Veiligheid begint bij allesoverit

Praktisch ICT-security advies voor mbo 4 gebruikers

5 sterren topservice

Lees meer

★★★★★

Wie wij zijn

Bij allesoverit geven we praktisch security advies, rechtstreeks vanuit onze mbo-4 ervaring.

A focused young professional explaining cybersecurity concepts to a small group.
A focused young professional explaining cybersecurity concepts to a small group.

150+

15

Ervaren team

Betrouwbaar

Onze diensten

Praktisch ICT-security advies voor mbo 4 gebruikers en bedrijven.

A professional advising a small business owner on cybersecurity measures in a cozy office.
A professional advising a small business owner on cybersecurity measures in a cozy office.
Close-up of hands typing on a laptop with security code on the screen in a modern workspace.
Close-up of hands typing on a laptop with security code on the screen in a modern workspace.
Advies

Persoonlijk advies gericht op het versterken van jouw digitale veiligheid.

Training

Praktische trainingen voor mbo 4 gebruikers om cyberrisico’s te verminderen.

Blijf Veilig

Ontvang praktische tips en advies over ICT-beveiliging

basis: directory & bestanden (moet je 100% kunnen)

windows (cmd & powershell)
navigeren
cd huidige map
cd .. één map terug
cd \ root (c:)
cd c:\users specifieke map
dir inhoud
dir /a ook verborgen
tree mappenstructuur

bestanden & mappen
mkdir test
rmdir test
del bestand.txt
copy a.txt b.txt
move a.txt c:\temp
type bestand.txt

rechten
icacls bestand.txt
icacls bestand.txt /grant gebruiker:f
icacls bestand.txt /remove gebruiker

examen
met icacls controleer en wijzig ik ntfs-rechten om ongeautoriseerde toegang te voorkomen (cia: confidentiality)

linux (terminal)
navigeren
pwd
ls
ls -la
cd /etc
cd ..
tree

bestanden
touch bestand.txt
mkdir test
rm bestand.txt
rm -r map
cp a.txt b.txt
mv a.txt /tmp
cat bestand.txt
less bestand.txt

rechten
ls -l
chmod 644 bestand.txt
chmod 755 script.sh
chown user:group bestand.txt

uitleg
rwxr-xr-- = eigenaar alles, groep lezen, anderen lezen
slechte rechten = datalek of privilege escalation

gebruikers & authenticatie (aaa)

windows
net user
net user piet /add
net user piet *
net localgroup administrators
net localgroup administrators piet /add

wie is ingelogd
whoami
query user

linux
whoami
id
users
last

gebruikers beheren
useradd piet
passwd piet
usermod -aG sudo piet

aaa
authentication = wachtwoord / login
authorization = groepen / sudo / admin
accounting = logs

netwerk commando’s (heel belangrijk)

windows
ipconfig
ipconfig /all
ping 8.8.8.8
tracert google.com
nslookup google.com
netstat -ano
arp -a
route print

linux
ip a
ip r
ping 8.8.8.8
traceroute google.com
ss -tulpn
netstat -tulpn
arp -a

examen
verkeerde interne website → mogelijk dns poisoning
check met nslookup of dns-adres klopt

services & processen

windows
tasklist
taskkill /pid 1234 /f
services.msc
sc query

linux
ps aux
top
htop
systemctl status apache2
systemctl stop apache2
systemctl disable apache2

incident
onbekend proces, remote tool, hoge cpu

logs & forensics (accounting)

windows
eventvwr.msc

check
security
system
application
login failures
account lockouts

linux
journalctl
journalctl -xe
cat /var/log/auth.log
cat /var/log/syslog

examenzin
ik analyseer logs om te bepalen of het incident nog actief is en of data is gecompromitteerd

webserver checks

linux (apache / nginx)
systemctl status apache2
systemctl status nginx
ss -tulpn

config
cat /etc/apache2/apache2.conf
cat /etc/nginx/nginx.conf

security
https aan
verouderde software
directory listing uit
firewall actief

bedreigingen
sql injection
xss
misconfiguratie
open poorten

active directory

controleren
wachtwoordbeleid
admin accounts
ou-structuur
gpo’s

commando’s
get-aduser piet
get-adgroupmember "domain admins"
gpresult /r

kwetsbaar
te veel admins
geen mfa
zwakke wachtwoorden

firewall & security

windows
netsh advfirewall show allprofiles
netsh advfirewall firewall show rule name=all

linux
ufw status
iptables -l

cia
firewall beschermt availability & confidentiality

incident response (zeer belangrijk)

stappen
identificeren
isoleren
onderzoeken
oplossen
herstellen
documenteren
voorkomen

scenario: computer overgenomen

netwerk los
processen checken
logs analyseren
wachtwoorden resetten
malware scan
rapportage

scenario: interne website fout (moet je kunnen!)

