Natuurlijk, hier zijn aanbevelingen voor het ontwerpen van een netwerkconfiguratie dat een zero trust beveiligingsmodel implementeert, rekening houdend met jouw apparatuur en huidige configuratie: 1. Segmentatie en Netwerkarchitectuur - Verfijn VLAN-structuur: - Houd VLAN 10 (kantoor) en VLAN 20 (productie), maar voeg aanvullende segmenten toe zoals een management VLAN en een IoT VLAN indien nodig. - Implementeer micro-segmentatie door het gebruik van subnetten en dynamische firewallregels. - Gebruik Cisco Catalyst switches om gecontroleerde communicatie tussen VLANs te faciliteren via geconfigureerde ACLs en VLAN-to-VLAN routing. - Plaats Fortinet firewalls aan de rand en tussen segmenten voor diepgaande inspectie en controle. 2. Authenticatie en Autorisatie - Implementeer Multifactor Authenticatie (MFA): - Gebruik een Identity Provider (IdP) zoals Microsoft Azure AD, Okta of een andere SAML/OAuth-provider. - Configureer VPN’s en beheerportalen met MFA. - Toegangscontrole: - Gebruik Role-Based Access Control (RBAC) voor gebruikers en apparaten. - Pas least privilege toe, zodat gebruikers alleen toegang krijgen tot de benodigde resources. - Apparaten en gebruikers: - Verifieer apparaten via certificaten of endpoint management (bijvoorbeeld Ubiquiti AP’s voor draadloze toegang, combineren met NAC-oplossingen). 3. Authenticatie, Autorisatie en Zero Trust Principles - Identity and Access Management (IAM): - Centraliseer identiteitsbeheer en controleer elke toegang op basis van identiteit, apparaatstatus, locatie en gedrag. - Zero Trust principes: - Beschouw alle verkeer als potentieel verdacht, zelfs binnen het netwerk. - Voer continue verificaties uit, bijvoorbeeld door gebruik te maken van Network Access Control (NAC) en endpoint security. - Implementatie van Microsegmentatie: - Gebruik Fortinet firewalls om fijne-grained regels te definiëren die verkeer tussen segmenten beperken. 4. Continue Monitoring en Beveiliging - Log en analyseer alle netwerkactiviteiten: - Configureer syslog, SIEM-integraties en monitoring tools. - Gebruik Fortinet’s Security Fabric voor inzicht en automatisering. - Gedrag- en anomaliedetectie: - Implementeer tools voor gedragsanalyse en intrusion detection. - Regelmatige audits: - Voer periodieke controle uit op ACL’s, firewallregels en toegangsrechten. 5. Extra Aanbevelingen - Endpoint Security: - Zorg dat alle apparaten voldoen aan beveiligingsstandaarden en up-to-date zijn. - Zero Trust Network Access (ZTNA): - Overweeg het gebruik van ZTNA-oplossingen voor externe toegang. - Beleid en training: - Zorg voor bewustwording en training van gebruikers over zero trust principes en beveiligingsbeleid. Door deze maatregelen te integreren, creëer je een netwerk dat beter bestand is tegen moderne dreigingen door strikte segmentatie, continue verificatie, en minimale toegangsrechten binnen een zero trust framework.

Zeker, hier is een gedetailleerd ontwerp voor een zero trust netwerkconfiguratie op basis van uw apparatuur. ### Uitgangspunt Zero Trust: "Vertrouw nooit, verifieer altijd." Het doel is om de impliciete vertrouwenszone van uw VLANs te elimineren. Toegang wordt nooit verleend enkel op basis van locatie (bijv. verbonden met VLAN 10). Elke toegangspoging, voor elke gebruiker en elk apparaat, moet expliciet worden geverifieerd en geautoriseerd. --- ### 1. Segmentatie: Verfijning van uw VLAN-architectuur Uw huidige segmentatie (Kantoor vs. Productie) is een goede start, maar kan veel fijnmaziger. * **Huidige VLANs:** * **VLAN 10 (Kantoor):** Splits dit verder op op basis van functie en vertrouwensniveau. * **VLAN 20 (Productie):** Behoud deze strikte isolatie. Dit is uw kroonjuweel. * **Aanbevolen Nieuwe Segmentatie:** 1. **Beheerdersnetwerk (VLAN 30):** Een dedicated VLAN voor het beheer van alle apparatuur (Cisco switches, Fortinet firewalls, Ubiquiti APs). Toegang tot dit VLAN is uiterst beperkt en gebaseerd op strenge MFA. 2. **Gastennetwerk (VLAN 40):** Volledig geïsoleerd VLAN voor bezoekers, met alleen internettoegang. Gebruik de guest portal functionaliteit van Ubiquiti. 3. **IoT-netwerk (VLAN 50):** Voor alle slimme apparaten (printers, cameras, sensoren). Deze apparaten hebben vaak bekende kwetsbaarheden en moeten worden geïsoleerd. 