Offerte aanvragen
Offerte aanvragen

Waarom jouw 'kleine' netwerk een groot doelwit is (en hoe een UniFi Gateway dit oplost)

Cybersecurity is geen “enterprise-luxe”: ook als je maar een paar medewerkers en devices hebt, ben je een interessant doelwit—en MKB’ers besparen vaak het meeste tijd en kosten door preventief te beveiligen in plaats van te reageren op incidenten.

BEVEILIGINGHANDLEIDING

2/19/20266 min read

Ik zie het overal: zowel consumenten als bedrijven nemen allerhande maatregelen om fysieke inbraak te voorkomen maar doen helemaal niets aan digitale veiligheid. Er worden camera's opgehangen, dure sloten geïnstalleerd, maar over het versleutelen van dagelijks internetverkeer heeft nog nooit iemand gedacht. En dan gaat het fout: vanwege één simpele phishing E-mail.

Eerder schreef ik al een blog met 7 tips voor een veilig netwerk, waarin ik een aantal hoofdonderwerpen behandel. Vandaag ga ik verder in op specifieke cyber security features.

Phishing: zo gemakkelijk hengelen ze een vette vis binnen

Phishing is nog steeds één van de meest voorkomende startpunten: een medewerker klikt op een link, logt “even” in, en de aanvaller misbruikt die inlog om mail, cloudapps of remote toegang over te nemen. Daarna volgen vaak stap-2 problemen: malware die zich verspreidt naar shares/NAS, of een gecompromitteerd device dat intern gaat scannen naar camera’s, printers, NAS-systemen of (in het MKB) kassasystemen. Het probleem is dus zelden “alleen WiFi”: het gaat om wat er gebeurt zodra iets of iemand binnen is, en hoe snel je dat ziet én stopt.

Elke internetverbinding is vandaag de dag een potentiële ingang voor misbruik, of je nu thuiswerkt, een klein kantoor draait, of een praktijk aan huis hebt. Preventief werken (segmentatie + policies + detectie) is meestal goedkoper dan herstel achteraf: downtime, dataverlies, reputatieschade en “brandjes blussen” kosten disproportioneel veel tijd bij kleine teams.

Maar wat doe je eraan?

Een van de krachtigste eigenschappen van het UniFi-ecosysteem is dat je direct ‘out-of-the-box’ al beschikt over enterprise-waardige beveiligingstools, zonder dat je daar direct extra licenties voor nodig hebt. De basis van een veilig netwerk leg je namelijk niet met dure software, maar met een goede inrichting van je apparatuur.

Hieronder bespreek ik de belangrijkste beveiligingslagen die standaard aanwezig zijn in je UniFi Gateway en hoe ze jouw netwerk beschermen.

1. Netwerksegmentatie (VLANs)

Dit is met afstand de meest effectieve maatregel die je kunt nemen. In plaats van één groot ‘plat’ netwerk waar alles elkaar kan zien, knip je jouw netwerk op in gescheiden virtuele netwerken (VLANs).

  • Wat doet het? Het zorgt voor digitale muren tussen apparaatgroepen. Je maakt bijvoorbeeld een apart netwerk voor kantoorapparatuur, een voor gasten, en een voor IoT-apparaten (zoals slimme thermostaten of printers).

  • Waarom belangrijk? Als een onveilig IoT-apparaat wordt gehackt, kan de aanvaller niet zomaar "overspringen" naar jouw laptop met boekhouding of klantgegevens. De schade blijft beperkt tot dat ene, geïsoleerde stukje netwerk.

Wil je meer weten over VLANS? Lees dan dit blog van mij.

2. Firewall Regels (Traffic Rules)

Samen met VLANs gebruik je de ingebouwde firewall om exact te bepalen wie met wie mag praten. UniFi maakt dit tegenwoordig erg visueel met ‘Traffic Rules’. Dit onderwerp verdient een blog op zich, dus ik houd het voor nu kort.

  • Wat doet het? Je stelt regels in zoals: "Camera's mogen nooit het internet op" of "Het Gastennetwerk mag niet bij de NAS komen".

  • Waarom belangrijk? Hiermee voorkom je dat malware die binnenkomt op een onbelangrijk apparaat, kan scannen naar kwetsbaarheden op je kritieke servers of PC's.

3. Threat Management (IDS/IPS): Je actieve digitale beveiliger

Waar een firewall als een statisch hek werkt ("niemand mag hier naar binnen"), is Threat Management (IDS/IPS) de surveillerende beveiliger die actief rondloopt en controleert wat er precies door het hek probeert te komen.

