Wat is MAC Filtering?
MAC Filtering is een netwerkbeveiligingstechniek waarbij toegang tot een netwerk wordt beperkt op basis van het MAC-adres (Media Access Control) van een apparaat. Elk netwerkapparaat heeft een uniek MAC-adres, en via filtering bepaal je welke apparaten wél of géén verbinding mogen maken.
In OT-omgevingen wordt MAC Filtering gebruikt als extra beveiligingslaag tegen ongeautoriseerde apparaten of BYOD.
🧠 Hoe werkt MAC Filtering?
- Elke netwerkinterface (NIC) heeft een vast MAC-adres, bijv.
00:1A:2B:3C:4D:5E - In de switch of access point wordt een lijst geconfigureerd:
- Whitelist: alleen toegestane MAC-adressen
- Blacklist: uitgesloten MAC-adressen
- Verkeer van onbekende MAC-adressen wordt geweigerd of genegeerd
⚙️ Kenmerken van MAC Filtering
| Kenmerk | Toelichting |
|---|---|
| Laag-niveau controle | Werkt op Layer 2 (datalinklaag) van het OSI-model |
| Toegangsbeperking | Alleen bekende apparaten mogen netwerkgebruik maken |
| Eenvoudig te implementeren | Veel switches en Wi-Fi access points ondersteunen het standaard |
| Niet waterdicht | MAC-adressen zijn te spoofen; geen vervanging voor 802.1X of VLAN’s |
🏭 MAC Filtering in OT-context
| Toepassing | Doel |
|---|---|
| Industriële switches | Alleen toegestane PLC’s of HMI’s mogen communiceren |
| Draadloze toegangspunten | Voorkom BYOD of ongeautoriseerde laptops/tablets in het OT-netwerk |
| Gastnetwerksegmentatie | Combineer met Netwerksegmentatie en firewallregels |
| Legacy-systemen zonder 802.1X | Minimale toegangscontrole toepassen zonder certificaatinfrastructuur |
✅ Voordelen
- Eenvoudig in te stellen op kleinere netwerken
- Laag risico op false positives bij goede configuratie
- Extra obstakel voor ongeautoriseerde toegang
⚠️ Beperkingen en risico’s
| Beperking | Toelichting |
|---|---|
| Makkelijk te omzeilen | Een aanvaller kan MAC-adres van een geautoriseerd apparaat spoofen |
| Beheerintensief | Handmatig toevoegen/verwijderen van adressen kost tijd |
| Niet schaalbaar | Onpraktisch in grote dynamische omgevingen |
MAC Filtering is geen vervanging voor netwerkauthenticatie, maar eerder een extra laag in een gelaagd beveiligingsmodel.
🔐 Best practices
- Combineer met 802.1X voor echte authenticatie
- Gebruik Netwerksegmentatie en ACL’s om verkeer te beperken
- Automatiseer via NAC-systemen waar mogelijk
- Monitor op spoofing-pogingen met Anomaliedetectie
📌 Samengevat
MAC Filtering is een eenvoudige vorm van toegangscontrole op netwerkniveau, geschikt voor statische OT-omgevingen met vaste apparatuur. Het biedt geen volledige beveiliging, maar wél een nuttige extra laag binnen een defense-in-depth strategie.