Citrix ADC/ Netscaler Full-VPN mit Client Choices

Neben der Nutzung des ADC als Load Balancer und Content Switch oder Gateway für Virtual Apps and Desktops, bietet die Lösung auch die Möglichkeit echtes SSL VPN zu implementieren.

Falls ein bestehender Gateway Virtual Server konfiguriert ist, kann dieser mit wenigen Schritten oft um ein wahlweises SSL VPN erweitert werden.

Voraussetzungen

  • Netscaler Gateway Virtual Server muss im Smart Access Modus sein („IcaOnly = false“)
  • Es müssen ausreichend Universal Licenses vorhanden sein, für alle Verbindungen zu diesem Gateway Virtual Server

Einbau in ein bestehendes Gateway

Am einfachsten lässt sich das Full-VPN in ein bestehendes Gateway implementieren, wenn man über eine Gruppenmitgliedschaft einem teil der Benutzer die selektive Auswahl des Full VPN als Alternative zum Virtual Apps and Desktops anbiete. Hierzu gibt es idealerweise in der LDAP Policy des Gateways eine funktionierende Group Extraction. Der ADC wird dann beim Login eines Benutzers versuchen LDAP Gruppenmitgliedschaften auf ADC Gruppenmitgliedschaften (hier: CitrixFullVPN) zu übersetzen.

add aaa group CitrixFullVPN

An diese Gruppe können wir nun den gewünschten Client IP-Bereich für das VPN binden und eine entsprechende Policy, welche die Benutzerauswahl („-Client Choices ON“) einblendet und die VPN Funktion zusätzlich konfiguriert:

add vpn sessionAction AC_VPN -splitDns REMOTE -splitTunnel OFF -transparentInterception ON -defaultAuthorizationAction ALLOW -SSO ON -ssoCredential PRIMARY -icaProxy OFF -wihome "https://store.mycompany.de/Citrix/StoreWeb" -ClientChoices ON -ntDomain mycompany -clientlessVpnMode OFF -iconWithReceiver OFF
add vpn sessionPolicy PL_VPN-classic ns_true AC_VPN
bind aaa group CitrixFullVPN -intranetIP 192.168.1.0 255.255.255.0
bind aaa group CitrixFullVPN -policy PL_VPN-classic -priority 100

Bei der Konfiguration kann über die Parameter „-splitTunnel“ und „-splitDns“ angegeben werden, ob der komplette Traffic in den Tunnel geleitet werden soll oder nur ein Teil des Traffics. Eine ähnliche Konfiguration ist für DNS möglich. Im obigen Beispiel, wird der komplette Traffic nach dem VPN Verbindungsaufbau in den Tunnel geleitet und DNS Remote, also über den Netscaler abgewickelt.

Routing

Es ist theoretisch möglich die Full VPN Funktionalität ohne einen zusätzlichen Adressbereich zu nutzen, der Netscaler lässt dann alle Clients per Übersetzungstabelle über die SNIP kommunizieren. In der Praxis hat sich gezeigt, das einige Backendsysteme damit nicht klarkommen und der Traffic außerdem in einer Firewall selektiver behandelt werden kann, wenn ein zusätzlicher Adressbereich genutzt wird. Zu diesem Adressbereich wiederum wird dann über die bestehende SNIP des Netscalers geroutet. Es ist also auf einer zentralen Firewall oder einem Gateway eine Route analog dem folgenden Beispiel zu konfigurieren:

route add 192.168.1.0 255.255.255.0 <NetscalerSNIP>

Benutzeransicht

Login
„Client Choices“ Abfrage
Netscaler Gateway Plugin

Weitere Möglichkeiten

Das Netscaler Gateway Plugin beherrscht neben den klassischen primären und sekundären Faktoren auch die Anzeige der Netscaler NFactor Faktoren/ eines Flows im Plugin und kann somit auch damit kombiniert werden.

Die Verbindungen innerhalb des VPNs können mittels Authorization Policies pro Benutzer oder Gruppe eingeschränkt werden.

Citrix Dokumentation:

Full VPN setup on Citrix Gateway

VMware vSphere: Kritische Sicherheitslücke im vCenter

Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:

  • VMware vSphere 6.5
  • VMware vSphere 6.7
  • VMware vSphere 7.0
  • VMware Cloud Foundation Versionen 3.x und 4.x

Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.

