Skip to content

Citrix NetScaler MAS / Citrix Insight Services

Aug 26 16
by Sascha Frantzke

Nachdem ich zuletzt ja schon über die Systemüberwachung mit Citrix MAS berichtet habe, möchte ich heute die Citrix Insight Features beleuchten.

Integration Citrix NetScaler Applications:

Sobald die MAS Appliance läuft und alle NetScaler Instanzen integriert wurden, können wir im nächsten Schritt einzelne Anwendungen überwachen. Auch hier können wir bequem zentral die einzelnen Anwendungen auswählen und die Insight Features entsprechend für die Anwendung aktivieren.

ConsultingLounge_MAS160808125645

ConsultingLounge_MAS160808125937

Nachdem wir die AppFlow Settings für unsere Anwendungen aktiviert haben, wollen wir uns einmal genauer ansehen was wir nun für Daten über unsere Web / HTTP Anwendung bekommen.

Web Insight

Web Insight kennen einige schon von bisherigen Citrix Insight Appliances. Durch den Einsatz von Citrix Web Insight können wir im ersten Schritt genau analysieren, wann und wie unsere Anwendung genutzt wird.

ConsultingLounge_MAS160808134459

Auch die einzelnen Elemente können im Detail analysiert werden

ConsultingLounge_MAS160808134706

Security Insight

Wirklich neu ist allerdings das Feature Security Insight. Wie schon in der Citrix Insight Center Appliance 11.1 analysiert Citrix Insight im Zusammenspiel mit der eingesetzten Citrix App Firewall Policy die Security-Aspekte.

Der Safety Index wertet die eingesetzten App Firewall Policy aus und beschreibt die konfigurierte Sicherheit für die Anwendung. Der Threat Index bewertet  die Verstöße gegen die konfigurierten Policies.

ConsultingLounge_MAS160819161828

Um überhaupt eine Anwendung meiner Lab Umgebung für die Security Insight Analyse vorzubereiten, habe ich auf die Schnelle den Application Firewall Wizzard gestartet, einfach alles geblockt und die neue Policy auf meiner Microsoft Exchange OWA Bereitstellung aktiviert.

Das ernüchternde Ergebnis bekommen wir zeitnah präsentiert.  Alles in allem bekommt die Anwendung einen vernichtenden Safety Index Level 2. Nach Aktualisierung der NetScaler Application Firewall Signaturen sieht es schon besser aus, aber die System Security zieht das Ergebniss weiterhin in den roten Bereich.

ConsultingLounge_MAS160826085629

Doch das lässt sich leicht lösen. Die einzelnen Punkte sind sauber beschrieben und kommen direkt mit Lösungsansätzen und teilweise direkten Konfigurationsanweisungen!

ConsultingLounge_MAS160826132405

ConsultingLounge_MAS160826132505

Fazit

Die Kombination, die Citrix mit der MAS Appliance auf die Beine gestellt hat, kann sich sehen lassen. Ich werde sie in Zukunft immer wieder empfehlen und einsetzen!

Citrix NetScaler Management and Analytics System

Aug 8 16
by Sascha Frantzke

Wie schon angekündigt gibt es einige Neuigkeiten rund um die neue NetScaler 11.1 Firmware. Für das neue NetScaler Management and Analytics System (MAS) habe ich mir ein paar Tage in unserem DemoCenter und unserer Lab-Umgebung gegönnt.

Nachdem ich im letzten Artikel noch einmal kurz aufgeführt habe was es bisher für Möglichkeiten zur Überwachung der NetScaler Systeme und Anwendungen gab, werde ich jetzt einmal das volle Potenzial an Monitoring und Management aufzeigen.

Installation:

Die neue Citrix MAS Appliance wird einfach entsprechend des Lieblings-Hypervisors von der Citrix Seite heruntergeladen und ruck zuck installiert. Die Appliance nimmt sich  8GB RAM, 2 vCPU und 120GB Festplattenplatz in der Grundausstattung. Citrix empfiehlt für produktive und entsprechend performante Systeme sogar 8vCPU und 500GB Festplattenplatz.

