Zeker, hier is een voorstel voor een netwerkconfiguratie die geautomatiseerde detectie en respons op beveiligingsincidenten mogelijk maakt, gericht op jouw apparatuur en beveiligingsdoelen: 1. Segmentatie en VLAN-structuur - Houd bestaande VLANs (10 voor kantoor, 20 voor gasten) - Overweeg extra VLANs voor management en beveiligings- of beveiligingsapparatuur 2. Monitoring en logging - Configureer Cisco Catalyst 9300 switches voor port- en traffic monitoring (bijvoorbeeld via SPAN of RSPAN) - Zorg dat alle logs (firewalls, switches, access points) worden verzameld in een centrale SIEM (Security Information and Event Management) zoals Fortinet FortiSIEM of een integratie met een externe SIEM 3. Detectie van DDoS-aanvallen - Gebruik Fortinet firewalls (FortiGate) voor traffic-analyse en detectie - Configureer FortiGate met Security Profiles (Flooding Protection, DoS Policies) - Stel thresholds in voor verkeer dat verdacht is (bijvoorbeeld hoge ICMP, SYN-floods, of hoge bandbreedtegebruik) 4. Automatische blokkering en respons - Implementeer FortiGate's automatische actie functies: - Gebruik 'Auto-Blacklisting' of 'Automated Response' via Security Profiles - Configureer firewallregels die bij detectie automatisch IP's blokkeren of throttling toepassen - Overweeg het gebruik van Cisco Firepower (indien beschikbaar) voor geavanceerde threat mitigation 5. Protocols en tools voor realtime detectie en waarschuwingen - Gebruik SNMP en syslog voor real-time monitoring - Integreer met een SIEM voor geautomatiseerde waarschuwingen en dashboards - Implementeer NetFlow of sFlow op switches voor traffic-analyse - Overweeg deployment van IDS/IPS zoals Snort of Suricata (mogelijk geïntegreerd in FortiGate of standalone) 6. Automatisering en scripts - Gebruik API’s van Fortinet en Cisco voor automatische blokkering op basis van detectie - Implementeer scripts of automatiseringsplatforms (bijvoorbeeld Ansible, Python scripts) voor snelle reactie 7. Beveiligingsbeleid en logging - Stel strikte firewallregels in voor verdachte traffic - Log alle incidenten en acties voor audit en verdere analyse 8. Voortdurende evaluatie en tuning - Voer regelmatig tests uit (bijvoorbeeld pentests, DDoS simulaties) - Pas thresholds en regels aan op basis van netwerkgedrag en nieuwe dreigingen Kort samengevat: - Gebruik Fortinet firewalls voor traffic-analyse en automatische blokkering - Configureer Cisco switches voor uitgebreide monitoring en logging - Integreer een SIEM voor centrale detectie en waarschuwingen - Implementeer traffic-analysetools zoals NetFlow - Automatiseer respons via API’s en scripts Met deze aanpak creëer je een adaptief, real-time beveiligingssysteem dat automatisch dreigingen zoals DDoS-aanvallen detecteert en reageert.

Zeker, hier is een gedetailleerd ontwerp voor een geautomatiseerde detectie- en responsarchitectuur (Network Detection and Response - NDR) op basis van uw apparatuur. ### Overzicht van het Architectuurontwerp Het doel is een "zelfverdedigend" netwerk te creëren dat bedreigingen ziet, analyseert en er automatisch op reageert. De kern ligt bij de Fortinet firewall, die fungeert als het brein en de spier van de operatie. **Belangrijkste componenten in uw ontwerp:** 1. **Dataverzameling:** Switches en access points sturen netwerkverkeer naar de analyzer. 2. **Analyse & Detectie:** Een gespecialiseerde tool (bijv. FortiAnalyzer) of de interne IPS/IDS van de firewall analyseert het verkeer op bedreigingen. 3. **Automatische Respons:** De firewall ontvangt een signaal en past automatisch beleid aan om de bedreiging te blokkeren (bijv. door een IP-adres in quarantaine te plaatsen of een regel toe te voegen). --- ### Stap 1: Netwerkconfiguratie voor Zichtbaarheid (Op de Cisco Catalyst 9300 Switches) Om iets te detecteren, moet je het eerst kunnen zien. U moet **SPAN (Switched Port Analyzer) of mirror ports** configureren. * **Doel:** Kopieën van al het netwerkverkeer (of verdacht verkeer) naar een specifieke poort sturen voor analyse. * **Configuratie (voorbeeld):** ```bash ! Creëer een SPAN-sessie die verkeer van meerdere VLANs mirrort monitor session 1 source vlan 10 , 20 rx ! Verkeer ontvangen op VLAN 10 & 20 monitor session 1 destination interface GigabitEthernet1/0/24 ! Stuur de kopie naar poort Gi1/0/24 ``` Sluit de "monitor"-poort (Gi1/0/24) aan op een dedicated analyse-apparaat of, cruciaal voor uw setup, op een **poort op de Fortinet firewall die is geconfigureerd als een "IPS-sensor" interface**. Dit stelt de firewall in staat al het interne verkeer te inspecteren. ### Stap 2: Configuratie van de Fortinet Firewall voor Geavanceerde Detectie en Respons Dit is het hart van de automatisering. Fortinet's **Security Fabric** is hier perfect voor. **A. Schakel Geavanceerde Beveiligingsfuncties in:** * **IPS (Intrusion Prevention System):** Niet alleen detectie, maar directe blokkering van bekende aanvallen. Zorg dat dit profiel is toegepast op alle firewall policies voor intern naar extern verkeer en vice versa. * **Threat Feeds:** Abonneer op (of configureer) dynamische bedreigingslijsten. IP-adressen van bekende aanvallers of botnets worden automatisch geblokkeerd. **B. Specifieke Configuratie voor DDoS-detectie (Uw Primaire Doel):** FortiGate firewalls hebben een geïntegreerde **DDoS-beveiligingsmodule**. 