Response-Matrix der betroffenen Versionen

ProduktVersionCVE IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
vCenter Server 7.0CVE-2021-219859.8Kritisch 7.0 U2bKB83829FAQ
vCenter Server6.7CVE-2021-219859.8Kritisch 6.7 U3nKB83829FAQ
vCenter Server6.5CVE-2021-219859.8Kritisch 6.5 U3pKB83829FAQ
VMware vCenter Response-Matrix für CVE-2021-21985
ProduktVersionCVE-IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
Cloud Foundation (vCenter Server) 4.xCVE-2021-219859.8Kritisch 4.2.1KB83829FAQ
Cloud Foundation (vCenter Server) 3.xCVE-2021-219859.8Kritisch 3.10.2.1KB83829FAQ
VMware vCenter Cloud Federation Response-Matrix für CVE-2021-21985

Möglicher Workaround (nur ohne aktives vSAN möglich)

Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien

/etc/vmware/vsphere-ui/compatibility-matrix.xml

bzw.

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

über einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.

Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.

Weiterführende Informationen

https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

WLAN-Sicherheitslücke Fragattack

Vor wenigen Tagen hat der IT-Sicherheitsexperte Mathy Vanhoef eine Vielzahl an Sicherheitslücken in den WLAN-Standards der IEEE aufgedeckt. Laut Vanhoef sind vermutlich nahezu alle WLAN-Geräte mindestens von einer dieser Sicherheitslücken betroffen. Er selbst hat die Schwachstellen an 75 unterschiedlichen Geräten getestet. Zusammengefasst werden sie unter dem Begriff Fragattack. Dieser hat seinen Ursprung in der Funktionsweise der Angriffe bzw. des hier missbräuchlich ausgenutzten Kommunikationsverfahrens im IEEE 802.11-Standard, dem Fragmentieren der Anfragen.

Funktionsweise und betroffene Geräte

Die Sicherheitslücken betreffen alle WLAN-Sicherheitsstandards einschließlich des relativ jungen WPA3-Standards. Ermöglicht werden diese Exploits durch die Funktionsweise von WPA:

  • Anfragen können in mehrere Datenpakete aufgeteilt (fragmentiert) und dann beim Empfänger wieder zusammengefügt werden. Dieses Protokoll-Design ermöglicht es Hackern, manipulierte Authentifizierungsanfragen an das Netzwerk zu stellen.
  • Dabei entspricht nur das erste Paket einer echten Anfrage, während die darauffolgenden Pakete manipulierte Daten enthalten. Bei dem Zusammenbau dieser Datenpakete erkennt das Netzwerk die Zugehörigkeit dieser Teilpakete. Dadurch kann ein Angreifer ohne Kenntnis des WLAN-Passwortes oder Entschlüsselung manipulierte Daten in das Netzwerk schleusen.
  • Diese manipulierte Daten können dann eingesetzt werden, um beispielsweise Ports für versteckte externe Verbindungen zu öffnen oder unverschlüsselten Datenverkehr abzufangen bzw. zu manipulieren.

Vanhoef hat vor der öffentlichen Enthüllung dieser Designschwäche mit Hardwareentwicklern neun Monate im Voraus zusammengearbeitet, um diese Exploits zu beheben. Die daraus resultierende Patches sollen die Sicherheitslücken beheben, einige sind bereits seit März veröffentlicht. Problematisch sind jedoch die Netzwerkteilnehmer, die keine bzw. nur sporadische Sicherheitsupdates bekommen, wie etwa IoT-Geräte (z.B. Smart-Home Geräte). Die Hersteller raten zu einer kurzfristigen Aktualisierung der Firmware aller Geräte. Zudem sollte möglichst unverschlüsselter Datenverkehr in WLAN-Netzen vermieden oder administrativ unterbunden werden, sofern möglich.

Pikant ist zudem, dass gleichermaßen PSK/SAE- wie auch Enterprise-Authentifizierung der Geräte von den Schwachstellen betroffen sind. Viele sonst bekanntgewordene Schwachstellen im WLAN-Umfeld betrafen meist die eher unsicheren PSK-/SAE-Authentfiizierung über einen gemeinsamen Netzwerkschlüssel aller mit dem WLAN verbundenen Geräte, wie man es von zuhause kennt. Im Fall dieser Schwachstelle schützt die Authentifizierung via IEEE 802.1x daher Geräte nicht erheblich besser, als in vielen anderen Fällen.