Die ersten Installationsschritte laufen wie von vielen Appliances gewohnt über die lokale Konsole:

ConsultingLounge_MAS160804151812

Direkt nach dem Setup der Netzwerksettings können wir uns schon mit dem Browser zu unserer MAS Appliance verbinden und uns direkt im neuen NetScaler 11.1 Theme anmelden. Dafür können wir die bekannten NetScaler Zugangsdaten nsroot/nsroot nutzen und uns vom Startwizard durch die Basiskonfiguration leiten lassen.

ConsultingLounge_MAS160804152319

Die Appliance ist jetzt schon Einsatzbereit und wir können ohne weitere Lizenzen unsere gesamte Umgebung überwachen und bis zu 30 VServer Objekte zentral verwalten und konfigurieren.

Integration Citrix NetScaler Appliances:

Die Integration der eingesetzten NetScaler Appliances ist unser erster Schritt. Unter dem Menüpunkt Infrastructure werden die einzelnen NetScaler in die MAS Verwaltung aufgenommen. Dafür können verschiedene Datacenter definiert  und so auch regionale Zuordnungen abgebildet werden. Jede NetScaler Appliance wird einem entsprechend definierten Datacenter zugeordnet. Die Systeme werden durch dedizierte Konfiguration der jeweiligen NSIP bzw. SDX SVM IP angebunden. Bei Bedarf kann auch ein komplettes Netz gescannt werden. Die Anmeldedaten zur Verwaltung der Systeme werden vorab durch ein entsprechendes Admin Profile definiert und können je Instanz individuell angepasst werden.

Alle gefunden Instanzen können darüber hinaus in verschiedene Gruppen (z.B. Produktion | Abnahme | Test ) unterteilt werden.

ConsultingLounge_MAS160804162520

Monitoring Citrix Netscaler Appliances:

Die angebundenen NetScaler Instanzen werden entsprechend des Typs (VPX | MPX | SDX | CPX) unterteilt. Jede Instanz kann mit einem Klick in die entsprechende Syslog- und SNMP-Überwachung integriert werden.

ConsultingLounge_MAS160804155018

Im Anschluss werden alle Events direkt auf dem Infrastructure Dashboard entsprechend der Relevanz aufbereitet, die einzelnen Instanzen werden entsprechend des Models und der Firmware Versionen gruppiert und selbst vor nicht gespeicherter Running Config wird direkt auf dem Dashboard gewarnt.

 

ConsultingLounge_MAS160804162635

Die gesammelten Daten können darüber hinaus direkt als Auslöser einer Alarmkette agieren. Sowohl SNMP Traps als auch E-Mails und SMS-Benachrichtigungen können versendet werden. Auf Wunsch wird im weiter Verlauf auch eine “Event Cleared”-Nachricht verschickt. Der Auslöser einer entsprechenden Benachrichtigung kann individuell konfiguriert werden. Sowohl die Statusänderung eines VServers oder Service, eine Syslog Nachricht, oder aber  SNMP Alarme können entsprechend der Relevanz als Auslöser gewählt werden.

ConsultingLounge_MAS160804155945

Management der Citrix NetScaler Appliances:

Die Citrix NetScaler MAS Appliance kann direkt ohne Lizenzkosten bis zu 30 VServer (LoadBalancing, ContentSwitching, AAA, NetScaler Gateway etc.) verwalten. Von der Lizenzverwaltung über das Systemupdate bis zur Installation eines HA Paars sind schon einige Konfigurationstasks integriert. Doch das Beste kommt erst noch: Citrix hat der MAS Appliance einen Job Recorder spendiert.

ConsultingLounge_MAS160804161015

Wir sind nun in der Lage auf der gewohnten GUI eine Konfigurationsänderung auszuführen. Im Anschluss wird die Änderung als entsprechende CLI Befehlskette aufgezeichnet…

ConsultingLounge_MAS160804161023

…und mit wenigen Klicks werden IP Adressen und Namen als Variable definiert und das ganze Paket als neuer Konfigurationsjob definiert.

