Wat is Network Access Control (NAC)?
Network Access Control (NAC) is een beveiligingsoplossing die bepaalt welke apparaten toegang mogen krijgen tot het netwerk, op basis van vooraf gedefinieerde regels, Authenticatie en apparaatstatus. NAC voorkomt dat onbevoegde of niet-conforme systemen zich verbinden met kritieke OT- of IT-netwerken.
In OT-omgevingen is NAC essentieel om ongeautoriseerde laptops, rogue devices of besmette apparatuur buiten industriële netwerken te houden — zonder de beschikbaarheid in gevaar te brengen.
🧠 Wat doet NAC?
- Identificeert wie of wat verbinding probeert te maken
- Controleert of het apparaat voldoet aan beleid (bv. antivirus actief, firmware up-to-date)
- Autorisatie op basis van RBAC, MAC-adres, certificaat, of device-profiel
- Toekent toegang tot een specifieke VLAN of blokkeert indien niet-compliant
- Monitort apparaten tijdens de gehele sessieduur (post-connectiecontrole)
🔧 NAC in OT-context
| Functie | Toepassing in industriële netwerken |
|---|---|
| MAC-authenticatie | Alleen vooraf geregistreerde OT-apparaten mogen verbinden |
| 802.1X-integratie | Authenticatie van laptops of mobiele engineers via certificaten |
| VLAN-toewijzing | Onbekende apparaten naar geïsoleerde “quarantaine” VLAN |
| Guest access control | Tijdelijk netwerktoegang voor leveranciers met logging |
| Profiler-functionaliteit | Herkenning van PLC, SCADA, IoT-devices via fingerprinting |
🛡️ Waarom NAC belangrijk is in OT
| Risico zonder NAC | Gevolg |
|---|---|
| Ongecontroleerde toegang | Rogue Devices, laptops met malware kunnen zich vrij verbinden |
| Shadow IT | Apparaten worden buiten beheer om toegevoegd |
| Malwareverspreiding | Geen quarantainemaatregelen mogelijk voor onbekende systemen |
| Complianceproblemen | Niet voldoen aan IEC 62443, NIS2 of ISO 27001 vereisten |
NAC is een kerncomponent in Zero Trust Architecture voor OT-omgevingen.
🔁 Integratie met andere systemen
| Systeem | Integratievoorbeeld |
|---|---|
| SIEM | Logging van NAC-events en toegangsverzoeken |
| Asset Inventory | Automatische registratie van nieuwe apparaten via NAC-profiler |
| Firewall | Dynamische regels op basis van NAC-status of toegangsbeleid |
| Switch / 802.1X | Poortgebaseerde toegangscontrole met fallback op MAC-authenticatie |
✅ Best practices
| Maatregel | Waarom belangrijk? |
|---|---|
| Start met low-impact modus | Observeer eerst gedrag zonder direct verkeer te blokkeren |
| Werk met MAC-whitelisting in OT | Omdat niet alle OT-devices 802.1X ondersteunen |
| Ontwerp op basis van risicoprofielen | Bijvoorbeeld: leveranciers, engineeringlaptops, vaste apparatuur |
| Combineer met fysieke toegangscontrole | Voorkom ongewenste toegang tot switchpoorten |
| Integreer met Anomaliedetectie | Automatische maatregelen bij verdacht gedrag |
📌 Samengevat
Network Access Control (NAC) is de digitale poortwachter van je industriële netwerk. Het biedt grip op wie of wat zich mag verbinden, onder welke voorwaarden en met welke rechten — een must voor veilige en conforme OT-netwerken.