Uw bedrijf heeft een firewall. Waarschijnlijk zelfs een goed merk. Maar uit jarenlange ervaring met infrastructure audits weten onze pentesters dat de firewall zelf zelden het probleem is. Het probleem zit in hoe hij is ingesteld. Volgens onderzoek van Gartner worden 95% van alle firewall-inbreuken veroorzaakt door configuratiefouten, niet door tekortkomingen in de technologie zelf. Dat is een ontnuchterende vaststelling, maar ook een geruststellende: configuratiefouten zijn aanpasbaar.
Bij Cyberplan voeren we dagelijks audits en penetratietesten uit bij Vlaamse bedrijven. En de patronen die we tegenkomen, zijn opvallend herkenbaar. In dit artikel delen we de vijf firewall configuratie fouten die we het vaakst aantreffen, zodat u kunt controleren of uw eigen netwerk er ook last van heeft.
Waarom firewall configuratie fouten zo hardnekkig zijn
Het cijfer van 80% klinkt hoog, maar is niet verrassend als je weet hoe bedrijfsnetwerken de afgelopen jaren zijn geëvolueerd. Waar een firewall tien jaar geleden een relatief eenvoudige poortwachter was, moet diezelfde firewall vandaag navigeren door hybride omgevingen, cloudplatformen, VPN-verbindingen voor thuiswerkers en een groeiend aantal applicaties.
Die complexiteit maakt fouten onvermijdelijk. Zeker als de persoon die de firewall configureert een IT-generalist is met twintig andere taken op het bord. Daar komt nog bij dat configuraties na verloop van tijd “afdrijven”: er worden tijdelijke regels aangemaakt die nooit worden opgeruimd, firmware-updates worden uitgesteld, en documentatie raakt achterhaald. Onze pentesters noemen dat regelmatig het “vergeten-maar-niet-verdwenen” probleem.
Fout 1: te ruime toegangsregels in uw firewall
De meest voorkomende firewall configuratie fout die we tegenkomen, is het gebruik van te brede “allow”-regels. In de praktijk ziet dat er zo uit: tijdens een implementatie of een storingsmoment wordt snel een regel aangemaakt die “alles toelaat” om het probleem op te lossen. Begrijpelijk in het moment, maar die tijdelijke regel wordt bijna altijd vergeten.
Het resultaat? Zodra een aanvaller één apparaat in het netwerk compromitteert, kan die zich vrijwel ongehinderd verplaatsen naar andere systemen. Bij een recente audit troffen we een regel aan die al drie jaar actief was en intern verkeer volledig openliet tussen het kantoornetwerk en de productieomgeving.
De oplossing: werk volgens het “default-deny” principe. Blokkeer standaard alles en sta alleen expliciet gedocumenteerd verkeer toe. Audit uw regelset minstens elk kwartaal om zogenaamde “zombieregels” te identificeren en te verwijderen.
Fout 2: standaard wachtwoorden en onbeveiligde beheerinterfaces
Het klinkt als een beginnersfout, maar onze pentesters treffen het bij bijna vier op de tien bedrijven aan: de beheerinterface van de firewall is bereikbaar vanaf het internet, soms nog met het standaard wachtwoord. Bij een penetratietest zien we dan dat een ethische hacker in sommige gevallen binnen enkele uren volledige controle over het netwerk kan krijgen, simpelweg door in te loggen op de firewall.
De recente golf van SonicWall-incidenten illustreert dit probleem pijnlijk. In 2025 bleken configuratiebestanden en wachtwoorden van duizenden firewalls toegankelijk voor aanvallers, niet door een technologische zwakte, maar doordat wachtwoorden na een migratie niet waren gewijzigd. De Akira ransomware-groep maakte hier actief gebruik van.
De oplossing: beveilig de beheerinterface door deze enkel bereikbaar te maken via het interne netwerk of een beveiligde VPN. Gebruik sterke, unieke wachtwoorden en activeer multi-factor authenticatie (MFA) voor elke beheerder. En deel beheerdersaccounts nooit tussen meerdere personen: dat maakt niet alleen uw firewall kwetsbaarder, maar ook forensisch onderzoek na een incident vrijwel onmogelijk.
Fout 3: ontbrekende netwerksegmentatie als configuratiefout
Veel bedrijven werken nog met een zogenaamd “plat” netwerk: zodra je voorbij de firewall bent, kan alles met alles communiceren. De laptop van marketing kan rechtstreeks bij de financiële database, de printer staat op hetzelfde netwerk als de productielijn.
Bij een ransomware-aanval is dat een ramp. De malware hoeft maar één apparaat te infecteren en kan zich razendsnel verspreiden naar de rest van het netwerk. De aanvallen op Duvel Moortgat en TVH hebben aangetoond hoe snel een bedrijf volledig kan stilvallen als segmentatie ontbreekt.
De oplossing: verdeel uw netwerk in zones met behulp van VLAN’s en interne firewallregels. Scheid minstens uw kantooromgeving, productieomgeving, gastennetwerk en servers. Op die manier beperkt u de schade als er toch een incident plaatsvindt. Meer hierover leest u in onze gids over netwerksegmentatie in de praktijk.
