Schneller netzwerken: IEEE 802.3bz wurde verabschiedet

Um bestehende Kupferverkabelungen auf Basis von 1000BASE-T (mind. CAT-5e bzw. CAT-6) für höheren Durchsatz nutzen zu können und im verkabelten Netz gegenüber den (theoretisch) deutlich höheren Durchsatzraten im WLAN aufzuholen, wurde nun der Standard 802.3bz von der IEEE verabschiedet. Möglich sind bei Geräten, die diesem Standard entsprechen, Datenraten von 2,5GBit/s und 5GBit/s auf Basis von Kupferkabeln. Was bedeutet das?

„Schneller netzwerken: IEEE 802.3bz wurde verabschiedet“ weiterlesen

NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben

Citrix hat es endlich gewagt!

Wir haben schon lange in etlichen internen Runden darauf gedrängt, und auch die ersten positiven Signale (natürlich streng vertraulich) bereits im Sommer zurückbekommen. Und jetzt ist es endlich offiziell: Citrix lockert die SSL-VPN Lizenzierung auf. Bisher konnten wir trotz der Investition in Citrix NetScaler Standard oder Enterprise Lizenzen nur 5 Concurrent User SSL-VPN nutzen. Weitere User mussten separat per NetScaler Gateway Universal License lizenziert werden oder aus XenApp / XenDesktop Platinum übernommen werden. Einzig die NetScaler Platinum Lizenz hat 100 CCU SSL-VPN mitgebracht.

„NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben“ weiterlesen

How To: decrypt SSL / HTTPS with Wireshark

Heute möchte ich kurz auf ein wichtiges Tool beim Troubleshooting für HTTPS Anwendungen eingehen. Ich habe in letzter Zeit zu oft Kunden getroffen, die nicht die gesamte Kommunikationskette verschlüsseln, um im Fehlerfall weiter per Wireshark mitlesen zu können. Mit der richtigen Anleitung ist es aber gar nicht so kompliziert auch SSL / HTTPS gesicherten Verkehr zu entschlüsseln.

„How To: decrypt SSL / HTTPS with Wireshark“ weiterlesen

Krypto-Trojaner Locky, Cryptowall und Co.

Seit einigen Wochen bis wenigen Monaten kursieren sehr unangenehme Krypto-Trojaner wie Locky, TeslaCrypt, Cryptowall und seit kurzem auch ein Erster für MacOS. Im folgenden Text finden Sie Informationen und Handlungsempfehlungen, die helfen, sich möglichst gut gegenüber den neuen Schädlingen abzusichern. Dabei spielen das Bewusstsein und eine gute Sicherheitsinformationspolitik im Unternehmen eine wichtige Rolle neben den technischen Schutzmaßnahmen.

„Krypto-Trojaner Locky, Cryptowall und Co.“ weiterlesen

Kerberos Verkehr im Netzwerk-Trace

Im letzten Blogpost habe ich schon etwas über die theoretischen Kerberos Grundlagen geschrieben. Jetzt möchte ich noch einmal technisch zeigen, was genau bei einer Kerberos Anmeldung passiert. Dafür nutze ich einen einfachen Netzwerk Trace von einer NetScaler Appliance in unserem Demo Center und öffne diesen mit Wireshark.

Zuerst möchte ich die nötigen DNS Abfragen kontrollieren.

  • Dafür filtere ich den Trace, um nur „DNS“ Verkehr auszuwerten.
  • Zuerst suchen wir DNS Abfragen für „SRV_kerberos.tcp.Domainname“

 

  • Im weiteren Verlauf dann die entsprechenden Responses bis zur Auflösung der IP-Adresse des Domänen Controllers

 

 

Nachdem wir die DNS Auflösung kontrollieren konnten, können wir direkt den Kerberos Verkehr prüfen.

  • Dafür Filtere ich den Trace, um nur „kerberos“ Verkehr auszuwerten.

