Elke digitale omgeving bevat iets van waarde. Een smartphone bijvoorbeeld bewaart talloze gigabytes aan informatie over zijn gebruiker: geolocatie, contactpersonen, foto's en video's, en gedetailleerde logboeken van activiteiten. Binnen een netwerk wordt communicatie tussen apparaten voortdurend vastgelegd. Switches en routers registreren MAC- en IP-adressen, beheren gebruikersaccounts voor externe toegang, en bewaren logs van datastromen en transacties. Voor een aanvaller vormen dit soort gegevens een goudmijn. Cyberaanvallen zijn al lang geen hobbyisme meer – georganiseerde criminele netwerken zijn tegenwoordig actief in het stelen, gijzelen of manipuleren van data.

De waarde van gegevens binnen een organisatie kan moeilijk overschat worden. Data-inbreuken, malware en Distributed Denial of Service (DDoS)-aanvallen vormen vandaag de dag de voornaamste dreigingen. De daders zijn niet langer eenlingen met technische kennis, maar georganiseerde groepen met duidelijke doelen. Data-exfiltratie – het stilletjes buitmaken van gegevens – kan leiden tot openbaarmaking of verkoop op het dark web. Het risico bestaat dat gevoelige documenten, strategische plannen of klantinformatie worden verhandeld aan concurrenten of andere kwaadwillenden.

Ransomware en crypto-malware behoren tot de meest destructieve vormen van malware. Zij benutten kwetsbaarheden in systemen om bestanden te versleutelen, waarna losgeld wordt geëist – vaak in cryptovaluta. De beruchte WannaCry-aanval was hier een schoolvoorbeeld van: deze maakte misbruik van een zwakke plek in het SMB 1.0-protocol van Microsoft, zoals beschreven in MS17-010. Eenmaal geïnfecteerd toonde het systeem een scherm met de eis tot betaling, terwijl alle bestanden ontoegankelijk waren gemaakt. Organisaties die hun systemen niet tijdig hadden gepatcht, zagen hun operaties volledig tot stilstand komen.

Niet alle aanvallers zijn echter uit op geld of gegevens. Sommige actoren willen simpelweg ontwrichten – denk aan DDoS-aanvallen waarbij een server of website overspoeld wordt met verkeer, vaak afkomstig van wereldwijd verspreide botnets. Zulke aanvallen kunnen worden ingezet door hacktivisten als protest tegen politieke of maatschappelijke kwesties. De gevolgen zijn even reëel: onbeschikbaarheid van diensten, reputatieschade, en financiële verliezen.

Het idee dat één beveiligingsmaatregel volstaat – een firewall of antivirus alleen – is achterhaald. Organisaties die enkel vertrouwen op een enkele verdedigingslaag nemen een onaanvaardbaar risico. Defense in Depth is het antwoord: een gelaagde benadering waarbij meerdere beschermingsmechanismen samenwerken. Denk aan firewalls, intrusion prevention systems (IPS), e-mail- en webfilters, endpointbescherming, en monitoring van netwerkverkeer. Next-generation firewalls (NGFW's) voegen hieraan toe door geavanceerde inspectie van pakketten en zichtbaarheid op applicatieniveau te bieden. Voor externe medewerkers zijn VPN-oplossingen essentieel, zodat zij op een veilige manier toegang krijgen tot het bedrijfsnetwerk zonder kwetsbaarheden bloot te leggen.

Toch blijft één laag vaak onderbelicht: Layer 2 van het OSI-model – de datalinklaag. Veel beveiligingsoplossingen richten zich op Layer 3 (netwerklaag) en hoger. Maar als Layer 2 wordt gecompromitteerd, zijn alle bovenliggende lagen eveneens kwetsbaar. Een aanvaller die controle krijgt over verkeer op Layer 2 kan pakketten manipuleren nog voordat firewalls of andere detectiemechanismen überhaupt ingrijpen. Daarom is bescherming op dit niveau cruciaal.

Een van de klassieke aanvallen op Layer 2 is de CAM table overflow. Switches bouwen op basis van binnenkomende frames een MAC-adrestabel op, opgeslagen in het content addressable memory (CAM). Deze tabel heeft echter een beperkte capaciteit. Wanneer een aanvaller grote hoeveelheden frames met valse MAC-adressen naar een switch stuurt, kan de CAM-tabel vollopen. Als gevolg schakelt de switch mogelijk over op 'flooding' – het ongecontroleerd doorsturen van verkeer naar alle poorten. Dit stelt een aanvaller in staat om netwerkverkeer te onderscheppen of verder te manipuleren.

Cisco heeft mechanismen ingebouwd om dit soort Layer 2-aanvallen te beperken, maar het vergt inzicht en configuratie van de netwerkbeheerder om deze effectief in te zetten. Enkel kennis van Layer 3 is niet langer voldoende – diegenen die verantwoordelijk zijn voor netwerkbeveiliging moeten begrijpen dat de fundering van hun infrastructuur zich in de onzichtbare lagen bevindt, waar traditionele detectiemiddelen niet reiken.

Het besef dat beveiliging niet ophoudt bij antivirussoftware of een firewall, maar doordringt tot in de laagste niveaus van dataverkeer, vormt een onmisbare pijler van elk modern cybersecuritybeleid. Beveiligingsstrategieën moeten zowel breed als diep zijn. Slechts dan is een organisatie weerbaar in een tijd waarin cyberaanvallen niet alleen frequent zijn, maar ook steeds geraffineerder en doelgerichter worden uitgevoerd.

