SASE, Secure Access Service Edge – Definition, Vorteile und Anwendungsfall

Was ist SASE?

SASE, Secure Access Service Edge, wurde erstmals Ende 2019 als Schlagwort im Gartner Bericht „Die Zukunft der Netzwerksicherheit liegt in der Cloud“ erwähnt. Seitdem verschaffte sich der Begriff im Netzwerkbereich einen schnellen Auftrieb, heute kommt man an SASE kaum noch vorbei. Kurz gesagt ist SASE ein Sicherheitskonzept, das standortunabhängig eine nahtlose und sichere Verbindung mit Anwendungen in jeder Umgebung ermöglicht und gleichzeitig die Netzwerk- und Sicherheitsfunktionen für die IT optimiert. 

Das SASE-Modell vereint SD-WAN- und Netzwerksicherheitsfunktionen in einer Single-Pass-Architektur, die über eine zentrale Managementebene für Networking und Cybersicherheit verwaltet wird. Gartner hat hierbei die Funktionen der Architektur in Hauptfunktionen und empfohlene Funktionen unterteilt: 

  • Hauptfunktionen 
    SD-WAN, Secure Web Gateway, Cloud Access Security Broker, Zero-Trust-Netzwerkzugriff, Firewall as a Service, Schutz vor Datenverlust, Maßstabsgerechte Ver- und Entschlüsselung in Leitungsgeschwindigkeit 
  • Empfohlene Funktionen 
    Schutz von Web-Anwendungen und APIs, Remote-Browser-Isolierung, Netzwerk-Sandboxen, Support für verwaltete und nicht verwaltete Geräte 

Vorteile mit SASE

  • Verbesserung der IT-Agilität 
  • Schneller, sicherer Zugriff auf Cloud-Anwendungen, unabhängig vom Standort 
  • Steigerung des Benutzerkomfort durch Beseitigung von Latenz, da Traffic nicht mehr durch das Rechenzentrum geleitet werden muss 
  • Steigerung der IT-Flexibilität, da Netzwerk- und Sicherheitslösungen verschiedener Anbieter konsolidiert werden, dies fördert die bessere Integrationsmöglichkeiten sowie ein zentrales Management, was wiederum Implementierung, Konfiguration, Berichterstellung und Support-Services vereinfacht 
  • Verbesserung der Elastizität und Skalierbarkeit der Architektur, da durch die Migration der Sicherheitsfunktionen in die Cloud insgesamt weniger Hardware erforderlich ist 
  • Steigerung der Sicherheit, da durch Anwendung des Zero-Trust-Modells mit Identitätserkennung die Angriffsfläche verringert und die Verbreitung von Malware innerhalb des Unternehmensnetzwerks vorgebeugt wird 

Herausforderungen bei der Einführung von SASE 

  • Beseitigung unzureichende Zusammenarbeit und mangelndes Vertrauen zwischen Netzwerk- und Sicherheitsteams  
  • Vorantreiben des erforderlichen organisatorischen Wandels 
  • Regelung von Verantwortlichkeiten 
  • Auswahl des richtigen Anbieters 

Zero-Trust Network Access als Bestandteil von SASE bereits im Einsatz 

Gemeinsam mit unserem Partner Sophos können wir bereits heute einen wichtigen Bestandteil von SASE mit Zero-Trust Network Access (ZTNA) realisieren. 

Hierbei handelt es sich um eine intelligente Weiterentwicklung des klassischen Client-VPNs zum externen Zugriff auf interne Ressourcen unter dem Vorsatz von „Zero Trust“ – also vertraue niemandem. 

Zunächst steht die Verifizierung des Benutzers im Vordergrund, idealerweise gepaart mit einer Multi-Faktor-Authentifizierung, um mögliche Szenarien rund um kompromittierte Login-Daten direkt im Kern zu ersticken. Im Anschluss daran wird das zugreifende Device auf Compliance kontrolliert und im Anschluss daran über einen Cloud-Connector mit SingleSignOn-Features nur genau die Ressource zur Verfügung gestellt, für die der User berechtigt ist und die er überhaupt angefragt hat. Das funktioniert durch granulare, cloud-verfügbare Richtlinien. Die Benutzererfahrung ist dabei simpel und fehler-unanfällig. 

Vorteile von ZTNA gegenüber klassischem Client-VPN: 

Granulare Kontrolle
ZTNA ermöglicht eine granularere Kontrolle darüber, wer auf Applikationen und Daten aus dem internen Netzwerk zugreifen kann und stellt auch nur genau diese Applikationen und Zugriffe bereit. Klassisches Client-VPN ist hingegen eher „alles-oder-nichts“ – Einmal im Netzwerk kann grundsätzlich mehr erreicht werden, als eigentlich möglich ist und eine Kontrolle darüber ist nach erfolgreicher Verbindung nahezu unmöglich. 

Bessere Sicherheit
ZTNA vertraut nicht anhand statischer Richtlinien, sondern bezieht nebst der Benutzer-Authentifizierung auch den Geräte-Status und dessen Compliance in die Auswahl der anschließenden Zugriffsberechtigungen mit ein. 

Einfach erweiterbar
ZTNA ist spürbar einfacher in der Erweiterung oder zur Bereitstellung neuer Mitarbeiter – besonders wenn diese von Beginn an exklusiv remote arbeiten und dennoch Zugriff auf interne Ressourcen benötigen. 