4. **Servernetwerk (VLAN 60):** Host uw interne servers. Toegang tot servers gebeurt niet rechtstreeks vanuit het kantoor-VLAN, maar via de firewall (zie microsegmentatie hieronder). * **Implementatie op uw Cisco Switches:** * Creëer de nieuwe VLANs. * Configureer de switchpoorten als `access` poorten voor het specifieke VLAN van het aangesloten apparaat (bijv. een printer gaat naar VLAN 50). * Voor Ubiquiti Access Points: configureer de poorten als `trunk` poorten die alleen de noodzakelijke VLANs (10, 40) doorlaten voor verschillende SSIDs. --- ### 2. Authenticatie: "Wie bent u?" met Multi-Factor Authenticatie (MFA) MFA is de hoeksteen van zero trust. Dit moet gelden voor alle gebruikers, zowel op het bedrade netwerk als draadloos. * **Voor Draadloos Netwerk (Ubiquiti Access Points):** * **SSID 1: "Bedrijfsnetwerk":** Configureer deze voor **WPA2/3-Enterprise** (niet persoonlijk/PSK). * Integreer dit met een **RADIUS-server**. Uw Fortinet firewall kan vaak zelf als RADIUS-server fungeren, of u gebruikt een dedicated server (bv. Windows Network Policy Server). * Koppel de RADIUS-server aan een identiteitsprovider (zoals Azure AD of on-premises Active Directory) en schakel **MFA verplicht** in. Gebruikers authenticeren zich met hun domeinnaam/wachtwoord + MFA-code om op het netwerk te komen. * **Voor Bedraad Netwerk (Cisco Switches):** * Implementeer **802.1X** op alle switchpoorten waar gebruikers (niet printers/servers) op aansluiten. * De switch fungeert als een "authenticator" en stuurt de inloggegevens van het aangesloten apparaat door naar dezelfde RADIUS-server. * Een gebruiker moet zich dus ook authenticeren voordat zijn bedrade verbinding actief wordt. Dit voorkomt dat iemand een kabel in een stopcontact kan steken en toegang krijgt. * **Voor Firewall-toegang (Fortinet):** * Voor VPN-toegang (SSL-VPN/IPsec): configureer dit om gebruik te maken van dezelfde RADIUS-server met MFA. * Voor beheerderstoegang tot de firewall zelf: gebruik altijd MFA. --- ### 3. Autorisatie: "Wat mag u doen?" (Minimale Rechten) Zodra een gebruiker is geverifieerd, bepaalt de autorisatie welke bronnen toegankelijk zijn. Dit wordt gedynamiseerd. * **Rolgebaseerde Toegangscontrole (RBAC):** In uw RADIUS-server of identiteitsprovider kent u gebruikers groepen toe (bijv. "Finance", "IT", "Productie_Technicus"). * **Dynamische VLAN-toewijzing:** Wanneer een gebruiker via 802.1X of Wi-Fi inlogt, kan de RADIUS-server op basis van zijn groep instructies terugsturen naar de switch/AP om de gebruiker in het juiste VLAN te plaatsen. Een productiemedewerker komt misschien direct in VLAN 20, terwijl een financieel medewerker in VLAN 10 blijft. * **Microsegmentatie met Fortinet Firewall:** Dit is cruciaal. De firewall fungeert als de "Policy Enforcement Point". * **Oost-West verkeer controleren:** Stel firewallregels in die niet alleen internetverkeer (noord-zuid) regelen, maar vooral ook het verkeer **tussen uw VLANs**. * **Voorbeeldregel:** "Gebruikers in VLAN 10 (Kantoor) mogen alleen via HTTPS (poort 443) communiceren met servers in VLAN 60. Andere protocollen zijn geweigerd." * **Strikte regels voor Productie-VLAN:** Verkeer van andere VLANs naar VLAN 20 moet expliciet worden toegestaan, alleen voor specifieke IP-adressen/protocollen, en bij voorkeur gelogd en gemonitord. --- ### 4. Continue Monitoring en Logging Zero trust is een continu proces. U moet alle pogingen en verleende toegang kunnen zien. * **Fortinet FortiGate:** * Schakel uitgebreide logging in voor alle firewallregels, zeker voor de regels tussen VLANs. * Gebruik de **FortiView**-dashboard om real-time verkeer tussen segmenten te zien. * Stel **log- en threat-feeds** in om verdacht gedrag te detecteren (bv. een kantoorgebruiker die poorten scant in het productienetwerk). * **Network Access Control (NAC) / Visibility:** * Uw Fortinet firewall gecombineerd met de Cisco switches kan fungeren als een basic NAC. U kunt zien welke gebruikers/apparaten op welk poort/VLAN zijn aangesloten. * Voor een uitgebreidere zero trust implementatie kunt u overwegen Fortinet's **FortiNAC** of een soortgelijk product te gebruiken voor gedetailleerde endpoint compliance checks (bijv. is antivirus actief?) voordat toegang wordt verleend. * **Security Information and Event Management (SIEM):** Stuur logs van alle apparatuur (Fortinet, Cisco, RADIUS-server) naar een centraal logboek-systeem (SIEM) voor gecorreleerde analyse en alerting. ### Samenvatting van Actiepunten: 1. **Segmenteren:** Splits VLAN 10 verder op in Beheer, Gast, IoT, en Servers. 2. **Authenticeren:** Implementeer 802.1X op switches en WPA-Enterprise op Wi-Fi, geïntegreerd met een RADIUS-server waar MFA op is ingeschakeld. 3. **Autoriseren:** Gebruik de Fortinet firewall om strikte "oost-west" firewallregels te maken tussen alle VLANs, gebaseerd op gebruikersgroepen. 4. **Monitoren:** Zorg voor centrale logging en stel alerting in op verdachte activiteiten tussen segmenten. Door deze lagen te combineren, bouwt u een netwerk waar toegang niet wordt verleend op basis van connectiviteit, maar op basis van expliciete, geverifieerde identiteit en strikte autorisatie – de kern van zero trust.