You are using an unsupported browser. Please update your browser to the latest version on or before July 31, 2020.
close
You are viewing the article in preview mode. It is not live at the moment.
clear search
Home > Tech Hub > Basisprincipes van de beveiliging van netwerkswitches
Basisprincipes van de beveiliging van netwerkswitches
print icon

Het beveiligen van een netwerkswitch vereist geen ingewikkelde oplossingen. Met de juiste beveiligingsmaatregelen kunnen organisaties het risico op ongeautoriseerde toegang en netwerkaanvallen aanzienlijk verkleinen.


Network Switch security

Hieronder worden de belangrijkste werkwijzen samengevat die helpen bij het beschermen van een netwerkswitch en het handhaven van een veilige netwerkomgeving.

 

Schakel ongebruikte poorten uit – Poorten zijn veelvoorkomende toegangspunten voor aanvallen. Schakel switchpoorten die momenteel niet in gebruik zijn uit om te voorkomen dat iemand een onbevoegd apparaat aansluit.

 

Schakel poortbeveiliging in – Beperk welke apparaten verbinding mogen maken met elke switchpoort. Dit beschermt tegen ongeautoriseerde apparaten en MAC-flooding-aanvallen.

 

Gebruik 802.1X-authenticatie – Vereis dat apparaten of gebruikers hun identiteit verifiëren voordat ze toegang krijgen tot het netwerk. Dit beperkt ongeautoriseerde toegang, zelfs in gevallen van fysieke nabijheid.


Beveilig de beheertoegang – Om ongeautoriseerde overname te voorkomen, moet u ervoor zorgen dat uw beheertools (CLI, webinterface, SNMP) beveiligd zijn:

 

  • Gebruik encryptie: Gebruik alleen HTTPS en SSH (schakel HTTP en Telnet uit).
  • Beperk de toegang: Blokkeer de toegang tot specifieke beheer-VLAN's of IP-adressen.
  • Versterk wachtwoorden: Gebruik en wijzig complexe wachtwoorden. Versleutel uw verbinding en beperk wie kan inloggen om te voorkomen dat aanvallers uw inloggegevens achterhalen.

Maak een apart beheer-VLAN aan – Scheid beheerverkeer van regulier gebruikersverkeer om de toegang voor beheerders te beschermen. Dit voorkomt dat aanvallers gemakkelijk toegang krijgen tot de switchconfiguratie.

 

Schakel DHCP Snooping in – Hiermee kan de switch vertrouwde DHCP-servers identificeren en ongeautoriseerde servers blokkeren. Dit beschermt uw netwerk door poorten te markeren als vertrouwde poorten voor geautoriseerde servers en uplinks, terwijl ongewenste DHCP-antwoorden van niet-vertrouwde poorten automatisch worden geblokkeerd.

 

Gebruik Dynamic ARP Inspection (DAI) – DAI fungeert als een tweede verdedigingslaag die "identiteitsdiefstal" op het lokale netwerk voorkomt.

 

  • Het gebruikt de database die is aangemaakt door DHCP Snooping om het MAC- en IP-adres van elk apparaat te controleren.
  • Als een aanvaller probeert andere computers te misleiden om gegevens naar hen te verzenden (ARP-spoofing), merkt DAI op dat de inloggegevens van het apparaat niet overeenkomen met de database en blokkeert het verkeer.

Schakel IP Source Guard (IPSG) in – Zorg ervoor dat apparaten alleen hun toegewezen IP-adressen gebruiken. IPSG fungeert als een digitaal controlepunt dat de "referenties" van elk datapakket verifieert en alleen verkeer doorlaat als de specifieke combinatie van IP-adres, MAC-adres en fysieke poort overeenkomt met een vooraf goedgekeurde lijst. Dit strenge validatieproces voorkomt dat kwaadwillende gebruikers zich voordoen als andere apparaten door middel van "spoofing".

 

Segmenteer het netwerk met behulp van VLAN's – Verdeel het netwerk in kleinere groepen om de beveiliging en controle te verbeteren. VLAN-segmentatie werkt als het plaatsen van binnenmuren en sloten in een open kantoor.