  • Jetzt bekommen wir die gesamte Kerberos Kommunikation auf dem Silbertablett präsentiert…

 

 

 

 

PortQRY: Ein Hilfsmittel zum AD-Troubleshooting

In verteilten Active Directory-Umgebungen mit mehreren Standorten tauchen regelmäßig immer wieder die folgenden „Klassiker“ unter den gemeldeten Problemen auf:
  • Replikationsstörungen zwischen den Standorten
  • Probleme bei standortübergreifender Namensauflösung (DNS, sowie NetBIOS (WINS))
  • Probleme bei der Anmeldung
  • etc.
Schnell ist man geneigt, in den Eventlogs der beteitilgten Server zu suchen bzw. bekannte Bordmittel wie „DCDiag“, „NetDiag“ oder „Replmon“ zu bemühen. Oft wird man dort auch fündig, gerade wenn es um die Konnektivität zwischen Standorten oder DCs in verschiedenen Subnetzen geht. Woher diese Verbindungsprobleme letztendlich rühren, verraten die Ausgaben dieser Tools aber oft nicht, oder nur „höchst verklausuliert“.

„PortQRY: Ein Hilfsmittel zum AD-Troubleshooting“ weiterlesen

HP W-LAN-Controller (MSM-Series): Backup/Restore via CLI

Um bei totalem Verbindungsverlust den WLAN-Controller der HP MSM-Seie zurückzusetzen, sind drei Befehle notwendig:

CLI(config)# config-update uri ftp://User:Passwort@IP-Adresse
CLI(config)# config-update operation restore|backup
CLI(config)# config-update start

Der erste CLI-Befehl setzt den ftp-Server mit Username & Passwort innerhalb der ftp-Anfrage-URI (Uniform Resource Identifier). Der zweite CLI-Befehl besagt, dass aus einem Backup wiederhergestellt werden soll oder ein Backup angelegt werden soll. Standard-Einstellung ist „restore“. Der letzte Befehl sagt aus, dass das Backup zurückgespielt werden soll und startet gleichzeitig den Vorgang.

Natürlich ist mit Verbindungsproblemen bez. der SSiDs zu rechnen – vor allem, wenn im vorherigen Backup andere Einstellungen in den VSCs (Virtual Service Communities) gesetzt waren.

Cutting Edge Technology: CloudBridge SD-WAN

Last year, Citrix presented a new edition of CloudBridge dubbed VirtualWAN. By now, they are close to finally shipping the integrated Enterprise version of CloudBridge that will include this new feature alongside all the existing WAN optimization features in a single product. The new buzzword and marketing term for this generation now is „SD-WAN“ as everything is „Software Defined“ today.

Instead of theory and lengthy explanations here, I suggest you watch the video of the live demo at Citrix Summit by the cool kids:

SSL für alle: Let’s Encrypt geht den nächsten Schritt

Verschlüsselung ist die wichtigste Methode, in der Internetkommunikation für Vertraulichkeit und für Sicherheit zu sorgen. Es lassen sich damit nicht nur Inhalte gegen unerwünschtes Mitlesen schützen, sondern man kann mit kryptographischen Funktionen auch digitale Identitäten nachweisen. So ist es einem Anwender möglich zu überprüfen, dass er wirklich mit dem richtigen Server verbunden ist, bevor er sensible Daten dorthin sendet.

Die Technik, die dazu im Web eingesetzt wird, ist bekannt als SSL (Secure Sockets Layer). Richtiger wäre der Ausdruck TLS (Transport Layer Security), weil das ältere SSL-Protokoll schon vor vielen Jahren durch den Nachfolger TLS abgelöst wurde. Trotzdem hält sich der Begriff SSL im allgemeinen Sprachgebrauch, gemeint ist aber eigentlich immer TLS. Das Protokoll beruht auf kryptographischen Zertifikaten, die einen sicheren Austausch von digitalen Schlüsseln für die eigentliche Datenverschlüsselung erlauben. Wenn es richtig eingerichtet ist, gilt TLS als hochsichere und effektive Methode.

Um nicht nur Spionage, sondern auch kriminelle Machenschaften im Internet sehr weitgehend einzuschränken, wäre es also wünschenswert, wenn alle wichtigen Webseiten TLS nutzen würden. Tatsächlich gehen viele Security-Experten so weit zu sagen, dass am besten gleich sämtlicher Web-Traffic verschlüsselt werden sollte. Zwei große Hürden haben allerdings bislang verhindert, dass TLS umfassend zum Einsatz kommt:

  • Die Technik dahinter ist recht komplex. TLS auf einem Webserver einzurichten, erfordert eine Reihe manueller Schritte und vor allem einigen organisatorischen Aufwand.
  • Zuverlässige TLS-Zertifikate (von Anbietern oft immer noch als “SSL-Zertifikate” bezeichnet) kosten Geld. Zwar sind die Preise nicht richtig hoch, doch für viele Zwecke fallen sie schon ins Gewicht.