Tranparent für den Benutzer
ZTNA folgt dem „It just works“-Konzept und erspart daher dem Benutzer komplexeres Verständnis eines Client-VPNs und Verbindungsstatus. Für den Benutzer ist es ein transparentes Benutzererlebnis ohne spürbare Erkenntnis, dass es sich teilweise um Remote-Ressourcen handelt. 

Wie kann es weitergehen?

Sie haben weitere Fragen oder Anregungen zu diesem Thema und sich auf der Suche nach einem aktiven Austausch?
Unsere Experten stehen Ihnen gerne zur Verfügung.

Teil 2: VerSAMLung – SSO mit SAML oder KCD für interne Webservices

(von Stefan Kuscher und Benjamin Rodewald)

Im ersten Teil unserer Serie „verSAMLung“ haben wir den Citrix Application Delivery Controller (ADC) als SP an die MS Azure MFA Authentifizierung (als IdP) angebunden und so die bequeme und transparente Nutzung von Applikationen auf dem Citrix ADC möglich gemacht, welche mit einer Pre-Authentifizierung geschützt sind.

Bisher muss man sich nach der Anmeldung am Azure (welche der ADC nutzt) noch immer an der eigentlichen Applikation anmelden, aber auch dafür gibt es eine Lösung. Der ADC bietet die Möglichkeit Anmeldedaten zu extrahieren und die diese auch für den Single Sign On im Backend zu benutzen. Im einfachsten Fall, könnte die dem ADC bekannte Username/ Kennwort Kombination z.B. für eine 401 Header Based Authentication genutzt werden, hierfür wäre lediglich eine Traffic Policy, welche Web Single Sign On anschaltet, notwendig.

In Verbindung z.B. mit SAML oder Certificate based Authentication ist das Vorgehen ein klein wenig komplizierter, da auf dem ADC keine Anmeldedaten vorliegen (was dem Sicherheitsniveau natürlich sehr zuträglich ist). Hier muss ein Verfahren genutzt werden, welches alleine mit den im SAML Token vorhandenen oder im Zertifikat vorhandenen Informationen auskommt. Neben der Möglichkeit hier im Backend ebenfalls SAML für den SSO zu benutzen, gibt es die Möglichkeit Kerberos Constrained Delegation (KCD) zu nutzen. Da sämtliche Applikationen aus dem Windows Umfeld damit sehr einfach angebunden werden können, bietet sich diese Möglichkeit oft an um eine Applikationen zu verSAMLen (SAML fähig zu machen).

DNS und NTP auf dem ADC

Wie auch in den späteren Logs erkennbar sein wird, benötigt der Netscaler für die Nutzung von Kerberos eine funktionierende DNS Auflösung der Windows Active Direcory Domain und eine per NTP korrekt synchronisierte Uhrzeit. Für die Domain/ den DC kann theoretisch auf dem Netscaler auch manuell ein Ressource Record hinzugefügt werden. Zur Zeitsynchronisation sind idealerweise mindestens zwei NTP Server einzutragen und die Synchronisation einzuschalten.

Konfiguration AD Account / Delegation

Bei der Constrained Delegation wird ein Servcie Benutzer für den ADC angelegt, dem dann die Delegierung (Zugriff im Auftrag eines anderen Benutzers) erlaubt wird:

Nachdem der Benutzer angelegt wurde, muss der HOST SPN gesetzt werden, damit die Regsiterkarte „Delegation“ erscheint:

setspn -S HOST/[Name d. Deleg.-konto].[FQDN] [NetBIOS-Domainname]\[Name d. Deleg.-konto]

Setzen des Host SPN
Kerberos Delegierungskonto 1/2

Auf der Registerkarte „Delegation“ des Accounts wird dann die eigentliche Delegierung konfiguriert, der Service SPN „http/demoweb.mwdemo.local@MWDEMO.LOCAL“ für einen internen Microsoft IIS Webserver.

Kerberos Delegierungskonto 2/2

Konfiguration KCD auf dem ADC

Für den Account wird dann auf dem ADC ein KCD Objekt erstellt, welches in einer Traffic Policy eingebunden wird:

ADC / KCD-Account
add aaa kcdAccount wiakcd_appdelegation -realmStr MWDEMO.LOCAL -delegatedUser appdelegation -kcdPassword b616477dhgkjifdghuidf4757747593458930580f -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2021_yy_yy_yy8 -userRealm MWDEMO.LOCAL -serviceSPN "http/demoweb.mwdemo.local@MWDEMO.LOCAL"

Steuerung SSO mittels Traffic Policy und Profile

Mittels einer Traffic Policy und einem Traffic Profile, welches auf dem Load Balancing Vserver gebunden wird, wird gesteuert an welchen Stellen die KCD SSO Settings angewendet werden sollen:

Traffic Profile (unten ist der KCD Account ausgewählt)
add tm trafficAction prof_traf_wia_demoweb_kcd -SSO ON -persistentCookie OFF -InitiateLogout OFF -kcdAccount wiakcd_appdelegation

Traffic Policy über die das o.g. Profile angebunden wird
add tm trafficPolicy pol_traf_wia_demoweb_kcd true prof_traf_wia_demoweb_kcd

Debugging

Ein Debugging ist mittels cat /tmp/nkrb.debug möglich.