1. **Navigeer naar:** `Security Profiles > DoS Policy`. 2. **Creëer een nieuw beleid:** Pas dit toe op uw WAN-interface (waar de DDoS-aanval binnenkomt). 3. **Stel drempels in (voorbeeld):** * **Source IP:** Maximaal 1000 packets per seconde (pps). *Actie: Block* * **Destination IP:** Maximaal 10.000 pps. *Actie: Block* * **Protocolen:** Stel drempels in voor ICMP-, UDP- en TCP-SYN floods. 4. **Actie:** Stel in op **`Block`** voor automatische respons zodra de drempel wordt overschreden. **C. Configureer Automatische Respons met "Fabric Connectors":** De krachtigste automatisering komt van de integratie tussen FortiAnalyzer (of FortiGate logs) en FortiManager (of de firewall zelf) via **Security Fabric Automation Stitches**. 1. **Trigger:** Bijvoorbeeld "Een IPS-signatuur wordt geactiveerd met een hoge ernstgraad" of "Een IP-adres overschrijdt de DDoS-drempel". 2. **Actie:** De trigger kan automatisch een van de volgende acties uitvoeren: * **Voeg het aanvallende IP-adres toe aan een Firewall Address Group** (bijv. "Blocked_Malicious_IPs"). * **Wijzig het VLAN van een geïnfecteerd apparaat (Quarantine):** Dit vereist integratie met de switch via RADIUS (zie stap 3). * **Stuur een onmiddellijke waarschuwing via e-mail of SMS.** *Een eenvoudige "Stitch" voor DDoS-respons zou kunnen zijn:* * **Trigger:** DoS Policy Event (Drempel overschreden). * **Actie:** Add Source IP to Firewall Address Object "Auto-Blocked-DDoS". * Zorg ervoor dat een firewall policy boven aan de lijst dit "Auto-Blocked-DDoS" adresobject blokkeert voor alle verkeer. ### Stap 3: Integratie met Switches en Access Points voor Gerichte Respons Voor de meest gerichte respons (bijv. een geïnfecteerde laptop in VLAN 10 isoleren) is samenwerking met de switch nodig. * **Protocol:** Configureer **RADIUS** (of SNMP) op zowel de FortiGate als de Cisco switch. * **Scenario:** Wanneer de FortiGate een intern apparaat identificeert als kwaadaardig, kan het via een RADIUS-Change-of-Authorization (CoA) het switchpoortprofiel van dat apparaat wijzigen naar een **Quarantine-VLAN (bijv. VLAN 99)**. Dit VLAN heeft alleen toegang tot internet voor patch-downloads en verder niets. * **Ubiquiti Access Points:** Beheer deze centraal (via een UniFi Controller) en pas hetzelfde quarantaine-principe toe door het SSID-profiel van een gebruiker dynamisch aan te passen op basis van signalen van de firewall. ### Aanbevolen Tools en Protocollen 1. **FortiAnalyzer (Aanbevolen):** Dit is de ontbrekende schakel voor robuuste automatisering. Het centraliseert logs van alle Fortinet apparaten, biedt geavanceerde correlation rules en is de ideale platform voor het opzetten van "Automation Stitches". Het is essentieel voor gedetailleerde rapportage en forensisch onderzoek na een incident. 2. **Syslog:** Configureer uw switches en Ubiquiti apparatuur om syslog-berichten te sturen naar de FortiAnalyzer of FortiGate voor gecentraliseerde logging. 3. **NetFlow/sFlow:** De Catalyst 9300 ondersteunt NetFlow. U kunt dit exporteren naar een NetFlow-analyzer (sommige functionaliteit zit in FortiAnalyzer) voor diepgaande verkeersanalyse en anomaliedetectie, wat helpt bij het identificeren van subtielere DDoS-aanvallen. ### Samenvatting van Actiepunten 1. **Configureer een SPAN/monitor poort** op uw Catalyst switch en sluit deze aan op de FortiGate. 2. **Activeer en finetune de IPS- en DDoS-beveiligingsprofielen** op de FortiGate. Pas ze toe op uw beleid. 3. **Onderzoek en implementeer "Security Fabric Automation Stitches"** op uw FortiGate of, beter nog, investeer in een **FortiAnalyzer** voor krachtigere automatisering en logmanagement. 4. **Overweeg RADIUS-integratie** tussen de FortiGate en de Catalyst switch voor geavanceerde quarantaine-mogelijkheden. 5. **Test het systeem grondig** door een gesimuleerde DDoS-aanval (bijv. met een tool zoals hping3) uit te voeren en te controleren of de automatische blokkering werkt. Met deze configuratie transformeert u uw netwerk van een statische set apparaten naar een proactief, geïntegreerd beveiligingssysteem dat 24/7 waakt en automatisch reageert op bedreigingen zoals DDoS-aanvallen.