Tillåt endast godkänd utrustning i nätverket 

Bloggpost #6 ⎸ Tillåt endast godkänd utrustning i nätverket
Författare: Johan Nylén, säkerhetsspecialist

För att åstadkomma god nätverkssäkerhet behöver organisationer ta till en rad olika metoder och tankesätt. I en kommande blogg under informationssäkerhetsmånaden så kommer vi behandla segmentering av nätverk som ett separat ämne.

Hur etablerar man egentligen ett säkert nätverk och vad är riskerna med att negligera eller missa viktiga aspekter kopplat till detta? När organisationers nätverk numera sträcker sig även utanför kontorets väggar i och med de utbredda trådlösa nätverken, så står vi med en attackyta som konstant löper en risk för angreppsförsök.

Allt börjar med fysisk säkerhet… 

Fysisk säkerhet är en grundkomponent i att etablera säkra nätverk eftersom det på ett eller annat sätt alltid är möjligt att ansluta utrustning fysiskt till nätverksuttag i en organisations lokaler. Detta är en risk som kan ge konsekvenser både av misstag och med flit och resultatet av fysiskt ansluten utrustning skulle kunna likställas med att ge någon obehörig åtkomst till delar eller hela organisationens it-miljö. Det är inte enkelt att hitta rätt nivå mellan säkerhet och verksamhetens behov av olika typer av ansluten utrustning men det handlar framförallt om att begränsa riskerna med fysisk åtkomst. Nätverksuttag i mer öppna utrymmen som exempelvis konferensrum, receptioner och annat bör endast acceptera anslutning av utrustning som organisationen har godkänt och ge åtkomst till specifika nedlåsta nätverkssegment. Detta då dessa uttag löper större risk för exponering än uttag som sitter i låsta kontorslandskap. Nätverksuttag som inte används ska helst inte vara aktiva och fysiskt frånkopplade och det är viktigt att nätverksutrustning och patchpaneler förvaras i låsta skåp eller utrymmen. Många organisationer förlitar sig helt och hållet på den fysiska säkerheten när det kommer till sina trådbundna nätverk.

…och slutar med lite teknologi och standarder 

It-avdelningen ska hålla en uppdaterad förteckning över all nätverksansluten utrustning och tillämpa tekniska åtgärder för att autentisera enheter som ansluts och ge dessa rätt åtkomst. Det är vanligt att använda plattformar och mjukvara med stöd för teknologier och standarder som 802.1x (dot1x) och RADIUS för att åstadkomma denna typ av åtkomstkontroll på port-nivå i nätverken. En nätverksport med 802.1x konfigurerat kommer inte acceptera en fysiskt ansluten enhet om den inte kan gå igenom de åtkomstkontroller som organisationen bestämt. Oftast sker denna åtkomstkontroll genom att enheten uppvisar ett giltigt certifikat som organisationen valt att lita på och som är unikt för enheten, eller att enhetens MAC-adress finns registrerad på en lista med accepterade enheter. Det senare alternativet håller givetvis en lägre nivå av säkerhet men det är fortfarande ett bättre alternativ än att ha en statiskt konfigurerad port för ett specifikt nätverk där all utrustning som ansluts automatiskt får access.

De trådlösa nätverken ska helst skyddas med samma teknologier som de trådbundna. Organisationens utrustning i form av datorer, surfplattor och telefoner bör vara managerade och autentisera sig med certifikat mot de trådlösa nätverken. Det finns idag gott stöd för att automatiskt utfärda och förnya certifikat på de flesta plattformar som hanterar organisationens enheter. Om organisationen erbjuder trådlösa nätverk för sina gäster eller för medarbetarnas privata enheter så ska dessa vara hårt begränsade och helt åtskilda övrig infrastruktur. 

Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 1, 12 och 13. 

Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist. 

 Så länge..

...Tänk säkert och skydda era tillgångar

Kontakta Johan Nylén

Johan Nylén, Säkerhetsspecialist

Skicka e-post