Moderne UniFi Gateways beschikken over geavanceerde 'Deep Packet Inspection'. Dit betekent dat de gateway niet alleen naar het adres kijkt waar het pakketje vandaan komt, maar de digitale envelop ook echt openmaakt om te kijken of de inhoud veilig is.

Je hebt hierin twee smaken:

  • IDS (Intrusion Detection System): De 'stille verklikker'. Het systeem ziet een aanval, logt deze en stuurt je een melding, maar grijpt niet in.

  • IPS (Intrusion Prevention System): De 'uitsmijter'. Zodra het systeem kwaadaardig verkeer herkent, wordt de verbinding direct verbroken om je netwerk te beschermen.

Wat houdt 'IPS' precies tegen?
Binnen UniFi kun je kiezen uit tientallen categorieën om op te filteren. Voor MKB’ers en Prosumers zijn dit de belangrijkste beschermingslagen:

  • Malware & Virussen: IPS herkent patronen van bekende virussen en malware. Probeert een medewerker (per ongeluk) een besmet bestand te downloaden, of probeert een virus zich via het netwerk te verspreiden? IPS herkent de 'handtekening' van het bestand en blokkeert de overdracht voordat het schade aanricht.

  • Peer-to-Peer (P2P) & Torrents: Veel bedrijven willen geen P2P-verkeer op hun netwerk. Niet alleen vreet dit bandbreedte, het wordt ook vaak gebruikt voor illegale software die vol zit met malware. Je kunt dit verkeer specifiek blokkeren, zodat je netwerk niet onbedoeld onderdeel wordt van een illegaal downloadnetwerk.

  • Botnets & C&C (Command & Control): Dit is cruciaal voor IoT-apparaten. Stel, je slimme koelkast wordt gehackt en onderdeel van een 'botnet'. De hacker probeert de koelkast opdracht te geven om een andere website aan te vallen. IPS ziet dat jouw koelkast verbinding zoekt met een bekende hackers-server (C&C) en blokkeert die uitgaande communicatie direct.

  • Exploits & Shellcode: Dit beschermt je servers en computers tegen hackers die proberen in te breken via bekende lekken in software die je nog niet geüpdatet hebt.

⚠️ Let op: Waarom 'alles aanzetten' niet altijd slim is

Het klinkt verleidelijk om alle beveiligingsschuifjes in UniFi direct naar rechts te zetten ("Maximum Protection"). Toch moet je hier voorzichtig mee zijn. IPS werkt op basis van patronen, en soms lijkt legitiem verkeer op een aanval. Dit noemen we een False Positive.

Als je IPS te streng instelt, kun je tegen de volgende problemen aanlopen:

  1. Geblokkeerde Updates: Sommige legitieme software (zoals Windows Updates of game-launchers) gebruikt technieken die lijken op P2P-verkeer. Blokkeer je P2P volledig, dan kunnen updates falen.

  2. Trage Verbindingen: Als je elke categorie scant, vraagt dit veel rekenkracht van je gateway. Bij oudere modellen kan dit je internetsnelheid vertragen (throughput limits).

  3. Onbereikbare Diensten: Soms wordt een verbinding met een klant of leverancier onterecht aangezien voor een scan of aanval, waardoor mails of bestanden niet aankomen.

Mijn advies voor de start:
Begin met de instelling op IDS (alleen detectie). Draai dit een week en kijk in je UniFi dashboard welke meldingen er binnenkomen. Zie je veel 'False Positives'? Pas je regels aan. Is het rustig en kloppen de meldingen? Schakel dan over naar IPS (blokkeren). Zo voorkom je dat je eigen beveiliging je werkzaamheden in de weg zit.

4. Ad & Content Filtering

Standaard biedt UniFi de mogelijkheid om bepaalde categorieën websites en advertenties te blokkeren op netwerkniveau (bijvoorbeeld 'Adult' of 'Malicious').

  • Wat doet het? Het voorkomt dat apparaten in je netwerk verbinding kunnen maken met bekende foute domeinen.

  • Waarom belangrijk? Dit is een sterke eerste verdedigingslinie tegen phishing. Als een medewerker per ongeluk op een foute link klikt die op een 'blacklisted' domein staat, laadt de pagina simpelweg niet.

5. DNS Shield (Versleutelde DNS)

Een relatief nieuwe, maar krachtige toevoeging is DNS Shield.

