Examen

Filezilla Logging information

LOG VOORBEELD

1. 2022-09-16T09:22:04.351Z

a. Waar staat het voor?

Dit is een timestamp.

b. Wat betekent het?

Het geeft exact aan wanneer de gebeurtenis plaatsvond:

  • Datum: 16 september 2022
  • Tijd: 09:22:04
  • .351 = milliseconden
  • Z = UTC tijdzone (Zulu time)
c. Wanneer is dit prima?
  • Wanneer de tijd klopt met de echte systeemtijd.
  • Wanneer logregels chronologisch verlopen.
  • Wanneer activiteiten plaatsvinden tijdens normale werktijden.
d. Wanneer is dit een IOC?

Een IOC kan zijn:

  • Onmogelijke tijdstippen (bijvoorbeeld midden in de nacht).
  • Heel veel loginpogingen in korte tijd.
  • Timestamps die niet overeenkomen met systeemtijd.
  • Activiteiten buiten normale gebruiksuren.

2. <<

a. Waar staat het voor?

Dit geeft de richting van het netwerkverkeer aan.

b. Wat betekent het?
  • << = antwoord van de server naar de client.
  • >> = bericht van de client naar de server.

Voorbeeld:

<< 331 Please, specify the password.

De server vraagt hier om een wachtwoord.

3. FTP

a. Waar staat het voor?

FTP = File Transfer Protocol

b. Wat betekent het?

Een protocol om bestanden via een netwerk te verzenden.

c. Wanneer is dit prima?
  • Binnen een intern netwerk.
  • Voor testomgevingen.
  • Wanneer geen gevoelige data wordt verstuurd.
d. Wanneer is dit een IOC?
  • Wanneer FTP publiek toegankelijk is via internet.
  • Omdat FTP wachtwoorden onversleuteld verstuurt.
  • Bij onbekende uploads/downloads.
  • Veel verbindingen vanuit vreemde landen/IP’s.

4. Session 5

a. Waar staat het voor?

Dit is het sessienummer van de verbinding.

b. Wat betekent het?

Elke gebruiker die verbinding maakt krijgt een unieke sessie-ID.

Hier:

  • Dit is de vijfde actieve of geregistreerde sessie.
c. Wanneer is dit prima?
  • Wanneer gebruikers normaal verbinden.
  • Wanneer het aantal sessies logisch is.
d. Wanneer is dit een IOC?
  • Heel veel sessies tegelijk.
  • Sessies die constant opnieuw starten.
  • Onverwachte sessies buiten werktijden.
  • Sessies zonder succesvolle login.

5. 127.0.0.1 – 192.168.2.5 – public of private

a. Waar staat het voor?

Dit is het IP-adres van de client.

b. Wat betekent het?
127.0.0.1
  • Localhost / loopback
  • De computer communiceert met zichzelf.
192.168.2.5
  • Privé-IP adres binnen een lokaal netwerk.
Public of private
  • 192.168.x.x = private IP
  • Publieke IP’s zijn zichtbaar op internet.
c. Wanneer is dit prima?
  • Localhost tijdens testen.
  • Private IP’s binnen een bedrijfsnetwerk.
  • Bekende apparaten binnen eigen netwerk.
d. Wanneer is dit een IOC?
  • Verbindingen vanaf onbekende publieke IP’s.
  • Veel verschillende IP’s in korte tijd.
  • IP’s uit verdachte landen.
  • Interne IP’s die normaal geen FTP mogen gebruiken.

6. T4X

a. Waar staat het voor?

Dit is de gebruikersnaam/accountnaam.

b. Wat betekent het?

De gebruiker T4X is succesvol aangemeld.

In deze regel:

230 Login successful.

is login van gebruiker T4X gelukt.

c. Wanneer is dit prima?
  • Wanneer het een bekende gebruiker is.
  • Wanneer deze gebruiker toegang hoort te hebben.
d. Wanneer is dit een IOC?
  • Onbekende accounts.
  • Accounts die buiten werktijden inloggen.
  • Accounts die ineens veel bestanden downloaden/uploaden.
  • Accounts met meerdere mislukte loginpogingen.

7. 331 Please, specify the password.

a. Waar staat het voor?

FTP statuscode 331.

b. Wat betekent het?

De gebruikersnaam is geaccepteerd en de server vraagt nu om het wachtwoord.

FTP-codes:

  • 331 = username OK, wachtwoord nodig.
  • 230 = login succesvol.
  • 530 = login mislukt.
c. Wanneer is dit prima?
  • Tijdens een normale loginprocedure.
  • Wanneer een gebruiker correct probeert in te loggen.
d. Wanneer is dit een IOC?
  • Heel veel 331 regels achter elkaar.
  • Veel mislukte logins na deze melding.
  • Mogelijke brute-force aanval.
  • Geautomatiseerde loginpogingen vanuit onbekende IP’s.