1 dns check
nslookup intranet.amerijck.local

2 hosts file
notepad c:\windows\system32\drivers\etc\hosts

3 dns cache
ipconfig /flushdns

4 webserver
systemctl status apache2
ss -tulpn

5 certificaat
check https waarschuwingen

examenzin
ik heb dns, hosts file, cache en webserver gecontroleerd om de oorzaak vast te stellen

scenario: datalek (avg)

wat gelekt
wie getroffen
impact
melding fg
communicatie

scenario: phishing sms

gebruiker informeren
wachtwoord reset
mfa activeren
awareness

verborgen / schadelijke bestanden

kenmerken
niet zichtbaar
vreemde naam
rare locatie
verkeerde rechten
onverwachte scripts

verborgen bestanden windows

dir /a
dir /a:h
dir /a:s

verdacht
svch0st.exe
.ps1 .bat .vbs
c:\users\public
c:\temp
c:\appdata

inhoud
type bestand.txt
get-content bestand.ps1

draait?
tasklist
tasklist | findstr naam

autostart
reg query hkcu\software\microsoft\windows\currentversion\run

hash
get-filehash bestand.exe

verborgen bestanden linux

ls -la
find / -name ".*" 2>/dev/null

locaties
/tmp
/var/tmp
/home/user
/etc

rechten
777 = fout
executable in /tmp = fout

inhoud
cat script.sh
less script.sh

let op
curl
wget
nc
bash -i
python -c

draait?
ps aux
ps aux | grep script

netwerk
ss -tulpn

aanpak verborgen malware (examenantwoord)

verborgen bestanden tonen
locatie & naam controleren
rechten controleren
proces checken
inhoud analyseren
netwerkverkeer checken
isoleren of verwijderen

voorbeeldzin
ik heb verborgen bestanden zichtbaar gemaakt, verdachte bestanden onderzocht en vastgesteld of er sprake was van malware

rode vlaggen

hidden + executable
draait vanuit temp
autostart
outbound verbinding
draait als admin/root

wat je nooit doet

niet direct verwijderen
niet uitvoeren
niet dubbelklikken

communicatie (moet je kunnen)

wat is gebeurd
impact
actie
advies

voorbeeld
ik heb het incident onderzocht, maatregelen genomen en herhaling voorkomen

beveiligingsadvies (altijd noemen)

mfa
least privilege
updates
backups
monitoring
awareness
logging
segmentatie

avg mail (template)

onderwerp: mogelijke datalek persoonsgegevens

geachte heer/mevrouw,
wij informeren u hierbij over een mogelijk datalek waarbij uw persoonsgegevens betrokken kunnen zijn.

wat is er gebeurd
op [datum] is een beveiligingsincident vastgesteld waarbij onbevoegde toegang mogelijk was.

welke gegevens
[naam, e-mail, telefoonnummer]

wat hebben wij gedaan
toegang geblokkeerd en systemen beveiligd

wat kunt u doen
alert zijn en wachtwoorden wijzigen

voorkomen
extra beveiligingsmaatregelen en monitoring

met vriendelijke groet,

basis: directory & bestanden (moet je 100% kunnen)

windows – navigeren

cd
verandert de huidige map
gebruik ik om te weten waar ik werk

cd ..
gaat één map terug
handig om overzicht te houden

cd \
gaat naar root (c:)
startpunt van het systeem

cd c:\users
gaat naar specifieke map
gebruik ik om gebruikersdata te controleren

dir
toont bestanden in de map
controle wat aanwezig is

dir /a
toont ook verborgen en systeembestanden
gebruik ik om verborgen malware te vinden

tree
toont mappenstructuur
geeft overzicht van de omgeving

windows – bestanden & mappen

mkdir test
maakt map aan
test of ik schrijfrechten heb

rmdir test
verwijdert lege map
opruimen

del bestand.txt
verwijdert bestand
alleen na onderzoek

copy a.txt b.txt
kopieert bestand
bijv. backup maken

move a.txt c:\temp
verplaatst bestand
isoleren van verdacht bestand

type bestand.txt
toont inhoud
controle op scripts of logs

windows – rechten

icacls bestand.txt
toont ntfs-rechten
wie mag erbij?

