show lldp neighbors

Om te zien of de poort trunk of access is doe je:

show int .. (gig0/1) switchport en dan moet je kijken bij
operational mode

show int... trunk
Doel: Toont informatie over de trunk-status van een specifieke interface, inclusief de encapsulatie en de geconfigureerde VLAN's

tekening maak je met de info uit
1000Mbps

om ssh te checken op elk apparaat ga je naar cli
en dan doe je ssh -1 admin (NIET 1 MAAR L)
ssh -l admin (ip adres)

ddd

belangrijke info:

alle pc's op dhcp zetten
netwerkbeheer pc 2x ip adres geven en een dns
ip routing bij ospf

-router vervangen
en
show ip interface brief
Verbinding tussen router en mls
en
conf t
int gig0/1
ip address 172.16.0.1 255.255.0.0 (staat in opdracht)
no shutdown

no shutdown is dus shutdown uitzetten en daardoor gaat die aan

voor de verbinding tussen router en cable modem moet je dus ip adres geven via isp (dhcp)
en
conf t
int gig0/01
no shutdown
ip address dhcp

djdjdj

Uitwerking met de command lines:

1. VLAN-database aanmaken in DC1;

DC1(config)#vlan 10

DC1(config-vlan)#name xxx

DC1(config)#Vlan 20

DC1(config-vlan)#name AfterSales

DC1(config-vlan)#Vlan 30

DC1(config-vlan)#nam PreSales

DC1(config-vlan)#vlan 40

DC1(config-vlan)#name Printer

DC1(config-vlan)#vlan 50

DC1(config-vlan)#name Directie

DC1(config-vlan)#vlan 60

DC1(config-vlan)#name Guest

DC1(config-vlan)#vlan 75

DC1(config-vlan)#name xxx

1. VTP configureren op de switches;

DC1(config)#vtp domain Singularity.nl

Changing VTP domain name from NULL to Singularity.nl

DC1(config)#vtp mode server

AS3(config)#vtp domain Singularity.nl

Changing VTP domain name from NULL to Singularity.nl

AS3(config)#vtp mode client

AS3#show vtp status

1. Trunkpoorten aanbrengen tussen de switches (let ook op de redundante verbindingen);

DC1(config)#interface range g1/1/2-4

DC1(config-if-range)#switchport mode trunk

1. Spanning Tree Root bridge en priority instellingen aanbrengen;

DC1(config)#spanning-tree vlan 1-1000 priority 0

AS3(config)#spanning-tree vlan 1-1000 priority 8192

1. Poorten indelen en Access VLAN’s aanmaken;

EdgeRouter(config)#interface g0/0

EdgeRouter(config-if)#ip address dhcp

EdgeRouter(config)#interface g0/1

EdgeRouter(config-if)#ip address 172.16.0.1 255.255.255.0

DC1(config)#interface g1/0/24

DC1(config-if)#switchport access vlan 75

DC1(config)#interface vlan 75

DC1(config-if)#ip ad 172.16.75.1 255.255.255.0

DC1(config)#interface g1/1/1

DC1(config-if)#no switchport

DC1(config-if)#ip ad 172.16.0.2 255.255.255.0

AS1(config)#interface range f0/1-10

AS1(config-if-range)#switchport access vlan 10

AS1(config-if-range)#interface range f0/11-20

AS1(config-if-range)#switchport access vlan 20

AS1(config-if-range)#interface f0/21

AS1(config-if)#switchport access vlan 60

AS1(config)#interface vlan 10

AS1(config-if)#ip address 172.16.10.1 255.255.255.0

AS1(config-if)#interface vlan 20

AS1(config-if)#ip address 172.16.20.1 255.255.255.0

Cdd

AS2(config)#interface range f0/1-10

AS2(config-if-range)#switchport access vlan 30

AS2(config-if-range)#switchport access vlan 30

AS2(config-if-range)#interface range f0/11-20

AS2(config-if-range)#switchport access vlan 20

AS2(config-if-range)#interface f0/21

AS2(config-if)#switchport access vlan 40

AS3(config)#interface range f0/1-10

AS3(config-if-range)#switchport access vl

AS3(config-if-range)#switchport access vlan 30

AS3(config-if-range)#interface range f0/11-20

AS3(config-if-range)#switchport access vlan 50

1. VLAN Gateways configureren op de DC1;

DC1(config)#interface vlan 10

DC1(config-if)#ip address 172.16.10.1 255.255.255.0

DC1(config-if)#interface vlan 20

DC1(config-if)#ip address 172.16.20.1 255.255.255.0

DC1(config-if)#interface vlan 30

DC1(config-if)#ip address 172.16.30.1 255.255.255.0

DC1(config-if)#interface vlan 50

DC1(config-if)#ip address 172.16.50.1 255.255.255.0

DC1(config-if)#interface vlan 60

DC1(config-if)#ip address 172.16.60.1 255.255.255.0

1. DHCP-pools maken op DC1. Vergeet niet Gateway en DNS adres automatisch mee te geven;

DC1(config)#ip dhcp pool xxx

DC1(dhcp-config)#network 172.16.10.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.10.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(config)#ip dhcp pool AfterSales

DC1(dhcp-config)#network 172.16.20.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.20.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(dhcp-config)#ip dhcp pool Pre-Sales

DC1(dhcp-config)#network 172.16.30.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.30.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(dhcp-config)#ip dhcp pool Directie

