VLAN & VPN

VLAN

01

01

VLAN

WHAT IS VLAN?

Een VLAN (Virtual Local Area Network) is een techniek die wordt gebruikt om een fysiek netwerk op te splitsen in meerdere, kleinere logische netwerken. In plaats van dat alle apparaten op hetzelfde fysieke netwerk segment zitten, kun je met VLAN's groepen van apparaten logisch van elkaar scheiden, zelfs als ze zijn aangesloten op dezelfde fysieke netwerkapparatuur.

Definitie

Logische segmentatie: Elk VLAN fungeert als een afzonderlijk netwerk, zelfs als alle aangesloten apparaten fysiek op dezelfde switch zijn aangesloten. Apparaten in verschillende VLAN's kunnen alleen met elkaar communiceren via een router of Layer 3-switch.

Hoe werkt het?

VLAN-ID's: Elk VLAN wordt geïdentificeerd door een uniek nummer, de VLAN-ID. Dit nummer wordt toegevoegd aan netwerkverkeer via VLAN-tagging (IEEE 802.1Q), waardoor switches kunnen herkennen bij welk VLAN een pakket hoort.

01

VLAN

WHAT IS VLAN?

Voorbeelden

• VLAN 10: Administratie (patiëntendossiers en administratieve systemen)
• VLAN 20: Medische apparatuur (bewakingssystemen, infuuspompen)
• VLAN 30: Gastnetwerk (wifi voor patiënten en bezoekers)
• VLAN 40: Beveiligingssystemen (camera's, toegangscontrole)
  ​

Dit zorgt ervoor dat gevoelige medische gegevens veilig blijven en dat netwerken voor gasten en bezoekers gescheiden zijn van kritieke ziekenhuisinfrastructuur.

01

VLAN

WHY VLAN?

VLAN's bieden belangrijke voordelen in een ziekenhuisomgeving, waar beveiliging, betrouwbaarheid en netwerkbeheer van cruciaal belang zijn:

• Bescherming van Patiëntgegevens: VLAN's zorgen voor een strikte scheiding van netwerkverkeer. Hierdoor kunnen patiëntgegevens veilig blijven, zelfs als er onbevoegde toegang is tot andere delen van het netwerk.
   

• Isolatie van Medische Apparatuur: Het scheiden van medische apparatuur van andere netwerksegmenten voorkomt dat malware of storingen in niet-kritieke systemen de werking van levensondersteunende apparaten verstoren.

Verbeterde beveiliging

• Netwerkprioriteit: Door gebruik te maken van VLAN's, kunnen belangrijke afdelingen zoals de Intensive Care Unit (ICU) en operatiekamers hun eigen VLAN's krijgen. Dit minimaliseert netwerkvertragingen voor vitale systemen zoals patiëntbewakingsapparatuur.
   
• Redundantie en Fouttolerantie: VLAN's kunnen worden ingesteld om een deel van het netwerk te isoleren tijdens onderhoud of bij een netwerkstoring, zodat kritieke diensten operationeel blijven.

Betrouwbaarheid van kritieke systemen

01

VLAN

WHY VLAN?

• Schaalbaarheid: Ziekenhuizen groeien vaak in omvang, met nieuwe afdelingen en meer medische apparatuur. VLAN's maken het eenvoudig om nieuwe netwerken toe te voegen zonder fysieke herstructurering.
   
• Beheersbaarheid: Door afdelingen zoals administratie, laboratorium en spoedeisende hulp in aparte VLAN's te plaatsen, kunnen netwerkbeheerders eenvoudig beheer- en beveiligingsinstellingen toepassen.

Eenvoudig netwerkbeheer

01

VLAN

VLAN SCENARIO'S

• Administratie: VLAN voor ziekenhuisadministratie om toegang tot patiëntendossiers te beperken.
• Laboratorium: Gescheiden VLAN om medische testresultaten en apparatuur te beveiligen.
• Gastnetwerken: Een apart VLAN voor patiënten en bezoekers, zodat zij toegang hebben tot het internet zonder risico's voor interne systemen.