/grant gebruiker:f
geeft volledige rechten
alleen indien nodig

/remove gebruiker
verwijdert rechten
blokkeert ongeautoriseerde toegang

examen
met icacls beheer ik ntfs-rechten om confidentiality te waarborgen

linux – directory & bestanden

navigeren

pwd
toont huidige map
voorkomt fouten

ls
toont bestanden

ls -la
toont rechten + verborgen bestanden
security-check

cd /etc
configuratiemap
vaak doelwit van aanvallers

tree
overzicht mappenstructuur

bestanden

touch bestand.txt
maakt leeg bestand
test schrijfrechten

rm bestand.txt
verwijdert bestand

rm -r map
verwijdert map + inhoud
gevaarlijk → eerst checken

cp a.txt b.txt
kopieert bestand

mv a.txt /tmp
verplaatst bestand
/tmp wordt vaak misbruikt

cat bestand.txt
toont hele inhoud
kleine bestanden

less bestand.txt
bladert door inhoud
veilig bij grote logs

linux – rechten

ls -l
toont bestandsrechten

chmod 644
veilig: alleen eigenaar mag schrijven

chmod 755
bestand uitvoerbaar
gevaarlijk als onnodig

chown user:group
wijzigt eigenaar
controle herstellen

uitleg
slechte rechten = privilege escalation of datalek

gebruikers & authenticatie (aaa)

windows

net user
toont gebruikers

net user piet /add
maakt gebruiker aan

net user piet *
wijzigt wachtwoord

net localgroup administrators
toont admins
controle op teveel rechten

net localgroup administrators piet /add
maakt gebruiker admin (risico!)

wie is ingelogd

whoami
toont huidige gebruiker

query user
toont actieve sessies
handig bij overname

linux

whoami / id
toont gebruiker + groepen

users
toont ingelogde gebruikers

last
toont login-geschiedenis
accounting

gebruikers beheren

useradd piet
maakt gebruiker

passwd piet
stelt wachtwoord in

usermod -aG sudo piet
geeft adminrechten
alleen indien nodig

aaa
authentication = login
authorization = rechten
accounting = logs

netwerk commando’s (heel belangrijk)

windows

ipconfig / ipconfig /all
toont netwerkconfiguratie
controle ip, dns, gateway

ping
test bereikbaarheid

tracert
toont route
waar gaat het fout?

nslookup
controleert dns
belangrijk bij verkeerde website

netstat -ano
toont netwerkverbindingen + pid
welk proces praat met internet?

arp -a
ip ↔ mac mapping
spoofing check

route print
toont routing
verkeerde route = probleem

linux

ip a / ip r
ip-adres en routes

ss -tulpn
toont open poorten + processen
onbekende poort = risico

uitleg ss

  • t = tcp

  • u = udp

  • l = luisteren

  • p = proces

  • n = geen dns

services & processen

windows

tasklist
toont actieve processen

taskkill /pid /f
stopt proces
alleen na onderzoek

services.msc
beheert services
check autostart malware

sc query
toont service status

linux

ps aux
toont alle processen

top / htop
live overzicht cpu / geheugen
hoge cpu = verdacht

systemctl status apache2
controleert of service draait

systemctl stop apache2
stopt service tijdelijk

systemctl disable apache2
voorkomt starten bij reboot
belangrijk bij malware

logs & forensics

windows

eventvwr.msc
bekijk logs

belangrijk
security = logins
system = systeemfouten

linux

journalctl / journalctl -xe
toont systeemlogs

/var/log/auth.log
authenticatie logs

/var/log/syslog
algemene logs

examen
ik gebruik logs om te bepalen of het incident nog actief is

webserver checks

systemctl status apache2/nginx
draait de juiste server?

ss -tulpn
luistert server op juiste poort?

