Wat is Protocol Filtering?
Protocol Filtering is een beveiligingstechniek waarbij netwerkverkeer wordt gecontroleerd en gefilterd op basis van het gebruikte protocol, commando’s en inhoud. In OT-netwerken wordt Protocol Filtering gebruikt om ongewenst of kwaadaardig verkeer op industriële protocollen zoals Modbus, OPC UA, S7, of DNP3 te blokkeren.
Protocol Filtering biedt fijnmazige controle over industriële communicatie, in tegenstelling tot klassieke firewallregels die alleen IP/poort filteren.
🧠 Hoe werkt Protocol Filtering?
- Inspectie op laag 7 (applicatielaag)
- De firewall of Industrial IDS analyseert het netwerkverkeer op protocolniveau
- Herkent commando’s zoals “write”, “read”, “reset”, “firmware update”, enz.
- Gedetailleerde regels opstellen
- Bijvoorbeeld:
- Sta alleen “read” toe op Modbus-registers 0-99
- Blokkeer alle S7-functies behalve statusaanvragen
- Toestaan van OPC UA met alleen versleutelde sessies
- Reageren op afwijkingen
- Verkeer dat afwijkt van toegestane profielen wordt geblokkeerd of gelogd
- Mogelijke triggers voor Anomaliedetectie of SIEM-melding
🏭 Toepassing in OT-omgevingen
| Protocol | Risico zonder filtering | Filteringactie |
|---|---|---|
| Modbus | Iedereen kan registers overschrijven | Alleen read-commando’s toestaan |
| S7 | Functies voor programmering en reset mogelijk | Alleen status-aanvragen toestaan |
| OPC UA | Onversleutelde verbindingen mogelijk | Alleen encrypted sessions toestaan |
| DNP3 | Gevoelig voor replay- en injectie-aanvallen | Commando’s beperken tot vooraf goedgekeurde sets |
Protocol Filtering beschermt tegen misbruik van legitieme protocollen – een veelvoorkomende aanvalsvector in OT.
🔐 Relatie tot andere beveiligingsmaatregelen
- Verfijnt de werking van een Industrial Firewall of Next-Gen Firewall
- Aanvulling op Access Control, Zone and Conduits-model en Defense in Depth
- Onderdeel van IEC 62443-maatregel SR 3.1: “Use of communication control”
✅ Voordelen
- Beperkt communicatie tot wat strikt noodzakelijk is
- Beschermt tegen misconfiguraties, insider misuse en malware
- Verbetert zichtbaarheid op protocolniveau
- Vormt een krachtige combinatie met Anomaliedetectie en Netwerkmonitoring
⚠️ Aandachtspunten
- Vereist kennis van industriële protocollen en procesdata
- Foutieve filters kunnen legitieme communicatie blokkeren (risico op downtime)
- Niet elk protocol is even goed te filteren zonder gespecialiseerde apparatuur
📌 Samengevat
Protocol Filtering biedt diepgaande beveiliging van industriële netwerken door alleen toegestane commando’s toe te staan per protocol. Het is een onmisbaar onderdeel van moderne OT-beveiliging en sluit aan bij het principe van Least Privilege.