Eine Initiative aus der Open-Source-Community hat sich auf die Fahnen geschrieben, diese beiden Kernprobleme anzugehen. Unter dem Namen “Let’s Encrypt” plant die Gruppe nicht weniger, als zuverlässige SSL-Zertifikate kostenlos für jedermann anzubieten – und zwar verbunden mit Werkzeugen, die den Aufwand drastisch reduzieren, bis hin zur völligen Automatisierung. Mittlerweile hat die Initiative Unterstützung von Branchengrößen wie Cisco, Akamai oder Automattic erhalten. Seit den ersten Ankündigungen vor einem Jahr ist die Initiative ISRG (Internet Security Research Group) große Schritte vorangekommen: Sie hat die Kernsoftware entwickelt, eine zuverlässige Infrastruktur aufgebaut und dafür gesorgt, dass ihre Zertifikate von allen wichtigen Browsern und Systemen akzeptiert werden.

Nach einer geschlossenen Betaphase im Sommer 2015 folgt nun der nächste große Meilenstein: Am 3. Dezember 2015 wird Let’s Encrypt eine öffentliche Betaphase beginnen, in der alle Interessierten kostenlose und funktionierende TLS-Zertifikate erhalten können. Im Prinzip gehen die Betreiber davon aus, dass das System bereits produktionsreif ist. Den Status als “Beta” behält man deswegen bei, weil die ehrgeizigen Ziele der Automatisierung noch nicht so vollständig erreicht sind, wie sie definiert sind.

Let’s Encrypt wartet bereits jetzt mit folgenden Merkmalen auf:

  • Die ausgestellten TLS-Zertifikate werden von allen wichtigen Browsern akzeptiert. Möglich wird dies durch ein so genanntes “Cross-Signing” mit einem bestehenden Zertifikatsanbieter.
  • Administratoren von Apache-Webservern können den Vorgang, ein Zertifikat anzufordern, es einzubinden und danach regelmäßig zu aktualisieren, bereits jetzt mit einem Software-Tool vollständig automatisieren.
  • Die Zertifikate sind für 90 Tage gültig. Der Webserver kann die Aktualisierung selbstständig und ohne manuellen Eingriff abwickeln.
  • Es handelt sich um TLS-Zertifikate vom Typ “Domain Validation” (DV). Dieser Zertifikatstyp belegt, dass der betreffende Webserver tatsächlich zu der angegebenen Web-Adresse gehört und dies nicht nur vortäuscht.
    (Er belegt jedoch nicht, dass die Webadresse ihrerseits zu einer bestimmten Organisation gehört. Hierzu wäre ein “Extended Validation”-Zertifikat (EV) nötig, das Let’s Encrypt bis auf Weiteres nicht ausstellen wird.)

Wenn die technische Entwicklung so schnell voranschreitet wie bisher, wird Let’s Encrypt schon in wenigen Monaten in der Lage sein, eine wirklich einfach handhabbare und kostenlose Zertifikatslösung “für jedermann” anzubieten. Die Software für Windows-Webserver etwa ist derzeit noch nicht in offizieller Entwicklung, doch es gibt bereits fortgeschrittene Projekte in der Community.

Macht Let’s Encrypt damit bestehende Anbieter oder interne PKI-Strukturen überflüssig? Nein, für diese gibt es weiterhin zahlreiche Einsatzfelder:

