HANDLEIDING QMANAGE 6.0

Transcriptie

1 HANDLEIDING QMANAGE 6.0 Versie 17 april 2018 Quarantainenet BV 2018

2 Inhoudsopgave Inhoudsopgave Welkom Quarantainenet Servicedesk Als u van plan bent aanpassingen in uw netwerk te doen Gebruikte versie Qmanage Informatie over de nieuwste functionaliteiten De lijst met ondersteunde LAN en WLAN hardware De API-documentatie Mededeling Open Source Software... 7 Inhoud De werking van Qmanage De interface Deel 1: Kennismaken met Qmanage en de interface De werking van Qmanage Controle voor toelating tot het netwerk Controle na toegang tot het netwerk Qmanage: Gezien vanuit de eindgebruiker Qmanage: Gezien vanuit de netwerkbeheerder Qmanage: schematisch weergegeven Qmanage op LAN schematisch weergegeven Qmanage op WLAN 802.1x schematisch weergegeven Qmanage op WLAN Portal schematisch weergegeven De interface De menustructuur De onderdelen van de interface Het navigeren door de interface Aandachtspunten Zoekfunctie Quick acties voor veel voorkomende taken Invulvelden Datum selecteren Inhoud Deel 2: Werken met de interface Nieuwe switch toevoegen en uitrollen Stappenplan Rollout mode Manage now Nieuwe machine registreren Stappenplan Resultaat Tips Possible Incident beoordelen Uitleg over het detectie- en beoordelingsproces Het proces van detectie tot en met beoordeling Stappenplan Resultaat Tips Informatie over een gebruiker of machine opzoeken Pagina 2 van 116

3 7.1 Stappenplan Resultaat Machine restrictions en port reservations toevoegen Stappenplan via machineregistratie Stappenplan via poort Resultaat Tips Inhoud Een overzicht van de interface Het inlogscherm De homepage Registrations Incidents Trace Reports Infra Config Deel 3: Naslagwerk van het interfacemenu Een overzicht van de interface Registrations Incidents Trace Reports Infra Config Het inlogscherm De homepage Registrations Registrations - Machines Add machine Overzicht machines Edit registration - Machine restrictions Registrations - Accounts Add account Overzicht accounts Registrations - Mass add machines Registrations - Activation codes Eén activatiecode aanmaken Meerdere activatiecodes tegelijk aanmaken Activatiecodes gemaakt door eindgebruikers Registrations - Auto-registrations Incidents Incidents Possible Incidents Uitleg over het detectie- en beoordelingsproces Het overzicht van Possible Incidents Incidents - Possible Incidents - Custom Categories Incidents - Possible Incidents - Presets Incidents - Possible Incidents - Settings Incidents - Add Add Incident Lookup Pagina 3 van 116

4 Het Add-formulier Incidents List incidents Advanced Search Het zoekresultaat Edit Incident Overzicht detectiereports per Incident Incidents - Types Trace Trace track & trace Reports Reports - Summaries Reports - Summaries by period Reports - Charts Infra Infra Devices Infra Devices Add device Infra - Devices - LAN devices Ports - Edit - Port reservations Infra - Devices - WLAN devices Infra - SSIDs Infra - Access Groups Infra - Locations Wired authentication method Meerdere MAC-adressen per poort Gedrag van VoIP-apparatuur Koppeling tussen Location en Access Group Meerdere VLAN-mappings voor een Access Group op één Location (loadbalancing) Devices gekoppeld aan een Location Secure VLAN IDs (802.1X) Infra Radius Infra - DHCP Config Config - Reasons Config Whitelist Actions vanuit overzicht Resource groups Actions vanuit overzicht Custom resources Aanpassen custom Resource group Aanpassen custom Resource Activeren en deactiveren Resource groups Config - Files Add file Actions vanuit het overzicht van geüploade bestanden Speciaal geval: logo voor mobiele pagina s Config SMS Settings Limits Config Quarantine immunity Config - Qadmin access Users Roles Permissions Pagina 4 van 116

5 18 Woordenlijst Pagina 5 van 116

6 Pagina 6 van Welkom Voor u ligt de handleiding voor de administratieve web-interface van Qmanage 6.0. De handleiding die hoort bij uw versie van Qmanage kunt u downloaden via de administratieve interface door rechts onder de menubalk achter manual op NL te klikken. In de administratieve interface kunt u geautomatiseerde beheerstaken inrichten en handmatige acties verrichten. Deze handleiding helpt u bij de uitvoering van deze taken. De doelgroep voor de handleiding is netwerkbeheerders. Een zekere bekendheid met netwerkterminologie wordt bekend verondersteld.. Als u voor het eerst werkt met Qmanage, dan kunt u in deel 1 van deze handleiding kennismaken met Qmanage en de administratieve interface. In deel 2 van de handleiding kunt u vervolgens leren werken met de interface. Als u al de nodige ervaring heeft met het gebruik van Qmanage, kunt u in deel 3 van deze handleiding informatie over elk menuonderdeel van de interface opzoeken. De definitie van termen die gebruikt worden in deze handleiding kunt u vinden in hoofdstuk Quarantainenet Servicedesk Als u klant bent bij Quarantainenet heeft u recht op ondersteuning via telefoon en op werkdagen van 9:00 tot 17:00. Telefonische ondersteuning is primair bedoeld voor de momenten dat er een gehele of gedeeltelijke uitval van uw netwerk plaatsvindt en u het vermoeden heeft dat de uitval samenhangt met Qmanage. In dergelijke gevallen kunt u de Quarantainenet Servicedesk bereiken via Ondersteuning per is primair bedoeld voor minder urgente zaken. De Quarantainenet Servicedesk streeft ernaar om u binnen een dagdeel een inhoudelijke reactie te geven. Het adres van de Quarantainenet Servicedesk is support@quarantainenet.nl 1.2 Als u van plan bent aanpassingen in uw netwerk te doen Als u van plan bent om aanpassingen in uw netwerk te doen, verzoekt Quarantainenet u om contact op te nemen met de Quarantainenet Servicedesk. Zo kan gezamenlijk beoordeeld worden of er voor de nieuwe situatie configuratiewijzigingen in Qmanage nodig zijn. 1.3 Gebruikte versie Qmanage De versie van Qmanage die u gebruikt wordt linksonder op iedere pagina getoond, direct naast de gebruikersnaam waarmee u bent ingelogd. 1.4 Informatie over de nieuwste functionaliteiten De informatie over de nieuwste functionaliteiten, die zijn toegevoegd in versie 6.0 en de voorgaande releases kunt u vinden op Pagina 6 van 116

7 Pagina 7 van De lijst met ondersteunde LAN en WLAN hardware De lijst met door Qmanage ondersteunde LAN- en WLAN-hardware is te vinden op De API-documentatie De API-documentatie is op aanvraag beschikbaar via de Quarantainenet Servicedesk (support@quarantainenet.nl of ). 1.7 Mededeling Open Source Software In Qmanage wordt gebruik gemaakt van Open Source Software (OSS). Op vindt u nadere informatie over het gebruik van deze software, onder andere ten aanzien van de licentievoorwaarden. Pagina 7 van 116

8 Pagina 8 van 116 Deel 1 Kennismaken met Qmanage en de interface In dit eerste deel van de handleiding kunt u kennismaken met het product Qmanage en de bijbehorende interface. In hoofdstuk 2 wordt toelichting gegeven over Qmanage en in hoofdstuk 3 komt de interface aan bod. Inhoud 2 De werking van Qmanage... 3 De interface... Deel 1 Kennismaken - Pagina 8 van 116

9 Pagina 9 van 116 Deel 1: Kennismaken met Qmanage en de interface 2 De werking van Qmanage Qmanage is een oplossing voor Network Access Control. Dat betekent dat u met Qmanage volledige controle heeft over wie er toegang krijgt tot uw netwerk. 2.1 Controle voor toelating tot het netwerk In een gebruikelijke installatie van Qmanage krijgt niemand volledige toegang tot het netwerk, totdat hij zichzelf heeft geauthenticeerd en autorisatie gekregen heeft voor toegang. Als u alleen een licentie heeft voor de Qnet-functionaliteit, is deze vorm van toegangscontrole niet mogelijk. Qmanage biedt netwerktoegangscontrole op een laagdrempelige manier: van alle apparaten die zich met het netwerk willen verbinden, wordt vastgesteld welke rechten zij moeten krijgen. Hiervoor gebruikt Qmanage Access Groups en Locations. Een Access Group is de functionele groep waartoe een apparaat of gebruiker behoort, zoals Beheerde machines, Studenten of Gasten. De Location wordt gevormd door de wijze waarop het apparaat verbinding maakt met het netwerk. Op het LAN-netwerk is dit een groep switchpoorten; de groepering van deze switchpoorten vindt vaak plaats op basis van een fysieke locatie. Op het WLAN-netwerk is de Location vaak een combinatie van SSID en een wireless controller of access point. Qmanage zorgt ervoor dat op basis van de Access Group waarin het apparaat zich bevindt en de Location waarop het apparaat zich verbindt met het netwerk, het juiste VLAN wordt geconfigureerd. Meer informatie over Access Groups en Locations vindt u in paragraaf 16.3 en De definitie van termen die gebruikt worden in deze handleiding kunt u vinden in hoofdstuk Controle na toegang tot het netwerk Na toegang tot het netwerk fungeert de Qdetect-technologie als waakhond in het netwerk en signaleert problemen met machines. Vervolgens wordt er automatisch voor gezorgd dat de betreffende machine geïsoleerd wordt. Ook kunnen er koppelingen gemaakt worden met andere detectiebronnen binnen en buiten het netwerk om de detectie fijnmaziger te maken. Deze extra detectiebronnen kunnen de basis zijn voor een automatisch of handmatig Incident. De informatie over de nieuwste functionaliteiten, die zijn toegevoegd in versie 5.4 en de voorgaande releases kunt u vinden op Qmanage: Gezien vanuit de eindgebruiker In een typisch scenario detecteert Qmanage dat een eindgebruiker gebruik wil maken van het netwerk. Als deze eindgebruiker al bekend is bij Qmanage, wordt hij op basis van tijdens de implementatie afgesproken kenmerken (MAC-adres, RADIUS-authenticatie, etc.) automatisch in het juiste VLAN geplaatst. Als de eindgebruiker nog niet bekend is bij Qmanage, wordt een registratieprocedure aangeboden aan de eindgebruiker. Tijdens de implementatie zijn er een aantal keuzes gemaakt over de vormgeving van deze procedure. H2 De werking van Qmanage - Pagina 9 van 116

10 Pagina 10 van 116 Qmanage ondersteunt in versie 5.4 de volgende toegangs-scenario s: Authenticatie Activatiecode SMS-validatie Direct De eindgebruiker authenticeert zich met een gebruikersnaam en wachtwoord tegen een LDAP- of RADIUS-server. Er wordt een activatiecode verstrekt door een gastheer of bijvoorbeeld aan een receptiebalie. Met die code kan de eindgebruiker zich registreren voor gebruik van het netwerk. De eindgebruiker registreert zich door een activatiecode te ontvangen via SMS en deze in te vullen op de registratiepagina. De eindgebruiker krijgt toegang door bepaalde gegevens in te vullen. Binnen al deze scenario s is het mogelijk om gebruiksvoorwaarden te laten accepteren of om een beheerder een definitief akkoord te laten geven op de registratie. Om nieuwe scenario s toe te voegen aan een bestaande Qmanage-installatie neemt contact op met de Quarantainenet Servicedesk. Op het moment dat er een besmetting geconstateerd wordt bij een eindgebruiker, wordt hij geïsoleerd. In die isolatie-omgeving worden alle webpagina s die de eindgebruiker niet nodig heeft voor het oplossen van het probleem vervangen door een gepersonaliseerde quarantainepagina. Op deze pagina wordt aan de gebruiker uitgelegd welk probleem opgetreden is, hoe dit probleem opgelost kan worden en hoe problemen in de toekomst voorkomen kunnen worden. Daarnaast is het mogelijk om de eindgebruiker een zogeheten OneStrike te geven, waarmee hij zichzelf uit quarantaine kan halen als hij ervan overtuigd is dat het probleem is opgelost. 2.4 Qmanage: Gezien vanuit de netwerkbeheerder De netwerkbeheerder speelt nadat Qmanage is geïmplementeerd alleen nog een rol bij Incident-afhandeling en in sommige gevallen het beheren van registraties. De doelstelling is het automatiseren van alle binnen het bereik van Qmanage vallende beheerstaken. Het kan echter in specifieke gevallen noodzakelijk zijn om handmatig actie te ondernemen. Deze handleiding is te gebruiken voor zowel het inrichten van de geautomatiseerde beheerstaken als voor de handmatige acties. Binnen de administratieve interface beschikt u over alle middelen om deze taken te vervullen. Voor de controle na toegang tot het netwerk, is het streven eveneens om zoveel mogelijk taken geautomatiseerd af te handelen, maar het is uiteraard ook mogelijk om handmatig Incidenten toe te voegen. Voor extra detectiemethoden die niet 100% betrouwbaar zijn in hun bevindingen, is menselijke beoordeling van het mogelijke probleem vaak wenselijk. H2 De werking van Qmanage - Pagina 10 van 116

11 Pagina 11 van Qmanage: schematisch weergegeven Hieronder en op de volgende pagina is schematisch weergegeven hoe Qmanage interacteert met een switch op LAN en met een WLC op WLAN (afbeelding 1, 2 en 3). Voor het LAN is een onderscheid gemaakt tussen LAN en LAN 802.1X. Voor het WLAN is een onderscheid gemaakt tussen 802.1x en een Portal Qmanage op LAN schematisch weergegeven Afbeelding 1: Qmanage op LAN H2 De werking van Qmanage - Pagina 11 van 116

12 Pagina 12 van Qmanage op WLAN 802.1x schematisch weergegeven Afbeelding 2: Qmanage op WLAN 802.1x Qmanage op WLAN Portal schematisch weergegeven Afbeelding 3: Qmanage op WLAN Portal H2 De werking van Qmanage - Pagina 12 van 116

13 Pagina 13 van De interface Dit hoofdstuk beschrijft de menustructuur en de onderdelen van interface. 3.1 De menustructuur De menustructuur vormt de basis van deel 3 van deze handleiding, waarin alle menuitems worden besproken: Homepage (zie H11) Registrations (zie H12) Machines Confirm Accounts Mass add machines Activation codes Autoregistrations Incidents (zie H13) Possible Incidents o Custom Categories o Presets o Settings Add Search External Types Trace (zie H14) Period mode Timestamp mode Reports (zie H15) Summaries Summaries by period Charts Infra (zie H16) Devices SSID s Access groups Locations DHCP Config (zie H17) Reasons Whitelist Files SMS Quarantine immunity Qadmin access o Users o Roles o Permissions H3 De interface - Pagina 13 van 116

14 Pagina 14 van De onderdelen van de interface De interface bevat zes hoofdelementen, zoals te zien in afbeelding 4. Afbeelding 4: De interface van Qmanage 1. Qadmin logo Door op het Qadmin-logo te klikken keert u altijd terug naar de Home-pagina. 2. Hoofdmenu Vanuit het hoofdmenu zijn de belangrijkste menu-items direct te bereiken. 3. Kruimelpad Het kruimelpad geeft niet alleen aan in welk (sub)menu u zich bevindt, maar biedt ook de mogelijkheid te navigeren naar de bovenliggende menu-items. 4. Handleiding Door op Qmanage manual te klikken, kunt u de handleiding downloaden vanaf de Quarantainenetwebsite 5. Aandachtspunten Het blok met aandachtspunten toont een opmerking als Qmanage input van u verwacht. 6. Submenu s Het blok met (sub)menu-items geeft aan welke er beschikbaar zijn in de gekozen menu, voorzien van een korte omschrijving. In de volgende paragraaf wordt nader ingegaan op de verschillende methoden om door de interface te navigeren. H3 De interface - Pagina 14 van 116

15 Pagina 15 van Het navigeren door de interface U kunt op een aantal verschillende manieren door de administratieve interface navigeren. Allereerst is er is er het hoofdmenu: Afbeelding 5: Het hoofdmenu van de administratieve interface De verschillende menu-items die bereikbaar zijn vanuit het hoofdmenu worden in deel 3 van deze handleiding beschreven. Het is mogelijk dat binnen uw specifieke installatie of voor uw gebruikersrechten niet alle menu-opties beschikbaar zijn. Daarnaast is er de mogelijkheid om linksboven in het scherm op terug te keren naar een vorig scherm door linksboven in het scherm te klikken op de woorden in het kruimelpad. Het vetgedrukte item geeft aan waar u zich op dat moment bevindt. Afbeelding 6: Kruimelpad van de administratieve interface Tenslotte is er op iedere overviewpagina van een menu-item een blok met de beschikbare (sub)menu-items met een korte omschrijving. Afbeelding 7: Overviewpagina van de administratieve interface H3 De interface - Pagina 15 van 116

16 Pagina 16 van Aandachtspunten Als er aandachtspunten zijn, worden deze opgesomd in een blok bovenaan de pagina. Ook worden eventuele foutmeldingen hier getoond. Afbeelding 8: Aandachtpunt in de administratieve interface Zoekfunctie U kunt op de meeste pagina s zoeken met de Quick search, die zich dan rechtsboven in beeld bevindt. Met deze zoekfunctie zoekt u op de pagina die op dat moment voor u zichtbaar is. Afbeelding 9: Zoekfunctie in de administratieve interface Let op: Deze functionaliteit werkt niet goed in Internet Explorer 7. Wij raden u aan om te upgraden naar een recente versie van Internet Explorer of om Firefox te gebruiken Quick acties voor veel voorkomende taken Op iedere startpagina van een menuitem kunt u met Quick acties de veel voorkomende taken uitvoeren. Ter illustratie, de Quick actie om Incidenten toe te voegen: Afbeelding 10: Quick actie om Incidenten toe te voegen Invulvelden Op veel pagina s komt u invulvelden tegen, waar u informatie moet invullen. In deel 3 van deze handleiding worden deze invulvelden toegelicht. De velden met een sterretje (*) zijn verplicht. H3 De interface - Pagina 16 van 116

17 Pagina 17 van Datum selecteren Op de plekken waar een datum gevraagd wordt, kunt u de datumprikker gebruiken. Hiermee kunt u een datum selecteren uit de kalender, die verschijnt als u klikt op het kalender-icoon. Afbeelding 11: Datumprikker Na deze beschrijving van Qmanage en de algemene opbouw van de interface wordt in de volgende hoofdstukken beschreven hoe u Qmanage kunt gebruiken voor de taken die regelmatig voorkomen bij het beheren en bewaken van uw netwerk. H3 De interface - Pagina 17 van 116

18 Pagina 18 van 116 Deel 2 Werken met de interface Als u onbekend bent met de interface, kunt u onderstaande instructies gebruiken om vijf taken te leren. Door deze taken leert u de interface wat beter kennen en kunt u daarna aan de hand van de beschrijving van de interface in de latere hoofdstukken van deze handleiding de rest van de interface verkennen. Inhoud 4 Nieuwe switch toevoegen en uitrollen... 5 Nieuwe machine registreren... 6 Possible Incident beoordelen... 7 Informatie over een gebruiker of machine opzoeken... 8 Machine restrictions en port reservations toevoegen... Deel 2 Werken met de interface - Pagina 18 van 116