DC1(dhcp-config)#network 172.16.50.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.50.1

DC1(dhcp-config)#dns-server 180.115.0.6

DC1(dhcp-config)#ip dhcp pool Guest

DC1(dhcp-config)#network 172.16.60.0 255.255.255.0

DC1(dhcp-config)#default-router 172.16.60.1

DC1(dhcp-config)#dns-server 180.115.0.6

1. Configureer statische IP-adressen op de printer in SER B en de beheer PC in de MER.

1. Configureer de wifi-instellingen in het Access Point en de Wireless laptop;

1. Breng de Access-list aan op de DC1, zodat er vanuit VLAN 60 (Guest) alleen toegang is tot het Internet en niet tot andere VLAN’s. Test dit hier eerst op het LAN;

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255

DC1(config)#access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255

DC1(config)#access-list 101 permit ip any any

DC1(config)#interface vlan 60

DC1(config-if)#ip access-group 101 in

1. Configureer de connectie tussen de router en de DC1. Let op, dit is een apart netwerk. Maak van poort 1/1/1 een router poort;

1. Configureer OSPF op de Edge Router en DC1;
2. Configureer de Wan poort van de router (koppeling met ISP);
3. Configureer NAT translatie op de Edge-router.
4. Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch.

AS1(config)#interface vlan 75

AS1(config-if)#ip address 172.16.75.2 255.255.255.0

AS2(config)#interface vlan 75

AS2(config-if)#ip address 172.16.75.3 255.255.255.0

AS3(config)#interface vlan 75

AS3(config-if)#ip address 172.16.75.4 255.255.255.0

AS1(config)#hostname AS1

AS1(config)#ip domain-name Singularity.nl

AS1(config)#crypto key generate rsa

How many bits in the modulus [512]: 2048

AS1(config)#ip ssh versi

AS1(config)#ip ssh version 2

AS1(config)#username xxx password xxx

AS1(config)#line vty 0 4

AS1(config-line)#transport input ssh

AS1(config-line)#login local

AS1(config-line)#exit

AS1(config)#do wr

Building configuration...

[OK]

AS1(config)#enable password xxx

VLAN-data base aanmaken in DC1 (Multilayer switch). 

• Pak “VLAN plan/IP plan” in Bijlage B. 
• Open DC1 (Multilayer Switch) en maak vlan’s. Voor elke vlan moet je dit typen. 
• Commands: 
• en 
• conf t 

• vlan (nummer) 
• name (naam van de vlan) 
• ip address (ip) (subnetmask) - .3 
• do wr 
• ex 

• Doe dit voor elke VLAN die op lijst staat. 

1. VTP configureren op de switches. 

• Pak je “VTP kenmerken” in Bijlage B. 
• Open DC 1. 
• Commands : 
• vtp domain (domain naam) 

• vtp mode server 
• do wr 
• ex 

• Open AS 1 t/m 3. 
• Commands: 
• vtp domain Singularity.nl 
• vtp mode client 
• do wr 

• ex 

1. Trunkpoorten aanbrengen tussen de switches (let ook op de redundante verbindingen). 

• In Packet Tracer ga naar preferences en enable optie “Always show port labels in Logical Workspace”. 
• In DC1: 
• Commands: 

-int range (interface) 

-switchport mode trunk 

-switchport trunk allowed vlan all 

-do wr 

-ex 

• In AS1 t/m AS3: 

• Commands: 

-int range (inferface) 

-switchport mode trunk 

-do wr 

-ex 

1. Spanning Tree Root bridge en priority instellingen aanbrengen. 

• Kijk naar “Switch Redundancy/Spanning Tree Priority” in Bijlage B. 

• In DC1 en AS 1 t/m 3: 
• Commands: 
• spanning-tree vlan (nummer) 
• spanning-tree vlan (nummer) priority (nummer) 
• do wr 

• ex 

Bij DC1 in plaats van priority moet je typen. 

• Spanning-tree vlan (nummer) root primary. 

1. Poorten indelen en Access VLAN’s aanmaken. 

• Pak “Poortindeling” in Bijlage B. 
• Poorten indelen met Copper Staight-Through cable. 
• In DC1 en AS 1 t/m: 

• Commands: 
• Conf t 
• Int gig(nummer) 
• Switchport mode access 
• Switchport access vlan(nummer) 

• Do wr 
• Ex 

• Doe dit voor elke Interface die je hebt gekkopelt. 

1. VLAN Gateways configureren op de DC1. 

• Pak “DHCP-server” lijst in Bijlage B. 
• Open DC1: 
• Commands: 
• int vlan(nummer) 
• ip default-gateway (gateway ip)(subnetmask) 

• no shutdown 
• do wr 
• ex 

• Doe dit voor elke VLAN die op lijst staat. 

1. DHCP-pools maken op DC1. Vergeet niet Gateway en DNS adres automatisch mee te geven. 

• Pak “DHCP-server” lijst in Bijlage B. 
• Open DC1: 
• Commands: 

• Conf t 
• Ip dhcp pool vlan(nummer) 
• network (netwerk) (subnetmask) 
• default-router (gateway) 
• dns (nummer) 

• ip dhcp excluded-address (excluded ip-address) 
• do wr 
• ex 

• Doe dit voor elke VLAN die op lijst staat. 

1. Configureer statische IP-adressen op de printer in SER B en beheer PC in de MER. 

• Pak “Gedefinieerde IP adressen” in Bijlage B. 
• Klik op je device en dan : config > FastEthernet0. 
• IPv4 Adress en Subnet Mask invullen. 