Weiterführende Informationen zur Funktionsweise finden sich auf der von Vanhoef veröffentlichen Website (https://www.fragattacks.com/) und vor allem in einer seiner Präsentationen (Siehe Link), wo die Schwachstellen genau aufgezeigt werden.

Wie kam es dazu?

Im IEEE-Standard 802.11 (Abschnitt 10.6) ist das Fragmentieren der Anfragen beschrieben. Es wird nicht vor der Manipulation gewarnt und eine Konformität erfordert keine Überprüfung der erneut zusammengesetzten Pakete nach der Übertragung von Fragmenten.

"If security encapsulation has been applied to the fragment, it shall be deencapsulated and decrypted before the fragment is used for defragmentation of the MSDU or MMPDU."

CVE-Codes & BSI-Mitteilungen zu FragAttacks

Das BSI hat eine Warnung zu der Schwachstelle veröffentlicht, die hier (Link zur BSI-Warnung) abgerufen werden kann.

Liste der CVE-Codes zu FragAttacks:

  • CVE-2020-24588: Aggregation attack (accepting non-SPP A-MSDU frames)
  • CVE-2020-24587: Mixed key attack (reassembling fragments encrypted under different keys)
  • CVE-2020-24586: Fragment cache attack (not clearing fragments from memory when (re)connecting to a network)
  • CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
  • CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
  • CVE-2020-26140: Accepting plaintext data frames in a protected network
  • CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
  • CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated (should only affect APs)
  • CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
  • CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
  • CVE-2020-26142: Processing fragmented frames as full frames
  • CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames

Was kann ich tun, um meine Geräte zu schützen?

In erster Linie sollte man sich ein paar Grundsätze wieder bewusst machen und zur Gewohnheit machen:

  • Regelmäßige Software- und Firmwareupdates auf allen Geräten einspielen.
  • Wo möglich aus Gründen der Sicherheit und Stabilität das Patchkabel dem WLAN bei sicherheitskritischer Kommunikation vorziehen.
  • Möglichst auf verschlüsselte Kommunikation achten (https:// in der Browserzeile). Hilfreich ist hier auch das Browserplugin https-everywhere (siehe Link) , was jede Browserkommunikation zu verschlüsseltem https zwingt.

Sollten Sie Unterstützung bei der Aktualisierung Ihrer Geräte benötigen, oder eine Überprüfung auf die Schwachstelle wünschen, wenden SIe sich gerne vertrauensvoll an uns.

Microsoft <3 Europe

Microsoft kündigte gestern in einem Blogpost an, künftig alle Daten ihrer EU-Kunden innerhalb der EU zu halten und spricht dabei von einer „EU Data Boundary for the Microsoft Cloud“. Dies gilt für Azure, Microsoft 365 und Dynamics 365.

Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen.

https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/

Zuletzt gab es immer wieder Kritik von Datenschützern, die sich gegen einen Einsatz von modernen Tools, wie Microsoft Teams ausgesprochen haben. Teilweise aus technischem Unverständnis oder aus Angst über den Kontrollverlust der Daten. Ob dies alles auch berechtigte Kritik gewesen ist, sei mal dahingestellt. Nichtsdestotrotz ist das ist ein starkes Versprechen, seitens Microsoft und wird hoffentlich so manchen Zweifler milde stimmen.

Angekündigt sind die Maßnahmen für Herbst 2021. Wir bleiben also als Partner dran und informieren unsere Kunden umgehend über die Entwicklungsschritte.

Was haben der Mädchenname Ihrer Mutter, Ihr erstes Auto und der Name Ihres liebsten Haustieres gemeinsam?

Diese müssen häufig dafür herhalten, wenn bei einer Neuanmeldung ein Passwort verlangt wird. So ist es eigentlich kaum verwunderlich, dass schwache und mehrfach verwendete Passwörter für 80% der gehackten Online-Konten verantwortlich sind. Für viele Nutzer stellt es noch immer eine zu hohe Belastung dar, für die stetig wachsende Zahl ihrer Zugänge ein separates Passwort zu wählen.

Dies gilt nicht nur für Menschen, die mit IT wenig Erfahrung haben. Als 2016 die Twitter-, LinkedIn- und Pinterest-Konten von Facebook-Gründer Marc Zuckerberg gehackt wurden, lautete sein Passwort angeblich „Dadada“.