ConsultingLounge_MAS160804161134

Fazit:

Die Citrix MAS Appliance überwacht jetzt schon seit einiger Zeit unsere DemoCenter und Lab-Umgebung mit verschiedenen NetScaler MPX, SDX und VPX Systemen. Die angesprochenen Monitoring und Management Features der NetScaler MAS Appliance zeigten sich dabei tadellos. Die vollständige Überarbeitung und Neuausrichtung haben sich gelohnt!

Wer jetzt schon gespannt ist, sollte in den nächsten Tagen aufmerksam bleiben, wenn es um die integrierten Citrix Insight Features der MAS Appliance gehen wird.

 

NetScaler MAS | Was bisher geschah

Aug 5 16
by Sascha Frantzke

Wie schon angekündigt gibt es einige Neuigkeiten rund um die neue NetScaler 11.1 Firmware. Für das neue NetScaler Management and Analytics System (MAS) habe ich mir ein paar Tage in unserem DemoCenter und unserer LAB Umgebung gegönnt.

Doch zuerst wollen wir noch einen Blick auf die bisher verfügbaren Werkzeuge rund um den NetScaler Betrieb werfen.

Citrix NetScaler Command Center

Das Command Center habe ich bisher nur sehr selten eingesetzt. Im Kern hatten wir einen Windows Server Aufsatz, den jeder installieren konnte, aber nur die wenigsten betreiben. Die Stabilität ist berühmt berüchtigt und ich kenne nur wenige Kunden, die keinen automatischen Restart Task für die Command Center Prozesse eingeführt haben.

Doch wenn das Command Center gerade läuft können mehrere NetScaler angebunden werden. Die Systeme werden zentral im Command Center überwacht, und gesichert. Anpassungen können zentral konfiguriert und im weiteren Verlauf auf die angebundenen NetScaler ausgerollt werden.

Citrix Insight Center

Durch den Einsatz des Citrix Insight Center können die Anwendungen wieder mehr in den Mittelpunkt gerückt werden. Die strategische Platzierung von Citrix Netscaler zwischen Anwendungsserver-Systemen und dem Anwender / Client nutzen wir, um etliche statistische Daten zu erheben. Diese werden durch Citrix AppFlow an die Citrix Insight Center Appliance gesendet und entsprechend verarbeitet und grafisch aufgearbeitet. Gerade für XenApp / XenDesktop Administratoren sind diese Daten oft der größte Segen. Auf einmal kann ein “das ist irgendwie langsam” mit Paketlaufzeiten und Bandbreiten in Verbindung gebracht werden. Endlich kann man erkennen, was es bedeutet wenn der Anwender über ICA / HDX druckt oder Laufwerke verbindet.

Citrix hat die beiden Systeme nun in einer Appliance vereint. Ich habe mir das ganze angesehen und bin schwer begeistert. Mehr dazu dann in der nächsten Woche!

Citrix NetScaler 11.1 GA

Jul 1 16
by Sascha Frantzke

Einige konnten ja schon wie wir die private Beta Version testen. Aber jetzt endlich auch für alle 🙂

ConsultingLounge_NetScaler_11-1

 

 

 

 

 

 

Wir werden zuerst überprüfen welche Features und Neuerungen es von der Beta Version in die nun veröffentlichte Version 11.1 47.14 geschafft haben. Im Anschluss werden wir natürlich die spannenden Neuerungen und Features aufarbeiten und wie gewohnt in neuen Posts präsentieren.

Also noch etwas Geduld. Das gilt auch für den Einsatz der neuen 11.1 Version: wer keinen unbedingten Zwang hat, diese Version einzusetzen wegen spezieller Features, sollte eventuell noch etwas warten…

How To: decrypt SSL / HTTPS with Wireshark

Jun 20 16
by Sascha Frantzke

Heute möchte ich kurz auf ein wichtiges Tool beim Troubleshooting für HTTPS Anwendungen eingehen. Ich habe in letzter Zeit zu oft Kunden getroffen, die nicht die gesamte Kommunikationskette verschlüsseln, um im Fehlerfall weiter per Wireshark mitlesen zu können. Mit der richtigen Anleitung ist es aber gar nicht so kompliziert auch SSL / HTTPS gesicherten Verkehr zu entschlüsseln.

