OSI model

Het OSI model, voluit het Open Systems Interconnection model, is een conceptueel referentiemodel dat beschrijft hoe verschillende systemen met elkaar communiceren over een netwerk. Het model verdeelt netwerkcommunicatie in zeven afzonderlijke lagen, elk met een eigen functie en verantwoordelijkheid. Het is ontwikkeld door de International Organization for Standardization (ISO) in de jaren tachtig en vormt tot op de dag van vandaag de standaard waarmee netwerkprofessionals en beveiligingsspecialisten communicatieprocessen analyseren en begrijpen.

De zeven lagen van het OSI model zijn, van onder naar boven: de fysieke laag (laag 1), de datalinklaag (laag 2), de netwerklaag (laag 3), de transportlaag (laag 4), de sessielaag (laag 5), de presentatielaag (laag 6) en de applicatielaag (laag 7). Elke laag communiceert met de laag direct erboven en eronder, en elke laag heeft specifieke protocollen en standaarden die bepalen hoe data wordt verwerkt, verpakt en verzonden.

Waarom belangrijk

Het OSI model is een onmisbaar instrument voor cybersecurityprofessionals omdat het helpt bij het systematisch analyseren waar beveiligingsrisico's zich bevinden. Elke laag van het model heeft eigen kwetsbaarheden en vereist eigen beveiligingsmaatregelen. Door het model als analysekader te gebruiken, kun je vaststellen op welke laag een aanval plaatsvindt en welke verdedigingsmaatregelen daar effectief zijn.

Op de fysieke laag (laag 1) gaat het om de beveiliging van kabels, switches en andere hardware. Een aanvaller die fysiek toegang heeft tot netwerkapparatuur kan verkeer aftappen of apparaten manipuleren. Op de datalinklaag (laag 2) zijn aanvallen mogelijk via MAC-spoofing of ARP-poisoning, waarbij een aanvaller zich voordoet als een ander apparaat op het netwerk.

De netwerklaag (laag 3) is het domein van IP-gebaseerde aanvallen, waaronder DDoS-aanvallen en IP-spoofing. Op de transportlaag (laag 4) kunnen aanvallers misbruik maken van kwetsbaarheden in TCP en UDP, bijvoorbeeld via SYN-flood aanvallen. De sessielaag (laag 5) is kwetsbaar voor session hijacking, waarbij een aanvaller een bestaande sessie overneemt.

Op de presentatielaag (laag 6) speelt encryptie een centrale rol. Zwakke of ontbrekende versleuteling op deze laag maakt het mogelijk om data te onderscheppen en te lezen. De applicatielaag (laag 7) is waar de meeste webgebaseerde aanvallen plaatsvinden, waaronder SQL-injectie, cross-site scripting en de kwetsbaarheden die worden beschreven in de OWASP top 10.

Hoe toepassen

Gebruik het OSI model als checklist bij het ontwerpen van een defense-in-depth strategie. Loop elke laag systematisch af en identificeer welke beveiligingsmaatregelen je hebt geimplementeerd en waar hiaten zitten. Een robuuste beveiligingsarchitectuur heeft maatregelen op meerdere lagen, zodat het falen van een beveiliging op een laag wordt opgevangen door maatregelen op andere lagen.

Op de fysieke laag implementeer je toegangscontrole tot serverruimten, beveiligde bekabeling en fysieke beveiliging van netwerkapparatuur. Op de datalinklaag configureer je port security op switches, implementeer je 802.1X netwerktoegangcontrole en monitor je op verdachte MAC-adressen. Op de netwerklaag zet je firewalls in, configureer je netwerksegmentatie en implementeer je intrusion detection systemen.

Op de transportlaag zorg je voor TLS-versleuteling van alle datatransport en configureer je rate limiting om volumetrische aanvallen te beperken. Op de sessielaag implementeer je veilig sessiebeheer met time-outs, unieke sessie-tokens en bescherming tegen session fixation. Op de presentatielaag dwing je sterke encryptiestandaarden af en zorg je ervoor dat verouderde protocollen worden uitgeschakeld.

Op de applicatielaag implementeer je input-validatie, output-encoding, sterke authenticatie en autorisatie. Gebruik een Web Application Firewall (WAF) als aanvullende verdedigingslaag en voer regelmatig vulnerability scans en penetratietests uit om kwetsbaarheden op applicatieniveau te detecteren.