19 Pagina 19 van 116 Deel 2: Werken met de interface 4 Nieuwe switch toevoegen en uitrollen Voordat u een switch in Qmanage toevoegt, dient deze voorgeconfigureerd te zijn. De handleidingen voor het instellen van de hardware voor gebruik met Qmanage zijn op te vragen bij de Quarantainenet Servicedesk of te downloaden via Stappenplan Om een switch in Qmanage toe te voegen, voert u de volgende stappen uit: 1. Ga naar de administratieve interface. Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Infra Devices. a. Klik in het hoofdmenu rechts bovenin op Infra of op de link op de hoofdpagina. b. Klik onder Infra rechts bovenin op het submenu devices of op de link op de hoofdpagina. 3. Druk op Add Device. 4. Zet de juiste gegevens in het invulscherm. De invulvensters met een * zijn verplicht. a. Vul het IP-adres van de machine in achter IP address. b. Vul de SNMP community in achter SNMP community. 5. Druk op Next step voor de volgende stap. 6. Vul de gegevens in die Qmanage nodig heeft om de switch aan sturen (zie afbeelding 12). De invulvensters met een * zijn verplicht. Vul de Location in achter Location. Afhankelijk van hoe de switch wordt aangestuurd, zullen additionele velden voor de benodigde gegevens worden getoond. In dit scherm kunt u Rollout mode aan- of uitzetten. Wanneer u een nieuwe switch toevoegt, staat Rollout mode standaard aan. U kunt in dit scherm ook de switch door Qmanage laten managen. Standaard staat Manage now uit, wanneer u een nieuwe switch toevoegt. Pas nadat Manage now aanstaat voor een switch, kunnen er daadwerkelijk poorten op de switch worden gemanaged. 7. Druk op Add device om de switch toe te voegen in Qmanage. H4 Deel 2: Werken met de interface - Pagina 19 van 116

20 Pagina 20 van 116 Afbeelding 12: Infra Devices Add Device 4.2 Rollout mode Om de uitrol van Qmanage op het bedrade netwerk te vergemakkelijken, heeft Qmanage een rollout mode. Rollout mode geeft een beheerder inzicht in welke apparaten er zijn aangesloten op de poorten van in Qmanage toegevoegde switches. U krijgt op deze manier inzicht in welke apparaten al bekend zijn bij Qmanage en welke apparaten op de switch nog niet geregistreerd zijn. Quarantainenet raadt u aan om een toegevoegde switch enige tijd in rollout mode te laten, zodat Qmanage informatie kan verzamelen over aangesloten apparaten gedurende een langere periode. U kunt ook het report Active hosts without registration on unmanaged ports gebruiken om na te gaan of er nog registraties ontbreken in Qmanage. Wanneer u een switch toevoegt in Qmanage, staat Rollout mode standaard aangevinkt. Een beschrijving over het aan- en uitzetten van Rollout mode kunt u vinden in paragraaf Tijdens Rollout mode maakt Qmanage geen wijzigingen op de switch: deze modus is read-only. 4.3 Manage now Wanneer er geen registraties meer ontbreken, kunt u de switch laten managen door Qmanage. Dit doet u door Manage now aan te zetten voor een switch. U kunt nu de individuele poorten op de switch gaan managen. Een beschrijving over het aan- en uitzetten van Manage now kunt u vinden in paragraaf Op het moment dat u Manage now gebruikt, gaat Qmanage aanpassingen maken op de switch om hem goed samen te laten werken met Qmanage. H4 Nieuwe switch toevoegen en uitrollen - Pagina 20 van 116

21 Pagina 21 van Nieuwe machine registreren Wanneer er een nieuwe machine wordt aangesloten op het netwerk, kunt u de registratie laten verlopen via de standaard registratieprocedure. De gebruiker van machine registreert deze dan zelf. Wanneer u een machine zonder interface voor een registratieprocedure wilt registreren, zoals een printer, dan is het wenselijk om een apparaat toe te voegen via de administratieve interface. Een beschrijving van de invulvelden op de pagina kunt u vinden in paragraaf De definitie van termen die gebruikt worden in deze handleiding kunt u vinden in hoofdstuk Stappenplan Om een machine te registreren, voert u de volgende stappen uit: 1. Ga naar de administratieve interface Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Registrations Machines. c. Klik in het hoofdmenu rechts bovenin op Registrations of op de link op de hoofdpagina. d. Klik onder Registrations rechts bovenin op het submenu Machines of op de link op de hoofdpagina. 3. Zet de juiste gegevens in het invulscherm (zie afbeelding 13). De invulvensters met een * zijn verplicht. c. Vul het MAC-adres van de machine in achter MAC address, in de vorm AA:BB:CC:DD:EE:FF d. Kies de Access Group waarin de machine moet komen achter Access Group. Optioneel: kies welke gegevens verder van belang zijn voor deze registratie en vul deze in. Afbeelding 13: Registrations Machines Add machine 4. Druk op Add om de machine toe te voegen. H5 Nieuwe machine registreren - Pagina 21 van 116

22 Pagina 22 van Resultaat Na het uitvoeren van bovenstaande stappen, verschijnt er direct een melding van het resultaat: Als u een fout heeft gemaakt bij het invullen, is dit nu zichtbaar. Als de melding aangeeft dat de machine is toegevoegd, kunt u op het MAC-adres klikken om de details van de betreffende registratie te bekijken en eventueel aan te passen. De machine is nu opgenomen in de lijst geregistreerde machines onderaan het scherm (in Registrations Machines). In de tabel kunt u achter het MAC-adres van de machine op Edit of Delete klikken als u de registratie wilt wijzigen of verwijderen. 5.3 Tips Als u meerdere machines in één keer wilt toevoegen, gebruik dan de optie Mass Add Machines in het menu (zie 12.3). H5 Nieuwe machine registreren - Pagina 22 van 116

23 Pagina 23 van Possible Incident beoordelen 6.1 Uitleg over het detectie- en beoordelingsproces Termen Categories Confidence Combined Confidence Report Preset De Categorieën van problemen die onderscheiden worden in de detectie. Eén report hoort bij één Categorie. Als iets gedetecteerd wordt dat in meerdere Categorieën hoort, dan worden meerdere reports aangemaakt. De kans dat bij de gebruiker het probleem aanwezig is waar het report over gaat (waarde tussen 0 en 100). De kans dat bij de gebruiker een probleem aanwezig is, berekend door de Confidences van verschillende reports in een Categorie te combineren. Rapportage van verdacht gedrag met daarin onder andere over welke gebruiker het gaat, in welke Categorie het valt en de Confidence. De grenswaarden per Categorie geven aan bij welke Combined Confidence de reports van een gebruiker worden genegeerd, handmatig moeten worden beoordeeld (Possible Incident) of een automatisch Incident moeten worden. Voor het instellen van de Presets, zie paragraaf Meer termen kunt u vinden in hoofdstuk Het proces van detectie tot en met beoordeling Stap 1 Het proces begint wanneer een detectierapport binnenkomt, ook wel een report genoemd. In dit report staat onder andere over welke gebruiker het gaat, in welke Categorie het valt en de Confidence van het report. Stap 2 Omdat een nieuwe report binnen is gekomen, moet (opnieuw) beoordeeld worden of de gebruiker in quarantaine gezet moet worden of niet. Dit wordt bepaald aan de hand van de Combined Confidence, die berekend wordt met de Confidences uit alle reports in een bepaalde Categorie. Stap 3 De gebruiker hoort bij een bepaalde groep gebruikers, bijvoorbeeld een Access Group. Deze groep is gekoppeld aan een Preset, die gebruikt wordt om mogelijke Incidenten in deze groep te evalueren. De Preset bestaat uit twee grenswaarden per Categorie. Afhankelijk van de instellingen van deze grenswaarden en de hoogte van de Combined Confidence wordt bepaald welke actie ondernomen wordt: het Possible Incident van een gebruiker negeren, het Incident handmatig beoordelen (dan wordt het een Possible Incident) of de gebruiker automatisch in quarantaine zetten. H6 Possible Incident beoordelen - Pagina 23 van 116

24 Pagina 24 van 116 In de berekening van de Combined Confidence worden grenswaarden gebruikt om te voorkomen dat de Combined Confidence onrealistisch hoge waarden aanneemt. Dit voorkomt dat bijvoorbeeld de combinatie van veel DNS-reports leidt tot een Combined Confidence van 100%, terwijl het dan helemaal niet zeker is dat er sprake is van een Incident. Ook zorgt het ervoor dat meerdere DNSreports over hetzelfde gedetecteerde gedrag niet gezamenlijk leiden tot een te hoge Combined Confidence, terwijl er eigenlijk maar één probleem gedetecteerd is. In het submenu vindt u de instellingen die u kunt doen voor de Possible Incidents: Custom Categories Presets Settings Het aanmaken van eigen Categorieën, die reports verwerken van DNS-detectie. Het instellen van de Presets per groep gebruikers, die bepalen of een gebruiker met reports van een bepaalde Combined Confidence genegeerd moet worden, handmatig beoordeeld moet worden of automatisch in quarantaine gezet worden. Het instellen van het maximum aantal Incidenten per dag en het toevoegen van hostnames aan de DNSwhitelist. Het proces van detectie tot en met beoordeling is hieronder schematisch weergegeven in afbeelding 14. Afbeelding 14: Schematisch overzicht van het proces van detectie tot en met beoordeling De uitgebreide beschrijving van deze menupagina kunt u vinden in paragraaf De definitie van termen die gebruikt worden in deze handleiding kunt u vinden in hoofdstuk Stappenplan Om een Possible Incident te beoordelen, voert u de volgende stappen uit: 1. Ga naar de administratieve interface. Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Incidents Possible Incidents. a. Klik in het hoofdmenu rechts bovenin op Incidents of op de link Incidents op de hoofdpagina. H6 Possible Incident beoordelen - Pagina 24 van 116

25 Pagina 25 van 116 b. Klik onder Incidents rechts bovenin op het submenu Possible Incidents of op de link Possible Incidents op de hoofdpagina. 3. Kies in welke Categorie u een Incident wilt beoordelen. a. Klik op het tabblad van de Categorie waarin u een Incident wilt beoordelen. 4. Kies het Possible Incident dat u wilt beoordelen. Kies welk Possible Incident van welke gebruiker u wilt beoordelen aan de hand van het MAC-adres, IP-adres, gebruikersnaam of de Access Group. 5. Bekijk de gegevens van het Possible Incident (zie afbeelding 15). Bekijk wat de Combined Confidence is, die in het vakje linksboven staat onder de naam van de Categorie. Indien er meerdere Categorieën zijn: bekijk de Combined Confidences van alle Categorieën. Bekijk de gegevens van de reports per Categorie. Indien nodig: klik op Show them om meer reports zichtbaar te maken. Met Show fewer reports kunt u terugkeren naar het beperkte overzicht. Afbeelding 15: Een Possible Incident met bijbehorende gegevens 6. Beoordeel het Possible Incident. Klik op Ignore als uw oordeel is dat de gebruiker met het Possible Incident niet in quarantaine gezet hoeft te worden. Klik op Quarantine als uw oordeel is dat de gebruiker met het Possible Incident in quarantaine gezet moet worden. 7. Heeft u geklikt op Ignore? Als u geklikt heeft op Ignore, is het Incident onmiddellijk genegeerd en zijn er geen verdere stappen nodig. H6 Possible Incident beoordelen - Pagina 25 van 116

26 Pagina 26 van Heeft u geklikt op Quarantine? Als u geklikt heeft op Quarantine, dan komt u terecht op het zogenaamde Addformulier waar u eventueel zelf informatie kunt toevoegen aan het Incident (zie afbeelding 16). Optioneel: Wijzig de Reason. De belangrijkste gegevens zoals het User ID en de Reason zijn al voor u ingevuld. De Reason kunt u indien gewenst wijzigen. Optioneel: Vul extra gegevens in. Alle velden zonder * zijn optioneel, een volledige beschrijving van deze velden vindt u in paragraaf van deze handleiding. Klik onderaan de de pagina op de knop Add om de gebruiker in quarantaine te zetten. Afbeelding 16: Het Add-formulier voor een Incident H6 Possible Incident beoordelen - Pagina 26 van 116

27 Pagina 27 van Resultaat Het Possible Incident verdwijnt uit de lijst. Afhankelijk van uw beoordeling, worden de oude reports bewaard of gearchiveerd: Ignore Als u gekozen heeft voor Ignore, wordt het Possible Incident genegeerd. Als er een nieuw detectiereport binnenkomt voor deze gebruiker, wordt opnieuw de Combined Confidence uitgerekend per Categorie. Aan de hand van de Presets wordt vervolgens bepaald of het Incident genegeerd wordt, een Possible Incident wordt of dat de gebruiker automatisch in quarantaine gezet wordt. Quarantine Als u gekozen heeft voor Quarantine, wordt de gebruiker met het Possible Incident in quarantaine gezet. Alle reports die met dit Possible Incident te maken heeft worden gearchiveerd. Als er opnieuw een report binnenkomt voor deze gebruiker, worden de oude reports niet meegenomen bij de berekening van de Combined Confidence. Een overzicht van alle Incidenten (de gebruikers en/of apparaten die in quarantaine staan), kunt u bekijken onder Search (zie 13.3). 6.4 Tips Als u graag meer of minder Possible Incidents met de hand wilt beoordelen, dan kunt u de Presets aanpassen of een eigen Preset aanmaken. Meer informatie over de Presets vindt u in paragraaf H6 Possible Incident beoordelen - Pagina 27 van 116

28 Pagina 28 van Informatie over een gebruiker of machine opzoeken Over gebruikers of machines op het netwerk is allerlei informatie bekend bij Qmanage, zoals de registratie, RADIUS-sessies en DHCP-leases. Met de Tracefunctie van de administratieve interface is deze informatie op te zoeken. De uitgebreide beschrijving van de gebruikte menupagina kunt u vinden in hoofdstuk Stappenplan Om een informatie op te zoeken over een gebruiker of machine, voert u de volgende stappen uit: 1. Ga naar de administratieve interface. Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Trace. Klik in het hoofdmenu rechts bovenin op Trace of op de link Trace op de hoofdpagina. 3. Vul in waar u op wilt zoeken. a. Vul achter Search for* een MAC-adres, IP-adres of username in van de op te zoeken machine of gebruiker. b. Vul achter Search period de periode in waarin u wilt zoeken. o o U kunt kiezen voor de afgelopen dag, week, maand, etc. Als u kiest voor custom, vul dan achter Begin en End de begin- en eindtijd in voor het zoeken. Als u het veld Begin leeglaat, zoekt Qmanage vanaf het oudst beschikbare logmoment. Als u het veld End leeglaat, zoekt Qmanage tot aan het meest recente beschikbare logmoment. 4. Klik op Search om te zoeken. 5. Bekijk de resultaten van uw zoekopdracht. Na het zoeken worden alle gegevens over de gebruiker of machine getoond uit de gekozen periode. 7.2 Resultaat Nadat u de zoekresultaten bekeken heeft, kunt u nogmaals zoeken door opnieuw de velden Search for* en Period (en eventueel Begin en End) in te vullen en op Search te klikken. H8 Machine restrictions en port reservations- Pagina 28 van 116

29 Pagina 29 van Machine restrictions en port reservations toevoegen Met de machine restricties en port reserveringen kunt u bepalen welke machines gebruik mogen maken van welke poorten. U kunt registraties beperken tot bepaalde poorten en poorten reserveren voor bepaalde registraties. Hieronder zijn twee praktijkvoorbeelden om dit te illustreren. Registratie beperken tot een poort: De printer moet in de hal blijven staan. De printer mag daarom alleen aangesloten worden op de poort in de hal. Als iemand de printer meeneemt naar zijn kantoor en deze hier aansluit, dan krijgt de printer geen toegang tot het netwerk en kan deze niet gebruikt worden om opdrachten naar te versturen en printen. De printer is beperkt tot de poort in de hal. Poort reserveren voor een registratie: De patiëntmonitoring bij het bed van een patiënt in het ziekenhuis moet aangesloten blijven. Daarom mag de netwerkpoort bij het bed van een patiënt alleen gebruikt worden voor de patiëntmonitoring. Als de patiënt de patiëntmonitoring loskoppelt en zijn privé-laptop aansluit op de netwerkpoort, dan krijgt hij geen toegang tot het netwerk. De poort is gereserveerd voor de patiëntmonitoring. In de administratieve interface Het toevoegen en wijzigen van restricties en reserveringen kan via de pagina van de machineregistratie of de pagina van de poort van het apparaat. Deze twee werkwijzen worden in de onderstaande paragrafen uitgelegd. Alleen als registraties verbonden zijn met een poort kunt u een restrictie of reservering toevoegen; als er geen registraties verbonden zijn met een poort, is de pagina met restricties en reserveringen ook niet aanwezig. De uitgebreide beschrijving van de functionaliteit voor machine restricties kunt u vinden in paragraaf De uitgebreide beschrijving van de functionaliteit voor poort reserveringen kunt u vinden in paragraaf H8 Machine restrictions en port reservations- Pagina 29 van 116

30 Pagina 30 van Stappenplan via machineregistratie Om een registratie te beperken tot een bepaalde poort, voert u de volgende stappen uit: 1. Ga naar de administratieve interface. Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Registrations machines. a. Klik in het hoofdmenu rechts bovenin op Registrations of op de link Registrations op de hoofdpagina. b. Klik onder Registrations rechts bovenin op het submenu machines of op de link Machines op de hoofdpagina. U komt nu op de pagina met uw machineregistraties. c. Klik op Edit achter de registratie u wilt beperken tot een bepaalde poort. d. Klik op Edit Restrictions & Reservations onder de kop MAC-Port configuration. 3. Een restrictie toevoegen. U bent nu op de pagina met de restricties en reserveringen voor de gekozen registratie. In het bovenste gedeelte kunt u aanvinken tot welke poorten deze registratie beperkt moet worden; in het onderste gedeelte kunt u aanvinken welke poorten gereserveerd moeten worden voor deze registratie. Wanneer dit van toepassing is, staat in beide gedeelten in een kleiner lettertype bij een poort weergegeven welke andere machines verbonden zijn en/of beperkt zijn tot deze poort; daarnaast staat erbij of deze poort gereserveerd is voor een bepaalde machine. Om een restrictie toe te voegen, doorloopt u de volgende stappen: a. Zet een vinkje voor de poort waartoe deze registratie beperkt moet worden. b. Klik op Save. 4. Bekijk het resultaat van de restrictie. Na het toevoegen van de restrictie, komt u automatisch op de Edit-pagina van de machineregistratie. Hier wordt de restrictie weergegeven onder de kop MAC-Port configuration. 8.2 Stappenplan via poort Om een poort te reserveren voor een bepaalde registratie, voert u de volgende stappen uit: 1. Ga naar de administratieve interface. Log in met uw gebruikersnaam en wachtwoord. 2. Ga naar Infra LAN devices. a. Klik in het hoofdmenu rechts bovenin op Infra of op de link Infra op de hoofdpagina. b. Klik onder Infra rechts bovenin op het submenu Devices of op de link Devices op de hoofdpagina. c. Klik op het tabblad LAN Devices U komt nu op de pagina met uw LAN devices. H8 Machine restrictions en port reservations- Pagina 30 van 116

31 Pagina 31 van 116 d. Klik op Ports achter het apparaat waarvan u een poort wilt reserveren. e. Klik op Edit achter de poort die u wilt reserveren voor een bepaalde registratie. f. Klik op Edit Restrictions & Reservations onder de kop MAC-Port configuration. 3. Een reservering toevoegen. U bent nu op de pagina met de restricties en reserveringen voor de gekozen poort. In het bovenste gedeelte kunt u aanvinken tot welke poorten deze registratie beperkt moet worden; in het onderste gedeelte kunt u aanvinken welke poorten gereserveerd moeten worden voor deze registratie. Wanneer dit van toepassing is, staat in beide gedeelten in een kleiner lettertype bij een poort weergegeven welke andere machines verbonden zijn en/of beperkt zijn tot deze poort; daarnaast staat erbij of deze poort gereserveerd is voor een bepaalde machine. Om een reservering toe te voegen, doorloopt u de volgende stappen: a. Zet een vinkje voor de registratie waarvoor deze poort gereserveerd moet worden. b. Klik op Save. 4. Bekijk het resultaat van de reservering. Na het toevoegen van de reservering, komt u automatisch op de Edit-pagina van de poort. Hier wordt de reservering weergegeven onder de kop MAC-Port configuration. 8.3 Resultaat In het overzicht van de machineregistraties is onder meer af te lezen met welke poort de registratie verbonden is. Tot welke poorten de registraties beperkt zijn, is weergegeven op de pagina van de registratie. Deze restricties en reserveringen zijn aan te passen via de pagina van de registratie. In het overzicht van de poorten van een switch is onder meer af te lezen welke registraties met welke poort verbonden zijn. Voor welke registraties de poort gereserveerd is, is weergegeven op de pagina van de poort. Deze restricties en reserveringen zijn aan te passen via de pagina van de poort. Daarnaast is in de twee overzichten te zien of er sprake is van een conflict. Dit is het geval wanneer de registratie tot een andere poort beperkt is dan waarop hij aangesloten is of als de poort gereserveerd is voor een andere registratie dan die op dat moment aangesloten is. Bij een conflict wordt de poort in quarantaine gezet en krijgt de aangesloten registratie een eindgebruikerspagina te zien met een tekst die speciaal voor deze functionaliteit geschreven is (voor Reasons zie 17.1). H8 Machine restrictions en port reservations- Pagina 31 van 116

