Quarantainenet Log Forwarder · · 2017-10-31Microsoft Word - Quarantainenet Log Forwarder.docx Author: edwin Created Date: 10/31/2017 1:07:45 PM

A : Auke Vleerstraat 6D (vloer 4) I : www.quarantainenet.nl 7521 PG Enschede E : [email protected] T : 053-7503070 B : Rabobank 31.72.86.714 F : 053-7503071 KvK : 08135536

Quarantainenet Log Forwarder

Versie Opmerkingen 1.0 Initiële versie

1.1 Update ten aanzien van Windows 2003 na vervallen ondersteuning door MS

1.2 Handleiding aangepast voor versie 1.7+ 1.3 Toevoeging Windows Server Core edities niet ondersteund 1.4 Opmerking virusscanners en onbruikbare checkpoint-file toegevoegd 1.5 Toevoeging Windows Server 2016 edities ondersteund

Quarantainenet – Quarantainenet Log Forwarder – Pagina 2 van 15

1 Disclaimer

Quarantainenet biedt deze documentatie aan ter ondersteuning van de taken die u binnen het implementatietraject uitvoert. Hierbij is het van belang om op te merken dat, vanwege het standaardkarakter van de documentatie, de juiste werking voor uw specifieke situatie niet gegarandeerd kan worden. Raadpleeg in geval van twijfel altijd de documentatie van uw apparatuur of software, of roep de hulp in van een expert. De implementatiebegeleiders van Quarantainenet zijn geen experts op het gebied van configuratie van uw apparatuur of software en bieden hiervoor slechts ondersteuning op best-effortbasis.


2 Inhoudsopgave 1 Disclaimer .......................................................................................... 2 2 Inhoudsopgave ................................................................................... 3 3 Inleiding ............................................................................................ 4

3.1 Plugins ........................................................................................ 4 3.1.1 DHCP .................................................................................... 4 3.1.2 DNS ..................................................................................... 4

4 Systeemvereisten ............................................................................... 5 4.1 Ondersteunde Windows-versies ...................................................... 5 4.2 Benodigde software ...................................................................... 5

4.2.1 Installatie .NET Framework 4.0 ................................................. 5 4.3 Compatibiliteitsupdate voor Windows Server 2012 ............................ 5

5 Installatie .......................................................................................... 6 5.1 Nieuwe installatie ......................................................................... 6

5.1.1 Installatie WinPCap ................................................................. 6 5.1.2 Logfile size ............................................................................ 6 5.1.3 Checkpoint-file DHCP-plugin uitsluiten in virusscanner ................. 6

5.2 Plugins toevoegen / verwijderen ..................................................... 7 5.3 Updates ...................................................................................... 7 5.4 Deïnstallatie ................................................................................ 7

6 DHCP-plugin ....................................................................................... 8 6.1 DHCP-plugin activeren ................................................................ 12

7 DNS-plugin ...................................................................................... 14 7.1 DNS-plugin activeren .................................................................. 14


3 Inleiding Quarantainenet Log Forwarder (QLF) is een set tools om verschillende functionaliteiten van Qmanage te ondersteunen.

Lees voor installatie in ieder geval de hoofdstukken “Systeemvereisten” en “Installatie” zorgvuldig door. Zie voor het gebruik van de plugins zelf de bijbehorende hoofdstukken

3.1 Plugins QLF bevat twee losse plugins, die hieronder beschreven worden. Indien u deze software installeert tijdens uw configuratieweek zal uw implementatiebegeleider aangeven welke plugins geïnstalleerd moeten worden.

3.1.1 DHCP Deze plugin kan worden gebruikt voor het doorsturen van DHCP-logging naar een Qmanage-server. DHCP-logging wordt door Qmanage gebruikt voor het koppelen van IP-adressen aan MAC-adressen.

3.1.2 DNS Deze plugin kan worden gebruikt voor het kopiëren en doorsturen van binnenkomende DNS-requests naar een Qmanage-server. DNS-requests worden door Qmanage gebruikt voor het detecteren van malware.


4 Systeemvereisten Voor het gebruik van QLF gelden de volgende systeemvereisten.

4.1 Ondersteunde Windows-versies De volgende versies van Windows worden ondersteund:

Windows Server 2008R2 Windows Server 2012 (met compatibiliteitsupdate, zie sectie 4.3) Windows Server 2012R2 Windows Server 2016 (met en zonder Desktop Experience)

Nota Bene: Windows Server 2012/2012R2 Core Edition wordt niet ondersteund zonder installatie van de GUI.