9 . Configureer de WiFi -instellingen in het Access Point en de Wireless laptop. 

• Pak “Wireless” specificaties in Bijlage B. 
• In SER A open Access Point AP1 > config > Port 1 
• In AP1: 
• Bij SSID heef aan WiFi een naam. 

• Kies voor WPA2-PSK en bij PSK Pass Phrase geef een wachwoord. 

• In Wireless Laptop: 

• Zet laptop uit. 
• Kies voor “WPC300N” en koppel dat op de laptop. 
• Doe de laptop aan. 

• Klik op Desktop en dan ga naar “PC Wireless”. 
• Ga naar Connect en kies “Gast-Wifi. Daarna klik op “Connect” rechtsonder. 

• Invoer wachtwoord die je hebt gegeven in AP1 en klik op “Connect”. 

• Laptop is nu gekoppeld met de Access Point en heeft internet connectie. 

1. Breng de Access-list aan op de DC1, zodat er vanuit VLAN 60 (Guest) alleen toegang is tot het Internet en niet tot andere VLAN’s. Test dit hier eerst op het LAN. 

• Kijk naar “Beveiliging” in Bijlage B. 
• Open DC1: 
• Commands: 
• int vlan 60 
• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.10.0 0.0.0.255 

• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.20.0 0.0.0.255 
• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.30.0 0.0.0.255 
• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.40.0 0.0.0.255      
• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.50.0 0.0.0.255 
• access-list 101 deny ip 172.16.60.0 0.0.0.255 172.16.75.0 0.0.0.255 

• access-list 101 permit ip any any 
• int vlan60 
• ip access-group 101 in 
• do wr 
• ex 

- Hier geven we aan dat vlan 60 alleen toegang heeft alleen tot internet en niet toegang tot andere VLAN’S. 

1. Configureer de connectie tussen de router en de DC1. Let op, dit is een apart netwerk. Maak van poort 1/1/1 een router poort. 

• Pak “VLAN plan/IP plan” in Bijlage B. 

• Open Edge Router: 
• Commands : 
• en 
• conf t 

• int gig0/1 
• ip address (geef ip address aan) (subnet mask) 
• no shutdown 
• do wr 
• ex 

• Open DC1 : 
• Commands: 

• Int gig1/1/1  
• no switchport  
• ip address (geef ip address aan) (subnetmask) 
• do wr 
• ex 

1. Configureer OSPF op de Edge Router en DC1. 

• Pak “OSPF Routing” in Bijlage B. 

• Open Edge Router: 
• Commands : 

• router ospf 1 
• log-adjacency-changes 
• network 172.16.0.0 0.0.255.255 area 0 
• default-information originate 
• do wr 

• ex 

• Open DC1: 
• Commands : 
• conf t 

• ip routing 
• router ospf 1 
• log-adjacency-changes 
• network 172.16.0.0 0.0.255.255 area 0 
• do wr 

• ex 

1. Configureer de Wan poort van de router (koppeling met ISP). 

• Om Wan poort van de router te configureren klik eerst op “ISP Virtual Access (Rotterdam) in Packet Tracer. 

• Klik op Wan “Niet Gebruiken” en klik op Router “Rotterdam” 

•  

   

  Wij hebben gig0/2/0 nodig omdat dat is interface die gaat naar Edge Router. Klik daar op en copy IP-address. 

• Dan gaan we Edge Router open. 
• Commands: 
• conf t 
• int gig0/0 

• ip address (ip van ISP) (subnet mask) 
• no shutdown 
• do wr 
• ex 

• Wij hebben gig0/0 omdat dat is interface die gaat naar ISP. 

1. Configureer NAT translatie op de Edge-router 

• Pak “Network Address Translation (NAT)” die staat in Bijlage B. 
• Open Edge Router: 
• conf t 

• int gig0/0 
• ip nat outside 
• ex 
• int gig0/1 
• ip nat inside 

• ex 
• ip nat inside source list 1 int gig0/0 overload 
• access-list 1 permit any 
• do wr 
• ex 

1. Configureer SSH-toegang op alle switches. Let hierbij op de IP-adressen van de Access switches 1 tot en met 3 in het Technisch Ontwerp. Deze zijn nodig om SSH-toegang mogelijk te maken. Maak deze IP-adressen aan in VLAN 75 op iedere Access Switch. 

• Pak “SSH-Specifiacties” in Bijlage B. 
• Dan hebben wij ook IP-address nodig van VLAN 75. 

• Dan moeten wij configureren SSH-toegang op alle switches AS 1 t/m 3. 
• Open Switch : 
• Commands : 

• conf t 
• int vlan 75 
• ip address (ip van vlan75) (subnet mask) 
• exit 
• ip ssh version 2 

• username (SSH-username) privilege 15 secret (SSH-password) 
• do wr 
• ex 

- Doe dit op elke Switch (AS 1 t/m 3). 

Installeer een remote acces software op een virtuele server of werkstation. Probeer met een ander apparaat of virtuele machine hier verbinding mee te maken. 

Voorbeelden van RAT-software zijn: 

RealVNC® - Remote access software for desktop and mobile | RealVNC 

TeamViewer – De software voor verbinding op afstand 

Remote Server Administration Tools - Windows Server | Microsoft Learn 

Opdracht 2: De donkere zijde van RAT-software 

0Na de voordelen te hebben onderzocht gaan we dieper in op de donkere kant van RAT-software. 