32 Pagina 32 van Tips Als een conflict is ontstaan met een registratie en een poort, ga dan naar de restrictions & reservations-pagina van de registratie of poort om te achterhalen waar het conflict bijhoort. Op deze pagina wordt aangegeven waardoor het conflict ontstaan is en kunt u het oplossen. Als door het toevoegen van een restrictie of reservering een conflict zal ontstaan, dan wordt dit aangegeven als u het desbetreffende vinkje gezet hebt. H8 Machine restrictions en port reservations- Pagina 32 van 116

33 Pagina 33 van 116 Deel 3 Naslagwerk van het interfacemenu Dit derde deel van de handleiding is een naslagwerk van de interface van Qmanage. Allereerst wordt een overzicht gegeven van de volledige interface, waarna in de volgende hoofdstukken alle menu-items in detail aan bod komen. Het is echter mogelijk dat binnen uw specifieke installatie of voor uw gebruikersrechten niet alle menu-opties beschikbaar zijn. Inhoud 9 Een overzicht van de interface Het inlogscherm 11 De homepage 12 Registrations 13 Incidents 14 Trace 15 Reports Infra 17 Config Deel 3 Naslagwerk van het interfacemenu - Pagina 33 van 116

34 Pagina 34 van 116 Deel 3: Naslagwerk van het interfacemenu 9 Een overzicht van de interface Het hoofdmenu van de administratieve interface heeft zes menu-items: Registrations, Incidents, Trace, Reports, Infra en Config. Het is mogelijk dat binnen uw specifieke installatie of voor uw gebruikersrechten niet alle menuopties beschikbaar zijn. 9.1 Registrations Onder Registrations kunt u machines en accounts toevoegen, beheren en verwijderen. Daarnaast kunt u hier activatiecodes aanmaken voor gasten. Meer over Registrations vindt u in hoofdstuk Incidents Hier kunt u Incidenten, de gebruikers en/of apparaten die in quarantaine staan, en Possible Incidents bekijken en beoordelen en bijbehorende instellingen aanpassen. Meer over Incidenten vindt u in hoofdstuk Trace Onder Trace vindt u de Track and Trace functionaliteit om informatie op te vragen over Incidenten en registraties. Deze informatie kunt u opvragen op basis van IPadres, MAC-adres of gebruikersnaam. Meer over Track and Trace vindt u in hoofdstuk Reports Samenvattingen en overzichten van onder andere de registraties, Incidenten en activatiecodes kunt u opvragen onder Reports. Meer over Reports vindt u in hoofdstuk Infra Hier kunt u instellingen doen en bekijken van de apparaten in uw netwerkopstelling. Dit geldt voor instellingen van zowel LAN- als WLAN-devices, SSID s, Access Groups, Locations, Radius en DHCP. Meer over instellingen van apparaten in uw netwerkopstellingen vindt u in hoofdstuk 16. H9 Een overzicht van de interface - Pagina 34 van 116

35 Pagina 35 van Config Onder Config kunt u instellingen doen en bekijken van eindgebruikerspagina s en de toegang tot de interface beheren. Meer over eindgebruikerspagina s en toegangsbeheer voor de interface vindt u in hoofdstuk 17. H9 Een overzicht van de interface - Pagina 35 van 116

36 Pagina 36 van Het inlogscherm Bij het openen van de administratieve interface komt u op het inlogscherm. Voer op het inlogscherm uw gebruikersnaam en wachtwoord in om toegang te krijgen tot de administratieve omgeving. Afbeelding 17: Het inlogscherm van de administratieve interface Indien u uw gebruikersnaam of wachtwoord niet correct heeft ingevoerd, toont Qmanage een foutmelding en krijgt u de mogelijkheid om beide opnieuw in te voeren. Indien u niet beschikt over een gebruikersnaam en wachtwoord, neem dan contact op met de hoofdbeheerder van Qmanage binnen uw organisatie. Quarantainenet raadt u aan om altijd weer uit te loggen nadat u de gewenste taken verricht heeft. H10 Het inlogscherm - Pagina 36 van 116

37 Pagina 37 van De homepage Afbeelding 18: De homepage Direct na het inloggen komt u in het Home-menu. Op deze pagina worden (indien relevant) aandachtspunten getoond, kunt u navigeren naar andere delen van het menu, zoeken in het menu met de Quick search en uw wachtwoord wijzigen. De laatste sectie bevat de mogelijkheid om uw wachtwoord te wijzigen. Qmanage bevat geen regels over het periodiek verplicht wijzigen van het wachtwoord, noch beperkingen met betrekking tot de moeilijkheidsgraad. Afbeelding 19: Het wijzigen van uw wachtwoord H11 De homepage - Pagina 37 van 116

38 Pagina 38 van Registrations Afbeelding 20: Registrations Onder Registrations kunt u machines (MAC-adressen) en accounts (gebruikersnamen) registreren en beheren: Machines Confirm Accounts Mass Add Machines Activation Codes Auto-registration Het registreren en beheren van machines. Het bevestigen van een registratie, die gedaan is door een eindgebruiker. Het registreren en beheren van accounts op basis van gebruikersnamen. Het registreren van meerdere machines in één keer. Het aanmaken en beheren van activatiecodes. Het beheren van automatisch geregistreerde MACprefixes Op deze pagina kunt u enkele Quick acties doen: machines of accounts doorzoeken en machines of accounts toevoegen. Opmerking: indien bij uw installatie ingeschakeld, kan er een LDAP-menuitem aanwezig zijn. Voor meer informatie over de werking hiervan kunt u contact opnemen met de Servicedesk. In de volgende paragrafen worden bovenstaande submenu s verder uitgelegd. De definitie van termen die gebruikt worden in deze handleiding kunt u vinden in hoofdstuk Registrations - Machines Binnen het submenu Machines kunt u registraties van machines beheren. Machines worden op basis van een MAC-adres geregistreerd Add machine De sectie Add machine is bedoeld om een machine te registreren in Qmanage. Uitgebreide instructies over het toevoegen van een machine zijn te vinden in hoofdstuk 4. Bij de verplicht in te vullen velden staat een sterretje (*). MAC address* Realname Het MAC-adres van de te registreren machine, in de vorm AA:BB:CC:DD:EE:FF De naam van de eindgebruiker die verantwoordelijk is voor de machine. H12 Registrations - Pagina 38 van 116

39 Pagina 39 van 116 Phone Description Expires Access Group* VM Host Het adres van de eindgebruiker die verantwoordelijk is voor de machine. Het telefoonnummer van de eindgebruiker die verantwoordelijk is voor de machine. Let op: het telefoonnummer dient met landcode te worden ingevoerd, bijvoorbeeld , waarbij +31 de landcode is voor Nederland. Een korte omschrijving van de machine. Het tijdstip waarop de registratie moet verlopen. Als u niets invult, verloopt de registratie nooit. U kunt gebruikmaken van de datumprikker (het kalender-icoon) om een datum te selecteren. De Access Group waarin de machine geregistreerd moet worden. Meer informatie over Access Groups vindt u in paragraaf Aan te vinken voor systemen die als host-machine dienen van één of meerdere Virtual Machines. Hiermee is het mogelijk om VM-hosts in bridging mode aan een door Qmanage beheerde switchpoort te verbinden. Met een klik op Add wordt de machine toegevoegd. Er verschijnt een melding van de toevoeging, waarin het MAC-adres klikbaar is zodat u desgewenst nog aanpassingen kunt doen Overzicht machines Onder Machines vindt u een overzicht van de machines die geregistreerd zijn in Qmanage, zie afbeelding 21. In dit overzicht is af te lezen op welke poort de registratie het laatst gezien is en of de poort in quarantaine staat vanwege een incident of conflict (meer over een dergelijk conflict, zie ). Door op een kolomtitel te klikken, sorteert u de tabel op deze kolom. U kunt de registratie van een machine aanpassen met Edit en de registratie van een machine verwijderen met Delete. Afbeelding 21: Overzicht van de machines die geregistreerd zijn in Qmanage Als u voor Edit kiest, komt u op een nieuwe pagina. Bij de verplicht in te vullen velden staat een sterretje (*). Via deze pagina kunt u ook de machine restricties aanpassen, zie paragraaf U beschikt, buiten de velden die ook in Add machine staan (zie ), over een aantal knoppen: H12 Registrations - Pagina 39 van 116

40 Pagina 40 van 116 Update registration Quarantine Trace Relearn machine name Delete registration Cancel Met deze knop werkt u de registratie bij met de aanpassingen die u gedaan heeft. Met deze knop gaat u naar een formulier om voor deze registratie een Incident aan te maken. Met deze knop gaat u naar een formulier om alle beschikbare logging over het MAC-adres op te vragen, zie hoofdstuk 14 voor meer informatie. Met deze knop wordt het veld DHCP machine name voor deze registratie verwijderd en opnieuw gevuld. Met deze knop verwijdert u de registratie van de machine. Met deze knop annuleert u de Edit-bewerking en gaat u terug naar het overzicht van geregistreerde machines Edit registration - Machine restrictions Met de machine restricties en port reserveringen kunt u controleren welke machines gebruik mogen maken van welke poorten. U kunt registraties beperken tot bepaalde poorten en poorten reserveren voor bepaalde registraties. In deze paragraaf staan de details van de machine restricties beschreven. Een praktijkvoorbeeld om machine restricties (een registratie beperken tot een poort) te illustreren: de printer moet in de hal blijven staan. De printer mag daarom alleen aangesloten worden op de poort in de hal. Als iemand de printer meeneemt naar zijn kantoor en deze hier aansluit, dan krijgt de printer geen toegang tot het netwerk en kan deze niet gebruikt worden om opdrachten naar te versturen en printen. De printer is beperkt tot de poort in de hal. Tot welke poorten de registraties beperkt zijn, is weergegeven op de pagina van de registratie. Deze restricties en de reserveringen zijn aan te passen via de pagina van de registratie. Specificaties Alleen machineregistraties op het bedrade netwerk kunnen beperkt worden tot bepaalde poorten; registraties met username en ongeregistreerde MAC-adressen komen hier niet voor in aanmerking. De registratie die u wilt beperken tot een poort moet verbonden zijn met de poort als u de restrictie gaat toevoegen. Ook registraties die gebruik maken van dot1x kunnen niet beperkt worden tot een poort. Registraties met de Access Group VoIP-TAGGED kunnen niet beperkt worden tot een poort, omdat door het ontbreken van een display de gebruiker in dit geval slecht te informeren is. Eén registratie kan beperkt worden tot meerdere poorten, zodat de registratie op elk van deze poorten aangesloten kan worden. Zodra een registratie beperkt is tot één of meerdere poorten, wordt bij aansluiten gecontroleerd of de registratie beperkt is tot de poort waarop deze aangesloten is. Als de registratie beperkt is tot een andere poort dan waarop hij aangesloten is, dan wordt de poort in quarantaine gezet en krijgt hij een eindgebruikerspagina te zien met een uitleg van de situatie (voor Reasons zie 17.1). Als dit laatste het geval is, wordt dit weergegeven als een conflict. H12 Registrations - Pagina 40 van 116

41 Pagina 41 van 116 In de administratieve interface In het overzicht van de machineregistraties is af te lezen op welke poort de registratie het laatst gezien is (Last seen on port) en of de poort in quarantaine staat vanwege een incident of conflict (Quarantined), zie afbeelding 21. Tot welke poorten de registraties beperkt zijn, is weergegeven en aan te passen via de pagina van de registratie, zie afbeelding 22. U komt op deze pagina door achter een bepaalde registratie op Edit te klikken. Op deze pagina staat onder MAC-Port configuration met welke poort deze registratie verbonden is, tot welke poort deze registratie beperkt is en welke poorten gereserveerd zijn voor deze registratie. Via de knop Edit Restrictions & Reservations komt u op een pagina waar de restricties en reserveringen aan te passen zijn, zie afbeelding 22. Alleen als registraties verbonden zijn met een poort kunt u een restrictie of reservering toevoegen; als de registratie niet verbonden is met een poort is de knop Edit Restrictions & Reservations ook niet zichtbaar. Afbeelding 22: Pas de details van een machineregistratie aan. H12 Registrations - Pagina 41 van 116

42 Pagina 42 van 116 Afbeelding 23: Pas de restricties en reserveringen van een machineregistratie aan. In afbeelding 23 staat de pagina weergegeven waar u de restricties en reserveringen van deze machineregistratie kunt aanpassen. In het bovenste gedeelte kunt u aanvinken tot welke poorten deze machineregistratie beperkt moet worden. In het onderste gedeelte kunt u aanvinken welke poorten gereserveerd moeten worden voor deze machineregistratie. Wanneer dit van toepassing is, staat in beide gedeelten in een kleiner lettertype bij een poort weergegeven welke andere machines verbonden zijn en/of beperkt zijn tot deze poort; daarnaast staat erbij of deze poort gereserveerd is voor een bepaalde machine. Met Save kunt u gemaakte wijzigingen opslaan, met Cancel de wijzigingen annuleren. Als u een wijziging wilt doen die een conflict zal veroorzaken dat ertoe leidt dat de poort in quarantaine gezet wordt, dan wordt dit weergegeven voordat u gaat opslaan. H12 Registrations - Pagina 42 van 116

43 Pagina 43 van Registrations - Accounts In het submenu Accounts kunt u accounts beheren. Het submenu is alleen relevant als u Qmanage als back-end of, in specifieke gevallen, als RADIUS-proxy gebruikt. In de meeste gevallen wordt er gebruik gemaakt van het reeds bestaande RADIUS-back-end, zoals een IAS/NPS, ACS, Freeradius of Radiator. Let op: deze accounts worden gebruikt voor netwerktoegang, niet voor toegang tot de administratieve omgeving. Meestal worden accounts gebruikt voor 802.1x-geauthenticeerde verbindingen op WLAN. Qmanage is dan alleen authenticatieserver, waardoor in het overzicht alleen de gebruikersnamen worden getoond die een registratieprocedure doorlopen hebben, waarin ze bijvoorbeeld gebruiksvoorwaarden hebben geaccepteerd Add account De sectie Add account is bedoeld om een account toe te voegen (zie afbeelding 24). Accounts worden op gebruikersnaam (username) geregistreerd, bij de verplicht in te vullen velden staat een sterretje (*). Afbeelding 24: Account toevoegen aan Qmanage Username* Access Group* De gebruikersnaam die in de authenticatie gebruikt zal worden. Password option* Generate password Password/ Confirm password Expires De Access Group waarin de gebruiker geregistreerd wordt. Specify password No password Genereert een wachtwoord voor dit account. Deblokkeert de onderliggende velden, zodat u een wachtwoord kunt invoeren. Bepaalt dat er geen wachtwoord nodig is voor dit account. Het wachtwoord voor de authenticatie met bijbehorende bevestiging. Alleen beschikbaar als Specify password gekozen is. De datum waarop het account komt te vervallen. Als u dit veld leeg laat, vervalt het account nooit. H12 Registrations - Pagina 43 van 116

44 Pagina 44 van 116 Met een klik op Add wordt het account toegevoegd. Na een succesvolle toevoeging krijgt u een mededeling te zien; de gebruikersnaam in deze mededeling is klikbaar om nog aanpassingen te kunnen maken. Daarnaast is het mogelijk om de accountgegevens te printen Overzicht accounts Onder Accounts vindt u een overzicht van de accounts. Met Edit kunt u de registratie van een account aanpassen, met Delete kunt u het account verwijderen. Als u voor Edit kiest, komt u op de pagina waar u de details van het account kan bekijken en aanpassen (zie afbeelding 25). Bij de verplicht in te vullen velden staat een sterretje (*). Afbeelding 25: Details van de account bekijken en/of aanpassen Er zijn, buiten de velden analoog aan Add account, een aantal knoppen: Update account Quarantine Trace Delete account Cancel Met deze knop werkt u de registratie bij met de aanpassingen die u gedaan heeft. Met deze knop gaat u naar een formulier om voor deze registratie een Incident aan te maken. Met deze knop gaat u naar een formulier om alle beschikbare logging over het MAC-adres op te vragen, zie hoofdstuk 14 voor meer informatie. Met deze knop verwijdert u de registratie van de machine. Met deze knop annuleert u de Edit-bewerking en gaat u terug naar het overzicht van geregistreerde machines. H12 Registrations - Pagina 44 van 116

45 Pagina 45 van Registrations - Mass add machines Met Mass add machines kunt u door een bestand naar Qmanage te uploaden een grote hoeveelheid machine-registraties in één keer toevoegen. Er is een voorbeeldbestand beschikbaar met daarin de juiste kolommen en enige extra uitleg. Wij raden u met nadruk aan om gebruik te maken van dit bestand. Het bestand is te downloaden door op de link achter de beschrijving te klikken in de interface. Het eerste blad is voor het opsommen van de te registreren machines en op het tweede blad vindt u uitleg. Het te uploaden bestand moet een Excel-bestand zijn (.xls of.xlsx) of een Comma Separated Values-bestand (meestal.csv). Om het bestand op de juiste manier te kunnen verwerken, moet het voldoen aan de volgende eisen (het voorbeeldbestand voldoet aan deze eisen): de eerste regel van het bestand mag de volgende kolommen bevatten: mac, accessgroup, realname, hostname, , description, expires en vm_host. Let op: deze woorden zijn hoofdlettergevoelig! De betekenis van deze kolommen is als volgt. Bij de verplicht in te vullen velden staat een sterretje (*). mac* accessgroup* realname phone description expires vm_host Het MAC-adres van de registratie. Qmanage accepteert de formaten aa:bb:cc:dd:ee:ff en aabbccddeeff De naam van de Access Group waarin het MAC-adres geregistreerd dient te worden. De Access Group moet gedefinieerd zijn onder Infra Access Groups. De naam van de gebruiker die bij de registratie hoort. Het adres van de gebruiker, dat bij de registratie opgeslagen wordt. Het telefoonnummer van de gebruiker die bij de registratie hoort. Let op: het telefoonnummer dient met landcode te worden ingevoerd, bijvoorbeeld , waarbij +31 de landcode is voor Nederland. Een korte omschrijving van de machine. De datum waarop de registratie dient te verlopen in het format: 01 Jul :51 Als u dit veld leeg laat, vervalt de registratie nooit. yes of no, hiermee geeft u aan of de machine wel of niet behandeld moet worden als VM-host. H12 Registrations - Pagina 45 van 116

46 Pagina 46 van Registrations - Activation codes Activatiecodes zijn bedoeld om gasten van uw instelling toegang tot het netwerk te geven met een activatiecode, die één keer te gebruiken is. Activatiecodes zijn ook wel bekend onder de naam One-Time Passwords (OTP s). U kunt één activatiecode of meerdere activatiecodes tegelijk aanmaken. Ook kunt u hiervoor een los front-end inrichten buiten de administratieve interface. Neem hiervoor contact op met de Quarantainenet Servicedesk Eén activatiecode aanmaken Om één activatiecode aan te maken, kunt u de volgende velden invullen. Geen van deze velden is verplicht, want vaak wordt de registratie van wie de activatiecode heeft gekregen buiten Qmanage gedaan. Name Access Group Activation code valid until Registration valid until Description De naam van degene aan wie de code wordt gegeven. Het adres van degene aan wie de code wordt gegeven. De Access Group waartoe de activatiecode toegang geeft. Indien u hier niets invult, wordt de standaard Access Group voor activatiecodes gekozen: meestal is dat de alleen internet Access Group. Deze standaard Access Group is geconfigureerd tijdens de implementatie. Neem contact op met de Quarantainenet Servicedesk als u niet weet of en hoe deze inrichtingskeuze gemaakt is. De activatiecode is geldig tot aan de hier gekozen datum. Indien u hier geen datum invult, blijft de activatiecode onbeperkt geldig totdat hij gebruikt wordt (ter illustratie een voorbeeld in afbeelding 25 op de volgende pagina: 7 dagen). De registratie die gedaan wordt met de activatiecode is geldig tot aan de hier gekozen datum (ter illustratie een voorbeeld in afbeelding 26 op de volgende pagina: 03:00). Als u hier geen datum invult, zijn er twee mogelijkheden afhankelijk van de configuratie van uw Qmanage-installatie: - De registratie blijft onbeperkt geldig - De registratie verloopt op een vast tijdstip nadat de code gebruikt is (bijvoorbeeld de eerstvolgende keer dat het 3 uur s nachts is). Neem contact op met de Quarantainenet Servicedesk als u niet weet of en hoe deze inrichtingskeuze gemaakt is. Een omschrijving van de activatiecode. H12 Registrations - Pagina 46 van 116

