Bij het bestellen van een internetverbinding bieden wij als extra optie de mogelijkheid om een subnet bij te bestellen, ook wel extra IP-adressen genoemd in onze offerte. Regelmatig krijgen wij de vraag van (nieuwe) klanten of ze dergelijke extra IP-adressen nodig hebben. Het antwoord op deze vraag kan en moet echter van de klant zelf komen, omdat het afhangt van hun situatie en wensen. In dit bericht proberen we meer duidelijkheid te geven over deze IP-adressen en de toepassing ervan in de praktijk.

Wat is een subnet

Voor we naar de praktijk gaan is het handig om te weten wat een subnet is. Voor de volledige uitleg en theorie verwijzen we graag naar de volgende wikipediapagina. Voor dit artikel houden we het echter simpel: een subnet is een methode om een groot netwerk op te delen in kleinere, beheersbare eenheden. Het creëert logische groepen van apparaten binnen een IP-netwerk, elk met een eigen uniek IP-adresbereik die worden toegewezen door de provider. Subnetten worden gebruikt om specifieke groepen apparaten te organiseren en beheren binnen een netwerk. Het is verder van belang om te weten dat we in dit artikel externe/WAN IP-adressen en subnetten bespreken en dus niet lokale/LAN IP-adressen en subnetten.

Het IP-adres van jouw verbinding

Bij elke xDSL- of glasvezelinternetverbinding van Nox Telecom krijg je altijd één uniek vast IP-adres toegewezen. Dit WAN IP-adres is statisch en verandert dus niet. Het internet en jouw netwerk zijn met elkaar verbonden via het Internet Protocol (IP) en dit IP-adres geeft jouw adres aan in dit grote netwerk. Met dit vaste IP-adres kun je bijvoorbeeld websites bezoeken, en op dit vaste IP-adres is jouw router/firewall bereikbaar via internet. Die router/firewall vormt ook de scheiding tussen jouw interne netwerk en het internet. Omdat je absoluut niet wilt dat iedereen op het internet zomaar bij bestanden en applicaties op jouw interne netwerk kan komen, is de router zo geconfigureerd dat deze toegang van buitenaf voorkomt. Een firewall is in vergelijking met een router een apparaat dat een meer geavanceerde configuratie mogelijk maakt ter verdediging van je netwerk en bepaalt dus welk verkeer wordt toegelaten. In principe is voor iedereen op het internet dus het eindpunt deze router/firewall, en alles op je lokale netwerk is niet bereikbaar vanuit het internet, omdat de router/firewall de deur naar je lokale netwerk (LAN) gesloten houdt.

Wat zijn dan redenen om een extra subnet te kiezen bij een internetverbinding?

De router/firewall is dus het eindpunt vanuit het internet. Er zijn echter redenen dat je wilt dat je LAN of bepaalde applicaties wel bereikbaar zijn vanuit het internet voor bepaalde gebruikers. We noemen en aantal voorbeelden:

  • Je wil dat werknemers thuis kunnen werken en alsnog bij de bestanden en applicaties kunnen komen die nodig zijn om werkzaamheden uit te voeren en hiervoor willen jullie een VPN server of een ander remote access programma gebruiken.
  • Je host je eigen mail server en wilt dat deze synchroniseert met mobiele applicaties zodat werknemers overal toegang hebben tot mail.
  • Je hebt een printer die je ook opdrachten wilt toesturen om te printen als je bij een klant een order hebt besproken die op kantoor door collega’s moet worden opgepakt.
  • Je host je eigen website en je wilt dat deze website ook toegankelijk is voor andere internetgebruikers.
  • Je hebt een videobewakingssysteem waar je ook vanuit andere locaties live wilt meekijken of besturen.
  • Je zit in een bedrijfsverzamelpand en deelt 1 router/firewall met meerdere organisaties die je allemaal toegang wil geven tot internet met ieder een eigen IP-adres.
  • Je host een eigen webserver en/of applicatieserver welke vanuit andere locaties beschikbaar dient te zijn.

