Wat is Spoofing?
Spoofing is een verzamelterm voor aanvallen waarbij een aanvaller zich voordoet als een vertrouwd apparaat, gebruiker of dienst. Het doel is om misleiding te creëren en zo toegang te krijgen tot systemen, informatie of controle over processen.
In OT-netwerken kan spoofing leiden tot datavervalsing, ongeautoriseerde aansturing van apparatuur of ondermijning van netwerkbeveiliging.
🧠 Veelvoorkomende soorten spoofing in OT
| Type spoofing | Beschrijving |
|---|---|
| MAC-spoofing | Aanvaller kopieert het MAC-adres van een bestaand apparaat (bv. PLC) |
| IP-spoofing | Aanvaller gebruikt hetzelfde IP-adres als een legitiem systeem |
| ARP-spoofing | Misleidt andere apparaten over welk MAC-adres bij welk IP hoort → Man-In-The-Middle |
| DNS-spoofing | Verkeerd DNS-antwoord leidt verkeer naar kwaadaardige systemen |
| Protocol spoofing | Emuleren van industriële protocollen zoals Modbus of OPC om valse signalen te sturen |
🎯 Spoofing in OT-context
| Scenario | Gevolg |
|---|---|
| MAC-spoofing van een SCADA-server | Netwerkverkeer wordt omgeleid of gesaboteerd |
| IP-spoofing van een HMI | Operators krijgen valse visualisaties of besturing |
| ARP-spoofing tussen PLC en Historian | Man-in-the-Middle-aanval op productiegegevens |
| Vals Modbus-verkeer | Onbevoegde besturing van actuatoren of sensoren |
🛡️ Beschermingsmaatregelen
| Maatregel | Toelichting |
|---|---|
| MAC Binding | Koppel bekende MAC-adressen aan vaste poorten |
| Port Security | Beperk aantal toegestane apparaten per switchpoort |
| 802.1X | Vereist authenticatie vóór netwerktoegang |
| DHCP Snooping | Verifieert welke IP’s door welk MAC-adres zijn verkregen |
| IP Source Guard | Blokkeert IP-pakketten zonder geldige DHCP-binding |
| Anomaliedetectie | Spoofingpogingen herkennen via gedragspatronen of dubbele adressen |
| Zero Trust Architecture | Vertrouw niets, verifieer alles — ook binnen het interne netwerk |
🔍 Detectie van spoofing
- ARP-inspectie: Dubbele IP/MAC-bindings detecteren
- IDS/IPS zoals Suricata of Zeek kunnen actieve spoofing-pogingen signaleren
- Netwerkmonitoring tools kunnen afwijkingen in verkeerspatronen visualiseren
- SIEM verzamelt en correleert spoofing-gerelateerde logs van switches/firewalls
📌 Samengevat
Spoofing is een fundamentele dreiging in OT-netwerken, omdat vertrouwen in identiteit cruciaal is. Door spoofing te blokkeren via netwerkbeveiliging en gedragsdetectie, voorkom je dat systemen worden misleid of overgenomen.