Bestuur de volgende informatiebron: User Beware: Cyber Criminals Know You Use Remote Access Tools (paloaltonetworks.com) 

Hoe komen de kwaadwillige gebruikers binnen in een system? 
= cybercriminelen weten dat deze tools door allerlei soorten gebruikers worden gebruikt; ze weten dat ze vaak verkeerd geconfigureerd zijn; ze weten ook dat de poorten die deze applicaties op de firewall gebruiken gewoonlijk open worden gelaten. En omdat deze tools vaak door IT worden gebruikt, zijn ze, wanneer ze op het netwerk worden gevonden, vaak "toegestaan" zonder dat er weinig aandacht wordt besteed aan wie de gebruiker is. Met deze kennis kan de cybercrimineel zoeken naar tools voor externe toegang en deze gebruiken als aanvalsvectoren. 

Welke stappen hadden cybercriminelen genomen om vervolgens 3 miljoen dollar te kunnen stelen? 

= door cybercriminelen die toegang hebben gekregen tot de creditcardgegevens door een poortscan uit te voeren voor tools voor externe toegang en vervolgens de bijbehorende wachtwoorden te kraken.insta 

Opdracht 3: NanoCore 

Bestuur de volgende informatie bron over de veroordeling van Talyor Huddleston. 

FBI Arrests Creator Of Remote Access Tool, Rather Than Those Abusing It To Commit Crime | Techdirt 

Welke functionaliteiten bevat de software NanoCore? 

= NanoCore doet alle dingen die een administratieve tool moet doen, inclusief keylogging en het verlenen van controle aan externe beheerders. Maar Huddleston beweert dat hij de tool heeft gemaakt als een goedkope oplossing voor bedrijven met weinig geld en kleine overheidsinstanties 

Is de maker van de software volgens jou schuldig of onschuldig? Verklaar je antwoord 

Is de schrijver van dit artikel eens met de voordeling van Taylor Huddleston? 

Opdracht 4: T-RAT 

“Hack tools in je broekzak, het kan. Alles wat je nodig hebt is internet en ’T-RAT’” / Malware / Cybercrime | Cybercrimeinfo.nl | De bibliotheek van Cybercrime en Darkweb 

Welke functionaliteiten bevat deze software? 
= 

Welke cross-platform berichtendienst wordt hierbij gebruikt? 

In de vorige opdracht hebben we meer geleerd over het gebruik van een firewall. Met behulp van een scan kan je achter halen welke poorten open staan. Je hebt geleerd om de betekenis van de open poorten te achterhalen. Mogelijk ben je nu meer alert om kwetsbare poorten te achterhalen en te sluiten om een aanval tegen te gaan. Deze opdracht bevat meer taken die je uit kan voeren om je server nog meer weerbaar te maken tegen kwaadwillige gebruikers. 

Opdracht 1: Lees het volgende artikel door: 

MAAK JE WACHTWOORD ONHACKBAAR (IS DAT EEN WOORD?!) 

Als men een wachtwoord wil achterhalen zijn er diverse methodes en tools om dit te doen. De kans van slagen is echter afhankelijk van je eigen inzet om je wachtwoord te beveiligen en zo sterk mogelijk te maken. Hieronder een aantal vuistregels voor het beveiligen van je wachtwoord. 

1. Wachtwoord sterkte 
   Een sterk wachtwoord is lastiger, veel lastiger te achterhalen dan een zwak wachtwoord. Een lang wachtwoord is moeilijker dan een kort wachtwoord. Verwerk nog wat speciale karakters en cijfers en je bent al een eind op de goede weg. Neem voor een sterk wachtwoord de volgende regels in acht: 

• Langer dan 12 karakters 
• Gebruik minimaal 1 symbool 
• Gebruik minimaal 1 hoofdletter 
• Gebruik minimaal 2 cijfers 

• Gebruik geen persoonlijke informatie (postcode / naam etc). 
• Verander je wachtwoord periodiek (minimaal elke 6 maanden) 
• Gebruik nooit dezelfde wachtwoorden voor verschillende diensten / systemen 

Bovenstaande regels zijn misschien in het begin nogal een opgave om te hanteren. Als je er echter aan gewend bent wordt het een simpele en snelle routine waarmee de veiligheid van je wachtwoord, en daarmee je account en de gegevens een flink stuk vergroot is. 

Wil je kijken hoe veilig je wachtwoord is dan zou je deze website kunnen gebruiken. Vul hier echter een variant in van je huidige wachtwoord. Ook deze website kunnen wachtwoorden loggen en ze bemachtigen. Ben hier dus altijd voorzichtig mee. 

Tip: Als je problemen hebt met het onthouden van al die verschillende, moeilijkere wachtwoorden gebruik dan een password manager zoals “Lastpass”. Beveilig de toegang tot je wachtwoord manager echter wel volgens bovenstaande en onderstaande richtlijnen. Als men toegang heeft tot je wachtwoordmanager heeft men dus meteen toegang tot al je wachtwoorden en dus al je accounts. 

