Veel bedrijven denken dat DNS-filtering voldoende is voor netwerkbeveiliging. Maar DNS is slechts het begin. Echte bescherming vereist meerdere lagen: van DNS tot TLS-inspectie, bestandsfiltering en applicatieherkenning. In dit artikel leg ik uit waarom CleanInternet.nl verder gaat dan de concurrentie.
Waarom DNS-filtering niet genoeg is
DNS-filtering is krachtig. Het blokkeert toegang tot kwaadaardige domeinen voordat de verbinding tot stand komt. Maar het heeft beperkingen:
- Versleuteld verkeer — DNS ziet niet wat er in HTTPS-verkeer gebeurt
- IP-gebaseerde aanvallen — Malware die direct naar IP-adressen verbindt omzeilt DNS
- Legitieme domeinen — Phishing-sites op gecompromitteerde legitieme domeinen worden gemist
- Bestandsoverdracht — Kwaadaardige bestanden via legitieme diensten (Dropbox, WeTransfer) gaan door
Daarom biedt CleanInternet.nl diepgaande inspectie op meerdere niveaus.
Laag 1: DNS-filtering (de basis)
DNS-filtering is de eerste verdedigingslinie. Bij CleanInternet.nl blokkeren we:
- Malware-domeinen (phishing, ransomware, trojans)
- Command & Control (C2) servers
- Cryptomining-sites
- Nieuw geregistreerde domeinen (vaak gebruikt voor aanvallen)
- DGA-gegenereerde domeinen (Domain Generation Algorithms)
Dit gebeurt voordat de verbinding tot stand komt. Snel, efficiënt, en zonder impact op je bandbreedte.
Laag 2: TLS-inspectie (versleuteld verkeer)
Hier wordt het interessant. 90% van het internetverkeer is versleuteld via HTTPS/TLS. Dat is goed voor privacy, maar slecht voor beveiliging — malware verstopt zich in versleuteld verkeer.
CleanInternet.nl biedt optionele TLS-inspectie:
- Man-in-the-middle (gecontroleerd) — We ontsleutelen verkeer, inspecteren het, en versleutelen het opnieuw
- Certificaatvalidatie — Detecteert vervalste certificaten
- Malware-detectie in HTTPS — Blokkeert kwaadaardige payloads die via HTTPS binnenkomen
- Data Loss Prevention (DLP) — Voorkomt dat gevoelige data via versleutelde kanalen weglekt
Let op: TLS-inspectie vereist een bedrijfscertificaat op endpoints. Niet geschikt voor alle scenario's, maar essentieel voor hoogbeveiligde omgevingen (zorg, overheid, financieel).
Laag 3: Applicatieherkenning (deep packet inspection)
Niet alle applicaties zijn wat ze lijken. Een medewerker kan ChatGPT gebruiken via een browser, Tor draaien op poort 443, of bestanden uploaden naar een onbekende cloud-dienst.
CleanInternet.nl herkent meer dan 1000 applicaties op netwerkniveau:
- AI-tools — ChatGPT, Gemini, Claude, Copilot
- Social media — Facebook, Instagram, TikTok, LinkedIn
- File sharing — Dropbox, WeTransfer, Google Drive
- Remote access — TeamViewer, AnyDesk, RDP
- Anonymizers — Tor, VPN-diensten, proxies
Je kunt per applicatie of categorie blokkeren. Bijvoorbeeld: "Blokkeer alle AI-tools behalve Microsoft Copilot" of "Sta social media alleen toe tijdens pauzes".
Laag 4: Bestandsfiltering (content inspection)
Malware komt vaak binnen via bestanden: .exe, .zip, .pdf, .docx. CleanInternet.nl inspecteert bestandstypen en blokkeert verdachte uploads/downloads:
- Executables — .exe, .msi, .bat, .ps1 (tenzij whitelisted)
- Scripts — .js, .vbs, .sh (vaak gebruikt voor malware)
- Archieven — .zip, .rar met verdachte inhoud
- Macro-documenten — Office-bestanden met actieve macros
Dit voorkomt dat ransomware via een "factuur.pdf.exe" binnenkomt.
Laag 5: Gedragsanalyse (anomaly detection)
De meest geavanceerde laag: gedragsanalyse. CleanInternet.nl monitort netwerkpatronen en detecteert afwijkingen:
- Ongebruikelijke DNS-queries — Duizenden queries naar random domeinen (DGA-malware)
- Data exfiltratie — Grote uploads naar onbekende servers
- Lateral movement — Interne scans na een compromis
- Beaconing — Regelmatige verbindingen naar C2-servers
Dit detecteert zero-day aanvallen die nog niet in databases staan.
Waarom dit belangrijk is voor jouw bedrijf
Traditionele internetproviders bieden alleen connectiviteit. Antivirus op endpoints is reactief. CleanInternet.nl biedt proactieve bescherming op netwerkniveau:
Voorbeeld: Een medewerker klikt op een phishing-link. Bij een normale provider:
- De malware download start
- Antivirus detecteert het (hopelijk)
- Schade is al aangericht
Bij CleanInternet.nl:
- DNS-filter blokkeert het domein
- TLS-inspectie detecteert de payload
- Bestandsfilter blokkeert de download
- De malware bereikt je netwerk nooit
Voor welke sectoren is dit essentieel?
Diepgaande beveiliging is niet voor iedereen nodig. Maar voor deze sectoren is het onmisbaar:
- Zorg — AVG, NIS2, patiëntgegevens
- Onderwijs — Bescherming van minderjarigen, AVG-leerlinggegevens
- Overheid — BIO-compliance, staatsgeheimen
- Financieel — PCI-DSS, fraudepreventie
- MKB met gevoelige data — Bedrijfsgeheimen, klantgegevens
Hoe werkt het in de praktijk?
Bij CleanInternet.nl configureer je alles via een webportal:
- Kies je beveiligingsprofiel — Standaard, Security+, Content Filter, of Custom
- Selecteer modules — TLS-inspectie, App-filter, Bestandsfiltering
- Stel regels in — Whitelist/blacklist, tijdschema's, uitzonderingen
- Monitor realtime — Dashboard met geblokkeerde dreigingen, top-apps, verkeer
Geen hardware nodig. Geen complexe configuratie. Gewoon veilig internet.
Conclusie: beveiliging is meer dan DNS
DNS-filtering is een goede start. Maar echte bescherming vereist diepgaande inspectie op meerdere lagen. CleanInternet.nl biedt dat — zonder dat je zelf een security-expert hoeft te zijn.
Wil je weten of CleanInternet.nl beschikbaar is op jouw adres? Check het hieronder.