Met Windows Server 2008 (32- en 64-bit) wordt niet getest, de juiste werking op deze versies is dan ook niet gegarandeerd.

Windows Server 2003 is end-of-life en wordt niet meer getest. QLF versies 1.7 en hoger zijn hier tevens niet op installeerbaar. Neem voor meer informatie contact op met de Supportdesk.

4.2 Benodigde software Op alle Windows-versies is de volgende software noodzakelijk:

.NET Framework 4.0 Client Profile of hoger.

In de volgende subsectie vindt u instructies voor het installeren van het .NET framework.

4.2.1 Installatie .NET Framework 4.0 Het .NET Framework 4.0 is voor alle ondersteunde Windows-versies beschikbaar via Windows Update. Daarnaast is de meest recente versie van het .NET Framework beschikbaar op http://www.microsoft.com/net.

4.3 Compatibiliteitsupdate voor Windows Server 2012 Indien gebruik gemaakt wordt van Windows Server 2012, dient de aanbevolen update KB2764462 geïnstalleerd te zijn voordat QLF geïnstalleerd kan worden.

Deze update zorgt ervoor dat bepaalde applicaties (waaronder WinPcap) correct geïnstalleerd kunnen worden.


5 Installatie Als u gebruik maakt van de juiste Windows-versie, en het .NET framework hebt geïnstalleerd, kan de Quarantainenet LogForwarder geïnstalleerd worden.

5.1 Nieuwe installatie Open het bestand quarantainenet_log_forwarder_setup.msi als Administrator. Indien u gebruik maakt van Windows Server Core editie, start dan het bestand quarantainenet_log_forwarder_setup.msi vanaf de command prompt.

1. Klik op Next.

2. Accepteer de gebruikersvoorwaarden door I accept the terms in the License Agreement aan te vinken en klik op Next.

3. Vink nu uitsluitend de plugins aan waarvan Quarantainenet heeft aangegeven dat ze geïnstalleerd moeten worden en klik op Next.

4. Klik op Install. Quarantainenet LogForwarder wordt nu geïnstalleerd. Indien nodig wordt automatisch de installatie van WinPCap gestart. Zie voor meer informatie over de WinPCap-installatie sectie 5.1.1.

5. Klik, als de installatie klaar is, op Finish.

5.1.1 Installatie WinPCap Als de DNS-plugin geïnstalleerd wordt, zal QLF automatisch vragen om WinPCap te installeren of te updaten.

1. Klik twee maal op Next en vervolgens op I Agree.

2. Laat Automatically start the WinPCap driver at boot time aangevinkt.

3. Klik op Install. WinPCap wordt nu geïnstalleerd.

4. Klik op Finish om de installatie af te ronden.

5.1.2 Logfile size Als de DHCP-plugin geïnstalleerd wordt krijgt u mogelijk een melding dat de maximaal toegestane grootte van uw kleiner is dan Quarantainenet aanraadt. U krijgt hier de gelegenheid deze aan te passen, het dringende advies is om dat te doen.

Houd er rekening mee dat de DHCP-service hiervoor herstart dient te worden!

5.1.3 Checkpoint-file DHCP-plugin uitsluiten in virusscanner Het is mogelijk dat virusscanners of soortgelijke software de checkpoint-file van de DHCP-plugin onbruikbaar maakt tijdens het scannen. Hierdoor heeft de DHCP-plugin geen indicatie meer welke DHCP-logging er al is doorgestuurd en zal deze proberen alle logging weer opnieuw door te sturen, wat een


onbenodigde belasting van zowel Windows-server als Qmanage-server oplevert. In sommige gevallen kan dit er zelfs toe leiden dat nieuwe logging niet (op tijd) bij de Qmanage-server aankomt.

Om dit te voorkomen, raden wij aan om deze checkpoint-file van scans door virusscanners of soortgelijke software uit te sluiten. Het gaat om het bestand C:\Windows\Temp\QWT.DHCPService.checkpoint.lpc, waarbij C: het schijfstation is waar Windows op geïnstalleerd is.

5.2 Plugins toevoegen / verwijderen Als, na installatie, een extra plugin moet worden toegevoegd of verwijderd, kan dat door de installer opnieuw uit te voeren. Extra plugins kunnen geïnstalleerd of gedeïnstalleerd worden door deze aan of uit te vinken.

5.3 Updates Het is mogelijk dat Quarantainenet updates van QLF beschikbaar stelt. Deze kunnen extra functionaliteit of bugfixes bevatten.

