Niet iedereen zomaar toegang tot mijn netwerk

Een sabotagecontact

Eigenlijk voorkom je met alleen een sabotagecontact niets. Je geeft alleen maar een melding aan het beveiligingspersoneel over een algemene of specifieke inbraak. Of die melding algemeen of specifiek is hangt af waaraan het sabotagecontact gekoppeld zit. Het is echter heel eenvoudig en je hoeft geen extra bekabeling aan te leggen wanneer het sabotagecontact aangesloten zit op het intercomtoestel. In de regel zijn er vrije inputs zat. Aangesloten op het intercomtoestel krijgt men een specifieke melding over welk toestel van de muur geschroefd is.

MACadresfiltering

Een MAC adres is een wereldwijd uniek adres van een netwerkpoort op een apparaat. In de switch waarop het intercomtoestel aangesloten wordt, wordt een filter ingesteld waarbij alleen aan één specifiek MAC adres een netwerklink afgegeven wordt. Wanneer er tijd genoeg is, of Boris Boef heeft voorinformatie, is deze methode nog niet 100% waterdicht. Een MAC adres is uit een toestel te lezen en er is software om een MAC adres te emuleren. Een switch is dus te foppen…

LAN Secureswitch

Door toepassing van een LAN Secureswitch in combinatie met het hierboven beschreven sabotagecontact gaan we een stap verder. Het sabotagecontact wordt, hetzij rechtstreeks of via een input op het intercomtoestel, op de LAN Secureswitch aangesloten. Bij activeren van het contact wordt de netwerkpoort afgesloten. Deze poort blijft afgesloten tot de switch vanuit de veilige kant een commando krijgt weer actief te worden.

Gescheiden netwerken

De AlphaCom-intercomservers ondersteunen gescheiden netwerken. Standaard zijn er twee netwerkpoorten beschikbaar. De ene poort hangt aan het interne netwerk, waarop bijvoorbeeld ook het Security Management Systeem of Gebouw Beheer Systeem (en eventueel ook interne intercomtoestellen) aangesloten zit/zitten. De andere poort wordt gebruikt om intercomtoestellen buiten de poort aan te sluiten. De AlphaCom-intercomserver zorgt dan voor een eenvoudige en veilige scheiding van de netwerken.

802.1X

802.1X is een standaard voor geverifieerde toegang tot je netwerk. De Engelse term is PNAC wat staat voor Port Based Network Access Control. Gemakkelijk gezegd komt het er op neer dat je eerst moet inloggen met een naam en wachtwoord (of een certificaat) en dat je dan pas een link vanuit de switch krijgt. Deze methode vereist een verificatie (RADIUS) server. Radius, voor de volledigheid, staat voor Remote Authentication Dial-In User Service. Alle IP-toestellen van Vingtor-Stentofon ondersteunen 802.1X.

Geen IP buiten de poort

Ik bedoel hiermee niet dat er maar een conventioneel toestel buiten de poort geplaatst moet worden. We willen tegenwoordig natuurlijk wel maximaal gebruik maken van de hedendaagse technieken als bijvoorbeeld ruisonderdrukking. Er bestaat de mogelijkheid om de voorplaat te scheiden van de elektronica. Er zijn dan wel beperkingen aan de kabel en kabellengte, maar je hebt op die manier wel de voordelen van de tegenwoordige IP-toestellen, zonder dat er een risico bestaat op inbreken op je netwerk.

Combinaties van de hierboven beschreven methoden komen voor, maar niet zo veel. Op die projecten wordt de vraag waarmee ik mijn verhaal startte niet gesteld…