  • Da Let’s Encrypt nur Zertifikate für öffentlich erreichbare Webserver ausstellt, bleiben für alle anderen Zwecke die kommerziellen Anbieter im Spiel. Dazu gehören z.B. Mailverschlüsselung oder Code-Signing.
  • Auch Organisationen, die auf ihrer Webseite “erweitertes Vertrauen” benötigen (z.B. Banken, große Web-Shops usw.), werden weiter mit kommerziellen Anbietern arbeiten. Hier sind “Extended Validation”-Zertifikate (EV) das Mittel der Wahl, die einen aufwändigeren Prozess umfassen, in dem das Unternehmen nachweist, dass es die jeweilige Web-Adresse tatsächlich besitzt.
  • Zertifikate mit erweiterten Eigenschaften wird Let’s Encrypt bis auf Weiteres ebenfalls nicht anbieten. Dazu zählen Wildcard-Zertifikate oder  andere spezielle Zertifikate. SAN-Zertifikate (Subject Alternative Name bzw. Unified Communications) hingegen soll das Protokoll ebenfalls unterstützen, dazu finden sich allerdings bislang keine offiziellen Angaben.
  • Und schließlich bleibt es für Unternehmen interessant, eine eigene, interne Zertifikats-Infrastruktur zu unterhalten. Damit lässt sich z.B. interne Kommunikation per TLS absichern (was etwa für Microsoft Exchange notwendig ist). Ebenso sind damit Vorgänge wie Code-Signing (Signieren von Programmcode und Applikationen) abbildbar.

Für den “Standard-Zweck”, die Kommunikation mit einem Webserver über das Internet abzusichern, scheint Let’s Encrypt eine sehr interessante Initiative zu sein. Es ist durchaus zu erwarten, dass sie einen “Ruck” in der IT erzeugt und der Verschlüsselung im Web endlich zum Durchbruch verhilft.

PAN OS 7.0 angekündigt

Palo Alto Networks hat vor Kurzem die neueste Version seines Firewall-Betriebssystems PAN OS angekündigt und die Kernfeatures und Neuerungen hervorgehoben. In einem Punkt hat Palo Alto noch deutlich zugelegt: Das schon vergleichsweise sehr gute Reporting wurde um einige weitere Möglichkeiten und Filter ergänzt, um noch besser den Kundenanforderungen gerecht zu werden.

Die Automated Correlation Engine steht fortan ab der PA-3000er-Reihe zur Verfügung und sucht das Netzwerk nach Bedrohungen ab. Die Analyse der Daten kann auch auf einer Panorama Appliance (Hardware und Virtual Appliance) stattfinden. Ziel der Automated Correlation Engine ist das Aufspüren von Bedrohungsquellen im Netz, wie beispielsweise infizierte Hosts. Reports können nun nach virtuellem System bzw. Systemnamen generiert werden. Die Adressgruppenbeschränkung wurde von 500 Objekten je Adressgruppe auf 2500 Objekte angehoben.

Zudem ist eine sogenannte „Global Find“-Funktion, also eine Suche über alle Elemente hinweg, implementiert worden. Das erleichtert, Zusammenhänge beispielsweise von Objekten und Policies zu analysieren und zu verstehen. Thematisch angrenzend ist der neue Tag-Browser, mit dem sich Objekte finden lassen, die zuvor mit einem digitalen Anhängeschild versehen wurden.

Beim Sichern der Candidate Config werden nun zusätzliche Validierungs-Checks vorgenommen, die die Syntax und Semantik prüfen.

Natives LLDP und LLDP via SNMP wird nun auch unterstützt, um benachbarte Geräte abzufragen. Auch bei der Content Inspection hat sich einiges getan. So können beispielsweise Dateien, die mindestens fünf mal verschlüsselt wurden, von den PA Firewalls geblockt werden. Von nun an wird auch Kerberos SSO (v5) zur Authentifizierung am Admin Web Interface und dem Captive Portal unterstützt. TACACS+ und eine Backend Authentication Connectivity-Prüfung sind ebenfalls ab PAN OS 7 mit an Bord.

Die Wildfire Appliance WF-500 unterstützt nun Java AV-Signaturen und eine Prüfung von E-Mail Links.

Weitere Features, die hinzugekommen sind, sind u.a.

  • IKEv2 Support für VPN-Tunnel
  • IPv6 IPsec Support
  • Licensing:
    • Lizenz-Neuzuweisung kann nun über das Self Service Portal vorgenommen werden
    • Amazon AWS wird nun möglich, nach Nutzung zu lizensieren
  • Per Virtual System Service Routes
  • TCP Split Handshake Drop
  • Session-based DSCP Classification
  • QoS on Aggregate Ethernet (AE) Interfaces
  • ECMP (Equal Cost Multi Path)