 

  • Voor maximale bescherming fungeren privé-VLAN's als geïsoleerde compartimenten die voorkomen dat apparaten met elkaar communiceren, terwijl een firewall al het verkeer tussen deze gebieden bewaakt. Dit houdt bedreigingen in één zone en voorkomt dat één geïnfecteerd apparaat de gehele bedrijfsvoering in gevaar brengt.

Beveilig het Spanning Tree Protocol (STP) – STP fungeert als een verkeersregelaar die voorkomt dat gegevens vast komen te zitten in eindeloze lussen.

 

  • Om te voorkomen dat kwaadwillende apparaten dit systeem kapen om uw verkeer te onderscheppen of te laten crashen, gebruikt u digitale sloten zoals Root Guard en BPDU Guard om ervoor te zorgen dat alleen geautoriseerde switches de controle behouden.
  • Door tools zoals BPDU Filter en Loop Guard toe te voegen, creëert u een alarmsysteem dat voorkomt dat buitenstaanders of onbedoelde fouten de controle over uw netwerk overnemen.

Schakel ongebruikte services en protocollen uit – Zet onnodige functies uit die kwetsbaarheden kunnen creëren. Beschouw uw switch als een beveiligd gebouw; elke actieve functie is een open raam.

 

  • Versterk de beveiliging door onnodige toegangspunten te sluiten, zoals achtergronddetectietools (LLDP/CDP) op gebruikerspoorten en onnodige VLAN-trunking.
  • Verwijder oude routingprotocollen en upgrade naar het beveiligde SNMPv3 om uw "aanvalsoppervlak" te verkleinen.

Monitor logs en gebruik syslog-servers – Controleer regelmatig de netwerkactiviteit om ongebruikelijk gedrag te detecteren.

 

  • Houd uw netwerk constant in de gaten door automatische waarschuwingen in te schakelen. Door activiteitslogs in te schakelen voor beveiligingsinbreuken, inlogpogingen en systeemfouten, kan uw switch u direct op de hoogte stellen van verdacht gedrag. Dit "digitale spoor" stelt u in staat bedreigingen vroegtijdig te herkennen en te stoppen.

Firmware bijwerken en een back-up maken van de configuraties – Houd de switchsoftware up-to-date en maak back-ups van de configuratie-instellingen.

 

  • Installeer regelmatig software-updates om verborgen kwetsbaarheden te verhelpen.
  • Maak versleutelde back-ups van uw instellingen om snel herstel in geval van nood te garanderen. Door geautomatiseerde systemen te gebruiken voor het opslaan van deze versies wordt het risico op menselijke fouten verkleind.

Fysiek beveiligde netwerkswitches – Plaats switches in afgesloten ruimtes of kasten om ongeautoriseerde fysieke toegang te voorkomen.

 

  • Gebruik beveiligingsbadges of biometrische sloten om ervoor te zorgen dat alleen bevoegd personeel toegang heeft tot de apparatuur.
  • Beveilig fysieke consolepoorten om te voorkomen dat iemand uw digitale beveiliging omzeilt. Fysieke beveiliging is essentieel, omdat fysieke toegang een indringer in staat kan stellen alle andere netwerkbeveiligingen te omzeilen.

Door deze best practices te volgen, zorgt u ervoor dat netwerkswitches veilig, betrouwbaar en in staat blijven om een ​​veerkrachtig netwerk te ondersteunen.


Meer informatie:


Handleiding voor netwerkswitches en montage
Inzicht in Power over Ethernet (PoE) in netwerkswitches

Was dit ondersteuningsartikel nuttig?
0 van 0 vond dit nuttig

Neem contact met ons op
Bel ons  Bekijk onze lijst met wereldwijde ondersteuningsnummers
Reddit  Word lid en abonneer u op onze officiële Reddit-community
Chat met ons  Wij zijn er om u te helpen met al uw vragen
close button
Linksys
NowSupport
scroll naar boven pictogram