Netwerksegmentatie per afdeling

• Medische Monitoring: VLAN voor medische bewakingsapparatuur zoals hartslagmonitoren en beademingsapparaten om ze te isoleren van andere netwerksegmenten.

• Radiologie: VLAN voor MRI- en CT-scanners die grote hoeveelheden gegevens verzenden en hoge bandbreedte vereisen.

Bescherming van medische apparaten

• VLAN's voor beveiligingscamera's en toegangssystemen zorgen ervoor dat deze systemen altijd operationeel blijven, zelfs als er netwerkproblemen zijn in andere delen van het ziekenhuis.

Beveiligingsystemen

01

VLAN

VLAN TAGGING

VLAN-tagging is een techniek die wordt gebruikt om netwerkverkeer te identificeren en te scheiden op basis van VLAN's (Virtual Local Area Networks). VLAN-tagging maakt gebruik van een specifieke standaard genaamd IEEE 802.1Q, die tags toevoegt aan Ethernet-frames om aan te geven tot welk VLAN elk pakket behoort.

In een netwerk waarin meerdere VLAN's worden gebruikt, is het belangrijk om verkeer van verschillende VLAN's gescheiden te houden, vooral wanneer meerdere VLAN's dezelfde fysieke verbinding delen. Dit is waar VLAN-tagging van pas komt. Het zorgt ervoor dat switches en routers weten welk netwerkverkeer bij welk VLAN hoort, zelfs als het allemaal via dezelfde fysieke kabel wordt verzonden.

Waarom VLAN-tagging

• Een verpleegkundige scant een patiëntarmband met een draadloze scanner die is aangesloten op het Medische apparatuur VLAN (VLAN 20).
• De switch voegt een VLAN-tag toe aan het frame met een VLAN-ID van 20.
• Als het frame vervolgens door een trunk-poort op een switch wordt verzonden, bevat het de VLAN-tag zodat andere switches en routers weten dat dit frame tot VLAN 20 behoort.
• De ontvangende switch verwijdert de tag voordat het frame naar een eindapparaat wordt gestuurd dat zich ook in VLAN 20 bevindt.

Hoe werkt een tagged frame?

01

VLAN

TRUNKING (Trunk-poort)

Een trunk-poort is een poort op een switch die is geconfigureerd om verkeer van meerdere VLAN's te vervoeren. Trunk-poorten worden meestal gebruikt voor verbindingen tussen switches of tussen een switch en een router.

• Ze ondersteunen meerdere VLAN's op één fysieke verbinding.
• Ze gebruiken VLAN-tagging (802.1Q) om te zorgen dat verkeer van verschillende VLAN's niet wordt vermengd.
• Ze zorgen ervoor dat elk frame correct wordt geïdentificeerd en afgeleverd aan het juiste VLAN wanneer het bij de bestemming aankomt.

Kenmerken van trunk-poorten

• ​De poort gigabitEthernet 0/1 is ingesteld als een trunk.
• De poort kan verkeer van VLAN's 10, 20, 30 en 40 vervoeren.
• Frames die bij VLAN 1 horen, worden niet getagd (dit is het native VLAN).

• Zonder trunking zal de informatie niet kunnen verstuurd worden over de verschillende VLAN’s

Voorbeeld van een configuratie

01

VLAN

VLAN SCENARIO'S

VLAN's bieden belangrijke voordelen in een ziekenhuisomgeving, waar beveiliging, betrouwbaarheid en netwerkbeheer van cruciaal belang zijn:

• Bescherming van Patiëntgegevens: VLAN's zorgen voor een strikte scheiding van netwerkverkeer. Hierdoor kunnen patiëntgegevens veilig blijven, zelfs als er onbevoegde toegang is tot andere delen van het netwerk.
• Isolatie van Medische Apparatuur: Het scheiden van medische apparatuur van andere netwerksegmenten voorkomt dat malware of storingen in niet-kritieke systemen de werking van levensondersteunende apparaten verstoren.

