Wireless & Fysieke Beveiliging

Rechten Omlaag, Controle Omhoog

Aanvalspaden worden klein zodra rechten, segmenten en beheerkanalen consequent zijn ingericht.

Voor Wireless & Fysieke Beveiliging blijft de basis hetzelfde: minder impliciet vertrouwen en meer zicht op afwijkend gedrag.

Zo beperk je niet alleen de kans op incidenten, maar vooral ook de omvang en duur als er iets misgaat.

Directe maatregelen (15 minuten)

• Start met MFA, least privilege en tiering voor beheeraccounts.
• Voer segmentatie en expliciete firewallregels door op kritieke paden.
• Borg logging, detectie en hersteltests als structurele operatie.

Waarom dit telt

De kern van Wireless & Fysieke Beveiliging is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Wi-Fi Beveiliging

Evolutie van draadloze encryptie

De gouden regel: WPA3-Enterprise met 802.1X/RADIUS voor zakelijke netwerken. WPA3-SAE voor gastnetwerken en kleine kantoren. Alles daaronder is een beveiligingsincident dat nog niet is ontdekt.

802.1X/RADIUS voor enterprise Wi-Fi

802.1X vervangt een gedeeld wachtwoord door individuele authenticatie. Elke gebruiker heeft eigen credentials, certificaten, of beide. Hierdoor kun je individuele toegang intrekken zonder het wachtwoord voor iedereen te wijzigen.

# hostapd configuratie voor WPA3-Enterprise
# /etc/hostapd/hostapd.conf

interface=wlan0
driver=nl80211
ssid=CORP-SECURE
hw_mode=a
channel=36

# WPA3-Enterprise (IEEE 802.11i met Suite B)
wpa=2
wpa_key_mgmt=WPA-EAP-SUITE-B-192
rsn_pairwise=GCMP-256
group_cipher=GCMP-256
ieee80211w=2                    # Management Frame Protection verplicht
beacon_prot=1

# RADIUS
ieee8021x=1
auth_server_addr=10.0.30.10
auth_server_port=1812
auth_server_shared_secret=VERANDER_DIT_GEHEIM
acct_server_addr=10.0.30.10
acct_server_port=1813
acct_server_shared_secret=VERANDER_DIT_GEHEIM

# Band steering en roaming
bss_transition=1
rrm_neighbor_report=1

Gastnetwerk isolatie

Gastnetwerken moeten volledig geisoleerd zijn van het productienetwerk. Geen gedeeld VLAN, geen gedeelde DHCP-scope, geen routering naar interne subnetten.

# Aparte SSID voor gasten met eigen VLAN
# /etc/hostapd/hostapd-guest.conf

interface=wlan0
bss=wlan0_guest
ssid=GAST-WIFI
wpa=2
wpa_key_mgmt=SAE
rsn_pairwise=CCMP
sae_password=GastToegang2026

# Isolatie
ap_isolate=1                    # Clients kunnen elkaar niet zien
bridge=br-guest                 # Apart bridge interface naar VLAN 50

# Firewall: gastnetwerk mag alleen naar internet, niet naar intern
nft add rule inet filter forward iifname "br-guest" oifname "br-corp" drop
nft add rule inet filter forward iifname "br-guest" oifname "eth0" accept

Rogue Access Point Detectie

Een rogue access point is een ongeautoriseerd draadloos toegangspunt op je netwerk. Twee varianten:

1. Intern geplaatst — een medewerker die een consumentenrouter onder zijn bureau plugt “omdat het Wi-Fi-signaal zo slecht is”
2. Evil Twin — een aanvaller die een access point opzet met dezelfde SSID als je bedrijfsnetwerk om credentials te onderscheppen

Wireless Intrusion Prevention System (WIPS)

Een dedicated WIPS monitort het radiospectrum en detecteert ongeautoriseerde access points, deauthenticatie-aanvallen en verdachte probing.

