Wat is IP Source Guard?
IP Source Guard (IPSG) is een netwerkbeveiligingsfunctie op switchniveau die alleen netwerkverkeer toestaat vanaf geldige IP-MAC-combinaties. Het blokkeert Spoofing-pogingen waarbij een apparaat zich probeert voor te doen als een ander systeem via een vals IP-adres.
In OT-omgevingen helpt IP Source Guard om kritieke communicatie β zoals tussen PLC en SCADA β te beschermen tegen kwaadaardig of foutief IP-verkeer.
π§ Waarom is IP Source Guard nodig?
- Voorkomt IP-spoofing β Apparaat mag zich niet voordoen als ander IP
- Verhoogt integriteit van netwerkverkeer β Alleen legitieme bronnen worden geaccepteerd
- Beschermt tegen Man-In-The-Middle en Rogue Devices
- Ondersteunt Zero Trust Architecture op laag 2/3
- Begrenzing per switchpoort β Elke poort heeft toegestane IP/MAC-combinaties
π§ Hoe werkt IP Source Guard?
| Stap | Beschrijving |
|---|---|
| 1. DHCP Snooping verzamelt IP-MAC-poort-data | Bindingstabel wordt opgebouwd door DHCP-verkeer te observeren |
| 2. Switch vergelijkt uitgaand IP-verkeer met de binding | Alleen overeenkomende IP/MAC/poort-combinaties worden doorgelaten |
| 3. Niet-geldige pakketten | Worden geblokkeerd of gelogd |
IPSG is meestal alleen actief op untrusted switchpoorten en vereist een actieve DHCP-binding.
π Voorbeeld in OT-netwerken
| Scenario | Gevolg van IP Source Guard |
|---|---|
| Rogue laptop met spoofed PLC-IP | Verkeer wordt geblokkeerd aan de poort |
| Verkeerd aangesloten apparaat in veld | Geen IP-communicatie mogelijk zonder geldige lease |
| Supply chain-aanval via gehackte edge device | Kan verkeer niet injecteren zonder juiste IP-binding |
| Monitoring van hosts per VLAN | Alleen bekende devices worden doorgelaten op juiste segment |
β Best practices
| Aanbevolen instelling | Waarom? |
|---|---|
| Combineer met DHCP Snooping | Zonder DHCP-bindings werkt IPSG niet |
| Monitor statische IP-apparaten | Voor OT-apparaten zonder DHCP kan IPSG alleen met handmatige config |
| Beperk toegang tot trusted poorten | Laat alleen echte DHCP-servers verkeer initiΓ«ren |
| Log geblokkeerd verkeer | Gebruik SIEM of syslog voor forensische analyse |
| Combineer met DAI en Port Security | Voor een compleet spoofing-beschermingspakket |
π Verschil met verwante technieken
| Techniek | Beveiligt tegen | Werkt op basis van |
|---|---|---|
| IP Source Guard | IP-spoofing | IP β MAC β poort via DHCP Snooping |
| MAC Binding | MAC-spoofing | MAC β poort koppeling |
| Dynamic ARP Inspection | ARP-spoofing | DHCP-binding + ARP-verificatie |
| Port Security | Onbekende apparaten | Aantal/soort MAC-adressen per poort |
π Samengevat
IP Source Guard is een krachtige verdediging tegen IP-Spoofing in OT-netwerken. Het zorgt ervoor dat apparaten alleen verkeer mogen versturen als hun IP en MAC-adres overeenkomen met bekende, vertrouwde gegevens β essentieel in Zone met PLCβs, HMIβs of datarecorders.