config bestanden
controle op misconfiguratie

security
https aan
directory listing uit
up-to-date software

active directory

get-aduser
toont gebruiker

get-adgroupmember domain admins
toont admins

gpresult /r
toont policies

risico
te veel admins
geen mfa
zwakke wachtwoorden

firewall & security

netsh advfirewall show allprofiles
controle firewall status

ufw status / iptables -l
linux firewall check

cia
firewall beschermt availability & confidentiality

incident response (kern!)

stappen
identificeren
isoleren
onderzoeken
oplossen
herstellen
documenteren
voorkomen

scenario: interne website fout

nslookup intranet
controle dns

hosts file
controle handmatige omleiding

ipconfig /flushdns
verwijdert oude records

webserver status
controle juiste service

certificaat
mitm-check

verborgen / schadelijke bestanden

dir /a / ls -la
toont verborgen bestanden

rare naam + rare locatie
malware indicatie

autostart keys
persistentie

get-filehash
integrity check

simpele extra commando’s (vaak vergeten!)

cls / clear
scherm leegmaken

exit
sessie afsluiten

whoami / hostname
wie + welke pc

uptime (linux)
hoe lang draait systeem

df -h
schijfruimte check
vol = risico

communicatie (examen!)

wat is gebeurd
impact
actie
advies

voorbeeld
ik heb het incident onderzocht, opgelost en maatregelen genomen om herhaling te voorkomen

beveiligingsadvies (altijd!)

mfa
least privilege
updates
backups
monitoring
awareness
logging
segmentatie

netwerk basis (eerste check altijd)

ip-adres

let op

  • intern ip (192.168.x.x)

  • geen vreemd extern ip

check
ipconfig /all
ip a

risico
verkeerd ip = verkeerde vlan of spoofing

gateway

let op

  • gateway hoort router te zijn

  • niet leeg

  • niet onbekend

check
ipconfig /all
ip r

risico
verkeerde gateway = verkeer onderschept (mitm)

dns-server

let op

  • interne dns-server

  • geen openbare dns in bedrijfsnetwerk

check
ipconfig /all
nslookup intranet.amerijck.local

risico
verkeerde dns = verkeerde website / phishing

open poorten (HEEL BELANGRIJK)

wat is verdacht

  • poorten die niet nodig zijn

  • services die je niet kent

  • admin-poorten open

windows check

netstat -ano

let op

  • poort 3389 (rdp)

  • onbekende pid

  • externe verbindingen

risico
open rdp = brute force / ransomware

linux check

ss -tulpn

let op

  • onbekende services

  • luisterend op 0.0.0.0

  • draait als root

risico
backdoor of misconfiguratie

meest misbruikte poorten (kennen!)

  • 22 → ssh

  • 80 → http

  • 443 → https

  • 3389 → rdp

  • 21 → ftp (onveilig)

ftp open = hoog risico

firewall (kritische check)

let op

  • firewall aan

  • inbound regels beperkt

  • default deny

check
netsh advfirewall show allprofiles
ufw status

risico
geen firewall = open aanvalsvlak

dns kwetsbaarheden (komt vaak terug)

dns poisoning

kenmerken

  • verkeerde website

  • juiste url, verkeerde inhoud

check
nslookup
hosts file

risico
gebruikers worden misleid

hosts file (vergeten maar gevaarlijk!)

check
c:\windows\system32\drivers\etc\hosts

let op

  • handmatige entries

risico
lokale omleiding → phishing

webserver kwetsbaarheden

let op

  • http i.p.v. https

  • oude apache/nginx

  • directory listing aan

check
systemctl status apache2
browser → url/

risico
data uitlek / misbruik

active directory (hoog risico gebied)

let op

  • te veel domain admins

  • geen mfa

  • zwakke wachtwoorden

check
get-adgroupmember "domain admins"

risico
1 account → hele domein weg

gebruikers & rechten

let op

  • admin voor dagelijks werk

  • accounts die niemand kent

check
net user
whoami /groups

risico
privilege escalation

verborgen malware (zeer waarschijnlijk)

let op

  • draait vanuit temp

  • autostart keys

  • outbound verbinding

check
dir /a
reg query ...\run
netstat -ano

risico
persistent malware

updates & software (top 3 risico)

let op

  • oude software

  • geen patches

check
windows update / apt

risico
bekende exploits

backups (availability!)