Kismet als periodieke scanner

# Kismet draaien voor rogue AP detectie
kismet -c wlan0mon --override datasources=wlan0mon

# Kismet REST API: lijst alle gedetecteerde APs
curl -s -u admin:changeme \
  http://localhost:2501/devices/views/phydot11_accesspoints/devices.json \
  | jq '.[] | {ssid: .dot11.device.advertised_ssid_map[].dot11.advertisedssid.ssid,
               bssid: .kismet.device.base.macaddr,
               channel: .kismet.device.base.channel}'

Evil Twin detectie

Evil Twin aanvallen detecteer je door:

• BSSID-monitoring: een tweede AP met dezelfde SSID maar ander MAC-adres
• Signaalsterkte-anomalieen: een “bedrijfs-AP” dat plotseling veel sterker is dan normaal
• Certificaatvalidatie: WPA2/3-Enterprise met servercertificaat-pinning voorkomt dat clients verbinden met een Evil Twin

Network Access Control (NAC)

NAC bepaalt wie en wat zich op je netwerk mag bevinden. Zonder NAC kan iedereen die een netwerkkabel in een muurcontact steekt, of zich met het Wi-Fi verbindt, het netwerk betreden.

802.1X wired

# Cisco IOS -- 802.1X op switch-poorten
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius

dot1x system-auth-control

interface GigabitEthernet0/1
 description Werkstation-poort met 802.1X
 switchport mode access
 switchport access vlan 10
 authentication port-control auto
 dot1x pae authenticator
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication timer reauthenticate 3600
 mab

FreeRADIUS configuratie

# /etc/freeradius/3.0/clients.conf
client switch-core {
    ipaddr = 10.0.30.254
    secret = RADIUS_SHARED_SECRET
    nastype = cisco
}

# /etc/freeradius/3.0/sites-enabled/default
# EAP-TLS authenticatie (certificaten)
authorize {
    eap {
        default_eap_type = tls
    }
}

# /etc/freeradius/3.0/mods-enabled/eap
eap {
    default_eap_type = tls
    tls-config tls-common {
        private_key_file = /etc/freeradius/3.0/certs/server.key
        certificate_file = /etc/freeradius/3.0/certs/server.pem
        ca_file = /etc/freeradius/3.0/certs/ca.pem
        check_cert_cn = %{User-Name}
    }
}

MAB (MAC Authentication Bypass) veilig beheersen

MAB is een fallback voor apparaten die geen 802.1X ondersteunen: printers, IP-telefoons, IoT-sensoren. Het MAC-adres wordt als username en password naar RADIUS gestuurd. MAB is niet veilig — MAC-adressen zijn trivially spoofable — maar het is beter dan geen controle. Apparaten die via MAB authenticeren moeten in een beperkt VLAN met strikte ACLs.

Bluetooth & IoT

Bluetooth en IoT-apparaten vormen een groeiend aanvalsoppervlak dat vaak buiten het zicht van de IT-afdeling valt.

BLE sniffing

# Ubertooth One: Bluetooth Low Energy sniffen
ubertooth-btle -f -c /tmp/ble-capture.pcap

# nRF Sniffer: BLE-verkeer opvangen
nrf_sniffer_ble --extcap-interface /dev/ttyACM0 --fifo /tmp/ble.pcap

IoT-segmentatie best practices

Zigbee en Z-Wave

Zigbee-netwerken gebruiken vaak de standaard trust-center link key (ZigBeeAlliance09). Elke sniffer met een CC2531 USB-dongle kan het verkeer decoderen. Verander de link key, gebruik Zigbee 3.0 met Install Codes, en segmenteer het netwerk.

Fysieke Toegangscontrole

De beste firewall ter wereld helpt niet als iemand met een gestolen badge de serverruimte kan binnenlopen.

