Natuurlijk! Hier is een overzicht van een netwerkconfiguratie die gericht is op de integratie en beveiliging van IoT-apparaten in jouw netwerk, gebruikmakend van je Cisco Catalyst switches en Ubiquiti UniFi access points: 1. Segmentatie van het netwerk: - Creëer een aparte VLAN voor IoT-apparaten (bijvoorbeeld VLAN 20). Dit voorkomt dat IoT-apparaten direct toegang hebben tot je kritieke bedrijfs- of privénetwerk. - Configureer een gescheiden VLAN voor je reguliere apparaten en een management VLAN voor netwerkbeheer. 2. Configuratie van switches: - Gebruik je Cisco Catalyst switches om de VLAN's te definiëren en poorten toe te wijzen: ``` vlan 20 name IoT interface range <poorten voor IoT> switchport mode access switchport access vlan 20 ``` - Zorg voor trunk-verbindingen tussen switches als je meerdere hebt, met de juiste VLAN tagging. 3. Access points: - Zet je Ubiquiti UniFi access points op om een aparte SSID voor IoT-apparaten te creëren, gekoppeld aan de IoT VLAN. - Stel QoS in om de bandbreedte en prioriteit voor IoT-verkeer te beheren. 4. Beveiligingsmaatregelen: - Gebruik sterke WPA3-encryptie voor de IoT SSID. - Implementeer netwerkbeveiligingsregels (firewall) om strikt te controleren welk verkeer van en naar de IoT VLAN mag. - Beperk communicatie tussen VLAN's, tenzij noodzakelijk, bijvoorbeeld via ACL's (Access Control Lists). - Zet IoT-apparaten op statische IP-adressen of gebruik DHCP met reserveringen. - Verplicht firmware-updates op IoT-apparaten en controleer regelmatig op beveiligingslekken. 5. Toegangscontrole en monitoring: - Gebruik VLAN ACL's om ongewenste communicatie te voorkomen. - Implementeer netwerkmonitoring en intrusion detection systemen om verdachte activiteiten te detecteren. 6. Extra beveiligingslagen: - Overweeg het gebruik van een dedicated IoT-gateway of -controller die fungeert als beveiligingspunt. - Maak gebruik van VPN voor externe toegang tot je IoT-infrastructuur. - Beperk fysieke toegang tot netwerkapparatuur. 7. Scalabiliteit: - Plan voor toekomstige uitbreiding door extra VLAN's en voldoende capaciteit op switches en access points. - Documenteer je configuratie en procedures voor eenvoudig beheer en troubleshooting. Door deze structuur te volgen, creëer je een veilige, betrouwbare en schaalbare IoT-omgeving die je netwerk beschermt tegen potentiële bedreigingen en tegelijkertijd de functionaliteit en prestaties optimaliseert.

Zeker, hier is een gedetailleerd netwerkontwerp afgestemd op uw apparatuur en IoT-toepassingen. ### Overzicht van het Netwerkontwerp Het kernprincipe is **segmentatie**: het isoleren van IoT-apparaten in een eigen, beveiligde netwerkzone (VLAN) om de schade bij een mogelijk compromis te beperken en om uw hoofdnetwerk (met laptops, telefoons, servers) te beschermen. We zullen de sterke punten van uw apparatuur benutten: * **Cisco Catalyst switches:** Voor geavanceerde VLAN-routering, toegangscontrolelijsten (ACLs) en beveiliging op Layer 3. * **Ubiquiti UniFi AP's:** Voor het uitstralen van meerdere, geïsoleerde Wi-Fi netwerken (SSID's) die aan specifieke VLAN's zijn gekoppeld. --- ### 1. Netwerkcomponenten en Topologie U heeft geen dedicated firewall/router genoemd, dus we gaan ervan uit dat uw huidige router de basisrouting doet. Voor een optimale beveiliging is een dedicated firewall (bv. van pfSense, OPNsense, of een Cisco ASA/FTD) sterk aan te raden voor de volgende laag. **Aanbevolen topologie:** ``` [Internet] -> [Router/Firewall] -> [Cisco Catalyst L3 Switch] -> [Cisco Catalyst/Access Switches & UniFi AP's] \-> [VLAN 10: Hoofdnetwerk (Vertrouwd)] \-> [VLAN 20: IoT Netwerk] \-> [VLAN 30: Gastennetwerk] ``` *(De Catalyst switch fungeert hier als de interne router tussen de VLAN's.)