Bij het analyseren van beveiligingsincidenten biedt het OSI model een gestructureerd kader om te bepalen op welke laag de aanval heeft plaatsgevonden. Dit helpt bij het identificeren van de oorzaak, het selecteren van de juiste respons en het implementeren van gerichte verbetermaatregelen. Documenteer bij elk incident op welke OSI-laag de aanval zich afspeelde en welke controles hebben gefaald.

In de praktijk

Een bedrijf wordt getroffen door een man-in-the-middle aanval waarbij een aanvaller het netwerkverkeer tussen medewerkers en een interne applicatie onderschept. Het beveiligingsteam analyseert het incident met behulp van het OSI model en stelt vast dat de aanval plaatsvond op laag 2 (ARP-spoofing) en laag 4 (ontbrekende TLS-versleuteling). Door Dynamic ARP Inspection op switches te activeren (laag 2) en TLS af te dwingen voor alle interne applicaties (laag 4), worden beide aanvalsvectoren gedicht.

Een cloudprovider ontwerpt zijn beveiligingsarchitectuur op basis van het OSI model. Voor elke laag worden specifieke controls gedefinieerd: fysieke beveiliging van datacenters (laag 1), microsegmentatie van virtuele netwerken (laag 2-3), versleuteld transport tussen zones (laag 4), sessiemanagement met korte time-outs (laag 5), end-to-end encryptie (laag 6) en een WAF voor klantapplicaties (laag 7). Deze gelaagde aanpak zorgt ervoor dat een kwetsbaarheid op een laag niet automatisch leidt tot een volledig compromis.

Een overheidsorganisatie voert een netwerkaudit uit waarbij het OSI model als toetsingskader wordt gebruikt. De audit brengt aan het licht dat de beveiliging op laag 1 en 2 goed is ingericht, maar dat op laag 3 verouderde firewallregels staan die onnodig verkeer toelaten. Op laag 7 worden meerdere applicaties gevonden die geen adequate input-validatie toepassen. Het auditrapport bevat per laag aanbevelingen voor verbetering, wat het beveiligingsteam een helder stappenplan geeft.

Een managed security dienstverlener gebruikt het OSI model om zijn dienstverlening te structureren. Klanten kunnen per laag beveiligingsdiensten afnemen: netwerkmonitoring op laag 3-4, endpointbeveiliging op laag 7, of een volledig beheerde security stack over alle zeven lagen. Deze aanpak maakt het voor klanten inzichtelijk welke lagen gedekt zijn en waar eventuele hiaten zitten.

Veelgestelde vragen

Wordt het OSI model nog steeds gebruikt in de praktijk?

Ja, het OSI model is nog steeds het meest gebruikte referentiemodel voor het begrijpen en analyseren van netwerkcommunicatie. Hoewel het TCP/IP-model in de praktijk de basis vormt voor internetcommunicatie, wordt het OSI model breed gebruikt als analytisch en educatief kader, met name in cybersecurity.

Wat is het verschil tussen het OSI model en het TCP/IP-model?

Het TCP/IP-model heeft vier lagen in plaats van zeven: netwerktogang, internet, transport en applicatie. Het is een praktischer model dat direct aansluit bij hoe het internet werkt. Het OSI model is gedetailleerder en wordt vooral gebruikt als conceptueel kader voor analyse en communicatie. In de praktijk worden beide modellen naast elkaar gebruikt.

Op welke OSI-laag vinden de meeste aanvallen plaats?

De meeste moderne cyberaanvallen richten zich op laag 7, de applicatielaag. Dit komt doordat webapplicaties de meest zichtbare en toegankelijke onderdelen van de IT-infrastructuur zijn. Aanvallen op lagere lagen, zoals DDoS-aanvallen op laag 3-4, komen ook regelmatig voor maar vereisen vaak meer technische kennis of middelen.

Hoe helpt het OSI model bij het kiezen van beveiligingsoplossingen?

Door je huidige beveiligingsmaatregelen per OSI-laag in kaart te brengen, identificeer je snel waar hiaten zitten. Een firewall beschermt vooral op laag 3-4, een WAF op laag 7, encryptie op laag 4-6. Het model helpt je om een gebalanceerde beveiligingsarchitectuur samen te stellen die op elke laag adequate bescherming biedt.

Gebruik het OSI model als basis voor een gelaagde beveiligingsstrategie. Vergelijk cybersecurityoplossingen per beveiligingslaag op IBgidsNL.