1. Sterke Gebruikersnaam 
   Een stuk minder belangrijk dan een sterk wachtwoord, maar toch kan een sterke gebruikersnaam wel degelijk helpen met het mitigeren van account hacking. Vaak wordt toegang gegeven tot een dienst of account middels de combinatie van een gebruikersnaam en een wachtwoord. Als een hacker geen gebruikersnaam heeft kunnen achterhalen zal deze default gebruikersnamen gebruiken of gebruikersnamen die “logisch” zijn zoals je voorletter + achternaam, je achternaam, je e-mailadres etc. Gebruik dus vooral geen “logische” gegevens in je gebruikersnaam of mix deze met andere informatie. De gebruikersnaam “JarnoBaselier” is een heel stuk minder veilig dan “JarnoSchrijftEenBlogje” of zelfs “JarnoJarno3”. Probeer dus je gebruikersnaam, als je de keuze hebt zo “onlogisch” mogelijk te maken. 
2. Two-Factor Authentication 
   Wanneer je de keuze hebt om two-factor authentication (ook wel 2-weg authenticatie of multi-factor authentication genaamd) is het zaak dat je deze ALTIJD inschakelt. Two-factor authentication zorgt ervoor dat je dubbel met inloggen. Meestal met iets dat je weet (zoals je wachtwoord) ook met iets dat je hebt (zoals je telefoon, vingerafdruk, e-mail etc.). Je logt dus eerst in met een gebruikersnaam en een wachtwoord en als deze succesvol zijn zal het systeem vragen om in te loggen met “de 2e factor”. Vaak moet je dan een code ingeven welke vermeld staat in een authenticator app op je telefoon zoals de Google Authenticator. Of er wordt een code per SMS of e-mail gestuurd. Soms kun je inloggen met een vingerafdruk of een irisscan. Het maakt niet uit welke two-factor authentication methode je activeert, het activeren van de methode zorgt ervoor dat je 90% veiliger bent dan zonder deze two-factor authentication. Een hacker moet namelijk nog steeds beschikken over je telefoon, vingerafdruk of andere methode alvorens deze je account kan misbruiken. Zelfs als hij het wachtwoord heeft kunnen hacken. 

Let op dat two-factor authentication via e-mail de minst veilige methode is. Beter als niets, maar de kans bestaat dat de hacker na het achterhalen van je wachtwoord ook toegang heeft verkregen tot je e-mail waardoor hij de two-factor authentication alsnog succesvol kan uitvoeren. 

1. Schakel ongebruikte accounts uit 
   Alle accounts die niet gebruikt worden kun je uitschakelen. Administrator, Guest? Als je het niet gebruikt is uitschakelen de beste optie. Op die manier kunnen de accounts ook niet misbruikt worden. Wil je ze niet uitschakelen verander dan het wachtwoord naar een ontzettend moeilijk te kraken wachtwoord volgens de richtlijnen in stap 1. 
2. Trap niet in Phishing 
   Phishing is er vaak op gericht om je wachtwoord te achterhalen. Vul dus nooit je wachtwoord in op websites die je niet vertrouwd. Controleer altijd of de URL klopt en of de website een geldig SSL certificaat gebruikt (in het geval van HTTPS websites). 
3. Stel een 2e e-mail account in 
   Veel (e-mail) diensten geven je de optie om een 2e e-mailaccount in te stellen. Dit 2e e-mailaccount wordt gebruikt als je geen toegang meer hebt tot je actieve account. Herstelinformatie kan naar dit 2e e-mailaccount gestuurd worden. Stel dit 2e (backup) e-mailaccount dus altijd in zodat je altijd je primaire account kunt herstellen. 
4. The obvious 
   Uiteraard kunnen we nog wel even doorgaan. Zorg dat je computer malware-vrij is. Log je accounts uit als je ermee klaar bent. Verwijder je cookies als je de browser sluit. Gebruik HTTPS indien mogelijk etc. Er zijn veel methodes waarmee hackers je wachtwoorden kunnen achterhalen. Punt 1 t/m 5 zijn echter de sleutel tot succes. Als je deze punten opvolgt is de kans dat je wachtwoord gehackt wordt uitermate klein. 

Ik hoop dat jullie deze post interessant vonden! Ja? Geef dan een dikke duim op Facebook en deel het bericht met je vrienden of andere geïnteresseerde. Positieve feedback zorgt ervoor dat er meer van dit soort artikelen online komen en dat ik dus blijf schrijven over beveiliging en tips! Dankjewel! 

1. Te veel bevoegdheden 

Het kan handig zijn dat meerdere mensen beheertaken kan uitvoeren. Als een kwaadwillige gebruiker echter toegang krijgt tot een administrator account bestaat de kans dat er enorme schade aangericht kan worden. Des meer administrator accounts in omloop zijn, des te groter het risico dat gelopen wordt. Beperk daarom de hoeveelheid administrator account tot het minimale! 

Opdracht 2: Na het lezen van dit artikel heb je kennis opgedaan van de verschillende aandachtspunten met betrekking tot authenticatie en autorisatie. Nu is het bedoeling dat we dit in de praktijk gaan oefenen. Controleer je Server op de volgende punten en argumenteer waarom dit belangrijk is. 

datalek vinden in database

virus verwijderen met virus scanner

portscan, quickscan en fullscan

Virus scan (virus verwijderen)
Full scan
Quick scan
Datalek vinden in sql database > files > data zien ss make

Microsoft baseline analyser

GPO

RDP TOOL UIT (VNC) en verwijderen

Firewall aan en log bekijken

MY SQL WORKBENCH

QUICK SCAN (windows defender)

FULL SCAN (windows defender)

Netstat -aon

AVG beter aantonen
aantonen van datalek

Let op bij advies tegen management met u en je gebruik netjes taalgebruik en Yip en Janneke taal zet er in wat je hebt bevonden maar niet bijvoorbeeld het aangepaste wachtwoord

 Microsoft baseline analyser starten
En in dat geeft Microsoft zelf aan wat er aan de hand is met de server
Je volgt dan die stappen
 En je opent dan de SQL workbench voor de volgende opdracht

Ieder modern Windows-besturingssysteem komt met een handige ingebouwde firewall genaamd de 'Windows Defender Firewall'. Deze firewall is erg handig en geeft je een breed scala aan opties, waaronder het loggen van geblokkeerde verbindingen en succesvolle verbindingen. Opmerkelijk genoeg staan deze logopties echter standaard uit.