Bei unserem ersten Versuch in der Demo Umgebung gab es wegen den unterschiedlichen Realms in Verbindung mit dem Azure AD noch Probleme:

Log Fehler

Wir haben daraufhin in den KCD Settings das Feld „User Realm“ ergänzt, dies verhindert, dass wie oben eine Cross Realm Authentifizeirung zwischen Azure AD und AD Domäne versucht wird. Somit wird die Anfrage „Username@michaelwesseldemo.onmicrosoft.com“ zu der passenden Anfrage „Username@mwdemo.local“ umgewandelt. Dieser „Workaround“ betrifft unserer Testumgebung aufgrund der fehlenden routingfähigen Domäne.

Hier die Logs des Erfolgsfalls:

Log Erfolg – 1
Log Erfolg – 2
Log Erfolg – 3
Log Erfolg – 4
Log Erfolg – 5
Log Erfolg – 6
Log Erfolg – 7

Sicherheitslücke Log4J und was zu tun ist!

Am 09.12.2021 wurde eine kritische Sicherheitslücke in Apache’s Log4J veröffentlicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Sicherheitlücke mit maximaler Warnstufe (Stufe 4 von 4) ein und beschreibt die IT-Bedrohungslage damit als extrem kritisch.

log4j ist ein Framework zum Logging von Anwendungsmeldungen in Java. Es hat sich innerhalb vieler Softwareprodukte (Kommerzielle Systeme und Open Source) über viele Jahre zu einem De-Facto-Standard entwickelt. log4j gilt als Vorreiter für andere Logging-Umgebungen und wird von Entwicklern von Web- und Server-Applikationen intensiv genutzt, die in Java und anderen Sprachen entwickeln. Deshalb liegt die Gefährlichkeit dieser Schwachstelle in dem Umstand, dass sie einen großen Bereich von Services und Server-Anwendungen betrifft.

Kleinere, private IT-Umgebungen, z.B. in Home Offices und im Home Entertainment wurden bereits am letzten Wochenende durch Hersteller gepatcht, wie zum Beispiel die Firmware einiger Router des Herstellers von Ubiquiti – die Updates erfolgten hier automatisch.

Der Hersteller Sophos stellt in seinem Security Advisory eine Reihe von Informationen bereit: „SophosLabs has deployed a number of IPS signatures for Sophos Firewall, Sophos Endpoint, and Sophos SG UTM that scan for traffic attempting to exploit the Log4J vulnerability. The Sophos Managed Threat Response (MTR) team is actively monitoring MTR customer accounts for post-exploit activity. Sophos XDR customers can use a query to help identify vulnerable Log4J components in their environment.“

Kunden sollten Ihre IT-Infrastrukturen auf das Vorhandensein bzw. den Einsatz von Log4J kritisch prüfen – im ersten Schritt mit Fokus auf die Systeme, die dem Internet nahe Funktionen ausführen und daher extern erreichbar sind. Da so viele interne und externe Anwendungen auf diesem Java-Framework basieren, ist eine Identifikation aller betroffener Software in der gesamten Infrastruktur weiterhin sehr herausfordernd.

Parallel prüfen auch alle Hersteller aktuell die Anfälligkeit Ihrer eigenen Produkte und Software auf die Sicherheitslücke und entwickeln entsprechende Patches.
Dazu gibt es aktuell eine inoffizielle Liste bei GitHub mit einer Zusammenstellung und Verlinkung aller möglich betroffenen Hersteller und entsprechender Analysen.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Kunden die bereits ein automatisches Schwachstellenmanagement im Einsatz haben, profitieren in dieser Zeit von automatisierten Scans der Unternehmenes-IT. Ebenfalls sind zu dieser Sicherheitslücke bereits ausführliche CVEs und NVTs (Network Vulnerability Tests) vorhanden, sodass betroffene Software und Dienste mit einem Schwachstellenscanner wie #Greenbone im gesamten Netzwerk einfach und zuverlässig identifiziert werden können.

Gerne unterstützen wir Sie!

Teil 1: VerSAMLung – Microsoft Azure SSO am Citrix ADC mit SAML

(von Stefan Kuscher und Benjamin Rodewald)

Im Nachfolgenden erläutern wir die Vorteile, wenn Citrix ADC und Azure Active Directory verSAMLt sind und wie wir dies umgesetzt haben.

Folgende Vorteile ergeben sich:

  • Benutzer muss lediglich beim Anmelden am Arbeitsgerät ein Passwort eingeben (SSO) und ist somit automatisch beim Citrix ADC bekannt und bestenfalls alles was mit diesem verknüpft ist. Von dort aus kann z.B. der Zugriff auf Applikationen wie Citrix Xenapp/XenDesktop oder auch Web-Applikationen erfolgen. (Ohne zusätzliche Anmeldung)
  • Azure AD als der Zugangspunkt für Benutzer.
  • Benutzersteuerung/Berechtigungsverwaltung zentral in Azure AD.
  • Conditional Access\Begrenzter Zugriff + MFA (Azure AD P1 Lizenz)

Voraussetzungen

Ablauf

Abbildung Ablauf SAML

Das SAML Protokoll wurde geschaffen um über eine Teilung in Identity Provider (IdP) und Service Provider (SP) die Authentication für Zugriffe zu ermöglichen. Dabei kann sofern eine Applikation z.B. aus der Cloud bezogen wird, trotzdem gegen einem IdP, der unter Kontrolle des eigenen Unternehmens steht authentifiziert werden (in unserem Falle ist dieser in der Cloud als MS Azure AD ausgeprägt). Der SAML SP (AAA auf dem ADC) vertraut diesem IdP und lässt den Request beim Vorhandensein der Authentifizierungsinformationen passieren. Sind die Informationen nicht vorhanden, würde der Citrix ADC auf die Anmeldeseite des SAML IdP weiterleiten.

