Forestil dig et kontorbygning med ét stort åbent rum. Ingen lukkede døre, ingen afdelinger — alle kan gå overalt. Hvis en ubudsgæst slipper ind, har de straks adgang til alt. Sådan fungerer et fladt netværk. Og det er præcis det, de fleste SMV'er har i dag.

Hvad er netværkssegmentering?

Netværkssegmentering er at opdele dit netværk i separate zoner, der ikke frit kan kommunikere med hinanden. Teknisk sker det typisk via VLAN'er (Virtual Local Area Networks) — logiske opdelinger af netværket, som styres i switchen og routeren.

I stedet for ét stort netværk har du fx:

  • Medarbejder-VLAN — arbejdscomputere og -laptops
  • Server-VLAN — filserver, backupserver, forretningssystemer
  • Gæste-VLAN — WiFi til besøgende og kunder
  • IoT-VLAN — printere, overvågningskameraer, klimaanlæg, smart-devices

En enhed i gæste-VLAN'en kan surfe på internettet — men kan ikke se jeres filserver. Et kompromitteret IoT-kamera kan ikke bruges som springbræt ind i regnskabssystemet.

Hvorfor det begrænser skaden ved et angreb

De fleste ransomware-angreb starter med én kompromitteret enhed — typisk via phishing eller et uopdateret system. Fra den ene enhed bevæger malwaren sig lateralt: den scanner netværket, finder andre sårbare systemer, og inficerer dem.

På et fladt netværk er der intet der stopper denne bevægelse. Alt er synligt og tilgængeligt. På et segmenteret netværk er der brandmure og firewallregler mellem segmenterne. Malwaren er fanget i ét segment og kan ikke nå de øvrige.

Virkelig forskel: I et dokumenteret ransomware-angreb mod en dansk produktionsvirksomhed sprang krypteringen fra én inficeret arbejdsstation til alle 47 computere på netværket på under 20 minutter. Med korrekt segmentering ville angrebet have været begrænset til det segment, den inficerede computer befandt sig i.

Gæste-WiFi er det nemmeste første skridt

Gæste-WiFi er den simpleste form for segmentering — og den mest oversete. De fleste moderne routere og access points understøtter det direkte i interface. Du opretter et separat WiFi-netværk til besøgende, som kun har adgang til internettet — ikke til jeres interne netværk.

Det er ikke paranoia. Det er sund fornuft. Du ved ikke, hvad der er installeret på en gæsts telefon eller laptop.

IoT-enheder er en særlig risiko

Printere, kameraer, sensorer og andet IoT-udstyr opdateres sjældent, har ofte svage standardadgangskoder, og er notorisk usikre. De bør aldrig sidde på det samme netværkssegment som jeres servere og arbejdscomputere. Placer dem på et dedikeret IoT-VLAN uden adgang til andet end det internet de behøver.

Kræver det meget at sætte op?

For de fleste SMV'er med en managed firewall (fx Fortinet, Sophos eller pfSense) og managed switches er grundlæggende segmentering en dagsopgave for en kompetent IT-partner. Det kræver ikke nyt udstyr i de fleste tilfælde — kun konfiguration af det eksisterende.

Start med det mest oplagte: separér gæste-WiFi og IoT fra jeres produktionsnetværk. Det er de to tiltag, der giver mest sikkerhed for pengene.