Lagen van fysieke beveiliging

Tailgating voorkomen

Tailgating — meelopen door een beveiligde deur achter een geautoriseerde persoon — is de meest effectieve fysieke aanval. Verdediging:

• Mantraps/Airlocks: sluiskamers waar slechts een persoon tegelijk door kan
• Draaihekken met badge-scan: fysieke one-person-at-a-time afdwinging
• Cultuur: medewerkers moeten getraind zijn om badges te controleren en bezoekers aan te spreken
• Camera’s met analyse: detectie van meerdere personen die tegelijk door een deur gaan

Serverruimte beveiliging

• Toegangslogging: wie was wanneer in de serverruimte, met audit trail
• Camera’s: zichtbaar en met opslag van minimaal 90 dagen
• Klimaatbeheersing: temperatuur en vochtigheid monitoren, alerts bij afwijkingen
• Branddetectie: gasblussysteem (FM-200/Novec) in plaats van water
• Noodstroom: UPS en generator met regelmatige tests

USB & Removable Media

In 2008 werd een USB-stick gevonden op een parkeerplaats van een Amerikaanse militaire basis in het Midden-Oosten. Iemand stopte hem in een computer. De malware — later Agent.btz genoemd — verspreidde zich door het hele classificeerde netwerk van het Pentagon. Het duurde veertien maanden om het op te ruimen. De operatie kreeg de naam Buckshot Yankee en leidde tot de oprichting van US Cyber Command.

Een USB-stick op een parkeerplaats. Veertien maanden opruimen.

USB-risico’s beheersen

USB-blokkade via Group Policy (Windows)

# GPO: USB-opslag blokkeren
# Computer Configuration > Administrative Templates > System > Removable Storage Access

# Via registry (direct toepasbaar):
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" `
    -Name "Deny_All" -Value 1 -Type DWord

# Specifiekere aanpak: alleen USB Mass Storage blokkeren
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR" `
    -Name "Start" -Value 4 -Type DWord    # 4 = disabled

# Whitelist specifieke USB-apparaten via Device Installation Restrictions
# Computer Configuration > Admin Templates > System > Device Installation > Device Installation Restrictions
# "Allow installation of devices that match any of these device IDs"

USB-blokkade via udev (Linux)

# /etc/udev/rules.d/99-usb-block.rules
# Blokkeer alle USB mass storage devices
ACTION=="add", SUBSYSTEMS=="usb", DRIVERS=="usb-storage", \
    RUN+="/bin/sh -c 'echo 0 > /sys$DEVPATH/authorized'"

# Whitelist: sta specifiek USB-apparaat toe op basis van vendor:product
ACTION=="add", SUBSYSTEMS=="usb", ATTRS{idVendor}=="0781", ATTRS{idProduct}=="5581", \
    RUN+="/bin/sh -c 'echo 1 > /sys$DEVPATH/authorized'"

# Herlaad udev regels
udevadm control --reload-rules && udevadm trigger

Endpoint Detection

Moderne EDR-oplossingen detecteren USB Rubber Ducky-aanvallen door te letten op: - HID-apparaten die duizenden toetsaanslagen per seconde genereren - USB-apparaten die zich als toetsenbord en opslagapparaat tegelijk registreren - Onbekende USB vendor/product ID-combinaties

Clean Desk & Dumpster Diving

Clean desk is geen huishoudelijke maatregel. Het is een beveiligingsmaatregel. Post-its met wachtwoorden op monitors, inloggegevens op whiteboards, vertrouwelijke documenten in de printerbak — het zijn allemaal datalekken die geen enkele technische controle kan voorkomen.