Um das Bewusstsein für die Wichtigkeit von starken und sicheren Passwörtern zu erhöhen, hat Intel deshalb im Jahr 2013 den „Welt-Passwort-Tag“ ausgerufen. An jedem ersten Donnerstag im Mai sollen sich Nutzer bewusst mit ihren Zugangsdaten auseinandersetzen und schlechte Kennwörter durch sichere und starke ersetzen. Passend zum michael wessel Security Mai möchten auch wir Ihnen mit den folgenden Tipps helfen, Ihre Online-Zugänge vor den ständig wachsenden gefahren zu schützen:

Nehmen Sie sich die Zeit, ein wirklich starkes Passwort zu überlegen:

Ein einzelnes Wort, dass z.B. aus 6 Zeichen besteht hat 310 Millionen Kombinationsmöglichkeiten. Diese können von einem aktuellen PC innerhalb von 30 Sekunden durchgespielt werden. Sinnvoller ist es deshalb, z.B. die Anfangsbuchstaben der Wörter eines Merksatzes zu wählen, der im besten Fall noch eine Zahl enthält. (Meine Tochter ist 5 Jahre alt!

Wechseln Sie ein starkes Passwort nicht zu häufig:

Entgegen früherer Empfehlungen ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) mittlerweile dazu übergegangen, vom sehr häufigen Wechsel des Passworts abzuraten. Dies beruht auf der Erkenntnis, dass nach einiger Zeit aus Bequemlichkeit dann doch auf die Verwendung schwacher Passwörter zurückgegriffen wird.

Vergeben Sie für jedes Konto ein eigenes Passwort:

Die Gefahr, dass ein Hacker nach der Übernahme eines Accounts auch Ihre anderen Zugänge übernehmen kann, sinkt hierdurch rapide.

Nutzen Sie einen Passwort-Manager:

Anstatt alle Passwörter im Browser zu speichern, können Sie diese auch in einer Software hinterlegen. Hier gibt es sogar bereits kostenlose Lösungen, die Ihre Zugänge verwalten und Ihnen eine bequeme und sichere Anmeldung ermöglichen.

Verwenden Sie eine Multifaktor-Authentifizierung:

Wo immer es möglich ist, verwenden Sie für den Zugang einen 2. Faktor, wie z.B. die Freigabe über eine App auf dem Smartphone.

Haben Sie noch weitere Tipps, die Sie ergänzen möchten? Teilen Sie uns die lustigsten und skurrilsten Passwörter mit. Wie lauten Ihre Highlights?

Passend dazu, melden Sie sich gerne zu unserer „Alles sicher macht der Mail“ Webinar-Reihe an. Wir freuen uns auf Sie.

Alles sicher macht der Mai

Unternehmen und öffentliche Einrichtungen investieren bereits seit Jahren hohe Summen in den Bereich IT-Security. Damit wurden die Möglichkeiten für Angreifer „von außen“, durch das klassische Ausnutzen von Sicherheitslücken, in eine Umgebung einzudringen, stetig minimiert.

Deshalb richtete sich das Augenmerkt der professionellen Hackergruppen seit Mitte der 2010er Jahre verstärkt auf die Mitarbeiter der Unternehmen. Eine internationale Studie des Marktforschungsinstituts Vanson Bourne aus dem Jahr 2020, bei der 5000 IT-Beauftragte aus 26 Ländern befragt wurden, hat belegt, dass fast 30% der erfolgreichen Ransomware-Angriffe durch den Klick auf einen manipulierten Link durchgeführt wurden. 16% erfolgten über einen verseuchten Dateianhang. Damit wurden 46% der gehackten IT-Umgebungen nicht durch Angriffe von außen übernommen, sondern durch unachtsames oder falsches Verhalten der Nutzer.

Die michael wessel möchte ihren Teil dazu beitragen, den Schutz Ihres Unternehmens und das Bewusstsein Ihrer Mitarbeiter für Sicherheitsfragen zu erhöhen und hat deshalb den Mai zum Monat der IT-Security ausgerufen.

Im Rahmen von 4 Webinaren, jeweils am Dienstag des Monats, informieren wir deshalb praxisnah und spannend über wichtige Aspekte aus diesem Bereich.

