Wat is MAC Binding?
MAC Binding (ook wel MAC Address Binding of MAC-to-Port Binding) is een netwerkbeveiligingsmaatregel waarbij een specifiek MAC-adres wordt gekoppeld aan een vaste switchpoort of IP-adres. Hiermee wordt voorkomen dat onbevoegde apparaten toegang krijgen tot het netwerk door een vertrouwd apparaat na te bootsen.
In OT-netwerken voorkomt MAC Binding dat een kwaadwillende zich voordoet als een vertrouwde PLC, HMI of SCADA-component door simpelweg een MAC-adres te spoofen.
🧠 Doel van MAC Binding
- Beschermen tegen spoofing – Alleen vooraf goedgekeurde apparaten worden geaccepteerd
- Beperken van fysieke toegang – Alleen bekende apparaten mogen verbinding maken met een specifieke switchpoort
- Vergroten van netwerkcontrole – Beheerders kunnen exact bepalen welke apparaten waar zijn aangesloten
- Aanvulling op Access Control en Netwerksegmentatie
⚙️ Hoe werkt het?
- Elke netwerkinterface (bijvoorbeeld van een PLC) heeft een uniek MAC-adres
- In de switchconfiguratie wordt vastgelegd: MAC X is alleen toegestaan op poort Y
- Als een ander MAC-adres op poort Y verschijnt, of MAC X op een andere poort: verbinding geweigerd
- In sommige implementaties wordt MAC Binding gecombineerd met DHCP Snooping en IP Source Guard
🔐 Toepassing in OT-omgevingen
| Component | Reden voor binding |
|---|---|
| PLC’s | Beschermen tegen vervalsing of vervanging |
| SCADA-servers | Vastleggen van kritieke besturingsinterfaces |
| IO-devices / RTU’s | Voorkomen dat ongewenste apparaten toegang krijgen tot veldbussen |
| HMI-panels | Fysieke toegangscontrole op basis van locatie en MAC-adres |
| Switch uplinks | Beperking tot bekende backbone-verbindingen |
✅ Voordelen
| Voordeel | Beschrijving |
|---|---|
| Eenvoudige maatregel | Kan worden ingesteld op de meeste Managed Switches |
| Geen software nodig op endpoints | Werkt puur op MAC-niveau, onafhankelijk van het besturingssysteem |
| Verbetert asset-identificatie | Onderdeel van Asset Inventory |
| Preventie van spoofing-aanvallen | Voorkomt Man-In-The-Middle, ARP poisoning en Rogue Devices |
⚠️ Aandachtspunten
- Bij vervanging van apparatuur moet MAC Binding worden geüpdatet
- Sommige aanvallers kunnen alsnog MAC-adressen spoofen als de switch niet goed beveiligd is
- Niet alle industriële switches ondersteunen MAC Binding per poort of VLAN
- Combineer met Port Security en 802.1X voor robuustere bescherming
🔁 Gerelateerde maatregelen
| Maatregel | Relatie met MAC Binding |
|---|---|
| Port Security | Beperkt het aantal toegestane MAC’s per poort |
| DHCP Snooping | Legt IP-MAC-koppelingen vast op switchniveau |
| IP Source Guard | Controleert of IP-pakket overeenkomt met DHCP-binding |
| 802.1X | Verifieert gebruikers of apparaten vóór netwerktoegang |
| Netwerksegmentatie | Voorkomt dat een gespoofed apparaat andere zones kan bereiken |
📌 Samengevat
MAC Binding koppelt apparaten op laag 2 aan specifieke netwerkpoorten en vormt zo een basismaatregel tegen Spoofing en ongeautoriseerde toegang. In OT-netwerken helpt het bij het beschermen van kritieke componenten zonder afhankelijk te zijn van endpointsoftware.