47 Pagina 47 van 116 Met de knop Generate wordt de activatiecode aangemaakt. U krijgt een melding bovenaan de pagina, met daarin de mogelijkheid om de activatiecode te printen. Afbeelding 26: De geldigheid van activatiecodes en bijbehorende registraties Meerdere activatiecodes tegelijk aanmaken Deze mogelijkheid wordt vaak gebruikt voor bijvoorbeeld congressen of cursussen. De activatiecodes worden naar een Excel-bestand geëxporteerd, zodat er door middel van een mail merge naamkaartjes of brieven met daarop een persoonlijke netwerktoegangscode kunnen worden aangemaakt. Als u wilt bijhouden welke activatiecode aan wie uitgereikt is, raden we u aan om dit in de Excel-sheet te doen. Amount Access Group Activation code valid until Registration valid until Het aantal activatiecodes dat u wilt aanmaken. De Access Group waartoe de activatiecodes toegang geven. Indien u hier niets invult, wordt de standaard Access Group voor activatiecodes gekozen: meestal is dat de alleen internet Access Group. Deze standaard Access Group is geconfigureerd tijdens de implementatie. Neem contact op met de Quarantainenet Servicedesk als u niet weet of en hoe deze inrichtingskeuze gemaakt is. De activatiecodes zijn geldig tot aan de hier gekozen datum. Indien u hier geen datum invult, blijft de activatiecode onbeperkt geldig (ter illustratie een voorbeeld in afbeelding 26 hierboven: 7 dagen). De registratie die gedaan wordt met de activatiecode is geldig tot aan de hier gekozen datum (ter illustratie een voorbeeld in afbeelding 26 hierboven: 03:00). Als u hier geen datum invult, zijn er twee mogelijkheden afhankelijk van de configuratie van uw Qmanage-installatie: H12 Registrations - Pagina 47 van 116

48 Pagina 48 van 116 Description De registratie blijft onbeperkt geldig. De registratie verloopt op een vast tijdstip nadat de code gebruikt is (bijvoorbeeld de eerstvolgende keer dat het 3 uur s nachts is). Neem contact op met de Quarantainenet Servicedesk als u niet weet of en hoe deze inrichtingskeuze gemaakt is. Een omschrijving voor de activatiecodes. Met de knop Export to Excel worden de activatiecodes aangemaakt. Er verschijnt een verzoek om een.xls-bestand te downloaden: bewaar dit bestand op een goed te onthouden plek Activatiecodes gemaakt door eindgebruikers Als u hiervoor gekozen heeft, kunt u ook buiten de administratieve interface activatiecodes laten aanmaken door eindgebruikers. Eindgebruikers hebben op deze pagina minder mogelijkheden dan beheerders: de keuzes die zij hebben worden bij inrichting van de functionaliteit bepaald. U vindt deze pagina op waarbij instelling.nl vervangen moet worden door uw eigen hostname. Het kan ook zijn dat er een makkelijk te onthouden CNAME is afgesproken, zoals activatiecode.instelling.nl tijdens de implementatie of later tijdens een servicewindow. H12 Registrations - Pagina 48 van 116

49 Pagina 49 van Registrations - Auto-registrations Het is mogelijk MAC-prefixes op te geven die automatisch binnen een te kiezen Access Group geregistreerd worden zodra ze waargenomen worden op het netwerk. Dit kan bijvoorbeeld ingezet worden voor VOIP-telefoons. Afbeelding 27: auto-registrations U kunt de volgende gegevens invullen: MAC address prefix Description Realname for registration for registration Description for registration Access group De eerste zes karakters van het MAC-adres. Een omschrijving. Deze naam zal ingevuld worden bij registraties die automatisch tot stand komen. Dit adres zal ingevuld worden bij registraties die automatisch tot stand komen. Deze omschrijving zal ingevuld worden bij registraties die automatisch tot stand komen. De access group die meegegeven wordt aan registraties die automatisch worden aangemaakt. Let op: Indien u gebruik maakt van 3com 4500 en 5500 switches, wordt deze tabel ook gebruikt voor het werkend krijgen van VoIP. H12 Registrations - Pagina 49 van 116

50 Pagina 50 van Incidents Afbeelding 28: Incidents In het Incidents-menu vindt u alles wat met Incidenten te maken heeft. De submenu s possible incidents, add, search zijn allemaal voor Incidenten waarbij de oorzaak binnen het eigen -interne- netwerk ligt. Er kunnen ook externe Incidenten voorkomen, die u onder External vindt. Possible Incidents Add List incidents Types Een overzicht van mogelijke Incidenten, die de beheerder moet beoordelen. Het toevoegen van een Incident. Een overzicht van alle Incidenten en de mogelijkheid hierin te zoeken. Het zoeken op type apparaat dat in quarantaine is gezet. Op deze pagina kunt u één Quick actie doen: een Incident handmatig toevoegen. In paragraaf wordt deze actie uitgelegd Incidents Possible Incidents Onder Incidents Possible Incidents vindt u een overzicht van de mogelijke Incidenten, die u handmatig moet beoordelen. Uitgebreide instructies voor het beoordelen van een Possible Incidents zijn te vinden in hoofdstuk 6. Om te werken met de Possible Incidents is het belangrijk dat u weet hoe het overzicht met te beoordelen mogelijke Incidenten tot stand is gekomen en wat u hieraan zelf kunt instellen. Een uitleg van het proces van detectie tot en met beoordeling en de bijbehorende termen zijn in de volgende paragraaf beschreven. Hierna kunt u lezen hoe u de Possible Incidents kunt beoordelen. In de submenu s vindt u de instellingen die u kunt doen voor de Possible Incidents: Custom Categories ( ), Presets ( ) en Settings ( ) Uitleg over het detectie- en beoordelingsproces Termen Categories De Categorieën van problemen die onderscheiden worden in de detectie. Eén report hoort bij één Categorie. Als iets gedetecteerd wordt dat in meerdere Categorieën hoort, dan worden meerdere reports aangemaakt. Exploit Spam De (mogelijk) geïnfecteerde computer voert aanvallen uit op kwetsbare delen van andere computers. De (mogelijk) geïnfecteerde computer verstuurt spam. H13 Incidents - Pagina 50 van 116

51 Pagina 51 van 116 Confidence Combined Confidence Preset Report Brute-Force Attack Portscan Network Misconfiguration Adware End user risk Network risk Custom Categories De (mogelijk) geïnfecteerde computer voert aanvallen uit op andere computers door te proberen in te loggen tot hij binnen is. De (mogelijk) geïnfecteerde computer verkent de poorten van andere computers. De netwerkinstellingen van de (mogelijk) geïnfecteerde computer zijn verkeerd. De (mogelijk) geïnfecteerde computer heeft adware dat bijv. gebruik maakt van een exploit om zich te verspreiden. De (mogelijk) geïnfecteerde computer levert een risico voor de gebruiker. De (mogelijk) geïnfecteerde computer levert problemen voor het hele netwerk. Door u aan te maken Categorieën op basis van DNS-detectie, zie paragraaf De kans dat bij de gebruiker het probleem aanwezig is waar het report over gaat (waarde tussen 0 en 100). De kans dat bij de gebruiker een probleem aanwezig is, berekend door de Confidences van verschillende reports in een Categorie te combineren. De grenswaarden per Categorie, die aangeven bij welke Combined Confidence de reports van een gebruiker genegeerd moeten worden, wanneer deze handmatig beoordeeld moeten worden (Possible Incident) en wanneer deze moeten leiden tot een automatisch Incident. Voor het instellen van de Presets, zie paragraaf Rapportage van verdacht gedrag met daarin o.a. over welke gebruiker het gaat, in welke Categorie het valt en de Confidence. Het proces van detectie tot en met beoordeling Stap 1 Het proces begint wanneer een detectierapport binnenkomt, ook wel een report genoemd. In dit report staat onder andere over welke gebruiker het gaat, in welke Categorie het valt en de Confidence van het report. H13 Incidents - Pagina 51 van 116

52 Pagina 52 van 116 Stap 2 Omdat een nieuw report binnen is gekomen, moet (opnieuw) beoordeeld worden of de gebruiker in quarantaine gezet moet worden of niet. Dit wordt bepaald aan de hand van de Combined Condidence, die berekend wordt met de Confidences uit alle reports in een bepaalde Categorie. In de berekening van de Combined Confidence worden grenswaarden gebruikt om te voorkomen dat de Combined Confidence onrealistisch hoge waarden aanneemt. Dit voorkomt dat bijvoorbeeld de combinatie van veel DNS-reports leidt tot een Combined Confidence van 100%, terwijl het dan helemaal niet zeker is dat er sprake is van een Incident. Stap 3 De gebruiker hoort bij een bepaalde groep gebruikers, bijvoorbeeld een Access Group. Deze groep is gekoppeld aan een Preset, die gebruikt wordt om mogelijke Incidenten in deze groep te evalueren. De Preset bestaat uit twee grenswaarden per Categorie. Afhankelijk van de instellingen van deze grenswaarden en de hoogte van de Combined Confidence wordt bepaald welke actie ondernomen wordt: het Possible Incident van een gebruiker negeren, het Incident handmatig beoordelen (dan wordt het een Possible Incident) of de gebruiker in quarantaine zetten. In het submenu vindt u de instellingen die u kunt doen voor de Possible Incidents: Custom Categories Presets Settings Het aanmaken van eigen Categorieën, die reports verwerken van DNS-detectie. Het instellen van de Presets per groep gebruikers, die bepalen of een gebruiker met reports van een bepaalde Combined Confidence genegeerd moet worden, handmatig beoordeeld moet worden of automatisch in quarantaine gezet worden. Het instellen van het maximum aantal Incidenten per dag en het toevoegen van hostnames aan de DNS-whitelist. In afbeelding 29 hieronder is het proces van detectie tot en met beoordeling schematisch weergegeven. Afbeelding 29: Schematisch overzicht van het proces van detectie tot en met beoordeling Het overzicht van Possible Incidents Bij het openen van de pagina Incidents Possible Incidents ziet u een overzicht van de mogelijke Incidenten. Incidenten staan in deze lijst als de Combined Confidence niet hoog genoeg was om automatisch een Incident te worden en niet laag genoeg om te negeren. De grenzen voor het negeren, handmatig H13 Incidents - Pagina 52 van 116

53 Pagina 53 van 116 beoordelen, dan wel automatisch in quarantaine zetten zijn te vinden in de Presets, zie paragraaf In hoofdstuk 6 wordt stapsgewijs uitgelegd hoe u een Possible Incident beoordeelt. De indeling van het overzicht Het overzicht is onderverdeeld in een tabblad met alle Possible Incidents en tabbladen van alle Categorieën, zie afbeelding 30. Tussen de haakjes achter de naam van de Categorie staat het aantal Possible Incidents in deze Categorie. Per tabblad zijn maximaal tien Possible Incidents weergegeven; onder aan de pagina staan pijltjes en paginanummers, waarmee u door de pagina s kunt navigeren. Sommige gebruikers hebben reports uit meerdere Categorieën, die allemaal een eigen Combined Confidence hebben. In dit geval zijn alle reports te zien in de overzichten van alle Categorieën, zodat u een volledig overzicht van alle reports van een gebruiker heeft. In het overzicht met alle Possible Incidents staan de reports van die Categorie met de hoogste Combined Confidence bovenaan. Afbeelding 30: Possible Incidents De gegevens per gebruiker Bovenaan de pagina staat de gebruiker met de hoogste Combined Confidence. In afbeelding 31 staat een voorbeeld van een gebruiker met verschillende reports in twee Categorieën (de gegevens zijn fictief). In de berekening van de Combined Confidence worden grenswaarden gebruikt om te voorkomen dat de Combined Confidence onrealistisch hoge waarden aanneemt. Zo wordt voorkomen dat bijvoorbeeld de combinatie van veel DNSreports leidt tot een Combined Confidence van 100%, terwijl het dan helemaal H13 Incidents - Pagina 53 van 116

54 Pagina 54 van 116 niet zeker is dat er sprake is van een Incident. Ook zorgt dit ervoor dat meerdere DNS-reports over hetzelfde gedetecteerde gedrag niet gezamenlijk leiden tot een te hoge Combined Confidence, terwijl er eigenlijk maar één probleem gedetecteerd is. Afbeelding 31: Een Possible Incident met bijbehorende gegevens Afbeelding 32: Een Possible Incident met bijbehorende gegevens en een in grijs weergegeven report Het overzicht met reports heeft deze kolommen: Source Timestamp De detectiebron. Het tijdstip waarop de bron dit mogelijke probleem gedetecteerd heeft. Confidence De betrouwbaarheid van het report (tussen 0% en 100%). IP Address Description Details Het IP-adres van de computer die het verdachte gedrag vertoonde. De beschrijving van het report. Als er extra details beschikbaar zijn staat in deze kolom de knop Show, anders staat er No more details. Als u op Show klikt, krijgt u een overzicht te zien van alle details van het report. Met de knop Back onderaan de pagina keert u terug naar het overzicht van de Possible Incidents. Alle reports die in het geel worden weergegeven zijn reports die betrokken zijn bij de berekening van de huidige Combined Confidence. Wanneer reports in het grijs worden weergegeven dan betekent dit dat deze al eerder geleid hebben tot een Incident of dat ze aangemaakt zijn terwijl een Incident actief was voor deze gebruiker. Deze in grijs weergegeven reports worden niet meegenomen in de berekening van de huidige Combined Confidence (zie afbeelding 32). H13 Incidents - Pagina 54 van 116

55 Pagina 55 van 116 Per gebruiker zijn de reports weergegeven per Categorie. Als een gebruiker meer dan drie reports heeft in één Categorie dan zijn alleen de reports met de hoogste Confidence weergegeven: Door op de knop Show them te klikken krijgt u ook de overige reports te zien. Als er meer dan twintig reports zijn, dan worden de reports op meerdere pagina s geplaatst. In dit geval worden onderaan het overzicht worden paginanummers en navigatie getoond, waarmee u de andere pagina s met reports kunt bekijken. Door op de knop Show fewer reports te klikken onderaan het overzicht, kunt u de overige reports verbergen en terugkeren naar het beknopte overzicht. Wanneer een groot aantal reports aanwezig is van hetzelfde type worden deze regelmatig automatisch samengevoegd, zodat het overzicht beknopt blijft. In dat geval staat in de Description [Repeated x times] met in de plaats van de x een getal dat het aantal reports weergeeft dat oorspronkelijk in het overzicht stond. Mogelijke acties Per Possible Incident beschikt u over de volgende knoppen: Ignore Quarantine Het Possible Incident negeren tot er een nieuw report binnenkomt. De gebruiker in quarantaine zetten en de reports archiveren. Als u op Ignore of Quarantine klikt, verdwijnt het Possible Incident uit het overzicht. Afhankelijk van uw beoordeling, worden de oude reports bewaard of gearchiveerd: Ignore Als u gekozen heeft voor Ignore, wordt het Possible Incident genegeerd. Als er een nieuw report binnenkomt van deze gebruiker, wordt opnieuw de Combined Confidence uitgerekend voor de betreffende Categorieën en wordt bepaald aan de hand van de Presets of het genegeerd wordt, een Possible Incident wordt of dat de gebruiker automatisch in quarantaine gezet wordt. Quarantine Als u gekozen heeft voor Quarantine, kunt u de gebruiker met het Possible Incident in quarantaine zetten met behulp van het Add-formulier (zie ). Alle reports die bij deze gebruiker horen, worden gearchiveerd. Als er opnieuw een report binnenkomt voor deze gebruiker worden oude reports niet meer meegenomen bij de berekening van een nieuwe Combined Confidence. Een overzicht van alle Incidenten (de gebruikers en/of apparaten die in quarantaine staan), kunt u bekijken onder Search (zie 13.3). Let op: De waarde van de Combined Confidence verlaagt in de loop van de tijd, omdat de kans dat een Incident (nog) aanwezig is afneemt. Daarom kan het zijn dat een Possible Incident na een dag door de lagere Combined Confidence niet meer in de lijst van Possible Incidents staat, maar genegeerd wordt omdat de ondergrens van de Preset is bereikt. H13 Incidents - Pagina 55 van 116

56 Pagina 56 van Incidents - Possible Incidents - Custom Categories In het submenu Custom Categories kunt u eigen Categorieën toevoegen aan de acht basiscategorieën, beschreven in paragraaf De Custom Categories werken op basis van DNS-detectie. De door u toegevoegde Categorieën zijn weergegeven als tabbladen. Via het tabblad met de + kunt u een Categorie toevoegen (zie afbeelding 33). Nadat u onderstaande velden heeft ingevuld, voegt u de Categorie toe door op Save Changes te klikken. De velden met een sterretje (*) zijn verplicht. Afbeelding 33: Het toevoegen van een Custom Categories Category name* Reason* De naam van de toe te voegen Categorie. De Reason die getoond moet worden als de gebruiker in deze Categorie in quarantaine staat. Alle Reasons vindt u in het submenu Config Reasons (zie 17.1). In de tabbladen van elke Custom Categorie kunt u de Category name en Reason aanpassen in de bijbehorende velden en de wijzigingen opslaan met de knop Save Changes. Met de knop Delete this category verwijdert u de geselecteerde Categorie. DNS-blacklist De DNS-detectie in de Custom Categories vindt plaats aan de hand van een blacklist die u aan de Categorie toevoegt. Als een hostname op een blacklist opgevraagd wordt door een gebruiker, dan wordt een report aangemaakt in de betreffende Categorie voor de betreffende gebruiker. Hostnames die op een DNSblacklist én een DNS-whitelist (in Incidents Possible Incidents Settings) staan, worden niet gezien als bedreiging: de whitelist heeft voorrang op de blacklist. U kunt hostnames aan de blacklist toevoegen door de velden in te vullen en op de knop Add te klikken; de velden met een sterretje (*) zijn verplicht (zie afbeelding 34). H13 Incidents - Pagina 56 van 116

57 Pagina 57 van 116 Afbeelding 34: Het aanmaken van een blacklist voor een Custom Category Hostname* Confidence* De hostname die u aan de blacklist wilt toevoegen. De zekerheid waarmee u kunt zeggen dat deze hostname onbetrouwbaar is (getal tussen 0 en 100). Onderaan de pagina wordt de DNS-blacklist weergegeven. U beschikt hier over één Action om de hostname te verwijderen uit de blacklist: Delete. Let op: Als u een nieuwe hostname toevoegt aan een Custom Categorie, dan kan het zijn dat deze niet direct meegenomen wordt in de DNS-detectie maar dat er een korte vertraging optreedt. Let op: Als een hostname in meerdere Custom Categories voorkomt, wordt in elke Categorie een report aangemaakt als deze hostname opgevraagd wordt. Dit betekent dat één keer opvragen een hostname kan leiden tot meerdere reports. Echter als een hostname zowel op de DNS-blacklist van Quarantainenet staat als op een blacklist in een Custom Category, wordt in het geval van opvragen alleen een report aangemaakt in de Custom Category. Als u een nieuwe Custom Category aangemaakt heeft, moet u voor deze Categorie ook de Presets instellen. Meer informatie over Presets vindt u in de volgende paragraaf Incidents - Possible Incidents - Presets In de Presets staan de grenswaarden (tussen 0 en 100) per Categorie die aangeven bij welke Combined Confidence de reports van een gebruiker genegeerd moeten worden, wanneer deze handmatig beoordeeld moeten worden en wanneer deze moeten leiden tot een automatisch Incident. Assign Presets Op de eerste pagina van het submenu Presets kunt u Presets koppelen aan groepen gebruikers, zie afbeelding 35. Deze groepen zijn ingedeeld op Access Groups of, als ze niet geregistreerd zijn in een Access Group, ingedeeld op basis van het type of identifier waarmee ze zijn geregistreerd: MAC-adres, gebruikersnaam, IP-adres of een door u aangemaakt type. H13 Incidents - Pagina 57 van 116