Verbeterde beveiliging

• Bescherming van Patiëntgegevens: VLAN's zorgen voor een strikte scheiding van netwerkverkeer. Hierdoor kunnen patiëntgegevens veilig blijven, zelfs als er onbevoegde toegang is tot andere delen van het netwerk.
• Isolatie van Medische Apparatuur: Het scheiden van medische apparatuur van andere netwerksegmenten voorkomt dat malware of storingen in niet-kritieke systemen de werking van levensondersteunende apparaten verstoren.

Verbeterde beveiliging

VLAN & VPN

VPN

02

02

VPN

WHAT'S A VPN?

Een VPN (Virtual Private Network) is een technologie die een veilige, versleutelde verbinding creëert over een minder beveiligd netwerk, zoals het internet. Deze verbinding maakt het mogelijk om gegevens veilig en privé te verzenden en ontvangen, alsof apparaten zich binnen hetzelfde lokale netwerk bevinden.

Een VPN werkt door een versleutelde tunnel te creëren tussen uw apparaat (bijvoorbeeld een laptop, smartphone of server) en een VPN-server. Alle gegevens die door deze tunnel gaan, worden versleuteld, waardoor het voor onbevoegden onmogelijk wordt om de gegevens in te zien.

Hoe werkt een VPN?

• VPN Client: Software die een gebruiker installeert op een apparaat om verbinding te maken met een VPN.
• VPN Server: De server die de VPN-verbinding host en toegang verleent tot het interne netwerk.
• Versleuteling (Encryption): Zorgt ervoor dat gegevens tijdens transmissie niet leesbaar zijn voor derden.
• Authenticatie: Controleert of de gebruiker en de server zijn wie ze beweren te zijn.

Belangrijke componenten

02

VPN

WHY USE A VPN?

Ziekenhuizen werken met gevoelige informatie, zoals patiëntgegevens, medische dossiers en onderzoeksresultaten. Een VPN biedt een veilige manier om deze gegevens te beschermen, vooral wanneer artsen en zorgverleners op afstand werken.

• Extern Toegangsbeheer: Artsen en verpleegkundigen kunnen veilig toegang krijgen tot patiëntendossiers, zelfs als ze zich buiten het ziekenhuis bevinden, zoals bij thuiswerken of tijdens noodoproepen.
   
• GDPR-naleving: VPN's helpen ziekenhuizen te voldoen aan regelgeving zoals GDPR (General Data Protection Regulation), die vereist dat patiëntgegevens veilig worden bewaard en overgedragen.

Beveiligde Toegang tot Patiëntgegevens

02

VPN

WHY USE A VPN?

• Versleutelde Communicatie: VPN's kunnen worden gebruikt om de communicatie van medische apparaten te versleutelen, waardoor cyberaanvallen op deze apparaten worden voorkomen.
   
• Remote Monitoring: Zorgverleners kunnen op afstand medische apparatuur controleren en beheren zonder risico op ongeautoriseerde toegang.

Beveiliging van Medische Apparatuur en IoT-apparaten

• Publieke Wi-Fi: Ziekenhuispersoneel dat gebruikmaakt van openbare wifi-netwerken kan via een VPN verbinding maken om hun communicatie te beveiligen tegen potentiële hackers.
   
• Data-integriteit: VPN's zorgen ervoor dat gegevens tijdens verzending niet kunnen worden onderschept of gewijzigd.

Bescherming tegen Cyberdreigingen

02

VPN

DETAILED OVERVIEW: VPN

Een VPN maakt gebruik van verschillende technieken en protocollen om een veilige verbinding te garanderen. Hier zijn enkele kerncomponenten:

Versleuteling is het proces waarbij gegevens worden gecodeerd zodat alleen geautoriseerde gebruikers ze kunnen lezen. VPN's gebruiken sterke versleuteling om ervoor te zorgen dat alle gegevens die via de VPN-tunnel worden verzonden, privé en beveiligd blijven.
 