In deze handleiding laten we zien hoe je logging inschakelt in de Windows Defender Firewall en vervolgens de data interpreteert.

Windows Defender Firewall logging inschakelen

Stap 1

Verbind met je Windows Server via Remote Desktop of de VPS-console.

Stap 2

Klik op de Windows Start-knop, type 'firewall' en klik op 'Windows Defender Firewall with Advanced Security' in de zoekresultaten.

Stap 3

Klik in de 'Windows Defender Firewall with Advanced Security' aan de rechterkant op 'Properties'.

Stap 4

Een nieuw venster opent waar je eerst uitkomt in het 'Domain Profile' tabblad. Klik op 'Customize' in het blok onder 'Logging'.

Er zijn nog enkele opties zichtbaar in de Domain Profile, Private Profile en Public Profile tabbladen. Deze hoef je niet aan te passen:

• In dit voorbeeld zie je dat de 'Firewall state' op 'Off' staat. De VPS die voor deze handleiding gebruikt is, is namelijk niet opgenomen in een Windows Domein (Active Directory). Wanneer je een VPS aan een Windows Domein toevoegt wordt ook de firewall voor het Domain Profile geactiveerd.
  We raden aan om in ieder geval onder 'Private Profile' en 'Public Profile' de state altijd op 'On' te houden.
• Standaard staat op alle profielen 'Inbound connections' op 'Block' en 'Outbound connections' op 'Allow'.
• Onder 'Protected network connections' kun je aanpassen op welke netwerkadapter de firewall van toepassing is.
• We raden aan de instellingen onder 'Settings' > 'Customize' niet aan te passen. De optie om bijvoorbeeld een notificatie te krijgen bij een blokkade van een binnenkomende verbinding zou tot een storend aantal notificaties leiden.

Stap 5

Je kunt nu de logging inschakelen en de volgende bijbehorende opties aanpassen:

• Name: De naam en locatie waar het logbestand wordt opgeslagen. De standaard waarde is c:\Windows\system32\LogFiles\Firewall\pfirewall.log en hoef je niet aan te passen.
• Size limit (KB): Het maximale formaat van het logbestand (default 4MB). Onder normale omstandigheden is dit ruim voldoende.
• Log dropped packets: Deze optie bepaalt of een logmelding wordt aangemaakt wanneer de firewall verkeer tegenhoud.
• Log succesful connections: Bepaalt of succesvolle verbindingen ook gelogd moeten worden. We raden aan deze optie uit te zetten; hiermee wordt namelijk ook succesvol uitgaand verkeer gelogd, wat voor een hoop onoverzichtelijkheid zorgt in je logs. Mocht je een situatie hebben waarvoor je moet weten wie wanneer succesvol is ingelogd, dan kun je daar ook de Windows Event Viewer voor gebruiken.

Zet de optie 'Log dropped packets' op 'Yes' en klik op 'OK'.

Stap 6

Je keert terug naar het onderliggende venster en het tabblad 'Domain Profile'. Klik nu eerst op het tabblad 'Private Profile' en herhaal stap 4 & 5. Klik daarna op het tabblad 'Public Profile' en herhaal nogmaals stap 4 & 5. Je kunt nu alle nog openstaande Windows Firewall-vensters sluiten.

Stap 7

Herstart je VPS tot slot. Doe je dit niet, dan is de kans groot dat je al snel geen updates meer ziet in je logbestanden als gevolg van een conflict met de 'Base Filtering Engine'-service. Eventuele ontbrekende logmeldingen worden in dat geval na een herstart van je VPS of de Base Filtering Engine bijgewerkt.

Windows Firewall Logdata interpreteren

De data van je Windows Firewall logbestand is gelukkig relatief eenvoudig te interpreteren. Wanneer je het bestand opent krijg je te zien waaruit iedere regel is opgebouwd:

date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path pid

• date: De datum waarop het Firewall-evenement is gelogd
• time: Het tijdstip waarop het Firewall-evenement plaatsvond
• action: De maatregel die de Firewall heeft genomen. Als je deze handleiding volgt zal dit doorgaans altijd 'DROP' zijn. Mocht je ook succesvolle connecties loggen, dan zie je hier bijvoorbeeld ook 'ALLOW'-meldingen.
• protocol: Het gebruikte protocol, bijvoorbeeld TCP, UDP, of ICMP.
• src-ip: Het IP-adres waar vandaan de verbinding tot stand wordt gebracht.
• dst-ip: Het IP-adres waarmee verbonden wordt, bij 'DROP'-meldingen is dat eigenlijk altijd het IP-adres van jouw VPS.
• src-port: Vanaf welk poortnummer de versturende computer een verbinding opzet.
• dst-port: Het poortnummer waarmee de computer op src-ip probeert te verbinden. Het aardige is dat als je je Remote Desktop-poort verandert, er zo goed als geen pogingen om met poort 3389 te verbinden gelogd worden. Een potentiële aanvaller zal namelijk direct merken dat daar geen service meer op actief is en geen verdere pogingen doen.

