Herinrichting M2M Subnetten 2019

Deze publicatie is gemaakt om achtergrond informatie te verstekken omtrent de herinrichting van simkaart gerelateerde subnetten waarbij in voorkomende gevallen klanten verplicht dienen over te stappen op een nieuw subnet (IP plan). 

Update informatie beveiliging beleid 

Het informatie beveiliging beleid van M2M Services wordt continue geëvalueerd en geüpdate om weerstand te kunnen bieden aan potentiele dreigingen en kwetsbaarheden. Dit leidt met regelmaat tot de implementatie van nieuwe technische of organisatorische maatregelen in onze organisatie. 

Met de laatste update van het informatie beveiliging beleid zijn er aangescherpte procedures met betrekking tot IP subnetten geïntroduceerd. Hoewel veel beveiligings maatregelen niet zichtbaar of merkbaar zijn voor onze klanten is de implementatie van deze maatregel dat wel. 

Één van de effecten van deze aangescherpte procedure is dat elke klant welke is voorzien van een eigen Cisco Jasper Customer Account tevens een eigen, ondeelbaar, IP subnet dient te hebben. Deze technische maatregel volgt naar aanleiding van een risico analyse waarbij de segmentatie op basis van individuele IP adressen als te complex en foutgevoelig wordt geacht. Als corrigerende maatregel is besloten alleen nog segmentatie toe te staan op klant én subnet niveau. Doordat bij diverse klanten de huidige praktijk anders is wordt klanten, met in achtneming van een redelijke termijn, gevraagd hier voorbereidingen voor te treffen en hun set simkaarten te laten voorzien van een nieuw IP Adres conform een overeengekomen subnet (IP plan). 

Voor uw IT organisatie betekent dit dat zij verkeer dat via M2M Services wordt gerouteerd makkelijker op basis van een vooraf gedefinieerd subnet kunnen whitelisten en daarmee ander verkeer beter kunnen blokkeren/herkennen. Dit komt uw IT beveiliging ten goede. 

Dit document wordt alleen gedeeld met klanten waarbij deze maatregel tot een vernieuwde IP nummering leidt, derhalve heeft u hier geen mailing van ontvangen.

Klanttypes 

Binnen M2M Services zijn verschillende type klanten te onderscheiden: 
 
1.       Public IP klanten 
2.       Fixed IP klanten met eigen VPN 
3.       Fixed IP klanten over VPN van andere klant 
4.       Fixed IP klanten zonder VPN

Nieuwe situatie 
Alle Fixed IP klanten van de categorieën twee en drie krijgen een eigen subnet per control center customer account. 
 
Alle VPNs worden bij voorkeur opgeleverd op 10.1.0.0/16 met een acceslist op het eigen subnet. Hierdoor kan een klant doorgroeien naar een ander subnet en kan M2M Services dit 2e subnet (ondanks dat deze niet aansluitend is) in de VPN ACL toevoegen van de klant. 

Indien de klant de 10.1.0.0/16 reeks te groot vind krijgt deze een VPN geconfigureerd op basis van het toegewezen subnewaar de simkaarten zich in bevinden. Houd er in deze situatie rekening mee dat wanneer een klant uit zijn subnet groeit qua aantal IP adressen (simkaarten) de VPN opnieuw geconfigureerd moet worden en bestaande simkaarten gemigreerd moeten worden naar een groter (nieuw) subnet. 

IP & SUBNET MIGRATIEPLAN 

Onderstaand worden de stappen uiteengezet welke nodig zijn om een IP subnet succesvol naar een nieuw, vooraf gedefinieerde, reeks te wijzigen. 

  1. Brondata aanleveren 

Klant levert brondata (.xlsx) aan uit het SCADA systeem met daarin minimaal simkaartnummer en IP adres. Het aangeleverde bestand mag geen opmaak bevatten. 

  1. Controle, matching aangeleverde brondata en aanlevering nieuwe data 

M2M Services voert controle uit aangaande correcte en volledige data, controleert de oude IP adressen en vervangt deze door de nieuwe IP adressen. M2M Services levert een nieuw databestand (.xlsx) aan met nieuwe IP adressen. 

  1. Cisco Jasper migratie 

M2M Services migreert de IP adressen in het Cisco Jasper platform naar de nieuw gedefinieerde IP reeks. Dit is een gestandaardiseerd batch update proces welke geautomatiseerd wordt verwerkt en wordt geïnitieerd vanuit de systemen van M2M Services. 

  1. Updaten SCADA systeem 

Klant dient op basis van de door M2M Services aangeleverde nieuwe IP adressen het SCADA systeem te updaten met de nieuwe gegevens.  

  1. End-to-end test 

Klant dient direct na de update de end-to-end connectivity te testen door het SCADA systeem en een Device verbinding met elkaar te laten maken. 

LET OP: 

In de periode tussen de Jasper migratie (stap 3) en de update van het SCADA systeem (stap 4) zijn de M2M apparaten onbereikbaar. Een en ander is afhankelijk van de snelheid waarmee de klant de nieuwe IP adressen in zijn SCADA systeem kan verwerken. 

Terug naar overzicht

Deel dit artikel via:

Volgende

icon advies
Standaard naamconventies