk verbinding maken met uw netwerk. Als uw kleine bedrijf slechts een bepaald aantal gebruikers heeft en u niet routinematig gastgebruikers op uw netwerk laat aansluiten, kunt u overwegen IP-adressen te vergrendelen.
Het voordeel van het toewijzen van een IP is dat wanneer u uw routerlogboeken controleert, u weet welk IP-adres is gekoppeld aan een specifieke pc en/of gebruiker. Met DHCP kan dezelfde pc mogelijk verschillende IP’s hebben gedurende een bepaalde periode als machines worden in- of uitgeschakeld. Door te weten wat er zich op uw netwerk bevindt, weet u waar problemen vandaan komen als ze zich voordoen.
VLAN’s gebruiken
Niet iedereen in uw kleine bedrijf heeft noodzakelijkerwijs toegang tot dezelfde netwerkactiva nodig. Hoewel u de toegang met wachtwoorden en machtigingen voor applicaties kunt bepalen en instellen, kunt u uw netwerk ook segmenteren met VLAN of virtuele LAN’s. VLAN’s maken bijna altijd deel uit van elke business class-router en stellen u in staat een netwerk te segmenteren op basis van behoeften en risico’s, evenals op servicekwaliteitsvereisten. Met een VLAN-configuratie zou u bijvoorbeeld de financiële afdeling op het ene VLAN kunnen hebben, terwijl de verkoop op het andere is. In een ander scenario kunt u een VLAN hebben voor uw werknemers en vervolgens een andere instellen voor contract- of gastarbeiders. Risicobeperking heeft alles te maken met het verlenen van toegang tot netwerkbronnen aan de mensen die geautoriseerd zijn en het beperken van toegang tot degenen die dat niet zijn.
Ontvang een IPS
Een firewall is niet altijd voldoende om een klein bedrijfsnetwerk te beschermen. De realiteit van vandaag is dat het grootste deel van al het netwerkverkeer via poort 80 gaat voor HTTP- of webverkeer. Dus als u die poort open laat, loopt u nog steeds risico op aanvallen die zich richten op poort 80. Naast de firewall kan Intrusion Prevention System (IPS)-technologie een belangrijke rol spelen bij de netwerkbeveiliging. Een IPS doet meer dan alleen poorten bewaken; het controleert de verkeersstroom op afwijkingen die kunnen wijzen op kwaadwillende activiteit. IPS-technologie kan soms op een router worden gebundeld als onderdeel van een Unified Threat Management (UTM)-apparaat. Afhankelijk van de grootte van uw netwerk voor kleine bedrijven, kunt u overwegen een aparte fysieke box te gebruiken.
Een andere optie is om gebruik te maken van open source-technologieën die op uw eigen servers draaien (of als virtuele instanties als u gevirtualiseerd bent). Aan de IPS-kant heet een van de toonaangevende open source-technologieën SNORT (die wordt ondersteund door de commerciële leverancier Sourcefire.
Krijg een WAF
Een Web Application Firewall (WAF) is specifiek bedoeld om te helpen beschermen tegen aanvallen die specifiek gericht zijn op applicaties. Als u geen toepassingen host binnen uw netwerk voor kleine bedrijven, zijn de risico’s die een WAF helpt te verminderen niet zo uitgesproken. Als u applicaties host, is WAF voor (of als onderdeel van) uw webserver een belangrijke technologie waar u naar moet kijken. Meerdere leveranciers, waaronder Barracuda, hebben netwerk-WAF-boxen. Een andere optie is het open source ModSecurity-project, dat wordt ondersteund door beveiligingsleverancier Trustwave.
VPN gebruiken
Als je alle moeite hebt gedaan om je netwerk voor kleine bedrijven te beschermen, is het logisch om die bescherming ook uit te breiden naar je mobiele en op afstand verbonden medewerkers. Met een VPN of Virtual Private Network kunnen uw externe medewerkers inloggen op uw netwerk met een versleutelde tunnel. Die tunnel kan vervolgens worden gebruikt om uw externe medewerkers effectief af te schermen met dezelfde firewall-, IPS- en WAF-technologieën waarvan lokale gebruikers profiteren. Een VPN beschermt ook uw netwerk door gebruikers die mogelijk vanuit risicovolle mobiele omgevingen binnenkomen, niet op een onveilige manier verbinding te laten maken.