* --- ### 2. Configuratie-instellingen #### A. VLAN-indeling (Op de Cisco Catalyst Switch) Creëer ten minste de volgende VLAN's: * **VLAN 10 (bv. 10.10.10.0/24):** `HOOFDNETWERK` * Voor uw vertrouwde apparaten: computers, telefoons, tablets, servers. * **VLAN 20 (bv. 10.20.20.0/24):** `IOT-NETWERK` * Voor alle slimme apparaten: thermostaten, camera's, verlichting. * **VLAN 30 (bv. 10.30.30.0/24):** `GASTENNETWERK` * Voor bezoekers, met strikte bandbreedtebeperking en isolatie. **Switchport Configuratie (Voorbeeld):** ```ios ! Port naar een vast IoT-apparaat (bv. een camera met bekabelde aansluiting) interface GigabitEthernet1/0/5 description Beveiligingscamera_Keuken switchport mode access switchport access vlan 20 spanning-tree portfast ! ! Port naar UniFi AP (deze moet meerdere VLAN's doorsturen) interface GigabitEthernet1/0/24 description Ubiquiti_UniFi_AP switchport mode trunk switchport trunk native vlan 10 // Beheer-VLAN voor AP switchport trunk allowed vlan 10,20,30 ``` #### B. Draadloze Configuratie (Op de UniFi Controller) Maak twee aparte Wi-Fi netwerken (SSID's) aan: 1. **SSID: `ThuisNetwerk-Vertrouwd`** * Koppel aan **VLAN 10**. * Modus: WPA2/WPA3 Personal (AES). * Gebruik een sterk, uniek wachtwoord. * *Verbonden met: laptops, telefoons.* 2. **SSID: `ThuisNetwerk-IoT`** * Koppel aan **VLAN 20**. * Modus: **WPA2 Personal (AES)**. *(Veel oudere IoT-apparaten ondersteunen geen WPA3)*. * Gebruik een ander, maar nog steeds sterk wachtwoord. * Schakel **"Client Isolation"** of "Wireless Isolation" in. Dit voorkomt dat IoT-apparaten onderling communiceren. * *Verbonden met: thermostaten, lampen, camera's.* 3. *(Optioneel)* **SSID: `ThuisNetwerk-Gasten`** * Koppel aan **VLAN 30**. * Modus: WPA2 Personal. * Schakel "Client Isolation" in. --- ### 3. Beveiligingsmaatregelen (Kern van het Ontwerp) Dit is het belangrijkste deel. We configureren de regelgeving tussen de VLAN's. **Op de Cisco Catalyst Switch (of bij voorkeur op een dedicated firewall), pas je Access Control Lists (ACLs) toe:** #### Regels voor het `IOT-NETWERK` (VLAN 20): * **Standaardbeleid:** `ALLES WEIGEREN`. * **Sta toe:** IoT-apparaten → Internet (HTTP/HTTPS, NTP, DNS). * `permit ip 10.20.20.0 0.0.0.255 any` * **Weigeren:** IoT-apparaten → Hoofdnetwerk (VLAN 10). * `deny ip 10.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255` * **Weigeren:** Hoofdnetwerk → IoT-netwerk. * `deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255` * **Uitzondering (Strikte Regel):** Sta *enkel* verkeer toe van een specifiek apparaat in het hoofdnetwerk (bv. je Home Assistant server of smart home hub) naar een specifieke poort op een specifiek IoT-apparaat, indien absoluut noodzakelijk. * `permit tcp host 10.10.10.50 host 10.20.20.15 eq 443` // Voor beheer #### Regels voor het `HOOFDNETWERK` (VLAN 10): * **Standaardbeleid:** `ALLES TOESTAAN` (of een restrictiever beleid naar keuze). * **Sta toe:** Hoofdnetwerk → Internet. * **Weigeren:** Hoofdnetwerk → IoT-netwerk (wordt al door de IoT-ACL geblokkeerd, maar dubbele beveiliging is goed). #### Algemene Beveiligingsmaatregelen: 1. **MAC-adresfiltering (Optioneel maar aanbevolen):** Op de UniFi controller of switchports kun je een allow-list van MAC-adressen instellen voor het IoT-netwerk. Alleen goedgekeurde apparaten kunnen dan verbinden. 2. **Vaste IP-adressen (DHCP-reservaties):** Ken voor kritieke IoT-apparaten (vooral camera's) een vast IP-adres toe via DHCP. Dit maakt het maken van specifieke firewallregels veel eenvoudiger. 3. **Multicast/DNS-beveiliging:** Op de Catalyst switch, overweeg IGMP Snooping aan te zetten om multicast-verkeer (gebruikt door veel ontdekkingsprotocollen zoals mDNS) binnen het VLAN te houden. 4. **Fysieke Beveiliging:** Zorg dat onbevoegden geen bekabelde IoT-apparaten op vrije switchports kunnen aansluiten. 5. **Regelmatig Onderhoud:** Houd de firmware van je switches, AP's en IoT-apparaten up-to-date. Verwijder apparaten die je niet meer gebruikt uit het netwerk. ### Samenvatting van de Datastroom * Een **slimme lamp** op het `IoT-Netwerk` kan verbinding maken met de cloudserver van de fabrikant om te controleren op updates. * Een **beveiligingscamera** kan zijn videofeed naar de cloud streamen. * **Jouw telefoon** op het `Hoofdnetwerk` kan *niet* rechtstreeks met de lamp of camera praten. Wil je de lamp bedienen, dan gaat het verzoek via de cloud van de fabrikant (tenzij je de strikte uitzonderingsregel hebt geconfigureerd voor een lokale hub). * Een **gast** op het `Gastennetwerk` heeft alleen toegang tot internet en ziet helemaal niets van je andere netwerken. Dit ontwerp biedt een uitstekende balans tussen beveiliging, betrouwbaarheid en schaalbaarheid. Je kunt eenvoudig tientallen nieuwe IoT-apparaten toevoegen aan het IoT-VLAN zonder je hoofdnetwerk bloot te stellen aan extra risico's.