58 Pagina 58 van 116 Afbeelding 35: Het toekennen van Presets aan groepen gebruikers De Default Preset, die bovenaan de pagina staat, wordt standaard gebruikt voor elke groep gebruikers, behalve voor de groep IP adress server-monitor. Voor deze groep staat de Preset standaard op Strict. Als u niet de standaard ingestelde Preset wilt gebruiken, kunt u deze per groep gebruikers wijzigen door op het pijltje naast het uitvouwmenu te klikken en de gewenste Preset aan te klikken. Klik hierna op de knop Save Changes om de wijzigingen op te slaan. Let op: Als u een andere Preset toewijst aan een Access Group, wordt de aanpassing niet direct doorgevoerd op bestaande Possible Incidents. Pas als er een nieuw report over een gebruiker binnenkomt, wordt de juiste actie bepaald aan de hand van de nieuwe instellingen. Als u een Preset-aanpassing direct van toepassing wilt laten zijn, kunt u contact opnemen met de Quarantainenet Servicedesk. Standaard Presets Er zijn vier Presets standaard aanwezig: Evaluation, Relaxed, Normal en Strict. Evaluation Relaxed Normal Strict Grenswaarde voor negeren is 0 en grenswaarde voor automatische Incidenten is 100, zodat alle Combined Confidences leiden tot een handmatig te beoordelen Possible Incident. Hoge grenswaardes voor negeren en automatische Incidenten; dit leidt tot veel negeren. Gemiddelde grenswaardes voor negeren en automatische Incidenten. Lage grenswaardes voor negeren en automatisch Incidenten; dit leidt tot veel automatische Incidenten. Deze Presets zijn te bekijken in de betreffende tabbladen, zie afbeelding 36. Per Preset staat hier wat de grenswaardes zijn voor negeren, handmatig beoordelen H13 Incidents - Pagina 58 van 116

59 Pagina 59 van 116 en automatisch in quarantaine zetten (tussen 0 en 100). Ook Custom Categories, die u zelf aangemaakt heeft (zie ), komen bij elke Preset erbij te staan. Afbeelding 36: Overzicht van de Presets Als het balkje met de grenswaardes geen sliders heeft, dan kunt u de grenswaardes niet aanpassen. Alleen de grenswaardes voor uw eigen Custom Categorieën en Presets kunt u zelf instellen. Wanneer u aanpassingen doet aan de grenswaardes, wordt de aanpassing niet direct doorgevoerd op bestaande Possible Incidents. Pas als er een nieuw report over een gebruiker binnenkomt, wordt de juiste actie bepaald aan de hand van de nieuwe instellingen. Als u een Preset-aanpassing direct van toepassing wilt laten zijn, kunt u contact opnemen met de Quarantainenet Servicedesk. Per tabblad met een Preset heeft u één Action: Save Changes voor het opslaan van wijzigingen. Het toevoegen van een nieuwe Preset Het toevoegen van een nieuwe Preset gebeurt altijd door een bestaande Preset te dupliceren en aan te passen. U kunt een Preset dupliceren door op het tablad met de + te klikken. In dit tabblad kunt u de te dupliceren Preset selecteren via het uitvouwmenu naast Duplicate. Klik hierna op Duplicate this preset. Nadat u een Preset gedupliceerd hebt, krijgt u een nieuwe pagina waarop u de Preset een naam kan invullen achter Preset name* (verplicht), zie afbeelding 37. Onder dit invulveld kunt u per Categorie de grenswaarden aangeven voor het negeren, handmatig beoordelen of automatisch in quarantaine zetten van gebruikers met een bepaalde Combined Confidence. Met een klik op de knop Save Preset kunt u de Preset opslaan. Als u de Preset in gebruik wilt nemen, koppel deze dan in het tabblad Assign Presets aan een groep gebruikers. H13 Incidents - Pagina 59 van 116

60 Pagina 60 van 116 Afbeelding 37: Het aanmaken van een nieuwe Preset Het verwijderen van een Preset De Presets die u zelf aangemaakt heeft, kunt u verwijderen met de knop Delete onderaan het tabblad van de Preset. De standaard Presets kunt u niet verwijderen, maar u kunt er wel voor kiezen om deze Presets niet te gebruiken in het tabblad Assign Presets Incidents - Possible Incidents - Settings Onder Settings vindt u de overige instellingen met betrekking tot de Possible Incidents, zie afbeelding 38. Maximum amount of automatic incidents per day Allereerst is het mogelijk om het aantal automatische Incidenten per dag te limiteren door een getal in de vullen onder Maximum automatic incidents. Als u het aantal gewijzigd heeft, kunt u dit opslaan door op de knop Save Changes te klikken. Als u de waarde verhoogd heeft, worden er niet direct nieuwe automatische Incidenten aangemaakt; nieuwe automatische Incidenten worden aangemaakt als een nieuw report binnenkomt en de nieuwe Combined Confidence hoger is dan de grenswaarde voor een automatisch Incident. Voor het maximum van automatische Incidenten tellen alleen Incidenten die op basis van reports aangemaakt worden mee, dus bijvoorbeeld niet de Incidenten die handmatig toegevoegd worden. Als het maximum bereikt is, dan leiden de reports die daarna binnenkomen nog wel tot Possible Incidents, maar niet meer tot automatische Incidenten. Ook als de volgende dag begint, worden deze Possible Incidents niet automatisch Incidenten. Dit gebeurt pas als er een nieuw report binnenkomt en de nieuwe berekening van de Combined Confidence zorgt voor een automatisch Incident. Indien gewenst kunt u per type nog aparte limieten opnemen. H13 Incidents - Pagina 60 van 116

61 Pagina 61 van 116 DNS whitelist Daarnaast kunt u een DNS-whitelist aanmaken om hostnames als betrouwbaar te markeren. Als een hostname via Incidents Possible Incidents Custom Categories (zie ) in een DNS-blacklist gezet wordt en ook in de DNSwhitelist staat, wordt deze níet gezien als bedreiging, want de DNS-whitelist heeft voorrang op de DNS-blacklists. Afbeelding 38: De Settings van de Possible Incidents H13 Incidents - Pagina 61 van 116

62 Pagina 62 van Incidents - Add Wanneer u handmatig gebruikers in quarantaine wil zetten, dan zijn hiervoor drie werkwijzes, zie afbeelding 39. Via alle werkwijzen komt u uiteindelijk terecht in het Add-formulier (zie ). De eerste werkwijze is te lezen in paragraaf , de andere twee werkwijzen zijn hieronder beschreven. Afbeelding 39: De drie werkwijzes om gebruikers handmatig in quarantaine te zetten Add Incident De tweede werkwijze is via de Quick Add (zie afbeelding 40). Hier kunt u een user ID (zoals MAC- of IP-adres, of gebruikersnaam) onder Identifier invullen en voor dit user ID een Incident aanmaken. Afbeelding 40: Een Incident toevoegen via de Quick Add Format Identifier Timestamp Als deze op auto staat, doorzoekt Qmanage alle beschikbare logging met als doel het user ID (zoals MAC- of IP-adressen, of gebruikersnamen) te vinden op basis waarvan een Incident aangemaakt kan worden. MAC-adressen, IP-adressen of gebruikersnamen. Het moment waarop het Incident gebeurd is. Druk op Add en u komt in een vooringevuld Add-formulier (zie ) Lookup De derde werkwijze is via de Lookup (zie afbeelding 41). Bij deze werkwijze kunt u een tekst of lijst in het tekstveld plakken en deze door Qmanage laten doorzoeken op user ID s. Vervolgens kunt u voor deze user ID s een Incident aanmaken. De knoppen onder het tekstveld hebben de volgende functionaliteit: Extract Lookup Door een tekst, bijvoorbeeld een met één klacht of meerdere klachten, in het tekstveld te plakken en op Extract te klikken, wordt er door Qmanage in de tekst gezocht naar één of meerdere IP-adressen. Deze IP-adressen worden vervolgens weergegeven in een overzicht. Door een lijst met user ID s (zoals gebruikersnamen, MAC- of IPadressen) in de tekstveld te plakken en op Lookup te klikken, wordt er door Qmanage een overzicht gemaakt van deze user ID s. H13 Incidents - Pagina 62 van 116

63 Pagina 63 van 116 In beide gevallen moet u de timestamp zelf invullen, deze wordt niet automatisch uit het tekstveld gehaald. Afbeelding 41: Een Incident toevoegen via de Lookup Extract Nadat u een tekst in het tekstveld geplakt heeft en op Extract heeft gedrukt, worden onder het kopje Results de IP-adressen weergegeven die gevonden zijn. Met Add plaatst u het betreffende IP-adres in quarantaine met het Add-formulier. (zie ) Let op: niet alle IP-adressen die uit een gehaald worden, zijn per definitie dader -IP s, ze kunnen ook een slachtoffer -IP zijn. Onder het kopje Possible problems worden eventuele problemen aangegeven. Vaak worden problemen veroorzaakt doordat de relevante logging niet beschikbaar is voor de timestamp die u ingevuld heeft. Overigens is het mogelijk onder andere van SURFcert automatisch door Qmanage te laten verwerken, neem hiervoor contact op met de Quarantainenet Servicedesk. Lookup Nadat u een lijst user ID s in het tekstveld geplakt heeft en op Lookup heeft gedrukt, wordt onder het kopje Results het type uitgezocht door Qmanage als de user ID nog niet bekend is. Met Add plaatst u het betreffende user ID in quarantaine met het Add-formulier (zie ). Onder het kopje Possible problems wordt een waarschuwing gegeven als het user ID reeds in quarantaine staat, met de mogelijkheid om daarop te zoeken via het klikbare user ID of door de Search-knop te gebruiken. Daarnaast kunt u dit specifieke user ID nog een keer (wellicht voor een andere reden) in quarantaine zetten. H13 Incidents - Pagina 63 van 116

64 Pagina 64 van Het Add-formulier Nadat u in één van de in de vorige paragrafen uitgelegde methoden op Add heeft geklikt, gaat u verder naar het Add-formulier (zie afbeelding 42). Hier is het mogelijk om details van het Incident in te vullen. Bij de verplicht in te vullen velden staat een sterretje (*). Afbeelding 42: Het Add-formulier voor een Incident User ID( s)* Reason* Timestamp Call ID Message Remark OneStrike allowed* Eén of meerdere user ID s met elk user ID op een eigen regel. De reden voor het Incident. Het moment waarop het Incident gebeurd is. Het nummer behorend bij deze klacht, bijvoorbeeld toegekend door helpdesk-software van een derde partij. Een persoonlijk bericht aan de eindgebruiker. Let op: de algemene informatie staat al in de Reason, het is raadzaam om dit bericht te gebruiken voor specifieke informatie ten aanzien van deze casus (HTML is toegestaan). Een interne opmerking over deze casus, wordt niet aan de eindgebruiker getoond. De keuze tussen standaardwaarde (default) voor de OneStrike, die is vastgelegd in elke Reason, het gebruiken en niet gebruiken van de OneStrike. H13 Incidents - Pagina 64 van 116

65 Pagina 65 van 116 U kunt daarnaast de volgende acties uitvoeren: Add Voeg dit Incident toe voor de genoemde user ID s. Preview Bekijk de pagina die de in quarantaine geplaatste eindgebruikers te zien krijgen. Cancel Annuleer deze bewerking en ga terug naar het overzicht met alle Incidenten. H13 Incidents - Pagina 65 van 116

66 Pagina 66 van Incidents List incidents Het submenu List incidents toont alle actieve en inactieve Incidenten. Via deze pagina kunt u tevens naar de Advanced Search Advanced Search U kunt in de Advanced Search de volgende zoekvoorwaarden gebruiken: Search for In field Include inactive entries Hetgene waarop u wilt zoeken. Het veld waarin u wilt zoeken. Indien deze optie aangezet is worden ook Incidenten die al opgelost zijn, getoond (deze worden standaard ook getoond in de Quick search). De volgende kolommen kunt u laten weergeven: QNID User ID Call ID OneStrike Honeypot Flags Timestamp added Last edited Note Remark Last viewed Last infection Added by Type Active Last update by Qnet-ID, het nummer dat dit Incident heeft gekregen van Qmanage; deze is uniek voor elk Incident. De identificatie van de gebruiker op het netwerk, afhankelijk van type. Bijvoorbeeld een IP-adres, RADIUSaccountnaam of MAC-adres. Het nummer behorend bij deze klacht, bijvoorbeeld toegekend door helpdesk-software van een derde partij. Of dit Incident recht heeft op de OneStrike optie. De statusinformatie die de Qdetect-honeypots gebruiken om aan te geven welk type infectie de gebruiker heeft op zijn computer. Alleen van belang voor experts. Het tijdstip waarop deze entry is toegevoegd. Het tijdstip van de laatste wijziging. Een extra bericht dat aan de afgesloten gebruiker wordt getoond, naast de Reason (zie 17.1). Een interne opmerking over dit Incident. Het tijdstip dat de afgesloten gebruiker het laatst zijn persoonlijke quarantainepagina heeft opgevraagd. Het tijdstip dat de computer van de afgesloten gebruiker het laatst heeft getracht de Qdetect-honeypot te infecteren. Wie dit Incident heeft toegevoegd. Het type van het Incident (bijvoorbeeld IP, MAC of VPN). Of het Incident op dit moment actief is. Wie het laatst een wijziging heeft aangebracht aan dit Incident. Speciale gevallen zijn gebruikers met daarin de term honeypot of [onestrike]. In dit geval is de laatste H13 Incidents - Pagina 66 van 116

67 Pagina 67 van 116 wijziging doorgevoerd door respectievelijk een honeypot of door de gebruiker zelf door middel van de OneStrike-optie Reason Form De naam van de reden waarvoor deze gebruiker is afgesloten (zie 17.1). Wanneer de afgesloten gebruiker gebruik gemaakt heeft van het contactformulier op zijn persoonlijke quarantainepagina, wordt zijn adres bewaard en hier getoond. Vaak blijkt dat gebruikers een ander primair adres gebruiken dan het door uw instelling verstrekte. Het zoeken van IP s in CIDR notatie Wanneer gebruik gemaakt wordt van een type 'ip' binnen Qmanage is het mogelijk om hier binnen te zoeken in de notatie a.b.c.d/n, waarbij de n het bitmask aangeeft. Bijvoorbeeld, zoeken naar /28 geeft een lijst IPnummers of -ranges die vallen in, of overlappen met, t/m Het zoekresultaat Alle gevonden resultaten worden in een tabel getoond, afhankelijk van de kolommen die u geselecteerd heeft bij de zoekopdracht. Door binnen de resultaten op een hyperlink te klikken, wordt een nieuwe zoekopdracht uitgevoerd met de aangeklikte gegevens als zoekterm. Door op een kolomnaam te klikken, wordt hierop gesorteerd binnen de getoonde resultaten. De betekenis van de kolommen is hetzelfde als bij het zoeken, u beschikt hier echter ook over een aantal knoppen: Preview Edit OneStrike Delete Undelete Bekijk de quarantainepagina die de eindgebruiker te zien krijgt. Wordt vooral gebruikt om als servicedesk mee te kijken met de eindgebruiker om hem beter te kunnen assisteren. Pas de gegevens van het Incident aan, zie paragraaf U kunt ook OneStrikes aanpassen via Edit. Haalt de gebruiker uit quarantaine en gebruikt daarvoor de OneStrike van de gebruiker. Haalt deze gebruiker uit quarantaine. Verandert een inactief Incident in een actief Incident. Onder andere te gebruiken als iemand onterecht uit quarantaine is gehaald Edit Incident Als u achter een Incident op Edit geklikt heeft, komt u op een overzichtspagina van het Incident waar u verschillende gegevens kunt wijzigen. De beschikbare gegevens: QNID Active Last update Qnet-ID, het nummer dat dit Incident heeft gekregen van Qmanage; deze is uniek voor elk Incident. Of het Incident op dit moment actief is. Wanneer het laatst een wijziging heeft plaatsgevonden aan H13 Incidents - Pagina 67 van 116

68 Pagina 68 van 116 Last viewed Last infection Type User ID address Reason Timestamp Call ID Message Remark Can onestrike OneStrike allowed dit Incident. Het tijdstip dat de afgesloten gebruiker het laatst zijn persoonlijke quarantainepagina heeft opgevraagd. Het tijdstip dat de computer van de afgesloten gebruiker het laatst heeft getracht de Qdetect-honeypot te infecteren. Het type van het Incident (bijvoorbeeld IP, MAC of VPN). De identificatie van de gebruiker op het netwerk, afhankelijk van type. Bijvoorbeeld een IP-adres, RADIUS-accountnaam of MAC-adres. Het adres dat gebruiker in heeft gevuld op het contactformulier, als dit geconfigureerd is. De naam van de reden waarvoor deze gebruiker is afgesloten (zie 17.1). Het tijdstip waarop het Incident is toegevoegd. Het nummer behorend bij deze klacht, bijvoorbeeld toegekend door helpdesk-software van een derde partij. Een persoonlijk bericht voor de gebruiker. Dit bericht wordt naast de Reason getoond op de quarantainepagina van de gebruiker. Notities behorende bij het Incident, die niet getoond worden aan de gebruiker. Hier wordt weergegeven of de gebruiker recht heeft op een OneStrike. Hier kunt u aangeven of de OneStrike wel of niet beschikbaar moet zijn voor de gebruiker. Deze instelling overschrijft de instelling bij Can onestrike, maar als de gebruiker zijn OneStrike al eerder gebruikt heeft dan wordt deze niet opnieuw beschikbaar. Daarnaast zijn er verschillende knoppen beschikbaar: Save Sla de wijzigingen op. Preview Trace Undelete Of Delete Delete & Cancel Bekijk de quarantainepagina die de eindgebruiker te zien krijgt. Wordt vooral gebruikt om als servicedesk mee te kijken met de eindgebruiker om hem beter te kunnen assisteren. Zoek alle bijbehorende gegevens op via de Trace-functionaliteit. Verandert een inactief Incident in een actief Incident (Undelete) of vice versa (Delete). Onder andere te gebruiken als iemand onterecht uit quarantaine is gehaald. Als de gebruiker zijn adres ingevuld heeft in het contactformulier op de quarantainepagina, is het mogelijk om het Incident inactief te maken én de gebruiker hierover te en. Annuleer de wijzigingen. H13 Incidents - Pagina 68 van 116