Den Anfang macht am 04.05. ein Webinar zum Thema „IT-Security Awareness“, in dem wir Ihnen näher bringen, wie Sie durch den Einsatz von Schulungen Ihre Mitarbeiter von einem potentiellen Sicherheitsrisiko zur ersten Verteidigungslinie im Kampf gegen Cyberangriffe machen.

Am 11.05. befassen wir uns mit dem Schutz Ihrer Endpoints und erläutern die wichtigsten Bestandteile eines modernen Schutzkonzeptes. Anhand eines „live“ durchgeführten Angriffs auf eine Testumgebung zeigen wir, welche Wege moderne Hacker wählen und wie diese erfolgreich abgewehrt werden können.

Der 18.05. steht im Zeichen der Sophos Next Generation Firewall. Wir zeigen Ihnen anschaulich, wie Traffic-Analyse, SSL-Decryption und weitere Funktionen einer fortschrittlichen Firewall zusammenarbeiten, um die IT-Sicherheit Ihres Unternehmens rund um die Uhr zu gewährleisten.

Zum Abschluss erfahren Sie am Beispiel des Next Generation Access-Managements mit tenfold, welche Vorteile Ihnen eine moderne und intelligente Rechteverwaltung bietet. Diese erleichtert nicht nur das Onboarding neuer Mitarbeiter ungemein, sondern erlaubt auch die Erstellung von Reportings, die als Grundlage für Zertifizierung oder der Dokumentation Ihrer DSGVO-Konformität dienen können.

Melden Sie sich noch heute an und sichern Sie sich einen Platz in unseren Webinaren!

Nach Hafnium ist vor…??? – Zeit für mehr Sicherheit mit Azure Sentinel

Durch die fortschreitende Digitalisierung und die immer steigende Komplexität der Informationstechnologie müssen auch die Administratoren sich immer wieder neuen Herausforderungen stellen. Die Daten der Unternehmen müssen vor fortschrittlicheren Cyber-Bedrohungen oder Schwachstellen in der eingesetzten Software (z.B. Exchange-Server und der HAFNIUM-Exploit vor kurzer Zeit) weiter fachkundig geschützt werden. Bei Problemen oder Sicherheitsvorfällen müssen in großen Mengen Logdaten gesichert und gesichtet werden. Meist war an dieser Stelle aber schon alles zu spät, die Administratoren im reaktiven Arbeits-Modus. Die Auswertungen nehmen Wochen oder Monate in Anspruch. Daher ist es in der heutigen Zeit noch wichtiger geworden, die Sicherheit der IT-Infrastruktur proaktiv im Blick zu behalten. Aber wie?

Im diesem Blog-Beitrag wollen wir eine Möglichkeit vorstellen, mit der diese reaktive Arbeit auf relativ einfache Art und Weise weitestgehend automatisiert werden kann: Azure Sentinel – der Cloud-basierten SIEM (Security Information Event Management)- und SOAR (Security Orchestration Automated Response)-Lösung von Microsoft.

Azure Sentinel wird von Microsoft seit 2019 angeboten und als Dienst innerhalb der Azure-Plattform betrieben. Auf dieser Basis ist mit einem aktiven Azure-Konto die schnelle Installation und der einfache Betrieb der Lösung möglich. Weitere Investitionen in Hard- und/oder Software sind nicht nötig. Die Abrechnung der genutzten Ressourcen (z.B. Log-Speicherplatz etc.) erfolgt, wie in Azure gewohnt, entweder nutzungsbasiert oder auf Basis von zuvor festgelegten Kontingenten.

Für die grundsätzliche Funktion sammelt und aggregiert die SIEM-Komponente fortwährend Logdaten, die in der gesamten IT-Infrastruktur des Unternehmens generiert werden. Dabei spielt es keine Rolle, ob die Daten von Systemen und Anwendungen aus der Cloud (auch Clouds anderer Anbieter) oder der lokalen Infrastruktur erzeugt und Azure Sentinel zugeführt werden. Mit den dafür genutzten Monitoring-Agenten auf Linux- oder Windows-Servern können auf gleichem Wege die Logdaten von Netzwerk- und Sicherheitsgeräten wie Firewalls oder dem Endpoint-Schutz gesammelt werden. Innerhalb dieser Datenmenge werden über Analyse-Regeln sicherheitskritische Vorfälle und Ereignisse identifiziert, kategorisiert und analysiert. Für die Erkennung werden unter anderem auch die im Mitre ATT&CK-Framework (https://attack.mitre.org/matrices/enterprise/) aufgeführten Angriffs-Taktiken und -Techniken genutzt. Erkannte Bedrohungen, Anomalien oder Angriffe werden automatisch innerhalb von Azure Sentinel als Incidents angelegt und damit zum weiteren Handeln der IT-Administration übergeben. Diese Administratoren können nun über die erstellten Incidents auf umfangreiche Details der Vorfälle zurückgreifen. Hier werden die beteiligten Objekte im Einzelnen aufgeführt und zusätzlich in einer Übersichtgrafik dargestellt, so dass Zusammenhänge schnell erfasst werden können.