Aber kurz vorweg noch einige wichtige Anmerkungen:

  • Natürlich brauchen wir die jeweiligen privaten Schlüssel um die Verbindung zu entschlüsseln.
  • Darüber hinaus sollte das Vorgehen vorab mit den Kollegen der IT-Security abgestimmt werden.
  • Wenn die SSL / HTTPS Verbindung mit forward secrecy ciphers verschlüsselt wurde, bleibt Sie auch verschlüsselt.
  • Citrix NetScaler Systeme können ab der Firmware 11.0 Inhalte aus SSL-Verbindungen tracen und unverschlüsselte wegschreiben.
    • Das gilt natürlich nur für Traffic, den wir innerhalb der NetScaler Appliance unverschlüsselt bearbeiten (nicht SSL_BRIDGE).
    • CLI Command: start nstrace -mode SSLPLAIN

Kommen wir nun also zu den nötigen Schritten um SSL / HTTPS Verbindungen zu entschlüsseln.

Zuerst müssen wir uns um den privaten Schlüssel kümmern. Diesen benötigen wir ohne schützende Passphrase. Am besten öffnen wir den Schlüssel einmal im Texteditor und schauen uns den Schlüssel einmal an.

Im aktuellen Beispiel habe ich einen verschlüsselten privaten Schlüssel gewählt. Erkennen kann man es direkt an der zweiten Zeile… Und ja, ich habe den Inhalt des Schlüssels durch wahllose manuelle Zeichen ersetzt. 😉

Beispiel_encrypted__key

Diesen verschlüsselten Schlüssel müssen wir nun erst einmal entschlüsseln. Der entsprechende OpenSSL Befehl lautet:

  • openssl rsa -in privatekey.withpassphrase.openssl -out

Das Ergebnis sehen wir hier:

privatekey.withoutpassphrase

Im weiteren Verlauf müssen wir jetzt nur noch Wireshark überzeugen, den entschlüsselten privaten Schlüssel für die Entschlüsselung des Datenverkehrs zu nutzen.

Auf meinem Mac OS finde ich die nötigen Einstellungen unter dem Programmmenü Wireshark / Preferences

Prefereces

Wir müssen nun nur das Protokoll “SSL” auswählen und die RSA Keys Liste pflegen.

protocols_choice

RSA_keys_list

Certificate_store

Der private Schlüssel wird nun eingesetzt, um die beschriebene Verbindung zur Darstellung zu entschlüsseln.

Windows-Update kann Gruppenrichtlinien beeinträchtigen

Jun 16 16
by Nils Kaczenski

Ein aktuelles Windows-Update vom Juni 2016 kann in manchen Umgebungen dazu führen, dass Gruppenrichtlinien über Active Directory nicht mehr richtig abgearbeitet werden.

Der Patch MS16-072 (https://support.microsoft.com/en-us/kb/3163622) ändert die Anwendungslogik von Gruppenrichtlinien erheblich. Bisher wurden Gruppenrichtlinien für die User-Umgebung im Kontext des angemeldeten Benutzers heruntergeladen. Nach dem Patch geschieht der Download im Kontext des Computers.

In den meisten Umgebungen ist das kein Problem. Schwierig wird es aber, wenn für einzelne Gruppenrichtlinien (manuell) die Berechtigungen geändert wurden. In solchen Situationen werden die betreffenden Richtlinien oft nicht mehr angewendet. Hierfür gibt es im Wesentlichen zwei Lösungsansätze: 1. die Gruppe „Domain Computers“ zum Lesen berechtigen oder 2. die Gruppe „Authenticated Users“ zum Lesen berechtigen. Wichtig hierbei: Nur „Lesen“, nicht „Lesen und anwenden“. Ein Skript in dem ersten unten verlinkten Artikel kann dabei helfen.

Es handelt sich dabei nicht um einen Fehler im Update, sondern die Änderung ist „by design“. Es ist also nicht damit zu rechnen, dass der Patch von Microsoft nachträglich verändert wird.