69 Pagina 69 van 116 Hieronder zijn nog verschillende tabellen met informatie weergegeven, indien relevant: Actions Overzicht detectiereports per Incident De acties die in het verleden zijn opgetreden bij het Incident. Zie paragraaf Overzicht detectiereports per Incident Door in het zoekresultaat op Edit te klikken achter een Incident, krijgt u een overzicht van de detectiereports te zien die bij dit Incident horen (zie afbeelding 43). Ook kunt u hier de gegevens het Incident aanpassen. Reports die binnenkomen als een gebruiker afgesloten is, worden in geel weergegeven net als de reports die binnengekomen waren vóór het Incident. De waarde van de Combined Confidence wordt niet opnieuw berekend, want de actie om de gebruiker in quarantaine te zetten heeft al plaatsgevonden en er zal geen nieuwe actie volgen. Een uitzondering hierop komt voor als reports bij meerdere Incidenten horen. Wanneer er een Incident van dezelfde gebruiker afgerond is in de zeven dagen voor het aanmaken van het nieuwe Incident dat u bekijkt, dan worden de reports van vóór de afronding van het eerste Incident in het grijs weergegeven. De reden hiervoor is dat het Incident dat u bekijkt vermoedelijk een vervolg is van het afgeronde Incident, waaruit blijkt dat het probleem waarschijnlijk nog niet opgelost is. Daarom zijn de reports van het afgeronde Incident van belang bij het bekijken van het nieuwe Incident en worden ze in grijs weergegeven bij het nieuwe Incident (zie afbeelding 43). Wanneer twee Incidenten van één gebruiker tegelijk actief zijn, dan worden de reports die binnenkomen en bij beide Incidenten horen, ook bij beide Incidenten weergegeven in het geel. Ook als vervolgens één van beide Incidenten afgerond wordt, dan blijven de reports bij het andere Incident geel weergegeven. Dit heeft als reden dat de reports waarschijnlijk voor beide Incidenten relevant zijn en dus niet grijs gemaakt mogen worden. Afbeelding 43: Overzicht detectiereports bij een Incident H13 Incidents - Pagina 69 van 116

70 Pagina 70 van Incidents - Types Onder Incidents Types zijn de verschillende methoden te vinden waarmee gebruikers in quarantaine kunnen worden gezet, zie afbeelding 44. Een bijzondere variant is het type monitor: dit betreft Incidenten die wel binnen het netwerk van uw instelling vallen, maar niet binnen de delen die door Qmanage beheerd worden. Als u hieraan iets wilt veranderen, neem dan contact op met de Quarantainenet Servicedesk. Afbeelding 44: Overzicht van types Onder Actions zijn er twee mogelijkheden: Sync New Voer de stand van zaken op quarantainegebied door zoals die binnen Qmanage bekend is, in de actieve netwerkcomponenten zodat Incidenten gerealiseerd worden. Maak een nieuw Incident voor dat type. Onder Exports zijn er eveneens twee mogelijkheden: Show Plain Toont de exportlijst voor het specifieke type in een textarea onder de overview. Toont dezelfde lijst, maar in een nieuwe plaintext pagina. H13 Incidents - Pagina 70 van 116

71 Pagina 71 van Trace Afbeelding 45: Trace Met de Trace-functionaliteit kunt de informatie over registraties en Incidenten bekijken in een Track & Trace-omgeving. In de volgende paragrafen worden deze opties verder uitgelegd. In hoofdstuk 7 is stapsgewijs uitgelegd hoe de track & trace gebruikt kan worden Trace track & trace De track & trace is bedoeld om informatie over een specifiek user ID te vinden over een langere periode. De velden met een sterretje (*) zijn verplicht. De invoervelden zijn de volgende: Search for* Op welke identifier u wilt zoeken (MAC-adres, IP-adres, gebruikersnaam). Period De periode waarbinnen u wilt zoeken naar de identifier: Now Today This week This month Past 24 hours Past 7 days Past 31 days Everything Nu Vandaag Deze week Deze maand De afgelopen 24 uur De laatste 7 dagen De laatste 31 dagen Alle resultaten H14 Trace - Pagina 71 van 116

72 Pagina 72 van Reports Afbeelding 46: Reports Bij Reports kunt rapportages en grafische weergaven van de registraties, Incidenten en activatiecodes binnen uw Qmanage-installatie opvragen. Summaries Summaries by period Charts Informatie opvragen over de verschillende quarantainegerelateerde zaken. Statistieken over een bepaalde periode opvragen. Het opvragen van lijn- en taartdiagrammen van verschillende onderdelen van de Incident-afhandeling. In de volgende paragrafen worden deze submenu s verder uitgelegd Reports - Summaries Via Summaries kunt u informatie opvragen over verschillende quarantainegerelateerde zaken. De meeste informatie die opgeleverd wordt, is klikbaar zodat u door te klikken op gevonden informatie kunt zoeken binnen de resultaten. Met de knop Execute kunt u de gevonden informatie exporteren naar een Excelbestand. De standaard beschikbare rapporten geven een lijst van het volgende: In/Out Timestamps Counts per Reason Who does What Active Reasons Count Top Recidivists Incidents Current/Last Month/Quarter/Year Active Hosts without registration on managed User ID s met het tijdstip dat zij in quarantaine gegaan zijn, en indien van toepassing wanneer zij weer uit quarantaine gekomen zijn. Reasons met daarbij het aantal actieve Incidenten per Reason en het aantal Incidenten dat ooit met die Reason aangemaakt is. Gebruikers van de administratieve interface (inclusief de Qdetect-honeypot) en een telling van het aantal quarantaine-gerelateerde acties dat zij hebben uitgevoerd. Alle Reasons waarvoor Incidenten actief zijn en het aantal Incidenten per Reason. User ID s gesorteerd op het aantal Incidenten dat aan hen gekoppeld is. Alle Reasons met daarbij benoemd alle Incidenten voor die Reason over de huidige en vorige maand, het huidige en vorige kwartaal, het huidige en vorige jaar en het aantal nu actieve Incidenten. Machines die netwerkactiviteit hebben vertoond op een gemanagede switchpoort, maar die niet H15 Reports - Pagina 72 van 116

73 Pagina 73 van 116 ports Active Hosts without registration on unmanaged ports Disabled ports Usernames with multiple registrations Usernames with active WLAN sessions Registrations archive Registrations without DHCP activity in the last three months Unused activation codes Switch ports containing more than one MAC address Active activation codes per user in Qmanage geregistreerd zijn. Machines die netwerkactiviteit hebben vertoond op een niet-gemanagede switchpoort, maar die niet in Qmanage geregistreerd zijn. Switchpoorten die door Qmanage zijn uitgezet. Het is daarnaast mogelijk om, als een switchpoort wordt uitgezet, een bericht via te ontvangen. Neem contact op met de Quarantainenet Servicedesk om deze functionaliteit te activeren. Gebruikersnamen waarmee meer dan één MACadres is geregistreerd. Gebruikersnamen die op dit moment een actieve WLAN-sessie hebben. Alle gewijzigde of verwijderde registraties. Alle geregistreerde MAC-adressen die geen DHCP-request gedaan hebben in de afgelopen drie maanden. Alle activatiecodes die wel aangemaakt, maar nog niet gebruikt zijn. Alle switchpoorten waarop meer dan één MACadres is aangesloten. Activatiecodes en met activatiecodes gedane registraties per gebruiker. Inactive registration removal Registraties die op het punt staan door inactiviteit verwijderd te worden 15.2 Reports - Summaries by period Met de Summaries by period kunt u statistieken over een bepaalde periode opvragen. Standaard zijn er een aantal perioden beschikbaar, maar via Custom in het uitvouwmenu kunt u een willekeurige periode invoeren in de Begin- en End-invoervelden. Voor de gekozen periode worden het totale aantal nieuwe Incidenten, het aantal Incidenten per type en het aantal Incidenten per Reason weergegeven. H15 Reports - Pagina 73 van 116

74 Pagina 74 van Reports - Charts Binnen de Charts functionaliteit kunt u lijn- en taartdiagrammen opvragen van verschillende onderdelen van de Incident-afhandeling. Achter Type kiest u het type diagram dat u wilt opvragen en achter Chart kiest u vervolgens waarvan u een diagram wilt zien. H15 Reports - Pagina 74 van 116

75 Pagina 75 van Infra Afbeelding 47: Infra Het menu Infra kunt u apparaten in uw netwerkopstelling configureren, zoals switches en access points. In de verschillende submenu-items kunt u apparaten toevoegen en de onderdelen van uw netwerkopstelling en instellingen bekijken en eventueel wijzigingen doen. Alle submenu-items worden in de volgende paragrafen nader besproken Infra Devices In het submenu Devices kunt u apparaten toevoegen en alle gemanagede LANen WLAN-apparaten bekijken. Qmanage controleert actief of alle toegevoegde apparaten bereikbaar zijn en toont een melding als dit niet het geval is. Let op: Als u een apparaat door een andere wilt vervangen, wijzig dan niet de gegevens van het oude apparaat, maar remove het oude apparaat en voeg hierna het nieuwe apparaat toe Infra Devices Add device In het tabblad Add device is het mogelijk om netwerkcomponenten zoals switches, wireless concentrators en access points toe te voegen. Dit gebeurt via een zogenaamde wizard, waarin u stap voor stap gevraagd wordt om de benodigde informatie in te vullen. De velden met een sterretje (*) zijn verplicht. In stap 1 vult u het IP-adres en de SNMP community in van het toe te voegen apparaat, zie afbeelding 48. Aan de hand hiervan wordt bepaald welke informatie u moet invullen in stap 2, zoals RADIUS- of CLI-informatie. Door bij stap 2 de verplichte informatie in te vullen en daarna op Add device te klikken, voegt u het apparaat toe. In deze tweede stap, kunt u ook Manage now en Rollout mode aanof uitzetten. Afbeelding 48: Het toevoegen van een apparaat H16 Infra - Pagina 75 van 116

76 Pagina 76 van 116 In de inleiding van deze handleiding vindt u de link naar het document met alle hardware die ondersteund wordt. De handleidingen voor het instellen van de hardware voor gebruik met Qmanage zijn op te vragen bij de Quarantainenet Servicedesk Infra - Devices - LAN devices Nadat een LAN-device is toegevoegd, komt het in de lijst met LAN-devices te staan (zie afbeelding 49). Afbeelding 49: Het overzicht van de toegevoegde LAN devices De kolommen komen overeen met (een deel van) de gegevens die u kon invullen bij het toevoegen van een device. Er zijn verschillende Actions mogelijk, deze worden in de volgende paragrafen toegelicht: Properties Ports Settings Remove De details van het apparaat bekijken. De details over de poorten van het device bekijken. De gegevens die bij Add Device ingevoerd zijn aanpassen. Het device verwijderen uit Qmanage. Properties Nadat u op Properties geklikt heeft achter een LAN device, verschijnt het volgende scherm, met daarin informatie over het apparaat (zie afbeelding 50). Buiten de velden die in een eerder stadium ingevuld zijn, wordt er nog extra informatie getoond, zoals de SNMP Location (indien ingevuld in de switch) en de SNMP Description (direct vanuit de switch). Afbeelding 50: De properties van een device H16 Infra - Pagina 76 van 116

77 Pagina 77 van 116 Ports Als u vanuit het overzicht van LAN Devices op Ports klikt, worden de beschikbare poorten op de switch getoond. Indien een switch is toegevoegd maar Manage now is nog niet aangezet voor de switch kunt u nog geen poorten managen (zie afbeelding 51). Afbeelding 51: Het overzicht van de poorten per device Indien Manage now is aangezet op een switch, kunnen er poorten gemanaged worden (zie afbeelding 52). Afbeelding 52: Het overzicht van de poorten per device De volgende kolommen zijn beschikbaar voor iedere poort: # Het nummer van de poort waarmee deze aangeduid wordt door Qmanage. Onder andere te gebruiken in het invulveld Port list. Description Link state Select VLAN Tagged VLAN Connected MACs Location De omschrijving van de poort. De poort is up of down (disabled). Een selectieveld om één of meerdere poorten te kunnen selecteren. Het VLAN dat untagged op de poort geconfigureerd is. De tagged VLAN s die op de poort geconfigureerd zijn. Welke registraties verbonden zijn met de poort. Als u met de muisaanwijzer over het MAC-adres beweegt, wordt de vendor van het MAC-adres getoond als deze bekend is. Als het MACadres geregistreerd is, is het klikbaar. De Location waartoe de poort behoort. Dit kan afwijken van de rest van de switch. Zie voor informatie over Locations paragraaf H16 Infra - Pagina 77 van 116

78 Pagina 78 van 116 Comment State Action Een veld voor opmerkingen bij een poort. Er is hier een speciaal geval mogelijk: Likely uplink betekent dat Qmanage heeft gedetecteerd dat deze poort mogelijk als uplink fungeert. Let op: het beheren van een uplink-poort kan ertoe leiden dat de switch niet langer bereikbaar is. Een poort is in een bepaalde staat: Unmanaged (oranje) Managed (groen) Disabled (rood) Conflict (rood) Qmanage beheert de poort niet. De poort wordt beheerd door Qmanage. De poort is uitgeschakeld. Meestal is dit het gevolg van een te groot aantal devices achter de poort of het aanwezig zijn van een Rogue DHCP-server. Ook kan een poort handmatig op disabled gezet worden. Het is mogelijk om een te ontvangen als een switchpoort wordt uitgezet. Neem hiervoor contact op met de Quarantainenet Servicedesk. Of er een conflict op de poort is en de poort daardoor in quarantaine staat (meer over een dergelijk conflict, zie ). Er zijn bepaalde acties mogelijk op een poort: Initialize Disable Enable Unmanage Manage Edit Zet de poort in het quarantaine-vlan, haalt vervolgens alle MAC s eraf en maakt de poort leeg. Dit is de eerste remedie als er vreemd gedrag constateert op een enkele poort. Schakelt de poort uit. Schakelt de poort in. Zorgt dat de poort niet meer beheerd wordt door Qmanage. Er wordt een aantal instellingen gedaan op de betreffende poort in deze volgorde: 1. De poort wordt in het quarantaine- VLAN gezet. 2. Alle tagged VLAN s worden verwijderd van de poort. 3. Er wordt een lege ACL op de poort gezet. 4. De poort wordt down gezet. Brengt de poort onder beheer van Qmanage Biedt de mogelijkheid een opmerking toe te voegen, de Location van de poort aan te passen en de restricties en reserveringen van de poort aan te passen, zie paragraaf U heeft daarnaast de knoppen: H16 Infra - Pagina 78 van 116

79 Pagina 79 van 116 Manage selected Unmanage selected Never manage selected Select all Unselect all Save Location changes Manage alle poorten die u met het selectieveld onder Select geselecteerd heeft. Unmanage alle poorten die u met het selectieveld onder Select geselecteerd heeft. Indien dit staat aangevinkt, kan de switchpoort niet gemanaged worden en wordt de knop Manage nergens meer getoond voor die switchpoort. Selecteer alle poorten op de switch, behalve de uplink(s) als deze gedetecteerd is (zijn). Let op: de uplink-detectie werkt niet op alle modellen switches, dus zorg er zelf voor dat de uplink niet geselecteerd is. Deselecteer alle poorten op de switch. Zet de Location die geselecteerd is in het uitvouwmenu boven de knop op de geselecteerde poorten. Start device check Forceert een periodic check. Deze controle wordt normaliter periodiek door Qmanage uitgevoerd. De controle is vooral nuttig als er een wijziging in de configuratie van de blades van een chassis-switch heeft plaatsgevonden. Opmerking: als u devices heeft die zowel een WLAN- als een LAN-rol vervullen staat er bij de Actions ook SSIDs. Voor uitleg hierover, zie paragraaf Settings Als u op Settings heeft geklikt bij een apparaat, kunt u de gegevens aanpassen die u ingevuld heeft bij het toevoegen van het apparaat ((zie afbeelding 53). Het incorrect invullen van deze gegevens kan ertoe leiden dat het apparaat niet langer gemanaged kan worden. Let er hierbij op dat de gewijzigde CLI-gegevens niet gecontroleerd worden, zoals bij het initieel toevoegen van het apparaat. U heeft ook de mogelijkheid om Manage now of Rollout mode aan of uit te zetten. Wanneer een switch wordt toegevoegd, staat Rollout mode standaard aangevinkt. Rollout mode geeft de beheerder inzicht in welke apparaten er zijn aangesloten op de poorten van in Qmanage toegevoegde switches. Indien er nog registraties missen, dan kunnen deze worden toegevoegd in Qmanage door het rapport Active Hosts without registration on unmanaged ports te exporteren en vervolgens via de Mass Add toe te voegen. Voor kleinere aantallen kunt u het apparaat direct vanaf de switchpoort registreren. H16 Infra - Pagina 79 van 116

80 Pagina 80 van 116 Afbeelding 53: Settings van het device Remove from Qmanage Als u op Remove from Qmanage klikt, dan krijgt u een scherm te zien met daarin een korte uitleg van de consequenties van het verwijderen van een apparaat en de knop Remove device waarmee u het apparaat uit Qmanage kan verwijderen. Nadat u op Remove device heeft geklikt, krijgt u een pop-up venster te zien waarin u het verwijderen van het apparaat dient te bevestigen Ports - Edit - Port reservations Als u achter een poort klikt op Edit kunt u onder meer de machine restricties en port reserveringen van de machine aanpassen. Met de machine restricties en port reserveringen kunt u controleren welke apparaten gebruik mogen maken van welke poorten. U kunt registraties beperken tot bepaalde poorten en poorten reserveren voor bepaalde registraties. Een praktijkvoorbeeld om port reserveringen (een poort reserveren voor een bepaalde registratie) te illustreren: de patiëntmonitoring bij het bed van een patiënt in het ziekenhuis moet aangesloten blijven. Daarom mag de netwerkpoort bij het bed van een patiënt alleen gebruikt worden voor de patiëntmonitoring. Als de patiënt de patiëntmonitoring loskoppelt en zijn privé-laptop aansluit op de netwerkpoort, dan krijgt hij geen toegang tot het netwerk. De poort is gereserveerd voor de patiëntmonitoring. In het overzicht van de poorten van een switch is af te lezen welke registraties met welke poort verbonden zijn en wat de status van de poort is: unmanaged, managed of in quarantaine vanwege een conflict. Voor welke registraties de poort gereserveerd is, is weergegeven op de pagina van de registratie. Deze restricties en reserveringen zijn aan te passen via de pagina van de poort. Specificaties Een gemanagede poort kan gereserveerd worden voor één of meerdere registraties. De registratie waarvoor u de poort wil reserveren, moet verbonden zijn met de poort als u de reservering gaat toevoegen. Een poort kan niet worden gereserveerd voor registraties met de Access Group VoIP-TAGGED: deze registraties worden altijd toegelaten op de poort. Ook kan een poort niet gereserveerd worden voor registraties die gebruik maken van dot1x. Als een dergelijke registratie zich meldt op de poort, dan komt de poort automatisch in dot1x-modus. Wanneer een poort gereserveerd is voor een registratie die als VM-host is aangemerkt, dan mogen er (als deze VM-host verbonden is) ook MAC-adressen met een VM-prefix met de poort verbonden zijn. Tot slot kan een poort niet gereserveerd worden voor ongeregistreerde MACadressen; als een ongeregistreerd MAC-adres zich meldt op een gereserveerde poort dan wordt de poort in het quarantaine-vlan gezet. Een poort kan gereserveerd worden voor meerdere registraties, zodat meerdere registraties gebruik kunnen maken van deze poort. Zodra een poort gereserveerd is voor één of meerdere registraties, wordt bij aansluiten gecontroleerd of de poort een reservering heeft voor deze registratie. Als de poort gereserveerd is H16 Infra - Pagina 80 van 116

81 Pagina 81 van 116 voor andere registraties dan degene die zich aangesloten heeft, dan wordt de poort in quarantaine gezet en krijgt de aangesloten registratie een eindgebruikerspagina te zien met een uitleg van de situatie (voor Reasons zie 17.1). Als dit laatste het geval is, wordt dit weergegeven als een conflict. In de administratieve interface Voor welke registraties de poort gereserveerd is, is weergegeven en aan te passen via de pagina van de poort, zie afbeelding 54. U komt op deze pagina door achter een bepaalde poort op Edit te klikken. Op deze pagina staat onder MAC-Port configuration welke registraties verbonden zijn met deze poort, welke registraties beperkt zijn tot deze poort en voor welke registraties deze poort gereserveerd is. Via de knop Edit Restrictions & Reservations komt u op een pagina waar de restricties en reserveringen aan te passen zijn, zie afbeelding 55. Alleen als registraties verbonden zijn met een poort kunt u een restrictie of reservering toevoegen; als er geen registraties verbonden zijn met de poort is de knop Edit Restrictions & Reservations ook niet zichtbaar. Afbeelding 54: Pas de details van een poort aan. H16 Infra - Pagina 81 van 116