In unserem speziellen Fall meldet das Gerät bereits beim MS Windows Logon den Benutzer in der Cloud beim Azure AD an. Der Benutzer besitzt daher zum Zeitpunkt seines ersten Zugriffs schon die entsprechenden Anmeldeinformationen und der ADC (bzw. die AAA / SP Komponente) lässt den Benutzer mit SSO passieren.

Deployment einer Enterprise Applikation in Azure (IDP)

Um eine Kommunikation mit dem Citrix ADC via SAML herzustellen benötigt man auf der Azure Active Directory Seite eine Enterprise Applikation. Diese wird im Azure Active Directory -> Enterprise Applications -> New Application
bereitgestellt und wird benötigt um sich mit dem SP per SAML auszutauschen.

Auswählen einer Vorlage im Browse Azure AD Gallery für das Citrix SAML Add On
Microsoft bietet bereits diverse Vorlagen für Enterprise Applikationen an. In unserem Fall benötigen wir die Vorlage „Cirix ADC SAML Connector for Azure AD“.

In der Enterprise Applikation müssen die benötigten Informationen wie Identifier, Reply URL und Sign On URL des Citrix ADC hinterlegt werden.

1.) Enterprise Applikation -> Name der APP -> Single Sign-on
Identifier: https://FQDN
Reply URL: http(s)://FQDN der WebApplication/cgi/samlauth
Sign On URL: https://FQDN/CitrixAuthService/AuthService.asmx


Ebenfalls finden sich dort die Informationen die der Citrix ADC im späteren Verlauf benötigt z.B. die Login URL von Azure Active Directory oder die Metadaten URL.

2.) Mittels Metadaten URL kann der Austausch der Informationen zwischen AAD und ADC automatisch erfolgen. Voraussetzung hierfür ist dass die Version des CItrix ADC den Austausch via Metadaten bereits unterstützt.

3.) Falls ein Austausch via Metadaten nicht in Frage kommt ,können die Informationen auch manuell dem Citrix ADC übergeben werden (Login URL, Zertifikat…).

Screenshot aus dem Citrix ADC SAML Connector

Berechtigungskontrolle für die Enterprise Applikation

Im Anschluss müssen die Benutzer noch die Berechtigungen erhalten, um die Enterprise Applikation nutzen zu können. In unserem Fall stellen wir die Applikation für alle Benutzer zur Verfügung. Wir deaktivieren somit die Zuweisung für einzelne Benutzer komplett:

Assignment required = No

Screenshot Zuweisung einzelner Gruppen und Nutzer
Falls eine Zuweisung an einzelne Benutzer erwünscht ist, einfach „Assignment required“ auf „Yes“ umstellen (Standardeinstellung) und die Zuweisung für Benutzer unter „Users and Groups“ durchführen.

Konfiguration des AAA Servers / SAML SPs auf dem ADC

Um eine Applikation auf dem Netscaler mit einer Preauthentication zu schützen, kommt die AAA Funktion zum Einsatz. Hierfür wird ein AAA Virtual Server Objekt angelegt, welches in der SAML Welt gleichzeitig den SAML Service Provider (SP) darstellt, der in unserem Fall dem Microsoft Azure Identity Provider (IdP) vertraut. Um für eine Web Applikation die Anmeldung am AAA bzw. dem SAML IdP zu erzwingen, wird der AAA Vserver auf dem enstprechenden Load Balancer oder Content Switch Objekt über die „Authentication“ Registerkarte verknüpft.

Anlage des AAA Virtual Servers

Screenshot  Anlage des AAA im Authentication Virtual Servers
add authentication vserver aaademo SSL 0.0.0.0

Ein SSL Zertifikat muss gebunden werden, auch wenn der AAA Vserver nicht direkt angesprochen wird.

bind ssl vserver aaademo -certkeyName AAA_test
bind ssl vserver aaademo -eccCurveName P_256
bind ssl vserver aaademo -eccCurveName P_384
bind ssl vserver aaademo -eccCurveName P_224
bind ssl vserver aaademo -eccCurveName P_521

Screenshot SSL Virtual Server Server Certificate Binding

SAML SP Server

Falls der Import der Metadaten nicht funktioniert, können die Daten auch aus dem XML extrahiert werden und manuell hinterlegt werden. Das IdP Zertifikat lässt sich auf der Azure Enterprise Appliacation im Azure Portal exportieren (Base64 bietet sich an).

