Natuurlijk! Hier is een overzicht van maatregelen en best practices om jouw VLAN-configuratie te beveiligen tegen VLAN-gerelateerde bedreigingen zoals VLAN hopping, en om je netwerk veilig te houden: 1. VLAN Hopping voorkomen - Trunk Poorten Beveiliging: - Gebruik 'negotiate' niet op trunk poorten; stel expliciet de trunk modus in. - Beperk de allowed VLAN's op trunk poorten tot alleen die VLAN's die nodig zijn. - Gebruik 'pruning' om onnodige VLAN's op trunks te blokkeren. - Disable DTP (Dynamic Trunking Protocol): - Zet DTP uit op alle poorten waar trunking niet nodig is door 'switchport nonegotiate' te gebruiken. 2. Private VLANs (PVLANs) Implementeren - Gebruik Private VLANs om communicatie tussen hosts binnen hetzelfde VLAN te beperken. - Plaats bijvoorbeeld gastnetwerkgebruikers in een PVLAN die niet onderling communiceren, maar wel met bepaalde management VLAN's indien nodig. - Dit vermindert de kans op aanvallen tussen gastgebruikers onderling. 3. Port Security Configureren - Limiteer het aantal MAC-adressen per poort: - Configureer 'switchport port-security' en stel een limiet in. - MAC-adres Toewijzing: - Bind MAC-adressen aan specifieke poorten voor kritieke apparaten. - Detectie en actie: - Stel acties in bij security violations, zoals shutdown of meldingen. 4. Extra Beveiligingsmaatregelen - VLAN-toegang beperken: - Gebruik ACLs (Access Control Lists) om toegang tot VLANs te beperken. - Segregatie en isolatie: - Houd management VLAN (VLAN 1) strikt gescheiden en beperk toegang tot management interfaces. - Gebruik sterk wachtwoordbeleid en 802.1X authenticatie voor toegang tot switchpoorten. 5. Best Practices voor Onderhoud en Monitoring - Documenteer alle VLAN-configuraties en wijzigingsgeschiedenis. - Voer regelmatige audits uit op VLAN-configuraties en poortinstellingen. - Monitor netwerkverkeer op verdachte activiteiten of onverwachte VLAN-activiteiten. - Houd firmware en software van netwerkapparatuur up-to-date. 6. Algemene aanbevelingen - Minimaliseer het gebruik van VLAN 1 voor management, of beveilig deze extra door middel van ACLs en sterke authenticatie. - Overweeg het gebruik van gescheiden management VLANs en het beperken van toegang tot deze VLANs. - Train netwerkbeheerder(s) in best practices en beveiligingsrichtlijnen. Door deze maatregelen toe te passen, versterk je de beveiliging van je VLAN-omgeving en voorkom je dat aanvallers misbruik maken van zwakke punten zoals VLAN hopping of onveilige trunking.

Zeker, ik help je graag met het beveiligen van je VLAN-configuratie. Hier is een gedetailleerd overzicht van de beste praktijken en specifieke functies die je kunt implementeren, afgestemd op jouw netwerk. ### **1. Onmiddellijke Actie: Beveiliging van Trunk Poorten (Voorkomen van VLAN Hopping)** VLAN hopping is een van de grootste bedreigingen en ontstaat vaak door onveilig geconfigureerde trunk poorten. De aanvaller misbruikt de Dynamic Trunking Protocol (DTP) om een trunk-verbinding te forceren. **Hoe te voorkomen:** * **DTP Uitschakelen:** Configureer alle toegangspoorten (poorten waar eindgebruikers op aangesloten zijn) expliciet als `access` poorten en schakel DTP uit. ```bash # Voorbeeld op een Cisco switch Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport nonegotiate # Schakelt DTP uit Switch(config-if)# switchport access vlan 100 ``` * **Trunk Poorten Hardening:** Voor poorten die *wel* trunks moeten zijn (bijv. tussen switches), specificeer de toegestane VLAN's expliciet en sta nooit standaard VLAN 1 toe. ```bash Switch(config)# interface gigabitethernet1/0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport nonegotiate Switch(config-if)# switchport trunk native vlan 999 # Wijzig de native VLAN (zie punt 2) Switch(config-if)# switchport trunk allowed vlan 100,200 # Alleen benodigde VLAN's toestaan ``` ### **2. Basis VLAN Beveiligingsprincipes** Voer deze fundamentele wijzigingen door in je hele netwerk. * **Verwijder apparaten uit VLAN 1:** VLAN 1 is de standaard VLAN en het doelwit van veel automatische scans. Gebruik het **nooit** voor management of gebruikersverkeer. * **Jouw situatie:** Je gebruikt VLAN 1 voor management. Dit is een risico. **Aanbeveling:** Creëer een nieuwe, dedicated VLAN (bijv. VLAN 999) voor management en verplaats alle management-interfaces (SSH, SNMP, etc.) naar dit VLAN. Daarna, verwijder alle apparatuur uit VLAN 1. * **Wijzig de Native VLAN