82 Pagina 82 van 116 Afbeelding 55: Pas de restricties en reserveringen van een poort aan. In afbeelding 55 staat de pagina weergegeven waar u de restricties en reserveringen van deze poort kunt aanpassen. In het bovenste gedeelte kunt u aanvinken welke machineregistraties beperkt moeten worden tot deze poort. In het onderste gedeelte kunt u aanvinken voor welke machineregistraties deze poort gereserveerd moet worden. Wanneer dit van toepassing is, staat in beide gedeelten in een kleiner lettertype bij een poort weergegeven welke andere apparaten verbonden zijn en/of beperkt zijn tot deze poort; daarnaast staat erbij of deze poort gereserveerd is voor een bepaalde machine. Met Save kunt u gemaakte wijzigingen opslaan, met Cancel de wijzigingen annuleren. Als u een wijziging wilt doen die een conflict veroorzaakt met een andere instelling of een verbonden apparaat, dan wordt dit weergegeven in het scherm voordat u gaat opslaan. H16 Infra - Pagina 82 van 116

83 Pagina 83 van Infra - Devices - WLAN devices Nadat een WLAN-device is toegevoegd, komt het in de lijst met WLAN-devices te staan (zie afbeelding 56). Afbeelding 56: Het overzicht van de toegevoegde WLAN-devices De kolommen komen overeen met (een deel van) de gegevens die u kon invullen bij het toevoegen van een device. Er zijn verschillende Actions mogelijk, deze worden in de volgende paragrafen toegelicht: Properties SSIDs Settings Unmanage De details van het apparaat bekijken. De details over de poorten van het device bekijken. De gegevens die bij Add Device ingevoerd zijn aanpassen. Het device niet langer door Qmanage laten beheren. Opmerking: als u devices heeft die zowel een WLAN- als een LAN-rol vervullen staat er bij de Actions ook Ports. Voor uitleg hierover, zie paragraaf Properties Nadat u op Properties geklikt heeft achter een LAN device, verschijnt het volgende scherm, met daarin bovenaan informatie over het apparaat. Buiten de velden die in een eerder stadium ingevuld zijn, wordt er nog extra informatie getoond, zoals de SNMP Location (indien ingevuld in het apparaat) en de SNMP Description (direct vanuit het apparaat). Afbeelding 57: De properties van een device H16 Infra - Pagina 83 van 116

84 Pagina 84 van 116 SSIDs Met de action SSIDs kunt u een koppeling maken tussen de SSID s die u geconfigureerd heeft (zie 16.2). Ook kunt u een (eventuele) Location-instelling die voor dat SSID geldt overschrijven als een gebruiker het SSID van het betreffende WLAN-device gebruikt. U heeft daarnaast deze knop: Start device check Forceert een periodic check. Deze controle wordt normaliter periodiek door Qmanage uitgevoerd. De controle is vooral nuttig als er een wijziging in de configuratie van de blades van een chassis-switch heeft plaatsgevonden. Settings Als u op Settings heeft geklikt bij een apparaat, kunt u de gegevens aanpassen die u ingevuld heeft bij het toevoegen van het apparaat. Let er hierbij op dat het aanpassen van deze gegevens ertoe kan leiden dat het apparaat niet langer gemanaged kan worden. Remove from Qmanage Als u op Remove from Qmanage klikt, dan krijgt u een scherm te zien met daarin een korte uitleg van de consequenties van het verwijderen van een apparaat en de knop Remove device waarmee u het apparaat kan verwijderen uit Qmanage. Nadat u op Remove device heeft geklikt, krijgt u een pop-up venster te zien waarin u het verwijderen van het apparaat dient te bevestigen. H16 Infra - Pagina 84 van 116

85 Pagina 85 van Infra - SSIDs In het submenu SSIDs vindt u de SSID s die door Qmanage beheerd worden. Om een SSID toe te voegen aan Qmanage kunt u de naam van het SSID invullen en desgewenst een Location koppelen aan het SSID. Qmanage haalt deze SSID s niet automatisch uit uw WLAN-apparaten. De velden met een sterretje (*) zijn verplicht. Let op: de naam die u aan een SSID geeft is hoofdlettergevoelig. De toegevoegde SSID s komen in de lijst Current SSIDs te staan. De SSID s in deze lijst kunnen verwijderd worden en de Location kan gewijzigd worden. H16 Infra - Pagina 85 van 116

86 Pagina 86 van Infra - Access Groups Access Groups zijn bedoeld om de gebruikers en/of apparaten binnen uw organisatie in te delen in functionele groepen. In combinatie met de Location (zie 16.4) wordt door Qmanage bepaald welk VLAN-nummer aan de gebruiker of machine gegeven wordt. In afbeelding 55 is een voorbeeld weergegeven van VLAN-toekenning met Access Groups en Locations. In afbeelding 58 zijn vijf Access Groups opgenomen in de bovenste rij (Studenten t/m Qnet). Aan de hand van de registratie in Qmanage of, indien ingericht op 802.1x, de locatie van een gebruiker in de LDAP-structuur, wordt bepaald tot welke Access Group een gebruiker thuishoort. Een gebruiker die in quarantaine is gezet, hoort in de Access Group Qnet. Daarnaast wordt per gebruiker bepaald in welke Location hij zich bevindt. Dit kunnen fysieke locaties zijn, zoals in afbeelding 58 Gebouw 1 en Gebouw 2, maar het kunnen ook delen van hetzelfde gebouw zijn met andere VLAN-instellingen (zie 16.4). Aan de hand van de Access Group waarin de gebruiker hoort en de Location waar hij zich bevindt, wordt een VLAN-nummer bepaald. Op verschillende Locations kunnen andere VLAN-nummers worden ingesteld voor dezelfde Access Group. Qmanage zorgt er dan voor dat dezelfde gebruiker op een andere Location de juiste rechten toegekend krijgt die bij zijn Access Group horen. Bijvoorbeeld, in afbeelding 58 komen studenten in Gebouw 1 in VLAN 136 terecht, maar in Gebouw 2 in VLAN 242. Access Group Location Studenten Docenten Gebouw Gebouw Afbeelding 58: VLAN-toekenning aan de hand van Access Groups en Locations In de administratieve interface kunt u Access Groups aanmaken en beheren onder Infra bij Access Groups (zie hieronder). De Locations en de VLAN-nummers per Location (en per Access Group) kunt u vinden onder Infra bij Locations (zie 16.4). Op de pagina Access Groups kunt u een Access Group toevoegen door op Add Access Group te klikken. De volgende velden kunnen dan ingevuld worden. De velden met een sterretje (*) zijn verplicht. Name* De naam van de Access Group, bijvoorbeeld Studenten. Type* Printers Gasten Qnet Het type Access Group. Het type MAC authentication & authorization wordt gebruikt voor groepen waarbij H16 Infra - Pagina 86 van 116

87 Pagina 87 van 116 Backup Access Group* Description Inactivity expiry On machine name mismatch Ignore DHCP without hostname netwerktoegang bepaald wordt op basis van MAC adres. Het type 802.1X authentication wordt gebruikt voor groepen met machines die zich met 802.1X op LAN dienen te authenticeren. Het type 802.1X authorization wordt gebruikt voor groepen waarbij netwerktoegang bepaald wordt op basis van 802.1X Alleen beschikbaar voor type 802.1X authentication. Deze Access Group wordt gebruikt voor geregistreerde machines in een 802.1X authentication Access Group, die verbinden op LAN op niet 802.1X Locations Een omschrijving van de Access Group. Hier kunt u aangeven of registraties in deze Access Group na een bepaalde periode van inactiviteit komen te vervallen. Alleen beschikbaar voor type MAC authentication & authorization. De actie die Qmanage uitvoert indien de hostname van de machine uit de DHCP logs niet overeenkomt met de hostname uit de registratie. Opties zijn Do nothing, Update registration, Create incident of Delete registration Alleen beschikbaar voor type MAC authentication & authorization. Indien aangevinkt, wordt voor machines waarvan geen hostname aanwezig is in de DHCP logs, de actie die geselecteerd is bij On machine name mismatch niet uitgevoerd Onder de tabs MAC authentication & authorization, 802.1X authentication en 802.1X authorization vindt u een overzicht van de Access Groups, zie afbeelding 59. Afbeelding 59: Het overzicht van de Access Groups Buiten de hierboven benoemde velden heeft u hier nog de mogelijkheid om Access Groups aan te passen (Edit) of te wissen (Delete). Bij het aanpassen (Edit) van een MAC authentication & authorization Access Group, heeft u de mogelijkheid om de geregistreerde machines in deze Access Group naar een nieuwe 802.1X authentication Access Group over te zetten, zie afbeelding 60. U zet deze mogelijkheid alleen in, indien u 802.1X op LAN in wil H16 Infra - Pagina 87 van 116

88 Pagina 88 van 116 gaan zetten. Neem hiervoor eerst contact op met de Quarantainenet Servicedesk. Let op: deze actie kan niet terug worden gedraaid. Afbeelding 60: Het overzicht van de Access Groups Let op: als u de naam van een bestaande Access Group aanpast, dan moet deze ook aangepast worden in de registratieprocedure. Deze aanpassing kan alleen gedaan worden door de Quarantainenet Servicedesk, neem hiervoor contact op. (Deze waarschuwing geldt alleen voor de naam, niet voor de andere instellingen.) H16 Infra - Pagina 88 van 116

89 Pagina 89 van Infra - Locations Locations zijn logisch gegroepeerde devices of poorten. Vaak zal het gaan om fysieke locaties zoals gebouwen, vergaderruimtes of poorten. De combinatie van een Location en een Access Group bepaalt welk VLAN-nummer er aan een gebruiker wordt gegeven. Een uitgebreidere uitleg over Locations en Access Groups staat in paragraaf In de praktijk betekent dit dat een Location op het LAN een groep switchpoorten is en op het WLAN is het meestal een combinatie van een SSID en een wireless controller of access point. De Locations worden in een boomstructuur weergegeven, waarbij de onderliggende Locations (in principe) de eigenschappen van de bovenliggende Location erven. Indien wenselijk kunt u per Location de VLAN s van de Access Groups aanpassen. Alle aanpassingen die u hier doet, worden door Qmanage niet real-time in het netwerk verwerkt. Het kan dus enige tijd duren tot de nieuwe situatie in werking is op het netwerk. De pagina begint met een overzicht van de huidige Locations, zie afbeelding 61. In het onderstaande voorbeeld is Quarantainenet Office de hoofdlocatie (rootlocatie). Er wordt altijd een hoofdlocatie geconfigureerd bij de installatie van Qmanage. Afbeelding 61: Het overzicht van de Locations Met Add Location kunt u een Location toe te voegen, met de volgende waarden: Parent* Location name* Description Wired authentication method Multiple MAC behaviour VoIP phone De parent-node van de nieuw aan te maken Location. Een kernachtige, omschrijvende naam. Een wat meer uitgebreide omschrijving van de Location. De instelling voor de authenticatie op het bedrade netwerk (LAN). Voor uitleg over deze insteling, zie paragraaf De instellingen voor het omgaan met meerdere MACadressen (untagged, tagged of VM-guest) per poort. Voor uitleg over deze instellingen, zie paragraaf 2. De instellingen voor het omgaan met VoIP-telefoons. Voor H16 Infra - Pagina 89 van 116

90 Pagina 90 van 116 behaviour uitleg over deze instellingen, zie paragraaf De velden met een sterretje (*) zijn verplicht Wired authentication method U kunt kiezen tussen Inherited from parent, MAC-based only en MAC-based and 802.1X. Indien MAC-based and 802.1X is geselecteerd, zullen alle ongeregistreerde machines en geregistreerde machines in een 802.1X authentication Access Group gedwongen worden om op deze locatie 802.1X te gebruiken. Indien u MAC-based and 802.1X in wilt zetten, neem dan hiervoor eerst contact op met de Quarantainenet Servicedesk Meerdere MAC-adressen per poort U kunt het maximum aantal MAC-adressen per poort aanpassen, omdat dit invloed heeft op het gedrag van Qmanage. Als u niets invult, worden deze opties overgenomen van de Location erboven in de boom (parent-node), maar ze kunnen overschreven worden per Location. Maximum number of untagged MACs per port Maximum number of tagged MACs per port Maximum number of VM guest MACs per port Het maximaal aantal MAC-adressen dat per switchpoort verbonden mag zijn op deze Location. Let op: alle MAC-adressen moeten in hetzelfde VLAN komen, anders wordt de poort in quarantaine gezet. Het maximaal aantal tagged MAC-adressen dat per switchpoort verbonden mag zijn op deze Location. Het maximaal aantal MAC-adressen van Virtual Machines dat mag meeliften op het MAC-adres van de als VM-host aangeduide machine die verbonden is met een poort op deze Location. Let op: indien u aanpassingen doet aan deze instellingen kan het, afhankelijk van de grootte van uw netwerk, enige tijd duren voordat ze doorgevoerd zijn. H16 Infra - Pagina 90 van 116

91 Pagina 91 van Gedrag van VoIP-apparatuur Het is mogelijk om per Location in te stellen wat het gedrag van eventueel aanwezige VoIP-apparatuur is. Ook deze instellingen worden standaard overgenomen van de Location erboven in de boom (parent-node), maar ze kunnen overschreven worden per Location. Allow VoIP phone untaggedto-tagged VLAN hopping Always configure tagged VoIP VLAN Als de VoIP-telefoons op de betreffende locatie eerst een DHCP-request doen in een untagged VLAN om zo hun tagged VLAN via een DHCP-optie te krijgen, moet deze optie ingeschakeld zijn. Sommige typen switches sturen geen SNMPtraps indien een VoIP-telefoon direct tagged probeert te verbinden met het netwerk. Voor die switches kan het noodzakelijk zijn om ervoor te zorgen dat het VoIP-VLAN altijd op een poort aanwezig is en moet deze optie ingeschakeld zijn. Let op: indien u aanpassingen maakt op deze instellingen kan het, afhankelijk van de grootte van uw netwerk, enige tijd duren voordat zij doorgevoerd zijn Koppeling tussen Location en Access Group Om een Location en Access Group te koppelen moet u verschillende stappen doorlopen. Aan de hand van een voorbeeld zullen we deze stappen uitleggen. In dit voorbeeld maken we de nieuwe Location Cookie Jar aan (zie afbeelding 62, 63 en 64). Afbeelding 62: Het overzicht van de Locations met het voorbeeld Cookie Jar Na het toevoegen van de Location moeten er nog twee dingen ingesteld worden: de mappings via Mappings (welk VLAN hoort op deze Location bij welke Access Group) en de apparaten die bij de Location horen (zie ). Access Group mappings geven aan welk VLAN er door Qmanage moet worden gegeven aan een registratie, als die registratie zich op deze Location verbindt met het netwerk. Omdat onze voorbeeld-location Cookie Jar een child is van de Location Quarantainenet Office (de parent), zijn alle Access Group mappings overgenomen. H16 Infra - Pagina 91 van 116

92 Pagina 92 van 116 Afbeelding 63: Het koppelen van Access Groups aan de Location Cookie Jar Binnen dit configuratiescherm wordt onderscheid gemaakt tussen drie typen Access Groups: MAC authentication & authorization Access Groups 802.1X authorization Access Groups Access Groups waarvoor op deze Location een VLANnummer is gedefinieerd. In het voorbeeld hierboven zijn de mappings van de parent-location overgenomen Deze mappings worden alleen gebruikt voor machines die zich met 802.1X authenticeren. Machines die in een 802.1X authentication Access Group zitten, dienen ook geautoriseerd te zijn een 802.1X authorization Access Group. System Access Groups Quarantined Voor registraties die in quarantaine geplaatst zijn. Unmapped Unregistered VOIP-Tagged Voor registraties die in een Access Group zijn geregisteerd waar geen mapping voor is op deze Location. Voor nog niet geregistreerde apparaten. Het tagged VoIP-VLAN voor deze Location. H16 Infra - Pagina 92 van 116

93 Pagina 93 van 116 De volgende Actions zijn mogelijk voor System en Mapped Access Groups: Override Edit Delete Met Override is het mogelijk om de mapping die vanuit de parent overgenomen is, aan te passen. Vul een 802.1q VLAN-nummer in en zorg ervoor dat het VLAN beschikbaar is op alle apparaten en poorten die tot de Location behoren. In het mappings-overzicht verandert Inherited from... vervolgens in local. Ook wordt de regel in vet getoond. Als er een override is gedaan, is het met Edit mogelijk om het gekozen VLAN-nummer aan te passen. Als er een override is gedaan, is deze met Delete weer te verwijderen. De mapping wordt weer overgenomen van de parent-location. De volgende Action is mogelijk voor Unmapped Access Groups: Add Voeg een VLAN-mapping toe voor de Access Group op deze Location. Let op: Als een registratie, die behoort tot een Access Group die niet gedefinieerd is op deze Location, verbinding maakt op deze Location, wordt de registratie behandeld als een lid van de groep UNMAPPED. Als UNMAPPED niet gedefinieerd is, wordt de registratie behandeld alsof deze tot de Access Group Quarantined behoort. Als een registratie behoort tot de Access Groups DHCP-CHECK of UNREGISTERED, wordt de registratie behandeld alsof hij tot de Access Group Quarantined behoort. De opbouw en indeling van de Access Groups en Locations, en de koppeling daartussen, wordt meestal tijdens de implementatie door Quarantainenet ingericht. Mocht u assistentie wensen bij het (her-)inrichten van deze structuren, neem dan contact op met de Quarantainenet Servicedesk Meerdere VLAN-mappings voor een Access Group op één Location (loadbalancing) Als u meerdere VLAN s wilt gebruiken voor een Access Group op een Location, bijvoorbeeld voor load balancing over meerdere VLAN s, voert u meerdere 802.1q VLAN-nummers in bij het aanmaken van de mapping. Dit is niet mogelijk voor zogeheten System Access Groups. Deze functionaliteit werkt zowel voor LAN- als WLAN-Locations. Afbeelding 64: Loadbalancing op de Location Cookie Jar H16 Infra - Pagina 93 van 116

94 Pagina 94 van 116 Qmanage zorgt ervoor dat apparaten die zich verbinden met het netwerk, verdeeld worden over de geconfigureerde VLAN s. Op het moment dat u hier extra VLAN s configureert voor een Access Group mapping, kan het zijn dat van de gebruikers die in de betreffende Access Group horen, de verbinding kort onderbroken wordt. Let op: deze functionaliteit werkt niet goed samen met switches die gebruik maken van MAC-RADIUS-authenticatie, zie ook de lijst met supported devices via de link in de inleiding van deze handleiding. Het gebruik van specifieke hardware wordt niet door Qmanage afgedwongen, maar het kan zijn dat er problemen optreden als u dit configureert voor een bepaald type device Devices gekoppeld aan een Location U kunt apparaten koppelen aan een Location door via Infra-Devices de Location van de betreffende apparaten aan te passen, zie ook paragraaf Secure VLAN IDs (802.1X) In de tab Secure VLAN Ids (802.1X) kunt u VLAN IDs opgeven die alleen zullen worden gebruikt voor apparaten die gebruik maken van 802.1X authenticatie. Afbeelding 65: Secure VLAN IDs H16 Infra - Pagina 94 van 116

95 Pagina 95 van Infra Radius Radius clients anders dan de apparaten in uw netwerkopstelling kunnen worden toegevoegd aan Qmanage. Qmanage handelt de radius aanvragen af van deze radius clients. Neem contact op met de Quarantainenet Servicedesk als u Radius clients toe wil voegen. Afbeelding 66: Radius clients toevoegen H16 Infra - Pagina 95 van 116