In der Praxis bietet Azure Sentinel dafür schon von Haus aus eine Vielzahl von vorkonfigurierten oder individuell anpassbaren Daten-Konnektoren, mit denen auf einfache Weise die nötigen Daten strukturiert gesammelt werden können. Viele Konnektoren haben dieselben Datenquellen, so dass z.B. im Bereich der Server nur ein zu installierender Monitoring-Agent auf Windows- oder Linux-Systemen unterschiedliche Daten sammelt – egal ob sie in der Cloud oder lokal betrieben werden.

Azure Sentinel bietet aber standardmäßig nicht nur die Daten-Konnektoren an, sondern auch weitere Bausteine:

  • Analyseregel-Vorlagen zum Auswerten der Logdaten mit intelligenten KI-Algorithmen und maschinellem Lernen
  • Arbeitsmappen zur Visualisierung der Logdaten
  • Thread-Hunting-Regeln zur aktiven Suche von Sicherheitsbedrohungen
  • Analyse des Benutzer- und Entity-Verhaltens für zuverlässige, handlungsrelevante Informationen zu den Vorfällen

Um dann aber auch automatisiert auf die durch SIEM erkannten Sicherheitsbedrohungen zu reagieren geht die SOAR-Komponente einen weiteren Schritt: Azure Sentinel bietet dafür die sogenannten Playbooks an. Durch die bereits integrierten Konnektoren zu unterschiedlichen externen Systemen könne über Trigger und Aktionen auch komplexere Szenarien abgebildet werden, wenn durch SIEM ein Vorfall gemeldet wird. Hier z.B. eine Reaktion auf einen eventuell kompromittierten Benutzer:

Dieser Beitrag kann nur einen groben Überblick über das breite Leistungsspektrum von Azure Sentinel liefern. Haben wir Ihr Interesse für diesen zusätzlichen, proaktiven Schutz Ihrer IT geweckt? Dann sprechen Sie uns gerne für weitere Informationen oder eine Live-Demo in Azure Sentinel an. Gehört Microsoft 365 / Microsoft Azure bereits zu Ihrer IT-Infrastruktur, dann bieten wir Ihnen gerne auch einen individuellen Proof-of-concept direkt in Ihrer IT-Umgebung an.

Die michael wessel auf der HANNOVER MESSE

Die Wertschöpfungskette immer im Fokus, eine hohe Tech-Affinität und immer innovativ. Eigenschaften, die (mindestens) zwei verbinden: Die HANNOVER MESSE und die michael wessel.
Und so wundert es kaum, dass wir in diesem Jahr auf der ersten digitalen HANNOVER MESSE als Aussteller vertreten sind, spannende Produkte wie unseren „Cloud Migration Check“ präsentieren und uns auf viele neue Kontakte freuen.

Die HANNOVER MESSE ist im Jahr 2021 weiterhin die führende Industriemesse und zieht Jahr für Jahr internationale Großkonzerne und lokale Industrielle gleichermaßen an. Erst 2017 wurde mit 225.000 Besuchern ein neuer Rekord verzeichnet und als rein digitale Veranstaltung ist die Erwartungshaltung selbstverständlich ebenfalls hoch.

Die diesjährige Messe steht ganz im Zeichen der „Industrial Transformation“. Vordenker der Industrie werden spannende neue Technologien u.a. im Bereich AI präsentieren. Stets ein Bestandteil ist der elementar wichtige Baustein „IT“. Doch neben technischen Neuerungen wird die HANNOVER MESSE auch zwei weitere wichtige Themen behandeln: Nachhaltigkeit und „WomanPower“. Für beide Bereiche sind großartige Vorträge geplant!