Näheres hierzu:

[New Group Policy Patch MS16-072- GP Processing Behavior – Group Policy Software – SDM Software | Configuration Experts]
https://sdmsoftware.com/group-policy-blog/bugs/new-group-policy-patch-ms16-072-breaks-gp-processing-behavior/

[Windows-GPO-Update KB3159398 macht Probleme | Borns IT- und Windows-Blog]
http://www.borncity.com/blog/2016/06/16/windows-gpo-update-kb3159398-macht-probleme/comment-page-1/

 

Citrix NetScaler IP Reputation

Mai 3 16
by Sascha Frantzke

Wer seine Services auch unter Einbeziehung von BrightCloud IP Reputation schützen möchte sollte sich das neueste NetScaler Release 11.0 Build 65.31 / 65.35F vom 22.03.2016 anschauen.

(Um das Chaos mal wieder zu pflegen wurde das Feature im Build 65.31 veröffentlicht. Nach einer Fehlerkorrektur wurde das 65.31 zurückgezogen und durch das 65.35F ersetzt.)

Aber wir wollen uns weniger mit dem Releasemanagement beschäftigen, sondern lieber die IP Reputation nutzen, daher starten wir einmal mit den Voraussetzungen.

Voraussetzungen

  • Die IP Reputation ist ein Feature für die NetScaler Application Firewall. Darum brauchen wir entweder die Platinum Lizenz, oder aber die NetScaler Application Firewall Lizenz (wir erinnern uns, die Application Firewall könnten wir auch einzeln lizensieren)
  • DNS Auflösung der BrightCloud URLs
  • Citrix NetScaler lädt die Daten regelmäßig aus der BrightCloud. Eine offline Funktion ist bisher nicht enthalten.

Setup

  • Zuerst muss das Feature “Reputation” aktiviert werden. Wie gewohnt entweder per Rechtsklick auf das Feature (Security –> Reputation, oder unter System Settings in den Advanced Features).
  • Das Setup des Features ist wirklich sehr überschaubar. Neben der Aktivierung kann nur noch der eventuell benötigte Proxy konfiguriert werden.

 

Troubleshooting

  • Ein detailliertes Log (/var/log/iprep.log) läuft immer mit.
    DNS_Error_IP-Reputation
  • Wer besonders neugierig ist, kann den Verlauf auch per Trace im Wireshark verfolgen
    • Zuerst suchen wir uns den entsprechenden DNS Request raus:
      ConsultingLounge_Reputation160503152313
    • Bei der folgenden Filterung auf die IP der Amazon Cloud fiel mir direkt die Nutzung meiner NetScaler NSIP statt SNIP auf.

 

Einsatzszenario

  • Ich habe die IP Reputation zuletzt in einem Application Firewall Projekt genutzt. Der Kunde wollte anhand der IP Reputation unterschiedliche Schutzstufen der Application Firewall nutzen. Dafür habe ich mit dieser Policy Expression das verschärfte Firewall Profile aufgerufen:
    • CLIENT.IP.SRC.IPREP_IS_MALICIOUS
  • Alternativ kann die IP Reputation aber auch granularer genutzt werden. Durch die Policy CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY) können die folgenden Values ausgewertet werden:
    • SPAM_SOURCES
    • WINDOWS_EXPLOITS
    • WEB_ATTACKS
    • BOTNETS
    • WINDOWS_EXPLOITS
    • WEB_ATTACKS
    • SCANNERS
    • DOS
    • REPUTATION
    • PHISHING
    • PROXY
    • NETWORK
    • CLOUD_PROVIDERS
    • MOBILE_THREATS

Setup: NetScaler Kerberos Impersonation

Apr 15 16
by Sascha Frantzke

Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!

Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:

  • Freischaltung der benötigten Firewall Ports
  • Setup DNS Namensauflösung
  • Setup der Kerberos Impersonation Session Policies

Freischaltung der benötigten Firewall Ports

  • für die Kerberos Kommunikation müssen alle Domänen Controller per TCP/88  erreichbar sein
  • für die DNS Auflösung der Domänen Controller mit Kerberos Key Distribution Rolle benötigen wir die DNS Auflösung per UDP/53 und TCP/53.
  • für die weitere Bereitstellung des Webservices reicht die gewohnte Anbindung in Backend (z.B. TCP/80)

Setup DNS Namensauflösung

Üblicherweise realisiere ich die DNS Namensauflösung meiner NetScaler Installationen immer über einen eigenen Loadbalancing vServer. Für die benötigte UDP und TCP Auflösung müssen wir aber klassisch einzelne DNS Server eintragen.