96 Pagina 96 van Infra - DHCP DHCP groups zijn samenvoegingen van een aantal DHCP gerelateerde instellingen. Meestal is er voor elk VLAN waar Qmanage de DHCP verzorgt een DHCP group. Deze instellingen worden in principe door Quarantainenet gedaan tijdens de implementatie. Let op: als u aanpassingen in de DHCP-groepen wil, neem dan contact hiervoor op met de Quarantainenet Servicedesk. Het overzicht van de DHCP groups geeft aan welke DHCP-groepen er zijn aangemaakt, zie afbeelding 67. Afbeelding 67: Het overzicht van de aangemaakte DHCP Groups De kolommen in het overzicht bevatten de informatie die zijn ingesteld bij de DHCP group. Daarnaast geeft de kolom Active aan of de DHCP group actief in gebruik is op de core. Als aangegeven is dat een DHCP group niet actief is, dan kan het zijn dat deze actief is op het satelliet-systeem of dat de DHCP group niet in gebruik is. De volgende actions zijn beschikbaar: Details Laat de details zien van een specifieke DHCP groep. Effective Een overzicht van de eigenschappen die voor een specifieke groep gelden, inclusief eigenschappen die uit een bovenliggende groep geërfd zijn. Met Details kunt u meer informatie vinden. Hieronder volgt een overzicht van de instellingen die in de DHCP group details worden getoond. Name* Lease Time* Begin IP* Beschrijvende naam voor de DHCP group. Geldigheidsduur van de DHCP lease. Het laagste IP-adres in de range dat uitgedeeld mag worden. H16 Infra - Pagina 96 van 116

97 Pagina 97 van 116 End IP* Gateway Network/Netmask* Broadcast Boot Server Boot Filename Parent Het hoogste IP-adres in de range dat uitgedeeld mag worden. De gateway die meegedeeld wordt aan de client bij het verstrekken van de DHCP lease. Het subnet dat meegedeeld wordt aan de client bij het verstrekken van de DHCP lease. Notatie a.b.c.d/x, waarbij het begin- en eind-ip binnen het subnet dienen te vallen. Indien gewenst, een alternatief broadcastadres. Indien niet ingevuld, wordt het broadcastadres behorende bij het subnet gebruikt. Het IP-adres van de bootserver. De bestandsnaam van de bootfile op de bootserver. De DHCP group waarvan deze DHCP group de nietingevulde velden en opties die niet overschreven worden, moet overnemen, bijvoorbeeld als u voor elke group dezelfde nameserver wenst te gebruiken. H16 Infra - Pagina 97 van 116

98 Pagina 98 van Config Afbeelding 68: Config In Config kunt u instellingen van uw Qmanage-installatie wijzigen. Reasons Whitelist Files Sms Quarantine immunity Qadmin access Het bekijken en aanpassen van teksten voor eindgebruikers. Het beheren van een lijst HTTP(S)-adressen waar naar gesurfd mag worden in het geval van Incident. Het uploaden van bestanden voor gebruik in eindgebruikspagina s. Het doen van instellingen met betrekking tot de registratieprocedure met SMS. Het beheren van een lijst IP-adressen die nooit in quarantaine mogen komen. Het aanpassen en aanmaken van nieuwe gebruikers en het beheren van hun rechten Config - Reasons Onder Reasons worden de verschillende redenen getoond waarvoor eindgebruikers in quarantaine gezet kunnen worden. Per reden zijn een tekst voor de eindgebruikerspagina en enkele opties aanwezig. Vanuit Quarantainenet wordt er een standaardset met redenen aangeleverd en aangevuld in geval van nieuwe detectiemethoden. Door op Also show inactive entries te klikken worden in het grijs onder andere de teksten zichtbaar die gebruikt worden voor de registratieprocedure. Naast deze registratieteksten kunnen Reasons in het grijs zichtbaar worden die te maken hebben met bijvoorbeeld virtual machines of oudere versies van Qmanage; welke Reasons in de lijst staan is afhankelijk van uw installatie. Met Preview is het mogelijk om een voorbeschouwing te krijgen van de pagina zoals de eindgebruiker die te zien gaat krijgen, bijvoorbeeld om de gebruikte HTML te verfiëren. Let op: het kan zijn dat de opmaak en koppen in de preview niet volledig overeenkomen met de uiteindelijke layout van de pagina. Met Add Reason kunt u een Reason toevoegen. Kies een kernachtige naam en klik op Add. H17 Config - Pagina 98 van 116

99 Pagina 99 van 116 Met Edit is het mogelijk om de tekst en instellingen aan te passen. U komt dan op dezelfde pagina terecht als wanneer u een nieuwe Reason toegevoegd heeft, zie afbeelding 69. Op deze pagina is het mogelijk om teksten en instellingen voor deze Reason in te voeren. Bij het aanpassen van een bestaande Reason, heeft u ook een overzicht van de Whitelist van die Reason en kunt u Resource groups activeren of deactiveren. Het is van groot belang om de teksten eenduidig en helder te maken voor de eindgebruikers om het aantal telefoontjes naar de servicedesk als gevolg van onbegrip te minimaliseren. De beschikbare velden zijn de volgende: Name* Notes Active OneStrike default Dutch explanation* English explanation* Dutch OneStrike question English OneStrike question De korte, kernachtige omschrijving voor deze Reason. Een wat uitgebreidere omschrijving van deze Reason. Indien een Reason active is, kan hij gebruikt worden om mensen mee in quarantaine te zetten. Indien aangevinkt geeft deze Reason de eindgebruiker de kans om zijn OneStrike te gebruiken. De eindgebruiker krijgt deze mogelijkheid niet als hij zijn OneStrike al in een eerder stadium gebruikt. Het is altijd mogelijk om deze instelling per Incident aan te passen. Een Nederlandstalige uitleg die aan de eindgebruiker gepresenteerd wordt als reden voor het Incident. Het is mogelijk om HTMLtags te gebruiken. Zie bovenstaand, maar dan in het Engels. De Nederlandstalige vraag en uitleg die de eindgebruiker gepresenteerd krijgt als hij zijn OneStrike wil gebruiken. Het is mogelijk om HTML-tags te gebruiken. Zie bovenstaand, maar dan in het Engels. De velden met een sterretje (*) zijn verplicht. Het is mogelijk om in de explanation-secties speciale HTML te gebruiken, waarmee u stukken tekst kunt laten uitklappen zodra er op een link geklikt wordt. Een voorbeeld: <a class="toggle">testlink 1</a> <div id="details">verborgen tekst 1</div> H17 Config - Pagina 99 van 116

100 Pagina 100 van 116 <br /> <a class="toggle" target="details2">testlink 2</a> <div id="details2"> Verborgen tekst 2</div> <br /> <a class="toggle" target="details3">testlink 3</a> <div id="details3"> Verborgen tekst 3</div> Ook is het mogelijk om eindgebruikers een overzicht van hun reports, de redenen waardoor ze zijn geïsoleerd, op te laten vragen. Zet daartoe eerst Allow report export aan op het overzicht van Reasons en voeg vervolgens de daar weergegeven link toe in de Reason: <a href= Met Add reason voegt u vervolgens de Reason toe. Met Update reason slaat u de aanpassingen aan de Reason op. Met Cancel keert u zonder op te slaan terug naar het overzicht van de Reasons. H17 Config - Pagina 100 van 116

101 Pagina 101 van 116 Afbeelding 69: Het toevoegen van een Reason H17 Config - Pagina 101 van 116

102 Pagina 102 van Config Whitelist In de whitelist kunt u de whitelisting instellen. De whitelist bevat de HTTP-, HTTPS- en IP-adressen die eindgebruikers in de quarantaine- en registratie- VLAN s nog kunnen bereiken. Whitelist-items zijn gegroepeerd in een Resource, en Resources kunnen weer gegroepeerd zijn in een Resource Group. Iedere Reason kan vervolgens gekoppeld worden van een of meer Resource Group, zodat u per reden dat een eindgebruiker in quarantaine staat een verschillende whitelist kunt hanteren. Standaard bevat Qmanage een aantal Resource Groups met inhoud, bijvoorbeeld voor antivirusupdates en OS-updates. Het is daarnaast mogelijk om zelf custom Whitelist items, Resources en Resource groups aan te maken. Door op Create custom resource group te klikken, krijgt u het scherm waarin u uw eigen Resource group aan kunt maken. Voer een naam voor de Resource group in en klik op Add resource group. Uw custom Resource group wordt nu gecreëerd. U kunt in het volgende scherm, Resource group, de naam veranderen en op Save changes klikken. Ook kan de custom Resource group verwijderd worden door op Delete custom resource group te klikken Actions vanuit overzicht Resource groups De volgende actions zijn beschikbaar, zie figuur 70: Details Laat de Resources in de Resource group zien en laat zien in welke Reasons de Resource group wordt gebruikt. Edit Delete Aanpassen van een custom Resource group. Verwijderen van een custom Resource group Actions vanuit overzicht Custom resources De volgende actions zijn beschikbaar, zie figuur 70: Edit Aanpassen van een custom Resource Aanpassen custom Resource group Op de pagina van de custom Resource group kunt u een Resource toevoegen door op Add resource te klikken, zie figuur 71. U kunt op deze pagina zien voor welke Reasons deze Resource group actief is. Ook kunt u hier de Resource group activeren of deactiveren per Reason. De volgende actions zijn beschikbaar: Details Laat de Whitelist items in de Resource zien en laat zien in welke custom Resource group deze Resource group nog meer wordt gebruikt. Edit Remove Aanpassen van een custom Resource. Verwijderen van een Resource uit een Resource group. H17 Config - Pagina 102 van 116

103 Pagina 103 van Aanpassen custom Resource Bij het aanpassen van een custom Resource kunnen Whitelist items worden toegvoegd door op Add whitelist item te klikken, zie figuur 72. Voor HTTP kunnen de volgende zaken gewhitelist worden: (Sub)domein (domein.nl en sub.domein.nl) Subdomein-wildcard (*.domein.nl) IP-range Wanneer een subdomein-wildcard wordt ingevoerd, wordt het domein (zonder subdomein) ook gewhitelist. Voor HTTPS kunnen de volgende zaken gewhitelist worden. Voor HTTPS is het niet mogelijk om wildcard-subdomeinen te configureren: (Sub)domein (domein.nl en sub.domein.nl) IP-range Voor TCP en UDP zijn de Whitelisted items apart in te stellen. Ditgebeurt op basis van een combinatie van de volgende gegevens: IP-range (IPv4 en IPv6) Poortnummer Let op: Het is niet mogelijk om de standaard meegeleverde Resource Groups aan te passen Activeren en deactiveren Resource groups U kunt op de Resource group pagina de Resource group activeren of deactiveren bij elke Reason, zie figuur 73. Er kan ook bij een Reason zelf geconfigureerd worden welke Resource groups gewhitelist moeten worden voor gebruikers die met die reason geïsoleerd zijn, zie figuur 74 Er kunnen meerdere Resource groups gewhitelist worden bij een Reason, zowel custom Resource groups als de standaard Resource groups. Voor iedere bestaande of nieuw aangemaakte Reason worden de standaard met Qmanage meegeleverde Resource groups geactiveerd, behalve de Banks Resource group. H17 Config - Pagina 103 van 116

104 Pagina 104 van 116 Afbeelding 70: Het toevoegen van een custom Resource group Afbeelding 71: Het toevoegen van een Resource H17 Config - Pagina 104 van 116

105 Pagina 105 van 116 Afbeelding 72: Whitelist item toevoegen Afbeelding 73: Activeren en deactiveren van een Resource group bij Reasons Afbeelding 74: Activeren en deactiveren van een Resource group bij één Reason H17 Config - Pagina 105 van 116

106 Pagina 106 van Config - Files Met de Files-functionaliteit kunt u bestanden op de Qmanage-webserver plaatsen. De functionaliteit is vooral bedoeld om bijvoorbeeld de eindgebruikersvoorwaarden te updaten, zodat eindgebruikers de meest recente versie te zien krijgen. Qmanage zorgt ervoor dat de naam van het bestand gelijk blijft aan een oude versie als u via Edit een nieuw bestand plaatst. Ook de handleidingen voor het aanzetten van automatisch updaten in Windows en Mac OS X staan in dit overzicht. Deze worden gebruikt in verschillende Reasons die getoond worden aan gebruikers die in quarantaine staan. Een speciaal geval is het logo dat bovenaan eindgebruikerspagina s voor mobiele apparaten wordt geplaatst. Meer hierover in paragraaf Add file Met Add file kunt u een bestand toevoegen (uploaden) aan de Qmanagewebserver. File Desciption Selecteer een bestand met de Browse-knop. Het bestand mag maximaal 3 MB groot zijn. Voeg een omschrijving toe van het bestand. Deze omschrijving wordt ook gebruikt als alt-text in de door Qmanage gegenereerde HTML. Door nu op Upload te klikken, plaatst u het bestand op de Qmanage-webserver. Na een succesvolle upload geeft Qmanage een melding, zie afbeelding 75. U kunt de HTML (in afbeelding 74 <a href="/files/quarantainenet.zip">quarantainenet Windows Tools</a>) gebruiken om een verwijzing te maken naar het bestand vanuit een Reason (zie 17.1). Afbeelding 75: De melding na een succesvolle upload van een bestand Actions vanuit het overzicht van geüploade bestanden Vanuit het overzicht van bestanden die op de Qmanage-webserver geplaatst zijn, kunt u een aantal Actions ondernemen: Download Edit Delete Download het bestand naar uw eigen computer. Pas het bestand aan. Qmanage houdt de interne naam voor het bestand gelijk, ongeacht de naam van het nieuwe bestand. Hierdoor hoeft u geen verdere aanpassingen te doen aan de verwijzingen op de eindgebruikerspagina s. Verwijder het bestand. H17 Config - Pagina 106 van 116

107 Pagina 107 van Speciaal geval: logo voor mobiele pagina s Er is een speciaal bestand voor het logo dat aan eindgebruikers getoond wordt op pagina s die Qmanage presenteert aan mobiele apparaten. Afbeelding 76 Voorbeeld van een logo in het upload-overzicht Als u het logo dat op deze pagina s getoond wordt, wilt wijzigen, kiest u voor Edit bij dit bestand. Het nieuwe logo moet aan de volgende eisen voldoen: 200 pixels breed 50 pixels hoog In PNG-formaat Als u moeite heeft met het omzetten van uw logo naar dit formaat, kunt u contact opnemen met de Quarantainenet Servicedesk. H17 Config - Pagina 107 van 116

108 Pagina 108 van Config SMS Bij het menu-item SMS kunt u instellingen doen met betrekking tot de registratieprocedure met SMS. In de registratieprocedure met SMS wordt de gebruiker om een telefoonnummer gevraagd, waarnaar vervolgens een SMS gestuurd wordt met een activatiecode. Deze activatiecode kan de gebruiker invullen in de registratieprocedure; deze werkt in gebruik hetzelfde als andere activatiecodes. Het verzenden van de SMS jes wordt niet door Qmanage gedaan, maar door een SMS-dienstprovider. Als u gebruik van deze registratiestap wilt maken, moet u een SMS-dienst afnemen van een dergelijke provider. Deze provider moet het SMPP-protocol ondersteunen, aangezien Qmanage SMS jes via dat protocol zal aanleveren Settings Voor deze registratieprocedure zijn verschillende dingen in te stellen in de administratieve interface: SMPP server* en SMPP port* SMPP username* SMPP password* Allow international phone numbers Source address* Het adres van de SMPP-server. De gebruikersnaam voor de SMPP-server. Het wachtwoord voor de SMPP-server. Aan te vinken als het gebruik van internationale telefoonnummers is toegestaan. Afzenderadres van het bericht De velden met een sterretje (*) zijn verplicht. Met Save Changes slaat u de wijzigingen op. Met Cancel annuleert u de wijzigingen. De gemaakte instellingen kunt u testen door een telefoonnummer in te vullen achter Test phone number* en op Send Test SMS te klikken. Er wordt dan een SMS verzonden naar het ingevulde telefoonnummer. Deze test-sms telt mee voor de globale SMS-limieten Limits Om het gebruik van de SMS-registraties te beperken, zijn er drie limieten in te stellen in het tabblad limits: Globaal: maximaal XX SMS per YY tijd voor heel Qmanage. Per telefoon: maximaal XX SMS per YY tijd voor telefoonnummer ZZ. Per User ID: maximaal XX SMS per YY tijd voor User ID ZZ. Voor de tijdslimieten YY controleren we of het maximum aantal SMS jes reeds bereikt is in de afgelopen YY tijd. De maximaal instelbare tijdslimiet YY is 31 H17 Config - Pagina 108 van 116

109 Pagina 109 van 116 dagen. Als er een hogere limiet wordt ingesteld, wordt deze opgeslagen als 31 dagen. U kunt deze limieten instellen met de volgende invulvelden: Maximum number of SMS* Per time interval* Het maximale aantal SMS jes. In welke tijdslimiet deze hoeveelheid SMS jes verstuurd mogen worden. Kies na het invullen van het aantal SMS jes tussen Hours (uren) en Days (dagen). Per limiter Globally Per phone number Kies deze voor een globale limiet: maximaal XX sms per YY tijd voor heel Qmanage. Kies deze voor een limiet per telefoonnummer: maximaal XX SMS per YY tijd voor telefoonnummer ZZ. Per User ID Kies deze voor een limiet per User ID: maximaal XX SMS per YY tijd voor User ID ZZ. Alert percentage Zodra dit percentage van de limiet bereikt wordt zal Qmanage een waarschuwing tonen op de beheerderspagina. De velden met een sterretje (*) zijn verplicht. Met Add voegt u de ingestelde limiet toe. Na het toevoegen van een limiet wordt deze weergegeven in een tabel met daarin de hierboven toegelichte gegevens. Daarnaast kunt u met Edit limit de limiet wijzigen en met Delete limit de limiet verwijderen, zie afbeelding 77. In deze tabel wordt ook weergegeven hoeveel sms jes er reeds verstuurd zijn. Via de Reasons-pagina (zie 17.1) kunnen de meldingen gewijzigd worden, die getoond worden op de registratiepagina wanneer de globale of persoonlijke SMSlimiet bereikt is. Afbeelding 77: Het instellen van de limieten voor de SMS-registratie. H17 Config - Pagina 109 van 116

110 Pagina 110 van Config Quarantine immunity In de lijst Quarantine immunity wordt bijgehouden welke unieke identifiers voor elk type nooit in quarantaine gezet mogen worden, zoals IP- of MAC-adressen van systemen als routers en DHCP- en mailservers. Het is wenselijk om voor ieder type (zie 13.4) de relevante user ID s op te nemen, zoals MAC- of IP-adressen. Let op: in principe is het niet wenselijk om switches waaraan servers verbonden zijn te beheren met Qmanage. Om een user ID toe te voegen kiest u het type en voert u het user ID in. Het is mogelijk om tevens een opmerking toe te voegen. De velden met een sterretje (*) zijn verplicht. In het overzicht eronder is het mogelijk de user ID s te wijzigen met Edit of te verwijderen met Delete. H17 Config - Pagina 110 van 116

111 Pagina 111 van Config - Qadmin access Het menu Qadmin Access is bedoeld om de toegang van de verschillende gebruikers tot de administratieve interface te regelen. Users Roles Permissions Medewerkers die met de administratieve interface werken. Verzamelingen van Permissions om aan Users toe te wijzen. Verzamelingen van de meest fijnmazige gebruiksrechtdefinities die er bestaan (actions). Het kan zijn dat voor detectie via de honeypot-accounts zijn opgenomen in de lijst. Verwijder deze niet, want dan werkt de detectie niet meer optimaal Users Met Add user is het mogelijk om individuele gebruikers toe te voegen voor het gebruik van de administratieve interface. Een standaardinstallatie wordt opgeleverd met één Admin -account met alle rechten. Het kan wenselijk zijn om voor verschillende groepen, functies en mensen binnen uw organisatie extra gebruikers toe te voegen. Vul de velden Username, Real name, Password en Confirm Password in en druk op Add. De velden met een sterretje (*) zijn verplicht. Nadat de gebruiker toegevoegd is, is het noodzakelijk om rollen toe te kennen. Meteen nadat u een gebruiker heeft toegevoegd komt u in het Edit user-scherm, waar u rollen toe kunt kennen. In een later stadium kunt u klikken op de Editknop achter naam van de toegevoegde gebruiker om in dit scherm te komen, zie afbeelding 77. Afbeelding 78: Het aanpassen van de rollen van een gebruiker. Het is mogelijk de echte naam van de gebruiker aan te passen, het wachtwoord te wijzigen, en verschillende rollen toe te kennen aan de gebruiker. Er worden H17 Config - Pagina 111 van 116