Let op: Alle informatie onder dit punt is voor het onderzoeken van veiligheidsgerelateerde zaken zo goed als altijd overbodige informatie (met allicht 'path' en 'pid' als uitzondering).

• size: De omvang van het gelogde netwerk-packet in bytes.
• tcpflags: Gegevens over eventuele TCP control flags in TCP headers die aan het netwerkverkeer worden meegegeven.
• tcpsyn: Het TCP sequence getal in de network packet.
• tcpack: Toont het TCP acknowledgement getal in de packet.
• tcpwin: Het TCP window formaat in bytes in de gelogde packet.
• icmptype: In het geval het om een ICMP-bericht gaat, zal het type hier getoond worden (meestal is dit veld leeg).
• icmpcode: In het geval het om een ICMP-bericht gaat, wordt hier de ICMP code getoond (meestal ook leeg).
• info: Kan aanvullende informatie tonen, maar is meestal een leeg veld.
• path: Toont de richting van het verkeer SEND (uitgaand netwerkverkeer), RECEIVE (ontvangen verkeer), FORWARD (doorgestuurd), en UNKNOWN (onbekend).
• pid: Ieder proces in Windows (en ook Linux en MacOS) heeft een uniek Process ID. Het PID toont dit unieke Process ID.

Twee voorbeelden:

2022-10-21 12:04:12 DROP TCP 123.123.123.123 111.222.333.444 63573 3389 52 S 2140869953 0 8192 - - - RECEIVE 4
2022-10-21 12:04:49 ALLOW UDP 111.222.333.444 239.255.255.250 61929 1900 0 - - - - - - - SEND 932

• We stelden eerder dat de size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode en info flags niet relevant zijn voor security onderzoeken. De nog wel relevante velden zijn in bold en italic gemarkeerd
   
• In dit voorbeeld zien we een 'RECEIVE' en een 'SEND' path. Dit verteld ons in één oogopslag dat de eerste melding binnenkomend verkeer is en de tweede uitgaand.
   
• In de eerste melding zien we een tegengehouden poging (DROP) om met de Remote Desktop poort 3389 te verbinden vanaf IP-adres 123.123.123.123. Uit veiligheidsoverwegingen raden we aan altijd je Remote Desktop Poort te veranderen en enkel je eigen IP-adressen toestaan daarmee te verbinden.
   
• De tweede melding laat ons zien dat vanaf het IP-adres van de VPS (123.123.123.123) succesvol (ALLOW) verkeer wordt verstuurd naar het IP-adres 239.255.255.250. In dit geval gaat het om onschuldig broadcast verkeer. Tenzij je een reden hebt om te vermoeden dat vanaf je VPS aanvallen worden uitgevoerd, kun je alle 'SEND' messages veilig negeren (die zijn standaard ook niet zichtbaar tenzij je de optie 'Log succesful connections' aanzet in de eerste paragraaf).

Using the netstat command to find port information¶

To run the netstat command, you will first need to open a Command Prompt as administrator, to do so, please select start, type cmd, right click the resultant cmd.exe and “Run as Administrator” as below

Finding processes running on a port

• In order to find what process is running on a specific port in Windows, you need to utilise the netstat command

In the Command Prompt, type netstat -ano | find ":Required port number", for example, if you wish to find out what process is listening on port 25, you would type netstat -ano | find ":25" and hit Enter

The Command Prompt will now display any processes listening on port 25 as below

At the right hand side of the result, you will see a number, this number is a PID (Process Identifier), this number is assigned to a specific process on your server.

To find out what process is assigned the displayed PID, right click on the task bar, and select “Task Manager”, once task manager has presented itself, select the “processes tab” and right click on the status title.

This will now display a context box with a number of options as below, please select “PID” from the list.

now search through the list of PID’s to find the one matching the PID listed by your netstat command, in this example 844,which as you can see below is occupied by the hMailServer application.

This means that port 25 is being occupied by hMailServer, which is as expected.

The netstat command can be extended to count the number of connections on a specific port, you can do this by adding /c to the end of the command. for example

netstat -ano | find ":25"` /c

What port is my service listening on?

• In order to find out what port a specific service is listening on, you simply use the netstat command again, but in a slightly different way.

In the Command Prompt, type netstat -ano and press enter.

This will present you with a list of all current connections to and from your server as below

Right click on the taskbar, and select task manager, again, select processes, and right click on the title bar, Select “PID” from the resultant list. Find the the PID of the program for which you are trying to find the corresponding port, now review the connections in Command Prompt to find the Correct PID, look to the left of the Command Prompt on the matching line to see which port that specific PID is using.

C:\Program Files\RealVNC\VNC Server\vncserver.exe" -service -leavecloud

Sql workbench Database
Root Root

Firewall
Defender
Windows update
Update niet uitgevoerd
2 admin accounts
Vnc
3 usb

Login vmc
Gebruiken om pc over te nemen

Rudy

Windows niet geupdate

2 gastaccounts wachtwoorden zijn niet expired (aanpssen)

Verouderede browser

Controle activiteit 1
Beheeractiviteit
Controle Devices zijn te benaderen via SSH
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool CMD PC
Te gebruiken commando SSH -l admin <IP-Adres device>
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 10 regels output.