ConsultingLounge_Kerb160415133659

Setup der Kerberos Impersonation Session Policies

Das SingleSignOn (SSO) per Kerberos Impersonation kann im Rahmen einer Session oder Traffic Policy aufgerufen werden. In unserem Beispiel nutzen wir hier eine Session Policy und wählen dann im Rahmen des Session Profiles nur den gewünschten KCD Account aus.

ConsultingLounge_Kerb160415134804

Und auch das Setup des KCD Account ist wirklich sehr überschaubar. Einzig der Name der Active Directory Domäne muss hier als Realm konfiguriert werden.

ConsultingLounge_Kerb160415134754

Validierung

Zur Überprüfung des Kerberos Setup empfiehlt sich wieder der Einsatz von Wireshark

Viel Spaß!

 

Krypto-Trojaner Locky, Cryptowall und Co.

Mrz 7 16
by Daniel Lengies

Seit einigen Wochen bis wenigen Monaten kursieren sehr unangenehme Krypto-Trojaner wie Locky, TeslaCrypt, Cryptowall und seit kurzem auch ein Erster für MacOS. Im folgenden Text finden Sie Informationen und Handlungsempfehlungen, die helfen, sich möglichst gut gegenüber den neuen Schädlingen abzusichern. Dabei spielen das Bewusstsein und eine gute Sicherheitsinformationspolitik im Unternehmen eine wichtige Rolle neben den technischen Schutzmaßnahmen.

Was tun sie, diese Krypto-Trojaner?
Durch Anhänge (MS Office-Dokumente mit Makros, Javascript und VB-Inhalten, infizierte PDFs) in sehr realistisch wirkenden eMails von vermeintlichen externen Dienstleistern (Paketdienste, die klassische Rechnung, „Ihre Anfrage…“ etc.) wird ein Command- & Control-Server (nein, gleich mehrere als Fallback!) kontaktiert, der/die pro System einen dedizierten Private Key generieren und dem infizierten System zuordnen. Mit dem zugehörigen Public Key wird nun ein symmetrischer Schlüssel verschlüsselt und damit wiederum Teile oder der gesamte Speicherbereich des befallenen Systems und alle von ihm aus erreichbaren Datenspeicher verschlüsselt (oft AES-256-bit, bisher noch nicht einfach zu entschlüsseln). Im Anschluss wird mit einer Lösegeldforderung eine Software zum Entschlüsseln vom User erpresst.

Warum fallen so viele User darauf herein?
Nebst den gut getarnten eMails und teils für Laien realistisch wirkenden URLs (z.B. dhl.paketdienst.de statt dhl.de) ist wie in seriösen eMails mittlerweile sogar eine detaillierte Anleitung vorhanden, die ähnlich lautet, wie „Wenn das Dokument nicht richtig angezeigt wird, aktivieren Sie über folgenden Weg die Makros: […]“, was bei vielen Nutzern ein gängiger Prozess ist, wenn etwas nicht „so schön“ angezeigt wird oder Bilder fehlen. Oft sind Berechtigungen recht weitreichend erteilt, sodass auch größere Bereiche verschlüsselt und damit unbrauchbar gemacht werden können.

Warum nutzt das gegen Lösegeld bereitgestellte Tool zur Entschlüsselung nur auf einem, nicht aber auf weiteren Systemen etwas?
Meist wird gegen eine „Lösegeldzahlung“ in Höhe von einigen hundert Euro ein Tool zur Entschlüsselung der vorher verschlüsselten Daten bereitgestellt. Doch das nützt nicht bei weiteren befallenen PCs, da es sich hier um eine asynchrone Verschlüsselung mit Public und Private Key handelt und somit jeder PC von einem C&C-Server einen eigens für dieses System generierten Private Key erhält.

Was mache ich, wenn ein System befallen ist?

