Testplan upgrade Qmanage Netwerktoegangscontrole Detectie & Isolatie
Inhoudsopgave INHOUDSOPGAVE... 2 1 NETWERKTOEGANG WLAN PORTAL (MAC-AUTHENTICATIE)...3 1.1 TEST: ONGEREGISTREERDE APPARATEN... 3 1.2 REGISTRATIE DOOR GEBRUIKERSACCOUNTS... 3 2 NETWERKTOEGANG WLAN 802.1X... 4 2.1 TEST: MET GEBRUIKSVOORWAARDEN... 4 2.2 TEST: ZONDER GEBRUIKSVOORWAARDEN / MET MACHINE ACCOUNT... 4 3 NETWERKTOEGANG BEDRAAD...5 3.1 TEST: ONBEKEND APPARAAT... 5 3.2 REGISTRATIE DOOR GEBRUIKERSACCOUNTS... 5 3.3 TEST: GEREGISTREERD APPARAAT (MAC-AUTHENTICATIE)... 5 3.4 TEST: BEKEND APPARAAT (802.1X-AUTHENTICATIE)... 5 3.5 TEST: VOIP-TELEFOON... 5 4 TEST: DNS-DETECTIE... 6 4.1 VOORBEREIDINGEN... 6 4.2 DNS-TEST UITVOEREN... 6 4.3 CONTROLE... 6 5 ISOLATIE... 7 5.1 IN QUARANTAINE... 7 5.2 HULPVERZOEK... 7 5.3 UIT QUARANTAINE... 7 6 TEST: HONEYPOT... 8 6.1 VOORBEREIDINGEN... 8 6.2 HONEYPOT-IP UITZOEKEN... 8 6.3 HONEYPOT AANVALLEN... 8 Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 2/8
1 Netwerktoegang WLAN Portal (MAC-authenticatie) 1.1 Test: Ongeregistreerde apparaten Deze test stelt vast of een ongeregistreerd apparaat op een juiste wijze naar de registratiestappen wordt geleid. Verbind een ongeregistreerde laptop met het afgesproken Portal-SSID Surf naar qmanage.nl. Krijgt u een Qmanage-registratiepagina te zien? 1.2 Registratie door gebruikersaccounts Indien de registratie via gebruikersaccounts niet beschikbaar is, gebruik dan een activatiecode. Kies de registratieoptie waarbij u zich met een gebruikersnaam en wachtwoord kunt registreren Wacht, indien nodig, 30 seconden Doorloop de registratiestappen Controleer in Qmanage of de description van de registratie juist is ingesteld Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 3/8
2 Netwerktoegang WLAN 802.1X 2.1 Test: Met gebruiksvoorwaarden Indien gekozen is gebruikers van een 802.1X-SSID gebruiksvoorwaarden te laten accepteren, is deze test van gebruiksvoorwaarden en netwerktoegang van toepassing. Verbind een test-laptop met een 802.1X-SSID Surf naar qmanage.nl. Krijgt u een Qmanage-webpagina te zien? Accepteer de gebruiksvoorwaarden 2.2 Test: Zonder gebruiksvoorwaarden / met machine account Indien gekozen is op een 802.1X-SSID geen gebruiksvoorwaarden aan te bieden is deze test van netwerktoegang van toepassing. Verbind een test-laptop met een 802.1X-SSID Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 4/8
3 Netwerktoegang bedraad 3.1 Test: Onbekend apparaat Deze test stelt vast of een ongeregistreerd en/of ongeauthentieerd apparaat op een juiste wijze naar de registratie- of informatiepagina wordt geleid. Verbind een ongeregistreerde PC met een van de gemanagede switchpoorten Surf naar qmanage.nl. Krijgt u een Qmanage-pagina te zien? 3.2 Registratie door gebruikersaccounts Indien registratie door eindgebruikers op uw bedrade netwerk niet wordt aangeboden, voer dan de test in paragraaf 3.3 uit. Indien de registratie via gebruikersaccounts niet beschikbaar is, gebruik dan een activatiecode. Kies de registratieoptie waarbij u zich met een gebruikersnaam en wachtwoord kunt registreren Wacht, indien nodig, 30 seconden Doorloop de registratiestappen Controleer in Qmanage of de description van de registratie juist is ingesteld 3.3 Test: Geregistreerd apparaat (MAC-authenticatie) Deze test stelt vast of de VLAN-toewijzing van een geregistreerd apparaat correct verloopt, indien registratie door eindgebruikers niet wordt aangeboden. Verbind een geregistreerde PC met een gemanagede switchpoort Wordt de PC in Qmanage in het overzicht van de switchpoorten in het juiste VLAN geplaatst? 