Auch wenn es an einigen Stellen weiterhin etwas hakt: Die Digitalisierung schreitet kontinuierlich voran. Industrie 4.0, New Work, Cloud und Automatisierung – Begriffe die inzwischen nicht mehr nur auf Messen oder vergleichbaren Veranstaltungen zum allgemeinen Sprachgebrauch gehören. Bei Partnern wie der michael wessel erhält der Mittelstand das notwendige Know-how um Schritt zu halten.

Damit das auch so bleibt, werden wir neben der eigenen Ausstellung selbstverständlich ebenfalls die interessanten Vorträge der ExpertInnen besuchen und die Messe für die eigene Weiterbildung nutzen.

Wenn Sie uns oder weitere Aussteller besuchen möchten, dann können wir Ihnen gerne ein kostenfreies Ticket für die digitale HANNOVER MESSE zur Verfügung stellen. Senden Sie uns hierfür gerne eine kurze Mail an:

vertrieb@michael-wessel.de

und wir lassen Ihnen Ihr Ticket zukommen. Vereinbaren Sie gerne einen Termin mit uns und lernen Sie uns kennen, wir freuen uns auf Sie!

PreLogin VPN über NetScaler

Always On before logon Funktion des Netscaler Gateway

Inzwischen dürfte sich rumgesprochen haben, das über die Netscaler Gateway Funktion des Netscalers nicht nur ein Zugriff auf ein XenDesktop realisiert werden kann, sondern auch Web-Applikationen und ein vollwertiges SSL VPN integriert werden können. 

Weitaus weniger bekannt ist, dass mit der Version 11.1 der Netscaler Firmware zur SSL VPN Funktion eine Always On Funktion bzw. jetzt zusätzlich noch eine „Always on service“ Funktion hinzugekommen ist. 

Bisher konnten sich Benutzer an einem Notebook anmelden um dann eine Netscaler Gateway Verbindung aufzubauen und dann gesteuert über ein Session Profile ein Full VPN aufbauen.  

Die bisherige Funktion konnte prinzipbedingt einige Situationen nicht abdecken: 

  • Benutzer startet das Notebook außerhalb des Unternehmensnetzes und benötigt Support bei der VPN/ Gateway Anmeldung. 
  • Ein Benutzer wechselt mit einem eingeschalteten Gerät aus dem VPN (z.B. Internet Cafe/ Homeoffice etc.) in das Unternehmensnetz oder will mit einem Gerät transparent weiterarbeiten welches vorher im Unternehmensnetz war. 
  • Das Unternehmen möchte den Netzwerkzugriff bei abgebautem VPN kontrollieren. 
  • Neue Benutzer ohne Cached Credentials müssen sich am mobilen Gerät anmelden. 
  • Das Notebook soll bereits vor dem Windows Logon im Netz sein um es mit Policies oder Softwareverteilung zu versorgen. 

Wie funktioniert der Always on Service bzw. die neue Funktion „Always on before logon“? 

Die Always On Funktion verbindet ein mobiles Endgerät mit einem VPN Endpunkt, mit dem es zuvor manuell verbunden wurde. 

Abhängig davon ob sich das mobile Endgerät im Unternehmensnetz oder „on the road“ befindet, wird die VPN Verbindung automatisch auf und abgebaut. 

Die Funktion „always on before logon“ wird über den „Always on service“ realisiert (Ablauf im Modus „Always on sErvcie with a user persona“): 

  • Nach dem Einschalten des Geräts wird eine Verbindung, der „Machine level tunnel“ zum Netscaler Gateway mit einem Device Zertifikat aufgebaut 
Alwayson with user personal flow

(Bild von Citrix) 

  • Der  Benutzer meldet sich mit seinem AD Benutzer an das Gerät an 
  • Nach der Anmeldung wird der Benutzer ggf. nach seinem zweiten Faktor befragt und nach erfolgreicher Verifizierung der „Machine Level tunnel“ durch einen „User level Tunnel ersetzt“ 
  • Wenn der Benuter sich abmeldet wird der „User Level Tunnel“ wieder durch den „Machine level tunnel“ ersetzt 

Ob und welcher Tunnel aufgebaut ist, lässt sich bei einem gesperrten Gerät über die Sign-In Options sehen (service mode= Machne level tunnel): 

Windows credential manager screen

(Bild von Citrix) 

Wie funktioniert die normale „Always on“ Funktion ? 

