IP-Scan: De Eerste Stap in een Cyberaanval
Het scannen van IP-adressen is een van de eerste fases in een cyberaanval. Met behulp van deze technieken identificeren aanvallers kwetsbare doelwitten, verzamelen ze kritieke informatie en plannen ze hun intrusies. Dit artikel gaat dieper in op hoe deze scans functioneren, welke gegevens ze kunnen verzamelen, de verschillende soorten aanvallen die ermee geassocieerd zijn, en de beste veiligheidspraktijken om zowel persoonlijke apparaten als bedrijfservers te beschermen.
1. Wat is een IP-scan en hoe wordt deze uitgevoerd?
Een IP-scan is een geautomatiseerd of handmatig proces waarbij een aanvaller (of een beveiligingsonderzoeker) reeksen IP-adressen doorzoekt om:
- Actieve apparaten (servers, routers, IoT-camera’s) te identificeren.
- Geopende poorten (exposed services zoals SSH, RDP, HTTP, FTP) te detecteren.
- Bekende kwetsbaarheden (onbenutte software, onveilige configuraties) te vinden.
Veelgebruikte Tools voor IP-scanning
- Nmap: Poortscanning, detectie van services en besturingssystemen.
- Masscan: Snelle scan van grote IP-reeksen.
- Shodan / Censys: Zoekmachines voor blootgestelde apparaten op internet.
- Zmap: Massale poortscanning in het hele netwerk.
2. Welke informatie kunnen aanvallers verkrijgen?
A. Geopende poorten en blootgestelde services
- Poort 22 (SSH): Als deze open is, proberen aanvallers brute-force technieken of exploits zoals CVE-2018-15473.
- Poort 3389 (RDP): Aanvallen van ransomware zoals BlueKeep (CVE-2019-0708).
- Poorten 80/443 (HTTP/HTTPS): Kwetsbaarheden in CMS (zoals WordPress, Joomla) of onveilige API’s.
- Poort 445 (SMB): Geëxploiteerd door EternalBlue (WannaCry).
B. Versies van kwetsbare software
- Webservers met Apache 2.4.49 (CVE-2021-41773, path traversal).
- Databases zoals MySQL of MongoDB zonder authenticatie.
- IoT-apparaten met standaard inloggegevens (bijvoorbeeld camera’s met admin:admin).
C. Besturingssystemen en zwakke configuraties
- Voetafdrukken van Windows vs. Linux via TCP/IP-antwoord.
- Onjuist toegepaste firewallconfiguraties (bijvoorbeeld NAT-regels die interne services blootstellen).
D. Netwerk- en topologie-informatie
- Traceroute om het interne netwerk in kaart te brengen.
- Reverse DNS om domeinnamen die aan het IP zijn gekoppeld te ontdekken.
3. Soorten aanvallen gebaseerd op IP-scans
| Type Aanval | Voorbeeld | Impact |
|---|---|---|
| Brute Force | Aanvallen op SSH/RDP met woordenboeken | Ongeautoriseerde toegang |
| Exploitatie van CVE’s | EternalBlue, Log4Shell, Heartbleed | Remote code execution (RCE) |
| DDoS-aanvallen | Gebruik van gecompromitteerde apparaten | Uitschakeling van diensten |
| Man-in-the-Middle | Sniffing op niet-gecodeerde netwerken | Diefstal van inloggegevens |
| Ransomware | Infectie via RDP of SMB | Versleuteling van gegevens |
4. Geavanceerde beveiligingsmaatregelen
A. Voor persoonlijke apparaten en thuisnetwerken
1. Basisconfiguratie van beveiliging
- Firewall inschakelen (Windows Defender Firewall, UFW op Linux).
- Onnodige services uitschakelen (zoals Telnet, SMBv1 als deze niet wordt gebruikt).
- Standaard inloggegevens veranderen op routers en IoT-apparaten.
2. Bescherming tegen scans en brute force
- Fail2Ban (blokkeert IP’s na meerdere mislukte pogingen).
- Cloudflare/DDoS Bescherming (voor publieke services).
- VPN voor externe verbindingen (voorkomt directe blootstelling van services).
3. Monitoring en vroegtijdige detectie
- Wireshark/Tcpdump voor het analyseren van verdachte verkeer.
- ZENMAP (GUI van Nmap) voor auto-scans en inzien wat er is blootgesteld.
B. Voor bedrijfservers en kritieke omgevingen
1. Systeemverharding
- Root-login via SSH uitschakelen (
PermitRootLogin noin/etc/ssh/sshd_config). - Gebruik van SSH-sleutelauthenticatie in plaats van wachtwoorden.
- Netwerksegmentatie (VLAN’s voor het scheiden van servers, databases en gebruikers).
2. Geavanceerde bescherming tegen scans
- Rate Limiting (beperk verbindingen per IP met
iptablesofnftables). - Honeypots (tools zoals Cowrie om aanvallers te misleiden).
- Intrusie Detectiesystemen (IDS/IPS) zoals Suricata of Snort.
3. Patchen en kwetsbaarheidsbeheer
- Automatische updates (gebruik
unattended-upgradesin Linux). - Periodieke scans met OpenVAS om kwetsbaarheden op te sporen.
- Beleid voor sterke wachtwoorden en multifactor-authenticatie (MFA).
4. Incidentrespons
- Gecentraliseerde logs (ELK Stack, Graylog).
- Versleutelde en offline backups (3-2-1-regel: 3 kopieën, 2 media, 1 extern).
- Noodplan voor DDoS- of ransomware-aanvallen.
5. Aanbevolen tools voor bescherming
| Categorie | Tool | Gebruik |
|---|---|---|
| Firewall | iptables/nftables, pfSense | Verkeer filteren |
| Intrusie Detectie | Snort, Suricata, OSSEC | Pakketanalyses |
| Monitoring | Wazuh, Security Onion, Zeek | SIEM en forensisch onderzoek |
| Kwetsbaarheidsscan | OpenVAS, Nessus, Trivy | Identificatie van CVE’s |
| Webbescherming | ModSecurity, Cloudflare WAF | Mitigatie van HTTP-aanvallen |
6. Conclusie: Beveiliging is een Doorlopend Proces
IP-scans zijn onontkoombaar, maar met de juiste maatregelen kan het risico op inbraken drastisch worden verminderd. De sleutel is om:
✅ De aanvalsvector te minimaliseren (onbenodigde poorten sluiten).
✅ Systemen up-to-date te houden (beveiligingspatches).
✅ Verkeer te monitoren (vroegtijdige detectie van anomalieën).
✅ Voorbereid te zijn op het ergste (backups en herstelplannen).
Heb je hulp nodig bij het implementeren van deze maatregelen? Laat het me weten en ik help je met specifieke configuraties!