A : Auke Vleerstraat 6D (vloer 4) I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : Rabobank 31.72.86.714 F : 053-7503071 KvK : 08135536 Quarantainenet Qdetect Tester Versie Opmerkingen 1.0 Initiële versie 1.1 Update compatibiliteitslijst wegens EOL Windows XP, Server 2003 1.2 Tekstuele revisie
1 Disclaimer Quarantainenet biedt deze documentatie aan ter ondersteuning van de taken die u binnen het implementatietraject uitvoert. Hierbij is het van belang om op te merken dat, vanwege het standaardkarakter van de documentatie, de juiste werking voor uw specifieke situatie niet gegarandeerd kan worden. Raadpleeg in geval van twijfel altijd de documentatie van uw apparatuur of software, of roep de hulp in van een expert. De implementatiebegeleiders van Quarantainenet zijn geen experts op het gebied van configuratie van uw apparatuur of software en bieden hiervoor slechts ondersteuning op best-effortbasis. Quarantainenet Quarantainenet Qdetect Tester Pagina 2 van 9
2 Inhoudsopgave 1 Disclaimer... 2 2 Inhoudsopgave... 3 3 Inleiding... 4 4 Systeemvereisten... 5 4.1 Ondersteunde Windows-versies... 5 4.2 Benodigde software... 5 4.2.1 Installatie.NET Framework 4.0... 5 5 Installatie... 6 5.1 Nieuwe installatie... 6 6 Gebruik... 7 6.1 DNS Detection... 7 6.2 SSH Attack... 7 Licentiebepalingen... 8 Quarantainenet Quarantainenet Qdetect Tester Pagina 3 van 9
3 Inleiding Quarantainenet Qdetect Tester kan worden gebruikt voor het testen van de detectiefunctionaliteit van Qmanage. De tool omvat de volgende functionaliteiten: Testen DNS Detectie Testen honeypotdetectie Quarantainenet Quarantainenet Qdetect Tester Pagina 4 van 9
4 Systeemvereisten Voor het gebruik van de Qdetect Tester gelden de volgende systeemvereisten. 4.1 Ondersteunde Windows-versies De volgende versies van Windows worden ondersteund: Windows 7 (32- en 64-bit) Windows 8 / 8.1 (32- en 64-bit) Windows Server 2008 R2 Windows Server 2012 / 2012 R2 Nota Bene: Windows-versies anders dan hierboven genoemd zijn niet getest, de juiste werking op deze versies is dan ook niet gegarandeerd. 4.2 Benodigde software Op alle Windows-versies is de volgende software noodzakelijk:.net Framework 4.0 Client Profile In de volgende subsectie vindt u instructies voor het installeren van het.net framework. 4.2.1 Installatie.NET Framework 4.0 Het.NET Framework 4.0 is voor alle ondersteunde Windows-versies beschikbaar via Windows Update. Daarnaast is de meest recente versie van het.net Framework beschikbaar op http://www.microsoft.com/net. Quarantainenet Quarantainenet Qdetect Tester Pagina 5 van 9
5 Installatie Als u gebruik maakt van de juiste Windows-versie, en het.net framework hebt geïnstalleerd, kan de Qdetect Tester geïnstalleerd worden. 5.1 Nieuwe installatie Open het bestand quarantainenet_qdetect_tester_setup.msi als Administrator. 1. Klik op Next. 2. Accepteer de gebruikersvoorwaarden door I accept the terms in the License Agreement aan te vinken en klik op Next. 3. klik op Next. 4. Klik op Install. De Qdetect Tester wordt nu geïnstalleerd Klik, als de installatie klaar is, op Finish. Quarantainenet Quarantainenet Qdetect Tester Pagina 6 van 9
6 Gebruik De Qdetect Tester kan gebruikt worden voor het testen van de detectiefunctionaliteit van Qmanage. De Qdetect Tester kan twee soorten tests uitvoeren: DNS Detection: Hiermee wordt een DNS-request uitgevoerd voor een testhostname. Afhankelijk van de gekozen Confidence zal er een Possible Incident in Qmanage verschijnen, of een incident veroorzaakt worden; SSH Attack: Bij deze test wordt een SSH-aanval uitgevoerd op de Qdetectmachine. Dit veroorzaakt een incident met als reason Brute Force in Qmanage. 6.1 DNS Detection 1. Selecteer met de Confidence-slider de gewenste confidence (in het voorbeeld 99) (Figuur 1). 2. Klik op de DNS Detection-knop. 3. Open uw Qadmin-interface en controleer of er een (Possible) Incident is verschenen. 6.2 SSH Attack 1. Vul bij IP Address Qdetect het IP-adres van de Qdetect-machine in uw netwerksegment in. Dit is te vinden in het Technisch Implementatieplan. 2. Klik op de knop SSH Attack. 3. Open de Qadmin-interface en controleer of er een incident met als reason Brute Force is verschenen. Quarantainenet Quarantainenet Qdetect Tester Pagina 7 van 9
Figuur 1: Qdetect Tester Quarantainenet Quarantainenet Qdetect Tester Pagina 8 van 9
Licentiebepalingen Dit product gebruikt voor SSH-verbindingen een software-bibliotheek (SSH.NET) van een 3e partij (RENCI), met de volgende licentie: SSH.NET Library Copyright (c) 2010, RENCI All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: * Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. * Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. * Neither the name of RENCI nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Quarantainenet Quarantainenet Qdetect Tester Pagina 9 van 9