Je wilt dus toegang toestaan tot bepaalde applicaties terwijl toegang tot andere applicaties en voor onbevoegden voorkomen moet worden. Het nemen van extra IP-adressen is een manier om verkeer te isoleren naar die specifieke applicaties. Het extra IP-adres komt dan ook op je router/firewall uit maar hiervoor kun je andere toegangsregels configureren dan voor andere IP-adressen en zodoende ervoor zorgen dat bevoegden toegang hebben tot de gewenste applicaties. Als onbevoegden ongewenst toch binnen komen op dit adres, dan zien ze alleen de applicaties waartoe dit IP-adres toegang heeft zonder dat het hele netwerk blootgesteld wordt aan gevaar.

Nog wat aanvullende informatie

  • In dit bericht behandelen we verkeer dat vanuit het internet jouw netwerk op wil. Andersom wordt het vaste IP adres ook soms gebruikt als extra laag van security om in te loggen op externe websites zoals applicaties in de cloud. Naast username en password als authenticatie wordt óók het IP adres van waaruit je inlogt gecontroleerd of deze op een zogenaamde whitelist staat. Alleen ip-adressen op de whitelist krijgen ook daadwerkelijk toegang als aan de andere gestelde toegangseisen wordt voldaan.
  • Publieke subnetadressen worden vaak gebruikt voor het hosten van openbare diensten, zoals webserver, e-mailserver, DNS-server, enz. Deze diensten zijn bedoeld voor algemeen gebruik en moeten toegankelijk zijn voor gebruikers op internet. Door gebruik te maken van publieke subnetadressen kunnen organisaties hun diensten beschikbaar stellen voor externe gebruikers zonder beperkingen op het internet.
  • Aangezien publieke subnetadressen toegankelijk zijn vanaf het internet, is het essentieel om adequate beveiligingsmaatregelen te implementeren. Dit omvat het gebruik van firewalls, Intrusion Detection Systems (IDS), Virtual Private Networks (VPN’s) en andere beveiligingsmechanismen om ongeautoriseerde toegang en bedreigingen te voorkomen. Voor meer informatie over deze diensten kunt u contact opnemen met onze partner van der Hoff ICT.
  • Subnets worden doorgaans toegekend in blokken van 4, 8, 16, 32 of 64 IP adressen. Een subnet heeft altijd 3 IP adressen nodig voor intern gebruik:
    • het Network IP address (1e uit de reeks)
    • het Gateway IP address (2de uit de reeks)
    • het Broadcast IP address (laatste uit de reeks)
      Bij een subnet van 4 IPv4 IP adressen kan de klant er dus maar één vrij gebruiken als IP adres. Bij een subnet van 8 IPv4 IP adressen kan de klant er dus vijf vrij gebruiken als IP adres.
  • Als de klant een extra subnet van IP adressen aanvraagt, kunnen wij dit op 2 manieren implementeren.
    • het subnet wordt toegekend op één van de 4 poorten van de Managed Router die Nox Telecom heeft geleverd. De klant sluit zijn eigen randapparatuur hierop aan
    • de gegevens van het subnet worden aan de klant verstrekt en de klant implementeert dit subnet in zijn eigen firewall en kent deze toe aan verschillende (V)LAN’s of toepassingen

Tot slot

Een extra IP-adres is dus een manier om bepaalde data en applicaties van je organisatie bereikbaar te maken vanuit het internet, terwijl andere applicaties en data binnen je netwerk niet bereikbaar zijn via dezelfde route, zodat de veiligheid daarvan niet in het geding komt. Er zijn echter ook andere manieren om hetzelfde resultaat te bereiken, bijvoorbeeld door specifieke configuratie van je firewall of het inzetten van bepaalde applicaties die specifiek voorzien in jouw behoeften. Ga in overleg binnen je organisatie of met de IT-adviseur om te bepalen of een van bovenstaande zaken van toepassing is en of jullie hiervoor een vast IP-adres willen gebruiken