Indien u een nieuwe versie van de Quarantainenet Log Forwarder installeert is het noodzakelijk de oude versie handmatig te verwijderen, zoals beschreven in de volgende paragraaf.

5.4 Deïnstallatie Via het Control Panel van Windows kan QLF volledig verwijderd worden. Indien gebruik is gemaakt van de DNS-plugin dient WinPCAP achteraf los gedeïnstalleerd te worden. Ook dit kan via het Control Panel van Windows.


6 DHCP-plugin Als QLF geïnstalleerd wordt op een machine die een DHCP-server draait, stuurt de DHCP-plugin alle DHCP-logging door naar de Qmanage-server. Qmanage gebruikt deze informatie om IP-adressen te koppelen aan MAC-adressen. Indien de logging ontbreekt werkt Qmanage niet juist. Deze logging is alleen beschikbaar als DHCP Audit Logging aan staat in de DHCP-server. Het inschakelen van DHCP Audit Logging gaat als volgt:

Voor Windows Server 2008R2:

1. Ga naar Server Manager → Roles → DHCP-Server → domein → IPv4.

2. Rechtsklik op IPv4 en kies Properties (Figuur 1).

3. Enable DHCP audit logging: aangevinkt (Figuur 2).

4. Klik op OK.

Voor Windows Server 2012, 2012R2 en Windows 2016:

1. Ga naar Server Manager → Tools → DHCP

2. Ga naar domein → IPv4.

3. Rechtsklik op IPv4 en kies Properties (Figuur 1a).

4. Enable DHCP audit logging: aangevinkt (Figuur 2b).

5. Klik op OK.

Let op: bij grote netwerken kunnen deze logfiles vrij snel groter worden. De logfiles mogen standaard maximaal 10 megabyte per dag worden, daarna stopt Windows de logging voor die dag. QLF geeft bij het installeren de optie om deze bestanden groter te maken, het dringende advies is om dat te doen.

Om op een later moment de maximale grootte aan te passen, dient de waarde van de volgende registry key aangepast te worden:

HKLM\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters\DhcpLogFilesMaxSize

Deze waarde staat standaard op 70 (decimaal). In geval van een groot netwerk raadt Quarantainenet aan om deze waarde te verhogen naar een waarde waardoor Windows de logging nooit stopt. De maximale grootte van de logfile is de waarde die hier ingesteld wordt gedeeld door 7. Quarantainenet adviseert om tenminste 12 keer de standaardwaarde (decimaal 840) in te stellen, met een veilige waarde op 20 keer zo groot (decimaal 1400).


Figuur 1: IPv4 Properties

Figuur 2: Enable DHCP audit logging

Figuur 1a: IPv4 Properties Windows Server 2008 R2

Figuur 2a: Enable DHCP audit logging Windows Server 2008 R2


Figuur 1b: IPv4 Properties Windows Server 2012/2012R2/2016


Figuur 2b: Enable DHCP audit logging Windows Server 2012/2012R2/2016


6.1 DHCP-plugin activeren 1. Ga naar het DHCP-tabblad in QLF (Figuur 3).

2. Qmanage server IP/name:het IP-adres of hostname van de Qmanage-server. Deze staan gespecificeerd in het Technisch Implementatieplan. Gebruik in het geval van een redundante setup het virtuele IP of hostname.

3. Destination port: 1514, tenzij anders vermeld door Quarantainenet.

4. Klik op Save and Apply.

5. De service zal worden gestart en de status ervan zal voortaan worden weergegeven in het vak boven de Restart Service-knop.


Figuur 3: DHCP-plugin instellen


7 DNS-plugin Als QLF geïnstalleerd wordt op een machine die een DNS-server draait, stuurt de DNS-plugin een kopie van alle binnenkomende DNS-requests door naar de Qmanage-server.

7.1 DNS-plugin activeren 1. Ga naar het DNS-tabblad in QLF (Figuur 4).

2. Qmanage server IP/name: het IP-adres of hostname van de Qmanage-server. Deze staan gespecificeerd in het Technisch Implementatieplan. Gebruik in het geval van een redundante setup het virtuele IP of hostname.

3. Destination Port: 54321, tenzij anders vermeld door Quarantainenet.

4. Vink in de lijst met netwerkapparaten aan van welke apparaten de binnenkomende DNS-requests naar de Qmanage-server moeten worden doorgestuurd.

5. Klik op Save and Apply.


Figuur 4: DNS-plugin instellen

Documents

Quarantainenet Log Forwarder · · 2017-10-31Microsoft Word - Quarantainenet Log Forwarder.docx Author: edwin Created Date: 10/31/2017 1:07:45 PM