Fout 4: verouderde firmware en ongepatchte systemen
Firewalls draaien op software, en die software bevat kwetsbaarheden. Fabrikanten brengen regelmatig updates uit om bekende lekken te dichten, maar in de praktijk stellen veel bedrijven die updates maanden of zelfs jaren uit. Aanvallers hoeven geen geavanceerde technieken te gebruiken: ze zoeken simpelweg naar firewalls met bekende, al lang gepubliceerde kwetsbaarheden.
Bovendien worden verouderde protocollen zoals Telnet en SMBv1 nog regelmatig toegelaten op firewalls, terwijl die protocollen geen encryptie gebruiken. Een aanvaller die toegang heeft tot het netwerk kan dan simpelweg meekijken met het verkeer.
De oplossing: plan firmware-updates minstens elk kwartaal in en abonneer u op de beveiligingsadviezen van uw firewall-fabrikant. Schakel verouderde protocollen uit en vervang ze door moderne, versleutelde alternatieven.
Fout 5: uitgeschakelde logging en monitoring
Een firewall kan alleen beschermen wat hij kan rapporteren. Toch schakelen veel bedrijven logging uit om schijfruimte te besparen, of bekijken de logs simpelweg nooit. Dat betekent dat waarschuwingssignalen, zoals herhaalde inlogpogingen vanuit onbekende landen of verdachte poortscans, volledig onopgemerkt blijven.
Zonder centrale monitoring via een SIEM-systeem (Security Information and Event Management) duurt het gemiddeld meer dan 180 dagen om een inbraak via een configuratiefout te detecteren. Dat is bijna een half jaar waarin aanvallers ongestoord toegang hebben tot uw bedrijfsomgeving.
De oplossing: zorg dat logging actief staat op uw firewall en dat de logs regelmatig worden geanalyseerd. Overweeg een SIEM-oplossing die logs van uw firewall, endpoints en cloudomgeving centraal verzamelt en correleert. Zo detecteert u aanvallen vroegtijdig in plaats van achteraf.
Vlaamse KMO’s lopen extra risico
De cijfers liegen niet: 46% van de Vlaamse bedrijven kreeg in 2024 te maken met een cyberaanval, en bij bijna 1 op de 10 was die aanval ook effectief succesvol. Belgische organisaties worden gemiddeld 1.249 keer per week aangevallen, een verdubbeling ten opzichte van vijf jaar geleden. En de gemiddelde kost van een cyberaanval voor een KMO? Volgens het Verbond van Belgische Ondernemingen is dat 1,2 miljoen euro per incident.
Veel KMO’s vertrouwen op een externe IT-partner voor hun netwerkbeheer. Dat is begrijpelijk, maar die IT-partner richt zich vaak op functionaliteit en uptime, niet op diepgaande security. Het gevolg is een vertrouwenskloof: u denkt dat de beveiliging geregeld is, terwijl de basis onvoldoende is gecontroleerd. Een onafhankelijke audit brengt die blinde vlekken aan het licht.
Laat uw firewall configuratie controleren
De fouten in dit artikel zijn stuk voor stuk herkenbaar en oplosbaar. Maar ze vereisen wel een getrainde blik. Onze OSCP-gecertificeerde pentesters werken dagelijks samen met IT-teams van Vlaamse bedrijven om exact dit soort kwetsbaarheden op te sporen en aan te pakken, zonder de dagelijkse werking te verstoren.
Wist u dat u via de KMO-portefeuille tot 45% subsidie kunt krijgen op een cybersecurity audit? Voor middelgrote ondernemingen is dat 35%. Een firewall audit is vaak een uitstekend startpunt om te weten waar u staat.
Benieuwd hoe uw firewall er écht voorstaat? Boek een vrijblijvend gesprek met een van onze security-experts.
Veelgestelde vragen over firewall configuratie fouten
Hoe weet ik of mijn firewall correct geconfigureerd is?
De enige betrouwbare manier is een onafhankelijke audit door een gespecialiseerde partij. Uw IT-team kan een eerste check doen op standaard wachtwoorden, open poorten en verouderde firmware, maar een professionele pentest gaat veel dieper en simuleert een echte aanval.
Hoe vaak moet ik mijn firewall regels controleren?
Wij raden aan om minimaal elk kwartaal een review te doen van uw firewallregels. Daarnaast is het verstandig om na elke grote wijziging in uw netwerk, zoals een cloudmigratie of een fusie, de configuratie opnieuw te laten beoordelen.
Wat kost een firewall audit voor een KMO?
De kosten variëren afhankelijk van de complexiteit van uw netwerk. Via de VLAIO KMO-portefeuille krijgen kleine ondernemingen 45% subsidie en middelgrote ondernemingen 35% op cybersecurity-adviesdiensten. Neem contact op voor een inschatting op maat.
Zijn cloudgebaseerde firewalls veiliger dan fysieke firewalls?
Niet per se. Cloudgebaseerde firewalls zijn onderhevig aan dezelfde configuratiefouten als fysieke firewalls. In cloudomgevingen komt daar nog een extra risico bij: de verantwoordelijkheid voor de configuratie wordt gedeeld tussen u en de cloudprovider, wat tot onduidelijkheid kan leiden over wie wat beveiligt.
Voldoet mijn bedrijf aan NIS2 als mijn firewall goed geconfigureerd is?
Een correct geconfigureerde firewall is een basisvoorwaarde, maar NIS2-compliance omvat veel meer: risicoanalyse, incidentmeldingen, supply chain security en aantoonbaar beleid. Een firewall audit is vaak een goede eerste stap richting volledige compliance.