Screenshot mögliche Konfiguration aus dem Configure Authentication SAML Server
SAML Action 1/3
SAML Action 2/3

Nach Citrix Best Practices muss zur Absicherung eine Relaystate Regel konfiguriert werden (vergl. Citrix Application Delivery Controller and Citrix Gateway – SAML Configuration Reference Guide):

SAML Action 3/3 – Relaystate Regel
add authentication samlAction AzureSSOHapp-SAMLServer -samlIdPCertName ADC-SAML-Connector -samlRedirectUrl "https://login.microsoftonline.com/883dfdf-154e-4fdf33-b857-1dfdf8d/saml2" -samlIssuerName "https://vipdemo.michael-wessel.de" -relaystateRule "AAA.LOGIN.RELAYSTATE.EQ(\"https://vipdemo.michael-wessel.de/\")" -logoutURL "https://login.microsoftonline.com/8dda6db-dde-4e33-dddd7-173179eb1e8d/saml2"

SAML SP Policy

Screenshot Configure Authentication Policy
add authentication Policy pol_AzureSSOHapp -rule true -action AzureSSOHapp-SAMLServer

Die erstellte SAML SP Policy muss dann an den AAA Virtual Server / SAML SP gebunden werden und der AAA Virtual Server auf der Registerkarte „Authentication“ des Load Balancers oder Content Switches verknüpft werden. Auf ADCs mit einer aktuellen Firmware haben sich zudem die Defaults für die Athorization geändert, so dass eine pasende Authorization Policy anzulegen ist.

Ausblick

Mit dem Vorliegen der Anmeldeinformationen kann auf dem Netscaler auch eine detaillierte Berechtigung auf bestimmte URLs anhand von z.B. Gruppenmitgliedschaften über Authorization Policies erfolgen.

Außerdem ist es möglich authentifizierte Benutzer z.B. per SAML oder KCD an Servern hinter der Pre-Authentication automatisch anzumelden.

Im MS Azure sind umfangreiche Möglichkeiten der Multi Faktor Authentifizierung und des Conditional Access möglich.

Mehr zu diesen und anderen Möglichkeiten werden sie in den weiteren Artikeln unserer Serie „verSAMLt“ lesen.

How To: Performanceanalysen

Möglicherweise kennt man noch die Sanduhr, den Ladebalken oder einfach eingefrorene Sitzungen in Citrix- oder Microsoft-RDP-Umgebungen. Das muss aber nicht sein. Lange Ladezeiten und hohe Latenzen bei der Datenübertragung können Anzeichen für ein unperformantes Netzwerk sein. Der Grund dafür muss nicht immer an einer zu hohen Auslastung der Hardware liegen. Von verschmutzten Lichtwellenleitern, gebrochenen Kupferkabeln zu Netzwerkloops über falsch konfigurierte Routen bis hin zum unbemerkten Ausfall einzelner Komponenten ist alles dabei. Auch Unstimmigkeiten im Verhalten der Virtualisierungs-Umgebung auf Basis von VMware vSphere oder Microsofts HyperV sowie Engpässen im SAN oder an zentralen / dezentralen Speichersystemen können so lokalisiert, eingegrenzt und entschärft werden. Um diesem meist unübersichtlichen, ggf. langwierigen Troubleshooting eine Struktur zu geben, hat sich bei der michael wessel ein Standardvorgehen etabliert. Davon profitieren Sie als Auftraggeber vor allem durch Struktur, Transparenz und eine Vergleichbarkeit der Ergebnisse.

Wer nicht neugierig ist, erfährt nichts.

 Johann Wolfgang von Goethe

Ablauf einer Performanceanalyse

Wie läuft so etwas ab? Um unnötige Aufwände zu vermeiden, wird sich zuerst auf die bestehende Dokumentation und die problembehaftete Verbindung konzentriert. Daraus und ggf. weiterer Hintergrundrecherche werden gemeinsam individuelle Testszenarien aufgestellt und eine Abgrenzung zu angrenzenden Themen geschaffen, um im gesamten Vorgehen durchgehende Transparenz gewährleisten zu können.

Wir messen im Anschluss die Performance Ihres Netzwerkes und analysieren die Gegebenheiten, um Ihnen im Nachgang eine fundierte Handlungsempfehlung vorzustellen. Die Handlungsempfehlung erhalten Sie, begleitet durch Erläuterung im Abschlussgespräch, in digitaler Form.

Ablauf einer Performanceanalyse

Definieren von Testszenarien

Gemeinsam definieren wir Strecken, auf welchen die Performance spürbar eingeschränkt ist oder auf der es zu sporadischen Leistungseinbrüchen kommt. Diese Strecken werden in einem Aufnahmegespräch immer weiter analysiert, die eingesetzten Anwendungen und deren Eigenheiten bedacht und in einem Testszenario oder sofern zielführend mehreren Testszenarien zum Schaffen einer Vergleichbarkeit zusammengefasst.

Schaffen von Abgrenzungen

Wer einen klaren Blick auf die eigentliche technische Herausforderung benötigt, muss Inhalte und Verhaltensweisen abgrenzen können. Deshalb ist die Abgrenzung von technischen wie inhaltlichen Themen fester Bestandteil des Analyseprozesses. Man kennt es aus der Tierwelt – ein Turmfalke im Anflug auf die Beute zählt auch nicht die Wolken und Blätter an den Bäumen um ihn herum, er fokussiert seine Beute, blendet alles irrelevante aus, schärft seine Sinne. Nur, dass in diesem Fall die Infrastruktur fokussiert wird.

