Hoe configureer je een firewall voor maritiem gebruik?
Stel je voor: je bent midden op de Noordzee, deklaag 15 meter hoge golven, en je hebt net een update binnengehaald voor je boorsysteem. Dan slaat het noodlot toe.
Een verkeerde firewallregel blokkeert alle communicatie met het moederschip. Je bent onzichtbaar voor de rest van de wereld.
In de offshore-industrie is een firewall niet zomaar een stukje software; het is het digitale hek om je installatie. Een verkeerd ingestelde firewall kan je miljoenen kosten. Hier lees je hoe je dat voorkomt.
Wat heb je nodig?
Voordat je begint, zorg dat je de juiste spullen bij de hand hebt.
Dit is niet het moment voor half werk. Je hebt een firewall nodig die tegen een stootje kan.
Denk aan een Fortinet FortiGate 100F (of zwaarder voor grote installaties) of een Palo Alto Networks PA-460. Deze modellen zijn gebouwd voor zware belasting en kunnen de specifieke maritieme protocollen aan. Reken op een investering van zo'n €4.000 tot €8.000 voor de hardware, afhankelijk van de doorvoersnelheid die je nodig hebt. Naast de firewall zelf heb je een laptop met een ethernetkabel (CAT6 of beter) nodig voor de initiële configuratie.
Zorg dat je de nieuwste firmware bij de hand hebt; download deze voor je aan boord gaat.
Een backup van de huidige configuratie is essentieel. Als je aan boord bent, is internet vaak schaars en duur. Een externe 4G/5G hotspot kan je redden als de hoofdverbinding uitvalt tijdens de setup.
Verzamel ook de specifieke netwerkdetails van je scheepsnetwerk. Je hebt de IP-adressen van je VoIP-telefoons, AIS-transponders en satellietverbindingen (VSAT) nodig.
Vraag deze op bij je netwerkbeheerder of kijk in de technische documentatie van je apparatuur.
Zonder deze info loop je vast.
Stap 1: De fysieke aansluiting en fabrieksreset
Begin bij het begin. Sluit je laptop aan op de 'mgmt' of 'port 1' poort van de FortiGate.
Standaard staat dit op 192.168.1.99. Zet je laptop op een vast IP in datzelfde subnet, bijvoorbeeld 192.168.1.50.
Open je browser en ga naar https://192.168.1.99. Je krijgt een waarschuwing voor het certificaat, dat is normaal. Klik door. Log in met de standaardgebruikersnaam 'admin' en het serialnummer dat op de sticker van het apparaat staat.
De eerste stap is een fabrieksreset om zeker te zijn dat je met een schone lei begint. Doe dit alleen als je zeker weet dat er geen bruikbare data op staat. In het dashboard ga je naar 'System' > 'Maintenance' en kies je voor 'Reset to factory defaults'. Het apparaat herstart. Dit duurt ongeveer 3 tot 5 minuten.
Veelgemaakte fout: Direct beginnen met regels maken zonder de fabrieksreset. Oude configuraties kunnen conflicteren.
Neem de tijd voor deze stap, het voorkomt hoofdpijn later.
Stap 2: De basisconfiguratie (WAN en LAN)
Nu de firewall schoon is, moet je hem vertellen wat internet is en wat je interne netwerk is. In de maritieme wereld is je 'WAN' (Wide Area Network) vaak je VSAT-verbinding, moderne satellietverbindingen of een 4G/5G failover.
Ga naar 'Network' > 'Interfaces'. Wijzig de interne interface (meestal port 2) naar 'LAN' en geef hem een IP-adres, bijvoorbeeld 10.10.10.1 met een subnetmasker van 255.255.255.0.
Dit is het hart van je schip. Sluit je interne switch aan op deze poort. Voor de WAN-interface (port 1 of 10) schakel je DHCP in of vul je het statische IP in dat je van je satellietprovider hebt gekregen.
Bij heavy-lift schepen is het vaak nodig om specifieke routes toe te voegen naar het netwerk van de kranen of ROV's (Remotely Operated Vehicles). Voeg deze toe onder 'Network' > 'Static Routes'. Zorg dat de gateway wijst naar je satellietmodem. Timing: Reken op 30 minuten voor deze stap. Controleer drie keer of je de juiste kabels gebruikt (WAN naar VSAT modem, LAN naar interne switch). Een verkeerde kabel betekent geen verbinding.
