Welkom op het IT blog van Bouke Jasper Henstra. Hier vindt u posts over uiteenlopende onderwerpen.
Vragen, op- of aanmerkingen? Klik hier voor het contactformulier om snel, eenvoudig en veilig uw bericht te versturen.
Enige tijd terug publiceerde ik een post over het extraheren van IP-adressen met grep en regex. In deze nieuwe post borduur ik daarop voort.
In deze post laat ik door middel van een praktijkvoorbeeld zien hoe ik een lijst met verdachte IPv4-adressen blokkeer, met slechts enkele commando's. Het doel is dat er geen verkeer meer geaccepteerd wordt door mijn mail server, wat afkomstig is van de IPv4-adressen uit de samengestelde lijst.
Een IT-omgeving ontstaat vaak door gebruik te maken van de beschikbare middelen. Er ligt geen ontwerp aan de IT-omgeving ten grondslag en door de tijd wordt er steeds iets toegevoegd (lapwerk). In het begin werkt zo'n omgeving "prima". Het voorziet immers in een behoefte. Maar op den duur lijkt de omgeving op een lappendeken. Er ontstaan barstjes in (de werking van) de IT-omgeving naarmate de organisatie groeit. De complexiteit neemt toe, de afstemming is niet meer voldoende en de beheersbaarheid neemt af.
Vaak worden de IT-taken naast de bestaande werkzaamheden ingevuld door één van de medewerkers. De benodigde documentatie is nog niet aan het papier toevertrouwd.
Het resultaat is vaak de noodzaak tot een doordacht (her)ontwerp van de IT-omgeving. Daarnaast groeit de noodzaak om IT-taken te verdelen of uit te besteden. Bovendien is er een noodzaak om de omgeving te documenteren.
Herkenbaar? Dit artikel heeft als doel om een kleine organisatie (of eenmanszaak) te helpen met het opzetten van een goede IT-omgeving.
Een thuis- of klein bedrijfsnetwerk bestaat vaak uit een enkel "plat" netwerk. Dat betekent dat binnen zo'n netwerk alle apparatuur met elkaar kan communiceren.
Aan de ene kant is het handig dat alles (binnen het netwerk) met elkaar communiceert. Maar helaas schuilt daar echter een gevaar. Er is directe toegang mogelijk op alle niveaus. Daardoor is de apparatuur in het netwerk - ook voor ongenode gasten - snel te vinden en dus onnodig kwetsbaar.
Eén van de oplossingen om de netwerkbeveiliging te verbeteren is door het netwerk op te splitsen in aparte (kleinere) netwerken. Door het netwerk op te splitsen zal apparatuur minder snel te vinden en minder gemakkelijk te benaderen zijn. De apparatuur wordt hierdoor minder kwetsbaar omdat er sprake is van een barrière.
Het opsplitsen van een netwerk kan op verschillende manieren. Bijvoorbeeld door aparte fysieke netwerken aan te leggen. Echter is een fysieke splitsing kostbaar. Een andere (meer gebruikelijke) aanpak bestaat uit het netwerk opsplitsen in virtuele netwerken. Dit betekent dat er meerdere netwerken geconfigureerd worden op dezelfde netwerkapparatuur. Vervolgens wordt de aan te sluiten apparatuur over de desbetreffende VLAN's verdeeld.
De techniek die gebruikt wordt heet virtual LAN's of VLAN's. Het toepassen van VLAN's wordt ook wel virtuele netwerksegmentatie genoemd. De bedoeling is om toegang vanuit het ene netwerk (VLAN) naar het andere netwerk (VLAN) alleen bij uitzondering toe te staan - waar dat nodig is. Dit is een groot verschil ten opzichte van één enkel "plat" netwerk (waarbij alle apparatuur met elkaar kan communiceren).
Reeds meerdere jaren heb ik goede ervaring met APU boards van PC Engines. Alle APU2, 3 en 4 modellen met 4GB RAM heb ik toegepast. Vooral als router/firewall blijken de APU boards zeer betrouwbaar. Maar ook als maatwerktoepassing waar een Pi niet voldoende is, kan een APU board uitkomst bieden.
Alle APU boards hebben meerdere netwerkpoorten. Een grote wens was een board met een SFP+ slot. PC Engines heeft deze wens in vervulling laten gaan met de APU6. Het gaat om de APU6B4 om precies te zijn.
Ik was benieuwd of dit board net zo goed als de andere modellen presteert. Daarnaast wilde ik nog eens de installatie van pfSense beschrijven. In deze post beschrijf ik hoe een APU voorzien kan worden van een pfSense installatie - en hoe deze vervolgens presteert.
Netwerksegmentatie is het opdelen (of opknippen) van het totale netwerk in kleinere segmenten. VLAN's (Virtual LAN's) kunnen worden gebruikt om een netwerk in kleinere, beter beheerbare segmenten te verdelen. Dit kan de beveiliging verbeteren door de verschillende types verkeer te isoleren en de potentiële schade die kan ontstaan door een beveiligingslek te beperken.
Steeds meer ondernemers en particulieren zien het nut en de noodzaak in om het netwerk op te delen. Denk bijvoorbeeld aan het isoleren van omvormers van zonnepanelen in een IoT netwerk. Maar ook aan het aanbieden van een apart gastennetwerk waarbinnen de beveiliging gewaarborgd wordt door verdere isolatie en beperkingen (lees: client isolatie binnen een geïsoleerd netwerk met strikte firewallregels voor uitgaande verbindingen).
In deze post beschrijf ik hoe stapsgewijs een gesegmenteerd netwerk opgebouwd kan worden. Het eindresultaat is een netwerk met vijf VLAN's voor kantoor, thuis, IoT apparatuur, gasten en een thuislab (home lab).
In deze post wordt gebruik gemaakt van pfSense en een HP ProCurve switch. Maar deze kennis kan ook toegepast worden op een ander merk router/firewall en een ander merk switch. Denk hierbij aan OPNsense als alternatief voor pfSense of een TP-Link JetStream switch als alternatief voor een HP Procurve.