op Trunks:** De native VLAN (standaard VLAN 1) wordt niet getagged in 802.1Q trunks. Dit kan worden misbruikt voor "VLAN hopping" aanvallen (double-tagging). Wijzig de native VLAN naar een ongebruikte, dummy VLAN op alle trunks. ```bash Switch(config)# interface gigabitethernet1/0/24 Switch(config-if)# switchport trunk native vlan 999 ``` * Zorg ervoor dat deze native VLAN (999) overal consistent wordt geconfigureerd en dat deze *niet* wordt gebruikt voor gebruiksverkeer. ### **3. Geavanceerde Beveiligingsfuncties** #### **A. Private VLANs (PVLANs)** PVLANs zijn ideaal voor het isoleren van apparaten *binnen* hetzelfde VLAN. Dit is perfect voor je **Gastnetwerk (VLAN 200)**, waar gasten niet met elkaar moeten kunnen communiceren, en voor **Medewerkers (VLAN 100)**, waar je bepaalde apparaten (bijv. printers, IoT) wilt isoleren. * **Concept:** * **Primary VLAN:** Het hoofd-VLAN (bijv. VLAN 200). * **Isolated VLAN:** Apparaten in dit VLAN kunnen alleen communiceren met de promiscuous poort (de uplink naar de router/firewall), niet met elkaar. * **Community VLAN:** Apparaten kunnen communiceren met de promiscuous poort en met andere apparaten in dezelfde community, maar niet met andere communities. * **Implementatie voor Gastnetwerk (VLAN 200):** 1. Maak VLAN 200 een primary VLAN. 2. Maak een isolated VLAN (bijv. VLAN 201). 3. Koppel het isolated VLAN aan het primary VLAN. 4. Configureer alle gastpoorten als `host` poorten in het isolated VLAN. 5. Configureer de poort naar je router/firewall als `promiscuous` poort, gekoppeld aan het primary VLAN. Hierdoor kunnen gasten alleen het internet op, maar niet elkaars apparaten zien. #### **B. Port Security** Port Security beperkt welke MAC-adressen verbinding mogen maken met een switchpoort. Dit voorkomt dat een aanvaller een extra device aansluit om toegang te krijgen. * **Toepassing:** * **Medewerkers VLAN (100):** Beperk het aantal geleerde MAC-adressen tot 1 of 2 (voor een laptop en telefoon). * **Gastnetwerk VLAN (200):** Je kunt dit ook toepassen, maar een limiet van 2-3 is hier wellicht praktischer. * **Beveiligingsactie:** Configureer de poort om te worden uitgeschakeld (`shutdown`) of om het overtredende MAC-adres te negeren (`restrict`) wanneer de limiet wordt overschreden. ```bash Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security violation shutdown Switch(config-if)# switchport port-security mac-address sticky # Leert automatisch het eerste MAC-adres ``` ### **4. Aanbevelingen voor het Onderhouden van een Veilige VLAN-omgeving** 1. **Principle of Least Privilege:** Pas routering tussen VLAN's strikt toe via een firewall (niet alleen een layer 3 switch). Stel ACLs (Access Control Lists) in om verkeer te filteren. * **Voorbeeld:** Gasten (VLAN 200) mogen alleen naar poort 80/443 (HTTP/HTTPS) van het internet, niet naar het medewerkersnetwerk (VLAN 100) of het managementnetwerk. 2. **Dynamische ARP Inspection (DAI):** Voorkom ARP spoofing/poisoning aanvallen binnen een VLAN. DAI valideert ARP-berichten tegen een vertrouwde database (meestal opgebouwd via DHCP Snooping). 3. **DHCP Snooping:** Creëert een "trusted" en "untrusted" model voor DHCP. Alleen poorten naar je legitieme DHCP-servers zijn trusted. Dit voorkomt dat een aanvaller een rogue DHCP-server opzet. 4. **Logging en Monitoring:** Log alle security violations (port security, DAI errors) en monitor verkeer tussen VLAN's. Stel alerts in voor verdachte activiteiten. 5. **Fysieke Beveiliging:** Zorg ervoor dat onbevoegden geen fysieke toegang hebben tot switchpoorten. ### **Samenvatting van Actiepunten voor jouw Netwerk:** 1. **Hoogste Prioriteit:** Creëer een nieuw management-VLAN (bijv. 999) en verplaats je management-IP-adressen daarheen. Verwijder alles uit VLAN 1. 2. **Beveilig Poorten:** Configureer alle gebruikerspoorten expliciet als `access` poorten met `switchport nonegotiate`. 3. **Beveilig Trunks:** Wijzig de `native VLAN` op trunks naar een ongebruikt VLAN (999) en beperk de `allowed VLANs`. 4. **Implementeer Port Security** op toegangspoorten in VLAN 100 en 200. 5. **Overweeg Private VLANs** voor het gastnetwerk (VLAN 200) voor maximale isolatie. 6. **Gebruik een Firewall** voor alle inter-VLAN routing en pas strikte regels toe. Door deze stappen te volgen, versterk je de beveiliging van je VLAN-infrastructuur aanzienlijk en verklein je het risico op aanvallen zoals VLAN hopping aanzienlijk.