Veelgebruikte Encryptieprotocollen:

• AES (Advanced Encryption Standard): Beschouwt als een van de veiligste encryptiestandaarden. Veel gebruikt voor medische gegevens.
• RSA (Rivest-Shamir-Adleman): Gebruikt voor veilige gegevensuitwisseling en authenticatie.

Versleuteling (Encryption)

02

VPN

DETAILED OVERVIEW: VPN (2)

VPN's gebruiken specifieke protocollen om een veilige verbinding tot stand te brengen. Elk protocol heeft zijn eigen voor- en nadelen in termen van snelheid, beveiliging en compatibiliteit.

Enkele Populaire VPN-protocollen:

• OpenVPN: Bekend om zijn hoge beveiliging en flexibiliteit. Geschikt voor ziekenhuizen die maximale beveiliging nodig hebben.
• IPSec (Internet Protocol Security): Gebruikt voor het versleutelen van gegevens op IP-niveau. Vaak toegepast in zakelijke VPN's.
• L2TP/IPSec (Layer 2 Tunneling Protocol): Combineert L2TP met IPSec om een extra beveiligingslaag toe te voegen.
• SSL/TLS (Secure Sockets Layer/Transport Layer Security): Meestal gebruikt voor webgebaseerde VPN-oplossingen. Geschikt voor toegang tot ziekenhuiswebportalen.

VPN-Protocollen

02

VPN

DETAILED OVERVIEW: VPN (3)

VPN's gebruiken verschillende authenticatiemethoden om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot het netwerk.

Veelgebruikte Authenticatiemethoden:

• Wachtwoordbeveiliging: Basisniveau van beveiliging, maar kan worden versterkt met MFA (Multi-Factor Authentication).
• Certificaten: Gebruikt voor sterke authenticatie, waarbij alleen apparaten met een geldig certificaat verbinding kunnen maken.
• Two-Factor Authentication (2FA): Verhoogt de beveiliging door naast een wachtwoord ook een tweede verificatiemiddel te vereisen, zoals een code van een mobiele app.

Authenticatie en toegangscontrole

Tunneling is het proces waarbij een gegevenspakket wordt ingekapseld binnen een ander pakket om beveiliging en privacy te bieden.

Types van Tunneling:

• Site-to-Site VPN: Verbindt hele netwerken met elkaar, bijvoorbeeld het hoofdkantoor van een ziekenhuis met een externe kliniek.
• Remote Access VPN: Stelt individuele gebruikers in staat om veilig verbinding te maken met het ziekenhuisnetwerk vanuit een externe locatie.

Tunneling

02

VPN

VPN SCENARIO'S

Artsen en zorgverleners kunnen veilige toegang krijgen tot patiëntendossiers en systemen terwijl ze vanuit huis werken, zonder risico op datalekken.

Veilige toegang voor Telezorg en Thuiswerken

Verbindingen van op internet aangesloten medische apparaten, zoals infuuspompen en hartbewakingssystemen, kunnen worden beveiligd met een VPN om hackingpogingen te voorkomen.

Bescherming van Medische apparaten

Mobiele apps voor patiënten, zoals zelfbeheersing van diabetes of hartmonitoring, kunnen gebruik maken van VPN's om gevoelige gegevens veilig naar het ziekenhuis te verzenden.

Ondersteuning van Mobiele Gezondheidsapps

...

VLAN & VPN

RECAP

03

03

RECAP

VPN VS VLAN

• VPN's zijn cruciaal voor externe toegang en beveiliging van gegevens via het internet, vooral voor medewerkers die op afstand werken.
• VLAN's zijn ideaal voor interne netwerkbeheer door verschillende apparaten en afdelingen binnen een organisatie logisch te segmenteren voor betere prestaties en beveiliging.

Met deze technologieën kunnen organisaties zoals ziekenhuizen zowel hun interne netwerken optimaliseren (VLAN) als externe toegang tot gevoelige gegevens beveiligen (VPN).