  • Netzseitig isolieren. Keinen Kontakt zu weiteren PCs ermöglichen, um eine leichte Verbreitung zu verhindern.
  • Aufklären. Oft ist nicht bekannt, was passiert ist und was man künftig tun kann, um eine weitere Verbreitung oder ein erneutes Auftreten zu vermeiden.
  • Ohne Backup keine Recovery. Je neuer das Backup, desto besser.
  • Veranstalten Sie Workshops mit Mitarbeitern und eigenen Kollegen. Informationen und Handlungsempfehlungen helfen Mitarbeitern, sicherer mit Bedrohungen aus dem Netz umzugehen.
  • Haben Sie Notfallpläne, um Ihr Business am Laufen zu halten? Wenn nein, sollten Sie solche Pläne präventiv anlegen und sicher vorhalten.
  • Wie sieht Ihr Rechtemanagement aus? Wer darf was? Braucht wirklich jeder Nutzer Vollberechtigung auf alle Dokumente? Muss wirklich alles der gesamten Abteilung erlaubt sein? Oft reicht es, wenn einzelne Fachabteilungen und Poweruser entsprechende Berechtigungen bekommen.

Wie verhindere ich die Verbreitung?

  1. Infizierte Systeme isolieren. Ist ein System infiziert, ist es ratsam, dieses vollständig neu aufzusetzen.
  2. Netzbereiche voneinander trennen (VLANs, Security-Zonen).
  3. Das Firewall-Regelwerk nur mit expliziten Verbindungen pro System und Protokoll aufbauen.
  4. Keine Any-Any-Regeln verwenden.
  5. Zonenkonzepte beachten! Niemals Dateien aus nicht vertrauenswürdigen Zonen in interne Zonen übertragen.
  6. Rechtemanagement: Nie mehr Rechte geben, als notwendig. Auf Datei- und Systemebene gleichermaßen. Rechte laufend verwalten und in Berichten überprüfen.
  7. E-Mail-Security aktuell halten, Konfiguration turnusmäßig auf Best Practices prüfen.
  8. Pattern aktuell halten.
  9. Applikationsfirewall(s) einsetzen.
  10. Bewusstsein schaffen. Oldschool, aber weiterhin wichtig.
  11. Backups möglichst redundant und immer eine Kopie “offline” vorhalten, falls ein Backup-System vollständig von Locky & Co. „überrannt“ wird.
  12. Backup-Systeme in andere Netzbereiche zu umziehen, Backups getrennt vom Client-LAN aufbewahren.

Bei Fragen zu diesem oder weiteren Themen sprechen Sie uns gerne an.

Wie Cryptowall im Detail tickt, erfahren Sie unter anderem hier: https://nakedsecurity.sophos.com/2016/01/11/ransomware-evolution-another-brick-in-the-cryptowall/

Kerberos Verkehr im Netzwerk-Trace

Mrz 4 16
by Sascha Frantzke

Im letzten Blogpost habe ich schon etwas über die theoretischen Kerberos Grundlagen geschrieben. Jetzt möchte ich noch einmal technisch zeigen, was genau bei einer Kerberos Anmeldung passiert. Dafür nutze ich einen einfachen Netzwerk Trace von einer NetScaler Appliance in unserem Demo Center und öffne diesen mit Wireshark.

Zuerst möchte ich die nötigen DNS Abfragen kontrollieren.

  • Dafür filtere ich den Trace, um nur “DNS” Verkehr auszuwerten.
  • Zuerst suchen wir DNS Abfragen für “SRV_kerberos.tcp.Domainname”

ConsultingLounge_Kerb

  • Im weiteren Verlauf dann die entsprechenden Responses bis zur Auflösung der IP-Adresse des Domänen Controllers

ConsultingLounge_Kerb160303093245

ConsultingLounge_Kerb160303085009

Nachdem wir die DNS Auflösung kontrollieren konnten, können wir direkt den Kerberos Verkehr prüfen.

  • Dafür Filtere ich den Trace, um nur “kerberos” Verkehr auszuwerten.

ConsultingLounge_Kerb160303085436

 

 

  • Jetzt bekommen wir die gesamte Kerberos Kommunikation auf dem Silbertablett präsentiert…

ConsultingLounge_Kerb160303085455