Stap 3: Firewall Policies - Veiligheid op maat
Hier gaat het om de kern van je veiligheid. Ga naar 'Policy & Objects' > 'Firewall Policy'.
Maak een regel voor intern naar extern (LAN to WAN). Sta alleen verkeer toe dat echt nodig is. Gebruik de 'Deep Inspection' om te kijken wat er in de data-pakketten zit.
Dit is cruciaal om malware te stoppen die via een USB-stick van een monteur aan boord is gekomen.
Maak specifieke regels voor je maritieme apparatuur. Bijvoorbeeld: Sta alleen IP-adres 10.10.10.50 (je AIS-transponder) toe om te communiceren met de juiste poorten op het internet. Maak een aparte regel voor je VoIP-telefoons. Geef ze Quality of Service (QoS) zodat ze altijd prioriteit krijgen boven andere data.
Niets is vervelender dan een haperend spraaksignaal tijdens een kraanoperatie. Wat blokkeren we standaard?
Poort 23 (Telnet) en poort 21 (FTP) zijn onveilig en mogen dicht. Blokkeer inkomend verkeer naar de firewall zelf, tenzij je expliciet een beheerregel aanmaakt die alleen toegang geeft vanaf het havennetwerk (bijvoorbeeld 192.168.100.x).
Stap 4: VPN en externe toegang
Veel schepen hebben een VPN nodig om veilig met kantoor te communiceren. Ga naar 'VPN' > 'IPsec Tunnels'. Kies voor een 'Site-to-Site' verbinding of een 'Remote Access' voor je technici.
Gebruik sterke encryptie; AES-256 is de standaard nu. De meeste offshore-operators gebruiken dit voor het overzetten van logbestanden, telemetriedata en het monitoren van vaargebieden via geofencing.
Voor de configuratie heb je de publieke IP van het kantoor of de VPN-clientsoftware nodig. De sleutel delen via email is onveilig.
Gebruik een versleutelde chat of deel het fysiek. Zodra de tunnel up is, test je hem direct. Probeer een interne server te pingen vanaf een laptop buiten het schipnetwerk.
Wil je werken in de cloud vanaf een schip? Zorg dan dat de verbinding stabiel is.
Tip: Als je VSAT traag is, zorg dan dat alleen essentiële data over de VPN gaat. Zet de 'Split Tunneling' optie aan, zodat internetverkeer niet eerst via kantoor gaat (wat latency verhoogt), maar direct via de VSAT.
Stap 5: Monitoren en Updaten
Een firewall instellen en vergeten is een recept voor rampen. Ga naar 'Dashboard' en kijk naar de 'Security Fabric' status.
Zie je rode waarschuwingen? Handel ze direct af. Zet automatische updates aan voor de antivirusdefinities en de intrusion prevention systemen (IPS).
Dit gebeurt meestal 's nachts als het schip minder data verbruikt. Controleer wekelijks de logs.
Zoek naar ongebruikelijke verbindingen. Zie je dat een van de ROV's ineens verbinding maakt met een server in Rusland? Dat is een rode vlag. Stel e-mailnotificaties in voor kritieke gebeurtenissen, zodat je direct gewaarschuwd wordt, zelfs als je niet aan boord bent.
Timing: Plan wekelijks 15 minuten in voor een log-check. Plan maandelijks 1 uur voor het testen van failover scenario's (wat als de satelliet eruit ligt, neemt de 4G het over?).
Verificatie-checklist
Voordat je het schip verlaat of de boel online zet, loop deze lijst na. Niets is zo pijnlijk als een maand later pas ontdekken dat je data lekt.
- Connectiviteit: Werkt internet op alle VLAN's? (Test vanaf een PC op het dek en in de machinekamer).
- VoIP: Is de spraakkwaliteit helder? Zijn de prioriteitsregels (QoS) actief?
- AIS/Inmarsat: Zenden de navigatiesystemen correct data uit? Zijn de juiste poorten open?
- VPN: Is de tunnel stabiel? Kun je bij de benodigde bestanden op kantoor?
- Blokkades: Probeer verbinding te maken met poort 23 (Telnet). Dit moet falen (connection refused).
- Firmware: Draai je de nieuwste stabiele versie? Check dit in het FortiGuard portaal.
Als je alles met 'ja' kunt beantwoorden, ben je klaar. Je digitale veiligheid is nu op orde voor de zware taak die voor je ligt. Veilige vaart.