03

RECAP

GROUP ASSIGNMENT (1)

Jullie zijn IT-specialisten die zijn ingehuurd door een ziekenhuis om de netwerkbeveiliging te verbeteren. Het ziekenhuis wil zijn netwerk zo inrichten dat de verschillende afdelingen veilig en efficiënt kunnen werken. Daarbij willen ze gebruik maken van VLANs en VPNs om gevoelige gegevens te beschermen en de prestaties van het netwerk te optimaliseren.

Werk in groepjes van 3 of 4 en ontwerp een netwerkstructuur voor het ziekenhuis waarbij gebruik wordt gemaakt van VLANs en VPNs. Beantwoord hierbij de volgende vragen

• VLAN-indeling:
  • Welke afdelingen zouden jullie in verschillende VLANs plaatsen? Denk aan afdelingen zoals:
    • Administratie
    • Medische Afdelingen
    • Bezoekers Wi-Fi
    • ...
  • Leg uit waarom jullie voor deze indeling kiezen.
• VPN-implementatie:
  • Voor welke gebruikersgroepen is een VPN-verbinding noodzakelijk? Denk bijvoorbeeld aan:
    • Thuiswerkende artsen
    • ...
  • Hoe zouden jullie de VPN zo inrichten dat alleen geautoriseerde gebruikers toegang hebben tot bepaalde gedeelten van het netwerk?
• Beveiliging en Toegang:
  • Hoe zorgen jullie ervoor dat gevoelige patiëntgegevens goed beveiligd zijn tegen ongeautoriseerde toegang? Welke maatregelen nemen jullie om de communicatie te versleutelen?
  • Welke extra beveiligingsmaatregelen kunnen jullie bedenken voor een robuuste netwerkbeveiliging (bijvoorbeeld firewalls, IDS/IPS, ...)?

03

RECAP

GROUP ASSIGNMENT (2)

GlobalTech Solutions is een groeiend techbedrijf met een hoofdkantoor in Brussel. Ze hebben momenteel één groot, plat netwerk (alle pc's zitten in hetzelfde netwerk). Ze lopen echter tegen veiligheids- en prestatieproblemen aan en huren jullie in als netwerkarchitecten om dit op te lossen.

Dit is de huidige situatie die opgelost moet worden:

1. Interne veiligheid: De afdelingen HR (personeelszaken), IT en Sales delen hetzelfde netwerk. Laatst kon een stagiair van Sales per ongeluk de loonstroken op de HR-server zien. Ook zorgt het netwerkverkeer van de IT-afdeling (die zware bestanden downloadt) ervoor dat het netwerk voor Sales erg traag is.

2. Externe toegang: GlobalTech heeft sinds kort 10 medewerkers die permanent vanuit huis werken. Zij sturen nu bedrijfsgeheimen via onbeveiligde openbare internetverbindingen naar de server op het hoofdkantoor.

03

RECAP

GROUP ASSIGNMENT (2)

Deel 1: Het Interne Netwerk - VLAN's

Beantwoord de volgende vragen en maak een simpele schets van je oplossing:

• Hoeveel VLAN's ga je aanmaken voor het hoofdkantoor en welke namen/nummers geef je ze?

• Welk probleem lossen deze VLAN's op voor de HR-afdeling?

• Welk probleem lossen deze VLAN's op voor de prestaties van het netwerk in zijn geheel (denk aan broadcast domains)?

Deel 2: De Externe Toegang - VPN 

Voeg de oplossing voor de thuiswerkers toe aan je schets:

• Teken hoe de thuiswerkers via het internet verbinding maken met het hoofdkantoor. Waar begint en eindigt de VPN-tunnel?

• Leg in je eigen woorden uit waarom een VPN hier noodzakelijk is. Wat doet de VPN met de data die over het internet reist?

Deel 3: De Uitzondering (10 minuten)

De CEO van het bedrijf werkt vandaag vanuit een koffietentje in Parijs (externe locatie) en moet dringend de loonlijst controleren die op een server in het HR-netwerk (intern) staat.

• Vraag: Beschrijf stap-voor-stap welke technologieën (VLAN en/of VPN) de data van de CEO passeert vanaf haar laptop in het koffietentje tot aan de HR-server in Brussel.