Is het resultaat juist voor ieder device? Nee, AS3 wijkt af
Indien onjuist welke correctie is nodig? Transport input online VTY niet gedefinieerd
Resultaat correctie SSH-verbinding met AS3 werkt.

Controle Activiteit 2
Beheeractiviteit
Controle Devices zijn voorzien van een startup-configuratie.
Devices Voer de controles uit op de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool CLI
Te gebruiken commando Show startup-config
Resultaat Plaats hier per device: Een screenshot van het commando en plusminus 5 regels output.

Is het resultaat juist voor ieder device? DC1 wijkt af
Indien onjuist welke correctie is nodig? Copy running-config startup-config
Resultaat correctie Show startup-config laat een configuratie zien.

Controle Activiteit 3
Beheeractiviteit
Controle Pasgeleden is een TFTP-server in het beheer VLAN opgenomen. Deze heeft IP-adres 172.16.75.20 /24. Hierop horen alle configuraties van de netwerk devices als backup te staan. Controleer dit.
Devices Voer de controles uit voor de volgende devices:
DC1, AS1, AS2, AS3, Edge Router

Te gebruiken Tool TFTP en CLI
Te gebruiken commando TFTP Service
Resultaat Plaats hier een juiste screenshot van de TFTP-server

Is het resultaat juist voor ieder device? De configuraties van de Edge Router en DC1 komen niet voor
Indien onjuist welke correctie is nodig? Vanaf Edge Router en DC1: Copy running-config TFTP: 172.16.75.20
Resultaat correctie Alle configuraties zijn als backup opgeslagen op de TFTP-server.
Controle Activiteit 4
Beheeractiviteit
Controle Ongebruikte poorten op DC1 staan op shutdown
Devices Voer de controles uit op de volgende devices:
DC1

Te gebruiken Tool SSH/CLI
Te gebruiken commando Show interfaces status
Resultaat Plaats hier voor DC1: Een screenshot van het commando en plusminus 10 regels output.

Is het resultaat juist voor ieder device? Gig1/0/1 – Gig1/0/10 staan niet op shutdown
Indien onjuist welke correctie is nodig? Interface Gig1/0/1 – Gig1/0/10 op shutdown zetten
Resultaat correctie Alle niet gebruikte poorten staan op shutdown.

Test Activiteit 1
Beheeractiviteit
Test Pasgeleden is de VLAN10 (Balie) volledig afgesloten van de rest van het netwerk. Uitzondering is het printer VLAN 40. De baliewerkzaamheden worden sinds kort uitgevoerd door een extern beveiligingsbedrijf. Op deze manier blijven netwerkdelen goed gescheiden. Test of de Access list goed werkt.
Devices Voer de test uit op de volgende devices:
PC VLAN 10 en DC1

Te gebruiken Tool CMD – ping vanuit VLAN10 naar andere VLAN’s
Te gebruiken commando(’s) Ping (PC) en Show Access-Lists (DC1)
Verwacht resultaat VLAN 10 heeft alleen toegang tot Internet en Printer VLAN 40

Voorbeeld:

Afwijkingen Alle ping vanuit VLAN 10 worden doorgelaten
Impact/risico 3
Advies Access List 102 is niet aan een interface gekoppeld. Alsnog koppelen aan Interface VLAN 10 inkomend.

Test Activiteit 2
Beheeractiviteit
Test Op de TFTP Server is tevens een NTP Server geactiveerd. Deze zorgt ervoor dat alle netwerk devices exact dezelfde actuele tijd kennen. Test of de NTP Server de actuele tijd doorgeeft aan de devices. Een afwijking van 10 minuten is toegestaan.
Devices Voer de controles uit op de volgende devices:
AS1, AS2, AS3, DC1 en Edge Router, NTP Server

Te gebruiken Tool NTP Service op server, CLI op netwerk devices
Te gebruiken commando Show clock
Verwacht /resultaat Als netwerkdevices hebben dezelfde tijd als de NTP-server

Afwijkingen Niet alle devices geven de juiste tijd aan. Er kunnen afwijkingen zijn vanwege het simulatiekarakter van Packet Tracer.
Mochten de afwijkingen te groot zijn dan uit- en aanzetten van de NTP-server lost het probleem op.

Impact/risico 2
Advies Geen

 
Test Activiteit 3
Beheeractiviteit
Test Om te voorkomen dat iedereen met een PC op de AS3 switch in VLAN 50 van de directie kan komen zijn een aantal maatregelen genomen. Op PC VLAN 50 op poort Fa0/11 is portsecurity aangebracht (max 1 gebruiker). Daarnaast zijn alle poorten in VLAN 50 op shutdown gezet. Test of deze securitymaatregelen goed zijn doorgevoerd.
Devices Voer de testen uit op de volgende devices:
AS3

Te gebruiken Tool Packet Tracer/design
Te gebruiken commando’s show port-security

Verwacht resultaat Bij het koppelen van een tweede PC gaat poort FA0/11 in shutdown.
Resultaat commando:

Het koppelen van een PC aan een andere poorten waarop VLAN 50 actief is lukt niet. Het gaat om poorten FA0/12-20.

Afwijkingen Geen
Impact/risico 2
Advies Geen aanpassingen nodig.