Transparenz im Vorgehen

Im Fokus der Analyse steht die Transparenz der geplanten Szenarien und eingesetzten Tools. Diese werden gemeinsam abgestimmt und zur Bestätigung von beiden Seiten vor Beginn jeder Messung oder eines Belastungstests unterzeichnet. Somit wird eine detaillierte Analyse nicht zum allumfassenden Infrastruktur-Review, sondern bleibt fokussiert. Wie der Turmfalke auf der Jagd. Jederzeit nachvollziehbar, mit höchster Konzentration.

Durchführung der Performance-Messung

Im Anschluss der Definition von Testszenarien und der eindeutigen Abgrenzung wird die Performance-Messung selbst durchgeführt. Im Idealfall kann anhand der gewonnenen Daten bereits jetzt eingegrenzt werden, an welcher Stelle im Netzwerk sich der Flaschenhals befindet. Sollte die Messung noch nicht zielführend gewesen sein, können zusätzlich weitere Auswertungen zu Statistiken, Logs und weiteren Parametern stattfinden. In diesem Zuge werden auch Konfigurationsunstimmigkeiten und weitere Möglichkeiten zur Performance-Optimierung aufgedeckt. Dies bedeutet meist einen deutlich geringen Aufwand im Vergleich zu einer möglicherweise nicht notwendigen Neuanschaffung der Hardware und schafft zusätzliche Transparenz im eigenen Netz, was wiederum künftiges Troubleshooting erheblich vereinfacht.

Nach Definition von Testszenarien beginnt die eigentliche Messdatengewinnung zur tiefergehenden Analyse

Auswertung der Ergebnisse

Die Auswertung der gesammelten Ergebnisse wird im Nachgang durchgeführt. Um falsche Schlussfolgerungen aufgrund eines ungewöhnlichen Verhaltens vorzubeugen, werden mehrere Fachkollegen mit einbezogen. Die Erstellung der aufbereiteten Handlungsempfehlung erfolgt stets mindestens im Vier-Augen-Prinzip und wird erst nach Review zur Veröffentlichung freigegeben.

Handlungsempfehlung und Abschlussgespräch

Daraus ergibt sich eine Handlungsempfehlung, die zum Abschluss gemeinsam besprochen wird und wo konkrete Möglichkeiten zur Verbesserung aufgezeigt werden. Oftmals bewirken schon geringe Konfigurations- oder Designänderungen die ersten spürbaren Verbesserungen, auch der Tausch von Kabeln und Transceivern kann manchmal wahre Wunder wirken.

Nur eine nachvollziehbare Handlungsempfehlung ist eine gute Handlungsempfehlung. Darum besprechen wir die Ergebnisse und die daraus abgeleiteten Empfehlungen ausführlich mit Ihnen.

Ein möglicher Handlungsschritt bei z.B: unnötig großen Netzen wäre unter anderem die Minimierung von Broadcastdomänen. Auch ein verlässliches Spanning-Tree-Konzept sowie dessen Umsetzung können die Netzwerkperformance und -stabilität erhöhen. Des Weiteren kann durch die Optimierung einzelner Verbindungen und das auflösen von Netzwerkkaskaden die Produktivität in Ihrem Unternehmen gesteigert werden.

Bei Bedarf kann neben dem Netzwerk auch die Server- und Storage-Performance, sogar Wireless-Infrastrukturen geprüft werden. Für die Analyse von drahtlosen Infrastrukturen liegt aufgrund der hohen Komplexität der möglichen Störquellen genormtes Testequipment und ungeahntes, im Kopf schlummerndes Know How unserer Wireless-Experten parat. Weitere Informationen zu WLAN-Ausleuchtungen finden Sie hier.

… und dann?

In möglichen Folgeprojekten können Sie natürlich auch auf unsere Expertise setzen. Von punktuellem Troubleshooting in der Tiefe, der Durchführung von Infrastrukturmodernisierungen oder der Entwicklung einer Cloud- oder einer Digitalstrategie bietet sich ein weites Themen-Spektrum bei fachlicher Tiefe im Hause der michael wessel. Sie beherrschen Ihr Business, wir unseres.

VMware vSphere 7.0U2 verliert Zugriff auf SD-Karten

Beim Betrieb von vSphere 7 Update 2 auf einer SD-Karte kann es unter Umständen dazu kommen, dass das Betriebssystem den Zugriff auf selbige verliert und der ESXi-Host einfach einfriert.

Problem

Hierbei stehen durch den Verlust des Zugriffs auf die SD-Karte die Systempartitionen nicht mehr zur Verfügung. Dadurch wird es unmöglich, die VMs zu verwalten. Laufende VMs sind zwar weiterhin funktional, können aber nicht mehr herunter- und hochgefahren oder auf einen anderen Host migriert werden.

Die CPU-Last des ESXi-Hosts steigt kontinuierlich an, so dass schlussendlich die Leistung und nach einiger Zeit auch die Funktionalität der VMs betroffen ist. Eine Evakuierung (z.B. durch den Wartungsmodus) ist nicht möglich, es bleibt lediglich ein harter Reset als letzte Option. Ist in der Umgebung ein vCenter mit aktivem HA vorhanden, werden die VMs anschließend auf einem anderen Host neu gestartet.