3.4 Test: Bekend apparaat (802.1X-authenticatie) Deze test stelt vast of de VLAN-toewijzing voor een apparaat da authenticeert via 802.X correct verloopt. Laat het apparaat via 802.1X authenticeren Wordt de PC in Qmanage in het overzicht van de switchpoorten in het juiste VLAN geplaatst? 3.5 Test: VoIP-telefoon In deze test wordt de werking van de VoIP-telefonie gevalideerd. Verwijder de test-telefoon en verbind deze opnieuw met een gemanagede switchpoort Is het mogelijk om een telefoongesprek te voeren vanaf de testtelefoon? Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 5/8
4 Test: DNS-detectie De DNS-detectie wordt getest door een test-hostname op te vragen. Bij standaardinstellingen resulteert een score van 60 in een possible incident, zichtbaar in Qmanage. Een score van 80 leidt tot een incident, met isolatie als gevolg. 4.1 Voorbereidingen Verbind een geregistreerd test-apparaat met een switchpoort die door Qmanage beheerd wordt, of een SSID op een access point/concentrator die door Qmanage beheerd wordt 4.2 DNS-test uitvoeren Start de Qdetect Tester Voer de DNS Detection test uit met een juiste confidence (standaard is 80 voldoende voor een incident) 4.3 Controle Is er in Qmanage een incident aangemaakt voor het testapparaat? Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 6/8
5 Isolatie 5.1 In Quarantaine Nadat u de DNS Detection heeft uitgevoerd, wordt uw testapparaat in quarantaine geplaatst. Wacht, indien nodig, 30 seconden Surf naar qmanage.nl. Krijgt u een quarantaine-pagina te zien? Controleer of het QNID helemaal onderaan de webpagina overeenkomt met het incident in Qmanage. 5.2 Hulpverzoek Indien ervoor gekozen is dat gebruikers vanuit quarantaine een hulpverzoek naar uw servicedesk kunnen versturen, wordt met deze test gevalideerd of deze e-mails op een juiste wijze aankomen. Vul het formulier voor hulpverzoeken in Wordt de e-mail op het afgesproken e-mailadres afgeleverd? 5.3 Uit Quarantaine Indien ervoor gekozen is om gebruikers de OneStrike-optie aan te bieden, kan het incident nu vanaf het testapparaat opgeheven worden, waarna het apparaat uit isolatie gehaald wordt. Let op: indien er met dit test-apparaat al een OneStrike gebruikt is, is deze optie wellicht niet meer beschikbaar. Kies de OneStrike-optie op de quarantaine-webpagina Voer de OneStrike uit. Indien de OneStrike niet beschikbaar is, sluit dan het incident in Qmanage. Wacht, indien nodig, 30 seconde Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 7/8
6 Test: Honeypot Indien de Qdetect honeypot ingezet wordt, simuleert u in deze test een aanval. Door deze aanval wordt er een incident aangemaakt en vindt isolatie plaats. 6.1 Voorbereidingen Verbind een (geregistreerd) test-apparaat met een switchpoort of SSID dat door Qmanage beheerd wordt 6.2 Honeypot-IP uitzoeken De honeypot-ip s zijn veelal te vinden in de interface, onder de optie Network Interfaces in het menu Configuration (het radertje rechts bovenin). Indien u gebruik maakt van Satellieten of losse Qdetect appliances, neemt hiervoor contact op met de Supportdesk. Zoek in de Qmanage interface of met behulp van de Supportdesk een IP-adres op waarop de honeypot actief is. 6.3 Honeypot aanvallen Met deze test simuleert u een aanval op de Qdetect honeypot met behulp van de Qdetect Tester. Start de Qdetect Tester Vul in de Qdetect Tester een IP-adres in waarop de honeypot actief is. Voer een SSH-attack uit Controleer of er in Qmanage een incident is aangemaakt Testplan upgrade Qmanage Netwerktoegangscontrole, Detectie & Isolatie 8/8