Natuurlijk, hier zijn aanbevelingen voor een netwerkconfiguratie die geïntegreerd beveiligingsbeheer en toegangscontrole ondersteunt, afgestemd op jouw apparatuur en beveiligingsvereisten: 1. Netwerksegmentatie en VLANs - Segmenteer het netwerk in VLANs voor Marketing en Support om isolatie en controle te verbeteren. - Configureer VLANs op je Ubiquiti UniFi switches en Mikrotik router. - Toewijs elke gebruiker aan de juiste VLAN, afhankelijk van hun groep. 2. Toegangscontrole en Authenticatie - Implementeer WPA3 of WPA2 Enterprise met RADIUS-authenticatie voor draadloos netwerk. - Gebruik een RADIUS-server (bijvoorbeeld FreeRADIUS) voor centrale authenticatie van gebruikers. - Creëer individuele accounts voor de gebruikers, zodat je toegang kunt monitoren en beheren. 3. Beveiligingsregels en Firewall - Stel standaard firewallregels in op je Mikrotik router: - Blokkeer ongeautoriseerd inkomend verkeer van buitenaf. - Sta alleen VPN- of gecontroleerde toegang toe van buiten. - Beperk interne communicatie tussen VLANs indien nodig. - Configureer NAT en port forwarding alleen indien vereist. 4. VPN-toegang - Implementeer een VPN-server op je Mikrotik router (bijvoorbeeld L2TP/IPsec of OpenVPN). - Voorzie gebruikers van veilige VPN-toegang tot het netwerk, vooral voor externe werkplekken. 5. Beveiligingsmaatregelen en Protocols - Zorg dat firmware van alle apparaten up-to-date is. - Gebruik sterke, complexe wachtwoorden voor alle accounts. - Activeer 2FA (Twee-factor Authenticatie) indien mogelijk, vooral voor beheerdersaccounts. - Monitor logbestanden en gebruik netwerkanalysetools voor detectie van verdachte activiteiten. 6. Centraal Beheer en Monitoring - Gebruik de UniFi Controller voor beheer van switches en access points. - Overweeg Mikrotik’s WinBox of WebFig voor routerbeheer. - Overweeg integratie van SIEM (Security Information and Event Management) voor uitgebreide monitoring. 7. Gebruikers- en Groepsbeheer - Maak in je RADIUS-server of netwerkbeheerplatform groepen aan voor Marketing en Support. - Ken gebruikers toe aan deze groepen met bijbehorende toegangsrechten. - Documenteer alle configuraties en wijzigingen voor beheer en audits. Door deze maatregelen te implementeren, zorg je voor een veilig, overzichtelijk en centraal beheerd netwerk dat voldoet aan je beveiligingsvereisten en gebruiksbehoeften.

Zeker, hierbij een gedetailleerd netwerkontwerp op basis van uw specificaties, met focus op integratie tussen Ubiquiti en Mikrotik voor centraal beveiligingsbeheer. ### Overzicht: Gefaseerde Aanpak voor Geïntegreerd Beheer Het doel is om de sterke punten van beide platformen te benutten: de **Mikrotik router** als beveiligingsgateway (firewall, VPN) en de **Ubiquiti UniFi switches** voor gedetailleerde toegangscontrole op het LAN (Local Area Network) via VLANs (Virtual LANs). De hoeksteen van dit ontwerp is netwerksegmentatie. --- ### Stap 1: Netwerksegmentatie met VLANs Dit is de belangrijkste maatregel om groepen te isoleren en beveiligingsregels af te dwingen. * **VLAN 10 (Beheer):** Voor netwerkapparatuur zelf (Switch IP-adressen, Routerbeheer). Geen gebruikerstoegang. * **VLAN 20 (Marketing):** Voor de 10 gebruikers in de Marketingafdeling. * **VLAN 30 (Support):** Voor de 10 gebruikers in de Supportafdeling. * **VLAN 40 (Gastennetwerk):** Voor bezoekers, met zeer beperkte toegang. **Configuratie op UniFi Switches:** 1. Maak de bovenstaande VLANs aan in de UniFi Controller. 2. Wijs elke switchpoort toe aan een specifiek VLAN (bijv. poort voor Marketing-printer -> VLAN 20). Voor flexibiliteit kunt u ook gebruikmaken van "VLAN-only" netwerken in combinatie met 802.1Q tagging, maar voor vaste werkplekken is een vaste VLAN-toewijzing eenvoudiger. --- ### Stap 2: Centrale Routerconfiguratie (Mikrotik) De Mikrotik fungeert als de firewall tussen deze VLANs en tussen uw netwerk en het internet. **A. Firewallregels op de Mikrotik:** Dit zijn uw "standaard firewallregels", maar dan per VLAN. Configureer regels in de volgorde van specificiteit (meest specifieke regel eerst). 1. **Standaard Beleid:** Stel het `forward`-beleid in op `drop`. Alles wat niet expliciet is toegestaan, wordt geweigerd. 2. **Toestaan van gevestigde/gerelateerde verbindingen:** Dit is cruciaal voor normaal internetverkeer. ``` chain=forward action=accept connection-state=established,related ``` 3. **Inter-VLAN Communicatie:** Weiger communicatie tussen afdelingen tenzij nodig. * *Voorbeeld: Blokkeer verkeer van VLAN 20 (Marketing) naar VLAN 30 (Support).