Workaround

Aktuell gibt es nur einen temporären Workaround. Dieser setzt Kenntnisse und Zugriff auf die Konsole des ESXi-Hosts voraus:

Das Ausführen von

esxcfg-rescan -d vmhba32

führt dazu, dass tote Pfade zur SD-Karte verworfen werden und das Gerät erneut gescannt wird. Der Befehl muss unter Umständen mehrfach in einem Abstand von mehreren Minuten ausgeführt werden, solange bis keine Fehler mehr auftreten.

Nach einem anschließenden Neustart der Management Agents können die VMs vom Host evakuiert werden. Ein kontrollierter Reboot des Hosts ist nun möglich.

Der Verbindungsverlust zur SD-Karte tritt nach 24 bis 48 Stunden erneut auf und das Prozedere beginnt von vorn.

Lösung

Eine Lösung mittels eines Updates oder Patches ist bisher noch nicht gegeben. VMware hat die Behebung des Problems für einen zukünftigen Patch angekündigt. Ein konkretes Release-Datum gibt es bisher nicht.

„VMware engineering has a fix that will be in the next release of 7.02 P03 which is planned for sometime in July 2021.“

VMware,

Sichere Abhilfe schafft momentan nur ein Downgrade (sofern möglich) oder die Neuinstallation des ESXi-Hosts mit vSphere 7.0U1.

Der Betrieb von vSphere 7.0U2 auf internen SSD- oder HDD-Medien ist problemlos möglich.

Update

Patch 7.02 P03 wurde zwischenzeitlich veröffentlich, konnte das Problem allerdings nicht beheben.
Die Lösung wird mit Version 7.0U3 erwartet. Eine offizielle Bestätigung seitens des Herstellers fehlt hierzu allerdings noch.

Unterstützung gewünscht?

Sie benötigen Unterstützung oder Beratung in diesem oder anderen Themen? Wir unterstützen gerne.

Weiterführende Informationen zum Thema Servervirtualisierung gibt es hier.

Quellen

Problem: https://kb.vmware.com/s/article/83963

Workaround: https://communities.vmware.com/t5/ESXi-Discussions/SD-Boot-issue-Solution-in-7-x/td-p/2852027

Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Aruba AOS-CX: Patches für mehrere Schwachstellen veröffentlicht

Der Hersteller HPE hat für die Produkte der Aruba-Sparte Mitte dieser Woche mehrere Updates für kabelgebundene Switch-Produkte mit AOS-CX veröffentlicht. Diese schließen mehrere Sicherheitslücken. Wir haben Ihnen hier die Wichtigsten Informationen zusammengefasst.

Um welche Sicherheitslücken handelt es sich?

In den Patches werden insgesamt vier Schwachstellen betitelt.

  • SAD DNS Vulnerability (CVE-2020-25705)
  • Remote Code Execution Via External Storage (CVE-2021-29143)
  • PHY Firmware Local Bypass Security Restrictions (CVE-2021-29149)
  • Path-relative Stylesheet Import (PRSSI) (CVE-2021-29148)

Bei der Schwachstelle SAD handelt es sich um einen Bug, der sich auf die Art und Weise, wie Antworten von ICMP-Paketen im Linux-Kernel behandelt werden. Dieser kann ausgenutzt werden um ein sogenanntes DNS Cache-Poisoning durchzuführen. Dabei kann eine Domain (zb. www.google.de) auf eine andere IP-Adresse weitergeleitet werden und ermöglicht potentiellen Angreifern so, bekannte Domains auf selbst erstellte oder kompromittierte Sites weiterzuleiten.

Für die zweite und dritte Sicherheitslücke werden administrative Zugangsdaten benötigt, weshalb diese hier nicht weiter erläutert werden.

Die letzte PRSSI-Schwachstelle bezieht sich auf eine Schwachstelle in der Web-GUI der Geräte. Aufgrund der Konfiguration der webbasierten Verwaltungsoberfläche können relative URLs innerhalb von HTML-Seiten das falsche Ziel weitergeben. Dadurch wird möglicherweise die angezeigte Benutzeroberfläche (UI) verändert und man könnte auf bösartige Webseiten geleitet werden.

Sind die Geräte in meinem Unternehmen betroffen?

Die Switche aus der Aruba 8400/8360/8325/8320 und Aruba 6400/6300/6200F Serie mit den unten stehenden Firmware-Ständen sollten umgehend auf einen aktuellsten Stand gebracht werden.

Betroffene Firmware Versionen von AOS-CX:

  • 10.04.xxxx – Versionen vor 10.04.3070
  • 10.05.xxxx – Versionen vor 10.05.0070
  • 10.06.xxxx – Versionen vor 10.06.0110
  • 10.07.xxxx – Versionen vor 10.07.0001

Was kann ich tun wenn ich betroffen bin?

Schnellstmöglich sollte auf eine aktuelle Firmware Version aktualisiert werden. Die Versionen, welche entsprechende Fixes mit sich bringen sind:

  • 10.05.0070 und höher
  • 10.06.0110 und höher
  • 10.07.0001 und höher

Achtung!

Betroffene Aruba-Produkte mit einer 10.04.xxxx Firmware Version müssen auf 10.05.0070 aktualisiert werden, um alle Schwachstellen zu beheben.

