Netwerksegmentatie voor het MKB: interne muren bouwen
Een aanvaller die één systeem comprometteert, mag niet automatisch alles kunnen bereiken. Netwerksegmentatie bouwt interne muren. Dit is hoe je het implementeert.
In 2021 infecteerde ransomware een Belgisch ziekenhuisnetwerk via een slecht beveiligde printer. Vanuit die printer verspreidde de malware zich in 45 minuten naar 200 systemen, inclusief patiëntdossiers, operatieplanning en facturatiesystemen. Het ziekenhuis moest patiënten doorverwijzen en herstelde pas volledig na 10 weken.
De oorzaak: een plat netwerk zonder segmentatie. Alle systemen communiceerden vrijelijk met elkaar. De printer stond in hetzelfde netwerksegment als de medische systemen.
Voor MKB-bedrijven zijn de consequenties kleiner maar de aanvalspatronen identiek. Een compromitteerde laptop van een stagiair mag niet leiden tot toegang tot de server met alle klantcontracten.
Wat netwerksegmentatie inhoudt
Netwerksegmentatie deelt een bedrijfsnetwerk op in geïsoleerde zones. Systemen binnen een zone communiceren vrijelijk met elkaar. Communicatie tussen zones wordt gefilterd door een firewall of router die bepaalt wat wel en niet is toegestaan.
Het resultaat: een aanvaller die één zone compromitteert, kan niet automatisch communiceren met systemen in andere zones. De omvang van een aanval wordt beperkt. Ransomware die zich probeert te verspreiden, loopt op de zone-grens vast.
Netwerksegmentatie is een kernprincipe van Zero Trust security: ga ervan uit dat een aanvaller al aanwezig kan zijn en ontwerp de beveiliging zodat de schade beperkt blijft.
De basisarchitectuur: vier zones voor het MKB
Voor de meeste MKB-bedrijven is een segmentatie in vier zones een goed startpunt:
| Zone | Systemen | Toegang vanuit andere zones |
|---|---|---|
| Kantoorsegment | Werkstations medewerkers, printers | Beperkt naar serversegment via applicatiepoorten |
| Serversegment | Servers, NAS, backup-systemen | Alleen vanuit kantoorsegment via applicatiepoorten |
| Gastsegment | Bezoekerswifi, BYOD-apparaten | Uitsluitend internet, niet naar interne zones |
| IoT-segment | Printers, camera's, slimme schermen, koffiemachines | Uitsluitend wat strikt noodzakelijk is |
Waarom een apart IoT-segment essentieel is: IoT-apparaten (printers, beveiligingscamera's, slimme thermostaten) zijn beruchte zwakke plekken. Ze draaien verouderde software, krijgen zelden patches, en zijn moeilijk te beveiligen. Door ze in een apart segment te plaatsen, beperkt je de schade als ze worden gecompromitteerd. De printer die in het Belgische ziekenhuis de bron was, stond in hetzelfde segment als medische systemen. Dat is nu de bekendste segmentatiefout in Europa.
Hoe je VLAN's implementeert
Segmentatie wordt technisch geïmplementeerd via VLAN's (Virtual Local Area Networks). Een VLAN is een logische scheiding op hetzelfde fysieke netwerk: meerdere zones op dezelfde bekabeling, logisch gescheiden via de switch.
Wat je nodig hebt:
Een managed switch die VLAN's ondersteunt. Onmanaged switches (de goedkopere varianten) ondersteunen geen VLAN's. Populaire opties voor het MKB:
| Merk/serie | Type | Prijs | VLAN-ondersteuning |
|---|---|---|---|
| Cisco Meraki MS-serie | Managed | 500-2.000 euro | Ja, cloudmanaged |
| UniFi (Ubiquiti) | Managed | 150-500 euro | Ja, lokaal managed |
| HPE/Aruba Instant On | Managed | 200-600 euro | Ja |
| TP-Link TL-SG3xxx | Managed | 80-300 euro | Ja |
| Unmanaged switches (diverse) | Onmanaged | 30-150 euro | Nee |
Een firewall die regels kan toepassen tussen VLAN's. De meeste business-routers bevatten een ingebouwde firewall. Voor professionele instellingen is een dedicated firewall van merken als Fortinet, Palo Alto, of pfSense aan te bevelen.
Configuratiestappen op hoofdlijnen:
Stap 1: Definieer de VLAN-structuur: welk VLAN-nummer voor welke zone, welk IP-adresbereik per zone.
Stap 2: Configureer de VLAN's op de managed switch: stel per poort in tot welk VLAN die behoort.
Stap 3: Maak firewall-regels aan die de toegang tussen VLAN's reguleren: welk verkeer van VLAN A naar VLAN B is toegestaan op welke poort.
Stap 4: Test de segmentatie door vanuit een apparaat in één zone een apparaat in een andere zone te proberen bereiken. Als de verbinding mislukt, werkt de segmentatie.
Draadloze netwerksegmentatie: meerdere wifi-netwerken
De meeste moderne draadloze access points ondersteunen meerdere SSID's (meerdere wifi-netwerknamen). Elke SSID kan worden gekoppeld aan een VLAN.
Minimale aanbeveling:
| Netwerknaam | Gekoppeld aan | Toegang |
|---|---|---|
| Bedrijfswifi (verborgen) | Kantoorsegment | Alleen bedrijfsapparaten |
| Gastwifi | Gastsegment | Alleen internet |
| BYOD-wifi (optioneel) | Eigen BYOD-segment | Internet + beperkt intern |
Stel het gastwifi altijd in als geïsoleerd van het interne netwerk. Clients op hetzelfde gastsegment mogen ook niet met elkaar communiceren (client isolation), zodat een bezoeker met malware op zijn laptop geen andere bezoekers kan aanvallen.