Clean desk beleid

• Schermen vergrendelen: automatische lockout na 5 minuten inactiviteit
• Documenten opbergen: vertrouwelijke papieren in afsluitbare kasten
• Printers: beveiligd printen met badge-authenticatie (pull printing)
• Whiteboards: fotograferen en wissen na vergaderingen
• Afvalverwerking: cross-cut shredders (P-4 of hoger) voor papier, degaussing of fysieke vernietiging voor media

Schermvergrendeling afdwingen

# GPO: Screensaver met wachtwoord na 300 seconden (5 minuten)
Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "ScreenSaveTimeOut" -Value "300"
Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "ScreenSaverIsSecure" -Value "1"
Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "ScreenSaveActive" -Value "1"

# Linux: automatische schermvergrendeling via GNOME
gsettings set org.gnome.desktop.session idle-delay 300
gsettings set org.gnome.desktop.screensaver lock-enabled true
gsettings set org.gnome.desktop.screensaver lock-delay 0

Dumpster diving

Dumpster diving — het doorzoeken van afval naar bruikbare informatie — is legaal in de meeste jurisdicties en verbluffend effectief. Organisaties gooien routinematig weg: interne telefoongidsen, organisatieschema’s, netwerktekeningen, printouts van e-mails, hardcopy van wachtwoordresets, en uitgeprinte configuraties.

Verdediging: cross-cut shredders op elke verdieping, bewustwording bij medewerkers, en contractuele afspraken met het schoonmaakbedrijf over afvalverwerking.

Checklist

Het mooiste aan de TJX-zaak is het tijdsverloop. De aanval begon in juli 2005. Het bedrijf ontdekte het in december 2006. Achttien maanden lang stonden de sniffers op de betaalterminals, terwijl elke pinpas die door een lezer ging gekopieerd werd naar een server in Oost-Europa. Het bedrijf had firewalls. Het had antivirussoftware. Het had een beveiligingsbeleid. Wat het niet had, was een fatsoenlijk draadloos netwerk. Eén WEP-netwerk in een parkeergarage.

Fysieke beveiliging lijdt aan hetzelfde probleem als netwerksegmentatie: iedereen weet dat het belangrijk is, maar het budget gaat altijd naar iets anders. Naar een nieuw SIEM-platform. Naar een next-generation firewall. Naar een AI-powered threat detection engine die op de beursvloer is gedemonstreerd met een indrukwekkend dashboard. Ondertussen staat de deur van de serverruimte op een kier omdat het slot kapot is, en dat is al zo sinds maart.

Er is een universele wet in de informatiebeveiliging die ik de Wet van het Zwakste Punt noem: de beveiliging van een systeem is precies zo sterk als de zwakste schakel. En die zwakste schakel is bijna nooit technisch. Het is de USB-stick op het parkeerterrein. De medewerker die de deur openhoudt. Het WEP-netwerk in de parkeergarage. De post-it met het wachtwoord op de monitor. Het is de fysieke wereld die de digitale ondermijnt.

Elke euro die je uitgeeft aan een firewall zonder de serverruimte op slot te doen, is een euro die je net zo goed in de shredder had kunnen stoppen. Hoewel — als je die shredder tenminste hebt, ben je al verder dan de meeste organisaties.

Samenvatting

Draadloze en fysieke beveiliging vormen de vaak vergeten fundamenten onder elke digitale verdediging. WPA3-Enterprise met 802.1X/RADIUS is de standaard voor zakelijke draadloze netwerken; alles daaronder is een uitnodiging. Gastnetwerken moeten volledig geisoleerd zijn op een apart VLAN. Rogue access point detectie via WIPS of periodieke scans met Kismet voorkomt dat ongeautoriseerde apparaten je netwerk infiltreren. Network Access Control via 802.1X op wired poorten bepaalt wie zich op je netwerk mag bevinden. IoT- en Bluetooth-apparaten horen in een gesegmenteerd netwerk met strikte uitgaande filtering. USB mass storage moet geblokkeerd zijn via Group Policy of udev-regels. Fysieke toegangscontrole — badgesystemen, mantraps, serverruimtebeveiliging — vormt de laatste verdedigingslinie die geen software kan vervangen. Clean desk beleid, beveiligd printen en cross-cut shredders voorkomen de laagdrempeligste vormen van informatiediefstal. De les van TJX is simpel: het maakt niet uit hoe goed je digitale beveiliging is als iemand vanuit de parkeergarage je netwerk kan binnenwandelen.