Hoe stel je een veilige toegang in voor de console en privilege exec-modus op Cisco IOS-apparaten?

Het beveiligen van netwerkinstellingen is essentieel om te voorkomen dat onbevoegde gebruikers toegang krijgen tot kritieke netwerkapparaten. In dit kader speelt het instellen van wachtwoorden voor de consolepoort en de privilege exec-modus een cruciale rol. Deze wachtwoorden beschermen de toegang tot de configuratie en instellingen van Cisco-apparaten, waardoor de algehele netwerkbeveiliging wordt versterkt.

Om de toegang tot de consolepoort te beveiligen, kan de commando line con 0 in de globale configuratiemodus worden gebruikt. Nadat deze modus is geactiveerd, kan met behulp van de password-opdracht een wachtwoord worden ingesteld. Dit wachtwoord is nodig om toegang te krijgen tot de console. Met het commando exec-timeout [minuten] [seconden] kan een automatische tijdslimiet worden ingesteld voor inactiviteit, waarna de sessie wordt beëindigd. De exit-opdracht wordt gebruikt om terug te keren naar de globale configuratiemodus. Het is belangrijk om te weten dat de no password-opdracht kan worden gebruikt om een wachtwoord van de consolepoort te verwijderen, indien nodig.

Wat betreft de privilege exec-modus, waarmee beheerders toegang hebben tot geavanceerdere netwerkconfiguraties, is het van belang om deze toegang goed te beveiligen. Standaard is er geen restrictie voor toegang van de user exec-modus naar de privilege exec-modus. Dit kan worden aangepast door het commando enable password [wachtwoord] in de globale configuratiemodus te gebruiken. Echter, het is belangrijk om te benadrukken dat het wachtwoord in dit geval niet versleuteld wordt opgeslagen in het configuratiebestand, wat een potentieel beveiligingsrisico met zich meebrengt. Het gebruik van het enable secret [wachtwoord]-commando wordt sterk aangeraden, aangezien dit wachtwoord versleuteld wordt opgeslagen, wat de veiligheid aanzienlijk verhoogt.

In een situatie waar zowel een enable password als een enable secret wachtwoord zijn ingesteld, heeft het enable secret wachtwoord voorrang bij het inloggen op de privilege exec-modus. Dit betekent dat het enable password wachtwoord niet wordt toegepast, zelfs als het aanwezig is in de configuratie. Het is dan ook verstandig om het minder veilige enable password wachtwoord te verwijderen met het commando no enable password om zo alleen het versleutelde wachtwoord te bewaren. Deze handelingen helpen de toegang tot de privilege exec-modus te beveiligen en de kans op ongeautoriseerde toegang tot kritieke netwerkinstellingen te verkleinen.

Naast wachtwoordbeveiliging is het ook belangrijk om apparaten te identificeren en te labelen met unieke hostnamen. Dit helpt netwerkprofessionals om snel het juiste apparaat te identificeren, vooral in grotere netwerkomgevingen. Hostnamen moeten geen spaties bevatten, mogen niet langer zijn dan 64 tekens, en moeten beginnen met een letter. Het gebruik van een punt of een onderstrepingsteken is toegestaan, bijvoorbeeld BLD_RTR_01.

Verder kan het instellen van een banner op een Cisco-apparaat een belangrijke stap zijn in het beveiligen van de toegang. Een banner kan dienen als een juridisch bericht dat gebruikers waarschuwt voor de gevolgen van ongeautoriseerde toegang. Dit wordt bereikt door het gebruik van de banner motd-opdracht, die het bericht van de dag (MOTD) instelt. Een typische MOTD kan bijvoorbeeld waarschuwen voor verboden toegang, met een bericht als: #Unauthorized Access is Prohibited.#. Het is belangrijk om de juiste delimiters te kiezen, zoals #, $, @ of andere tekens, om het bericht af te bakenen.

Het beheer van IP-adressen is een ander essentieel aspect van netwerkconfiguratie. Voor het toewijzen van IP-adressen aan de interfaces van een router moet eerst worden gecontroleerd welke interfaces beschikbaar zijn. Het commando show ip interface brief biedt een samenvatting van de interfaces en hun status, waaronder het toegewezen IP-adres, of het adres geldig is, en de configuratiemethode. De status van de interface en het IP-protocol kunnen ook worden geverifieerd, wat essentieel is voor het oplossen van netwerkproblemen.

Naast deze basisinstellingen zijn er nog andere belangrijke aspecten van netwerkbeveiliging die verder moeten worden onderzocht, zoals het gebruik van Virtual LANs (VLAN's), toegangslijsten (ACL's) en het beheren van firewallinstellingen. Het juiste gebruik van deze tools, samen met een goed ingestelde wachtwoordbeveiliging en hostnaambeheer, vormt de ruggengraat van een veilig netwerk.

Wat zijn de belangrijkste processen voor de productie en opslag van vloeibare waterstof?
Hoe plan je de perfecte RV-vakantie in koudere seizoenen?
Hoe Presteert het TIP4P Watermodel aan het Oppervlak van Water?
Hoe de vogels zich voorbereiden op de lente: een blik op hun voortplanting en het begin van het broedseizoen