Firewall/IDS/IPS

vanisher schreef op dinsdag 6 januari 2026 @ 10:35:
Onafhankelijk van wat je kiest valt en staat de veiligheid met regelmatig updates, log controles e.d. Het is nooit een "set and forget" apparaat.

laurens0619 schreef op dinsdag 6 januari 2026 @ 10:57:
Een IDS/IPS doet anno 2026 niet meer zo heel veel tenzij je hem heel scherp gaat inregelen en TLS decryptie gaat doen. Dat geeft ook direct meer onderhoud. Als het voor compliance redenen nodig is kan ik wel wat adviseren maar ik zou het niet doen om simpel veel veiliger van te worden.

Basis stappen in security zijn veel meer:
- Je accounts op orde met MFA en het liefst Passkeys
- EDR op je endpoints zoals Microsoft Defender

sh4d0wman schreef op dinsdag 6 januari 2026 @ 11:07:
Is er een dedicated security persoon of is het een eenpitter die alles op IT gebied doet? De kennis om een intrusion te detecteren en opvolgen is "iets" anders dan beheer. Een magisch doosje geeft wellicht onterecht een veilig gevoel.

Als NGO heb je wel vaak de optie om zaken gratis of tegen gereduceerde prijs te krijgen.

Frogmen schreef op dinsdag 6 januari 2026 @ 11:25:
Het is ook sterk afhankelijk van wat er achter zit, heb je achter de router alleen clients dan heeft het niet het meeste nut. Ik zou dan ook zeker kijken naar welke DNS gebruik je. Hiermee kan je al weer wat risico's verminderen. Met een Unifi cloud kan je redelijk eenvoudig toch ook nog weer wat risico's wegnemen zonder grote complexiteit. Maar zo zijn er meer merken Zyxel Nebula omgeving is een ander.
Je zit dan in het midden segment investering 300 tot 600 euro let op voor bijkomende abonnementen. Maar zorg ook dat het meteen wel een compleet beheerde netwerk omgeving wordt dus ook de switches en wifi meenemen.

lier schreef op dinsdag 6 januari 2026 @ 16:39:
Ik neem aan dat je vraag voortkomt uit een behoefte? Waarom hebben jullie een firewall/IDS/IPS nodig? Of beter...wie zegt dat jullie die nodig hebben? Mocht hier een risico analyse aan ten grondslag liggen, op welk risico is dit een mitigerende maatregel?

F_J_K schreef op dinsdag 6 januari 2026 @ 17:13:
Inderdaad: wat is de vraag achter de vraag?

Goede kans dat de beveiliging op andere vlakken aanscherpen veel effectiever is. Des te meer als men vaak niet op locatie is. Te beginnen met, voor zover niet al actief, basale zaken als MFA, (in jullie geval auto-)updates, backups, hardening van de server en werkplekken.

In het algemeen is netwerksegmentatie natuurlijk heel verstandig. Maar (muv. gast/IOT/productie) vooral bij grotere netwerken: hoe zie je dat hier concreet voor je? Dan kan je wellicht op die twee devices (NAS, printer) zelf al voldoende regelen.

Kabouterplop01 schreef op dinsdag 6 januari 2026 @ 17:42:
wat zijn je te beschermen belangen? Wat gaat er kapot als je een breach hebt?
Wat is je aanvalsoppervlak? Wat zijn je aanvalspaden?
Als je daar een IPS voor nodig hebt en je hebt alleen de eenpitter en is een dedicated securitypersoon absoluut niet mogelijk, zit je hier ook niet goed. (En moet je je iets afvragen over de prioriteit.)
We kunnen je wel wat vertellen, maar stel je voor dat we je iets voorhouden en het gaat mis, wat dan?
Kost een breach jullie meer dan die securitypersoon?

edit: Wat de security tweakers hierboven al schetsen is maar een klein stukje, een mogelijke basis.

revolution-nl schreef op dinsdag 6 januari 2026 @ 17:52:
Security maatregelen zijn een gevolg van een risico wat je wilt afdekken. Anno 2026 is het maar de vraag of kantoor zonder on-premise server omgeving of VPN tunnels een hoger risicoprofiel heeft als een thuiswerkplek waar de firewall ook niet bekend of beheert is.

Als het risico gelijk is en je past een maatregel wel toe op kantoor maar niet op een andere locatie zonder tegenmaatregelen dan is je beveiligingsbeleid en implementatie niet gebalanceerd. Dus, welk risico wil je met een IPS/IDS afdichten, en is een centrale locatie afhankelijk appliance dan wel doelmatig of zijn er andere maatregelen die effectiever zijn?

Misschien iets over na te denken

Frogmen schreef op woensdag 7 januari 2026 @ 09:42:
Een punt wat je zijdelings noemt is eigenlijk je allergrootste risico. Dat is die NAS, die moet je goed beveiligen etc. Waarom niet in de cloud? Kijk eens op Techsoup of jullie niet gebruik kunnen maken van gratis of goedkope licenties. Want als die NAS jullie data bevat en ook van buitenaf te bereiken is dan heb je nog wel een uitdaging te gaan.

F_J_K schreef op woensdag 7 januari 2026 @ 11:04:
Firewall/IDS/IPS op netwerkniveau: IDS heeft geen zin als er niemand is om (ook na 17u) de detectie op te volgen. Ik denk nu te lezen dat er een pentest / security audit is geweest waar een lijst adviezen uit voort kwam. Zo'n rapport wil je altijd spiegelen aan wat jij als organisatie kan en wat jullie zelf aan daadwerkelijke dreiging zien. Bijv. voor jullie active-active uitwijk waarschijnlijk heel veel minder belangrijk dan dat jullie data niet kan worden 'gejat'.

Voor een advies een IDS/IPS te nemen kan je waarschijnlijk prima in een alinea uitleggen waarom dat advies niet gaat worden opgevolgd. Risico accepteren wegens budget (in euro en uren) kan soms een goede keuze zijn. In een adviesrapport schrijven dat een Rolls Royce nodig is, is makkelijker dan die kopen en onderhouden.

Ze heb ik uit mijn meest recente pentest ook een lijstje 'wont fix wegens reden X/Y/Z', 'plannen we in kwartaalX want nu geen tijd', etc. naast de hoge prio dingen die nu moeten en de laaghangend fruit dingen die nu moeiteloos kunnen.

Ultieme beveiliging bestaat niet, het is altijd een risicoafweging.

Wel goed om een externe te hebben laten meedenken.


[...]

NAS is backup van de data die in de cloud staat? Verstandig om dat inderdaad op een ander medium te doen. Hier is wel een soort-van segmentatie aan de orde: geen van de laptops hoeft dan de NAS te kunnen bereiken, blokkeer alle verkeer van en naar de NAS met de laptops en printers.