  • Wat doet het? Het versleutelt je DNS-aanvragen (het 'telefoonboek' van het internet) via DNS-over-HTTPS (DoH).

  • Waarom belangrijk? Normaal kunnen internetproviders of afluisteraars zien welke websites je bezoekt. DNS Shield voorkomt dit en beschermt je tegen 'DNS spoofing', waarbij je ongemerkt naar een neppe website wordt geleid.

In dit blog leg ik uit hoe je DNS over HTTPS instelt op een UniFi Gateway.

Voor wie meer wil: UniFi CyberSecure

Hoewel de bovenstaande basis voor veel situaties al een enorme stap vooruit is, biedt Ubiquiti voor complexere omgevingen een upgrade aan: UniFi CyberSecure.​ Hierbij krijg je toegang tot samenwerkingen met Cloudflare en Proofpoint.

Zie dit als de extra "enterprise" laag op je bestaande beveiliging. Het vervangt de basisfuncties niet, maar maakt ze slimmer en actueler. Deze betaalde add-on biedt:

  • Real-time updates: Waar de standaard databases van UniFi periodiek updates krijgt, wordt CyberSecure continu voorzien van de nieuwste dreigingsinformatie. Deze databases worden actueel gehouden en gesynchroniseerd door CloudFlare en Proofpoint. Twee toonaangevende cybersecurity bedrijven.

  • Betere filtering: Dankzij een integratie met Cloudflare en Proofpoint krijg je toegang tot een veel uitgebreidere database van kwaadaardige websites en IP-adressen.​ Bovendien gebruiken de genoemde bedrijven daarvoor uitgebreide algoritme en detectiesystemen die te zwaar zijn om lokaal te draaien op je persoonlijke UniFi Gateway.

  • Minder valse meldingen: De detectie is nauwkeuriger, waardoor je minder snel onnodig gewaarschuwd wordt voor veilig verkeer.

De kosten van deze addon?

Deze aanvullende bescherming is helaas niet gratis. Dat komt doordat er gebruik wordt gemaakt van professionele services van Cloudflare en Proofpoint. De kosten verschillen tevens per UniFi Gateway. Dit komt doordat niet iedere gateway voldoende kracht heeft om de volledige veiligheidssuite te draaien. Je krijgt dus soms een 'uitgeklede' variant en betaalt daarvoor ook minder.

Voor bedrijven met een hoger risicoprofiel zijn er tevens uitgebreidere pakketten. Hiervoor dien je echter ook de 'Enterprise' varianten van een Gateway te hebben, zoals de Enterprise Fortress Gateway.

Reken op zo'n €120 per jaar. Of dat duur is? Een €10tje per maand voor professionele cybersecurity? Voor een consument voelt dat wellicht zwaar, voor een organisatie met enkele medewerkers is dat al snel velen malen voordeliger dan iedere andere vorm van (digitale) bescherming.

Een laatste advies

Maak altijd gebruik van een versleutelde VPN-verbinding via je UniFi Gateway, met name als je onderweg bent of thuis werkt. Iedereen binnen je organisatie kan hier gebruik van maken zodat iedere collega altijd via een versleutelde verbinding werkt en gebruik maakt van de veiligheidsfeatures van jou UniFi Gateway.

Professioneel netwerk.
Competitief geprijsd.

Vraag een offerte of bezichtiging aan.

Offerte aanvragen →
Stuur een WhatsApp
Aanleg datanetwerk

Het aanleggen van UTP-bekabeling naar alle benodigde locaties en werkplekken.

close up photography of mining rig
close up photography of mining rig
Montage van hardware

Het monteren van netwerkapparatuur zoals WiFi-punten, NAS-systemen en camera's.

Volledige configuratie van de software. Oók bij complexe vraagstukken.

Configuratie van software

Diensten

Bekijk meer diensten →

De Netwerkmonteur

De Netwerkmonteur is NEN4310 gecertificeerd.

Bedrijfsgegevens
info@denetwerkmonteur.nl
+31 6 51 72 23 26
Werkgebied: regio Noord-Brabant

KVK: 90463870
BTW: NL004818529B72

Bekijk de Algemene Voorwaarden van De Netwerkmonteur

© 2026. All rights reserved.

UniFi is een merknaam van Ubiquiti.
De Netwerkmonteur is geen eigenaar van het merk maar wél gespecialiseerd in producten van Ubiquiti.

Oplossingen

Voor bedrijven
Voor particulieren

Kennis

Handleidingen, tips en tricks
Wat is UniFi OS?