* ``` chain=forward action=drop in-interface=bridge20 out-interface=bridge30 ``` * *Voorbeeld: Staat Marketing toe om toegang te krijgen tot een server in VLAN 30 op poort 443 (HTTPS).* ``` chain=forward action=accept in-interface=bridge20 out-interface=bridge30 dst-port=443 protocol=tcp ``` 4. **Gastennetwerk Isolatie:** Zorg dat VLAN 40 (Gasten) alleen naar het internet kan. ``` chain=forward action=drop in-interface=bridge40 out-interface=!ether1-gateway ``` 5. **Beveiligingsregels voor Beheer:** Beheer-VLAN (10) mag alleen vanaf specifieke, vertrouwde IP-adressen toegang tot de router/switches hebben. **B. DHCP-Scopes:** Configureer voor elk VLAN een aparte DHCP-server op de Mikrotik, zodat gebruikers automatisch een IP-adres in het juiste subnet krijgen (bijv. 192.168.20.0/24 voor VLAN 20). --- ### Stap 3: Toegangscontrole en Wachtwoordauthenticatie **A. Gebruikers- en Groepbeheer (Aanbeveling):** De eenvoudigste manier voor centraal beheer van 20 gebruikers is niet via de netwerkapparatuur zelf, maar via een dedicated service. Voor uw schaal is dit de beste optie: * **Aanbevolen Keuze: Implementeer een RADIUS-server.** * **Software:** Gebruik een gratis oplossing zoals **Windows Server Network Policy Server (NPS)** of **FreeRADIUS** op Linux. * **Integratie:** Configureer zowel de Mikrotik router als de UniFi Controller om te authenticeren tegen deze RADIUS-server voor beheerderslogin. * **Voordeel:** Centraal wachtwoordbeleid (sterkte, verloop) en gebruikers kunnen één wachtwoord gebruiken voor meerdere diensten (bijv. WiFi en VPN). **B. WiFi-Toegang (indien van toepassing):** Als u UniFi Access Points gebruikt, kunt u in de UniFi Controller aparte WiFi-netwerken maken die zijn gekoppeld aan de VLANs. * `Corp-Marketing` -> VLAN 20, gebruik WPA2/WPA3-Enterprise met RADIUS-authenticatie voor sterke beveiliging. * `Corp-Support` -> VLAN 30,zelfde authenticatie. * `Gasten` -> VLAN 40, gebruikt een gedeeld wachtwoord (PSK) met een portal (captive portal) voor eenvoud. **C. Switchpoort Beveiliging (Fysieke Laag):** In de UniFi Controller kunt u "Poortprofielen" configureren. * Schakel **DHCP Snooping** in om rogue DHCP-servers te blokkeren. * Schakel **BPDU Guard** in om switching loops te voorkomen. * Gebruik **MAC-adresfiltering** (sticky MAC) voor zeer kritieke poorten om te zorgen dat alleen een specifiek device kan verbinden. Voor werkplekken is dit vaak te bewerkelijk. --- ### Stap 4: Protocollen en Beveiligingsmaatregelen | Protocol/Maatregel | Doel | Implementatie | | :--- | :--- | :--- | | **SSH/HTTPS** | Beveiligde beheeraccess | **Mikrotik/UniFi:** Schakel Telnet/HTTP uit. Gebruik uitsluitend SSH (poort 22) voor Mikrotik en HTTPS (poort 443) voor de UniFi Controller. | | **802.1Q** | VLAN-tagging | Staat op de switches en router ingeschakeld om het verkeer voor de verschillende VLANs over dezelfde fysieke kabels te transporteren. | | **RADIUS** | Centrale authenticatie | Zoals hierboven beschreven. Het protocol voor gecentraliseerde wachtwoordauthenticatie. | | **VPN (IPsec/SSL)** | Veilige externe toegang | Configureer een VPN-server op de **Mikrotik** (bijv. SSTP of L2TP/IPsec) zodat externe gebruikers veilig verbinding kunnen maken met het interne netwerk. Authenticeer via RADIUS. | | **Logging en Monitoring** | Zichtbaarheid | Stel logging in op de Mikrotik voor geweigerde firewallpogingen. Gebruik de ingebouwde monitoringtools in de UniFi Controller voor netwerkstatistieken en clientactiviteit. | ### Samenvatting van de Werkstroom 1. **Fysieke aansluiting:** Een gebruiker in Marketing plugt zijn laptop in een switchpoort die is geconfigureerd voor **VLAN 20**. 2. **Adresverlening:** De laptop krijgt een IP-adres van de Mikrotik DHCP-server voor **VLAN 20**. 3. **Toegangsverzoek:** De gebruiker probeert toegang te krijgen tot een server in de Support-afdeling (**VLAN 30**). 4. **Firewallcontrole:** Het verkeer gaat naar de Mikrotik router. De firewallregel die communicatie van VLAN 20 naar VLAN 30 blokkeert, wordt geactiveerd en het verkeer wordt **gedropt**. 5. **Authenticatie:** Wanneer de gebruiker inlogt op de WiFi of de VPN, worden zijn credentials geverifieerd door de centrale **RADIUS-server**. Dit ontwerp biedt een robuuste basis voor beveiligings- en toegangsbeheer dat meegroeit met uw organisatie. Begin met de VLAN-indeling en de basis firewallregels, en voeg daarna RADIUS voor gecentraliseerde authenticatie toe.