let op

  • geen backups

  • backups online gekoppeld

risico
ransomware = alles kwijt

byod & werkplekbeheer

let op

  • privé laptops

  • geen mfa

  • geen antivirus

risico
malware via werkplek

monitoring & logging

let op

  • geen alerts

  • logs niet bekeken

risico
incidenten onopgemerkt

fysieke beveiliging

let op

  • serverruimte open

  • onbevoegden

risico
volledige toegang

meest waarschijnlijke kwetsbaarheden (EXAMEN!)

top 10:

  1. geen mfa

  2. te veel admins

  3. open rdp

  4. verkeerde dns

  5. geen firewall

  6. verouderde software

  7. slechte rechten

  8. geen monitoring

  9. geen backups

  10. byod zonder beleid

perfecte examenzin (onthouden)

ik controleer netwerkconfiguratie, open poorten, dns-instellingen en gebruikersrechten om veelvoorkomende kwetsbaarheden en misconfiguraties te identificeren.

. cryptografie (alleen dit!)

wat moet je weten

  • encryptie = data onleesbaar maken

  • wordt gebruikt bij:

    • https

    • vpn

    • wachtwoorden

    • backups

wat moet je checken

  • gebruikt de website https?

  • zijn gevoelige data versleuteld?

hoe check je dat

  • browser → slotje bij website

  • certificaat bekijken

➡️ commando’s: geen nodig

2. hashing (heel kort)

wat moet je weten

  • hashing = controleren of iets is aangepast

wat moet je checken

  • is een bestand gewijzigd?

hoe check je dat

windows

get-filehash bestand.exe

➡️ hash veranderd = mogelijk malware

3. secure coding (alleen herkennen)

wat moet je weten

  • slechte code = risico

wat moet je checken

  • foutmeldingen zichtbaar?

  • directory listing aan?

hoe check je dat

  • browser → url/

  • webserver config bekijken

➡️ geen code schrijven

4. kali (niks doen)

wat moet je weten

  • kali = testomgeving

  • jij gebruikt het niet

➡️ alleen herkennen in gesprek

5. ncsc (belangrijk voor advies)

wat moet je weten

  • ncsc = richtlijnen

wat moet je doen

  • je advies hierop baseren

➡️ zeggen:

ik baseer mijn beveiligingsadvies op ncsc richtlijnen

6. security nieuws (awareness)

wat moet je weten

  • kwetsbaarheden bestaan

wat moet je doen

  • awareness benoemen

➡️ geen actie, alleen noemen

wat moet ik straks ECHT checken in het examen?

netwerk (altijd)

wat check je

  • ip-adres

  • dns

  • gateway

commando’s

windows

ipconfig /all

linux

ip a ip r

open poorten (heel belangrijk!)

wat check je

  • onbekende poorten

  • admin-poorten open?

commando’s

windows

netstat -ano

linux

ss -tulpn

verkeerde website (scenario)

wat check je

  1. dns

  2. hosts file

  3. cache

  4. webserver

commando’s

nslookup intranet.amerijck.local notepad c:\windows\system32\drivers\etc\hosts ipconfig /flushdns systemctl status apache2

gebruikers & rechten

wat check je

  • wie is admin?

  • te veel rechten?

commando’s

net localgroup administrators whoami id

logs (incident!)

wat check je

  • login failures

  • vreemde activiteiten

commando’s

eventvwr.msc journalctl

verborgen malware

wat check je

  • verborgen bestanden

  • autostart

  • netwerkverbindingen

commando’s

dir /a ls -la reg query ...\run netstat -ano

backups & updates (advies!)

wat check je

  • zijn er backups?

  • is alles up-to-date?

➡️ vaak geen commando, wel benoemen

onthoud dit rijtje

  • ip / dns / gateway

  • open poorten

  • gebruikers & rechten

  • logs

  • malware tekenen

  • webserver status

  • encryptie (https)

  • advies + communicatie

ultieme examenzin (gebruik deze)

ik heb de netwerkconfiguratie, open poorten, gebruikersrechten en logs gecontroleerd en op basis daarvan beveiligingsmaatregelen geadviseerd volgens ncsc richtlijnen.