Sollte keine primäre Netzwerkverbindung vorhanden sein, wartet der Always on Service im Hintergrund auf den Verbindungsaufbau. 

Nach der neuen „always on before logon“ Funktionalität greift die bereits länger vorhandene „always on“ Funktion. 

Durch ein Always On Profile auf dem Netscaler kann kontrolliert werden, ob die VPN Verbindung aufgebaut bleiben soll, wenn das Gerät sich im Unternehmensnetzwerk („Location based VPN“) befindet oder was passieren soll wenn kein VPN Tunnel aufgebaut werden kann („Network Access on VPN Failure)“. Über das Setting „Full Access“ kann normaler Netzwerkzugriff und logon an jedem anderen Netscakler Gateway als Backup freigeschaltet werden. 

Citrix ADC vpx 
Configuration X 
@ https:// 
10.20.lO.lOO 
/menu/n 
Citrix ADC vpx (3000) 
Reporting 
HA Status 
Primary 
Documentation 
Ill \ 
Partition v 
default 
Downloads 
nsroot 
Dashboard 
Configuration 
O Configure AlwaysON Profile 
Name 
aonprof_mwde 
Location Based VPN* 
Remote 
Client Control* 
ALLOW 
Network Access On VPN Failure* 
Full Access 
OK 
Close

(Bild von br/ MWDE) 

Systemanforderungen 

AlwaysOn service Windows version Citrix ADC and Windows VPN plug-in version 
Always on service without a user persona Windows 7 and later No recommendation on specific Citrix ADC version. VPN plug-in must be version 13.0.36.xx and later or 12.1.53.xx and later. 
Always on service with a user persona Windows 8 and later Citrix ADC and VPN plug-in must be version 13.0.41.xx and later. 
   

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html  

„The expression is_aoservice is valid from Citrix Gateway version 13.0 build 41.20 and later.“ 

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html 

Welche Schritte sind zur Konfiguration von „Always on service with a user persona“ notwendig? 

  1. Für ein bestehendes Netscaler Gateway  muss ein Authentication Profile mit einem neuen AAA Authenticationserver 
    erzeugt werden (sofern noch kein Netscaler N-Factor im Einsatz ist) 
  2. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice“ prüft und die Action „sys.client_expr(“device-cert_0_0”)“ triggert (Binden mit Prio 100).  
  3. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice.not“ prüft den Actiontyp „No_AUTHN“ hat (Binden mit Prio 110)  
    als „Next Factor“ wird eine LDAP Authentication Policy hinterlegt. 

Weiterführende Links: 

Grundlegende Always On Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson.html

Neue Always On Servcie / before Logon Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html

Konfiguration der „before Logon Funktion“: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html

EPA mit Device Zertifikation: 

https://docs.citrix.com/en-us/citrix-gateway/13/device-certificate-in-nfactor-as-an-epa-component.html

Zero Day Sicherheitslücke in Microsoft Exchange

Wie vor einigen Tagen bekannt wurde, hat eine Hacker-Gruppierung namens Hafnium mehrere Zero-Day-Sicherheitslücken in Microsoft Exchange ausgenutzt. Am vergangenen Freitag hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „IT-Bedrohungslage Rot“ ausgerufen und aufgefordert, die Lücke schnell zu schließen. Ab 26. Februar begannen die Angreifer zusätzlich offenbar damit, automatisiert Hintertüren in verwundbare Exchange Server von Microsoft einzubauen, tausende Server pro Stunde wurden so attackiert. Erst am 3. März wurde zur Schließung der Sicherheitslücke ein Update von Microsoft zur Verfügung gestellt.

Bei uns auch?

Wie sicher sind Sie, dass Sie aktuell nicht betroffen sind?  

Microsoft hat für Sofort-Checks auf dem Exchange Server Analyse-Werkzeuge bereitgestellt, die wir sehr gerne für Ihren Schutz einsetzen. Wir haben in den letzten Tagen bereits zahlreiche betroffene Systeme bereinigt, neu aufgesetzt und für die Zukunft durch das Einspielen der aktuellen Patches neu abgesichert.

Gerne sind wir schnell für Sie mit Sofortmaßnahmen aktiv.
Sprechen Sie uns jederzeit an.