Kosten: wat netwerksegmentatie kost voor een kantoor van 20-50 medewerkers
| Component | Kosten |
|---|---|
| Managed switch (vervangt onmanaged) | 150 tot 500 euro |
| Business-router/firewall (indien nog niet aanwezig) | 200 tot 800 euro |
| Access point met multi-SSID (per AP) | 100 tot 300 euro |
| Configuratie door IT-partner (4 tot 8 uur) | 400 tot 800 euro |
| Totaal eenmalig | 850 tot 2.400 euro |
| Doorlopend onderhoud | 1 tot 2 uur/jaar intern of via IT-partner |
Bij ransomware-preventie is de ROI eenvoudig te berekenen. De gemiddelde herstelkosten van een ransomware-aanval voor een MKB-bedrijf in Europa bedragen 85.000 euro (bron: Sophos State of Ransomware 2023). De eenmalige kosten van netwerksegmentatie zijn 1 tot 3 procent van die schade.
Segmentatie testen: niet overslaan
Een segmentatie die nooit is getest, geeft valse veiligheid. Test na implementatie en jaarlijks daarna:
Stap 1: Verbind een laptop met het kantoorsegment. Probeer via de commandoprompt (ping + IP-adres) een apparaat in het serversegment te bereiken via een poort die niet is toegestaan. Verwacht resultaat: geen verbinding.
Stap 2: Verbind een telefoon met het gastwifi. Probeer de printers of interne servers te bereiken. Verwacht resultaat: geen verbinding.
Stap 3: Verbind een laptop met het gastwifi. Probeer een andere laptop op hetzelfde netwerk te bereiken. Verwacht resultaat: geen verbinding (als client isolation actief is).
Als een van deze tests slaagt, heeft de segmentatie een gat dat moet worden gedicht.
Combineren met andere beveiligingsmaatregelen
Netwerksegmentatie is één laag in een meerlaagse beveiliging. Combineer het met:
Tweefactorauthenticatie voor alle accounts: een aanvaller die inloggegevens heeft, stuit alsnog op MFA.
Endpoint beveiliging en patchbeheer: up-to-date systemen hebben minder aanvalsvlak.
Wachtwoordbeleid met een wachtwoordmanager: voorkomt dat gestolen wachtwoorden meerdere systemen openen.
Incident response plan: als een aanval toch door de segmentatie heen breekt, bepaalt het plan hoe je reageert.
Veelgestelde vragen
Werkt VLAN-segmentatie ook op een gehuurde kantoorruimte?
Ja, als je jouw eigen netwerkapparatuur (switch en router/firewall) gebruikt. Als de verhuurder de netwerkinfrastructuur beheert en je geen eigen beheerde switch kunt plaatsen, bespreek dan de mogelijkheden met de verhuurder. In het ergste geval is een volledig gebaseerd-op-cloud-connectiviteit (Zero Trust Network Access) een alternatief.
Mijn IT-partner zegt dat VLAN's te complex zijn voor ons. Wat nu?
VLAN-configuratie vereist kennis maar is technisch niet uitzonderlijk complex voor een ervaren netwerktechnicus. Als een IT-partner dit niet aan kan, is het verstandig een tweede mening te vragen bij een andere partij.
Vervangen VLAN's een VPN voor thuiswerkers?
Nee. VPN's en VLAN's zijn complementaire technieken. VLAN's segmenteren het interne kantoornetwerk. VPN's beveiligen de verbinding van thuiswerkers naar het kantoornetwerk. In een Zero Trust-architectuur worden VPN's deels vervangen door direct cloud-gebaseerde toegang via Entra Application Proxy.
Micro-segmentatie: de volgende stap na VLAN's
VLAN-segmentatie (macro-segmentatie) is de eerste stap. Micro-segmentatie gaat verder: het beperkt ook de communicatie binnen een zone.
In een kantoorsegment zonder micro-segmentatie kunnen de 20 werkstations vrijelijk met elkaar communiceren. Als één werkstation besmet raakt met ransomware, kan de malware via het netwerk de andere 19 werkstations infecteren via kwetsbare protocollen (SMB, RDP).
Micro-segmentatie via host-gebaseerde firewalls (Windows Firewall met geavanceerde configuratie) kan de communicatie tussen werkstations blokkeren: elk werkstation mag uitsluitend communiceren met de servers die het nodig heeft, niet met andere werkstations.
Tijdsinvestering: 4 tot 8 uur configuratie voor een netwerk van 20 werkstations. Aanbevolen voor organisaties die gevoelige data verwerken of die onder NIS2-compliance vallen.
Segmentatie en cloudtoepassingen
Netwerksegmentatie richt zich traditioneel op het lokale netwerk. Maar de meeste MKB-bedrijven werken steeds meer in de cloud. Microsoft 365, cloud-ERP, cloud-CRM: die traffic verloopt via het internet, niet via het interne netwerk.
Voor cloud-toepassingen is segmentatie anders: het gaat om toegangscontrole via Conditionele Toegang in Microsoft Entra ID, niet om VLAN's. Bepaal via beleid welke apparaten vanuit welke locaties toegang mogen krijgen tot welke cloud-apps.
De combinatie van VLAN-segmentatie voor het lokale netwerk en Conditionele Toegang voor cloud-apps vormt samen een complete segmentatiestrategie.
*Zie ook: Zero trust uitgelegd, Zero trust in Microsoft 365, Tweefactorauthenticatie instellen, Endpoint beveiliging voor het MKB en Microsoft 365 beveiligen.*