Benötigen Sie Unterstützung bei der Prüfung oder Umsetzung der Firmware-Updates? Ist Ihre Umgebung nicht mehr leistungsstark genug oder sind einfach Ihre Anforderungen gewachsen? Sprechen Sie uns an, wir helfen Ihnen gerne.

Weitere Informationen zu den Sicherheitslücken finden Sie auf der Herstellerseite unter:

https://www.arubanetworks.com/support-services/security-bulletins/

Sophos revolutioniert IT-Sicherheit mit offenem Ökosystem

Um den immer komplexeren und gezielteren Cyberattacken die Stirn bieten zu können, müssen IT-Sicherheitsunternehmen auf Teamwork und neueste Technologien setzen. Sophos trägt dieser Entwicklung mit seinem Adaptive Cybersecurity Ecosystem (ACE) Rechnung. Hierbei handelt es sich um eine neue, offene Sicherheitsarchitektur zur Optimierung von Threat Prevention, Detection und Response. Sophos ACE nutzt Automatisierung und Analysen sowie den kollektiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Entwicklern und anderen Security-Anbietern. So schafft diese Architektur einen Schutz, der ständig dazu lernt und sich weiterentwickelt.

„Sophos bietet unseren Kunden die branchenweit umfassendste Suite hocheffektiver, KI-basierter, cloudnativer Cybersecurity-Lösungen für Endpoints, Daten und Netzwerke“, erklärt Stefan Fritz (Channel Account Executive, Sophos). „Über eine zentrale Verwaltungsplattform arbeiten die Produkte von Sophos als synchronisiertes System zusammen.“

IT-Sicherheit ist zurzeit eines der Topthemen in jedem Unternehmen, egal ob groß oder klein. Entscheidend für die effektive Absicherung ist eine umfassende Expertise sowie die Erstellung eines individuellen IT-Security-Konzepts – und genau hier kommen Partner wie michael wessel ins Spiel. „Wir bei Sophos sind der festen Überzeugung, dass IT-Sicherheit erfolgreich nur im Teamwork realisiert werden kann“, verdeutlicht Stefan Fritz. „Unsere Partner sind der entscheidende Baustein als regionaler Anbieter vor Ort und leisten dort einen Service, den wir als internationaler Hersteller in diesem Umfang nicht alleine umsetzen könnten. Deshalb ist für uns die Zusammenarbeit mit regional etablierten Systemhäusern wie michael wessel von entscheidender Bedeutung und wir setzen alles daran, diese Partner bestmöglich zu unterstützen, damit sie ihren Kunden zukunftsfähige IT-Sicherheit aus einer Hand anbieten können.“

Michael Wessel, Geschäftsführer der michael wessel Informationstechnologie GmbH, bekräftigt: „Als innovativer wie auch bodenständiger IT-Security Anbieter setzen wir bei unseren Kunden in Mittelstand, öffentlichem Sektor und international tätigen Konzernen sowohl standardisierte als auch hochgradig individuell konzipierte Systeme ein.
Unser Partner Sophos bietet uns hierzu ein breites Lösungsspektrum. Bei der Integration von u.a. Edge-VPN, zentralen Firewall-Systemen und hochintegrierten, individuellen Security-Umgebungen arbeiten wir seit Jahren erfolgreich auf Augenhöhe zusammen, um unseren Kunden stets die optimale Lösung zu bieten.“

Wie nutzt michael wessel SD-WAN, um die Netzwerkumgebung eines Kunden zu optimieren?

Die Ausgangssituation: Die ca. 150 Nutzer des Kunden sind auf 7 Filialen verteilt und arbeiten in Terminal-Umgebungen auf Thin-Clients. Diese greifen auf ein zentrales Rechenzentrum zu, in dem alle Anwendungen gehostet werden. Da eine hohe Verfügbarkeit der Daten an allen Standorten für einen reibungslosen Arbeitsablauf essenziell ist, sind diese jeweils einzeln per MPLS an das Rechenzentrum angeschlossen.

Die Herausforderungen: Diese Struktur sorgt häufig für lange Antwortzeiten und eine insgesamt schwache Performance der gesamten Umgebung. Die Nutzer sind häufig unzufrieden und Arbeitsabläufe werden unnötig verzögert. Zudem entstehen durch die dedizierten MPLS-Verbindungen hohe Kosten.

Die Lösung: michael wessel führt in diese Umgebung eine intelligente und hochflexible SD-WAN-Infrastruktur ein. Statt der teuren MPLS-Verträge, erhalten die Standorte eine Kombination aus herkömmlichen Kabel- und DSL-Anschlüssen, die lediglich einen Bruchteil kosten. In jeder Filiale und auch im Rechenzentrum werden SD-WAN-Appliances eingerichtet, die in Ihrem Durchsatz den jeweiligen Anforderungen entsprechen. Kleinere Zweigstellen können so mit einem Gerät ausgestattet werden, das in der Anschaffung günstiger ist, den Nutzern aber dennoch eine optimale Bandbreite zur Verfügung stellt.

Die Vorteile: Durch die intelligente Bündelung der Anschlüsse steht dem SD-WAN eine deutlich höhere Bandbreite zur Verfügung als über MPLS. Die Redundanz der verschiedenen Leitungen stärkt dabei die Ausfallsicherheit der Verbindungen sogar noch zusätzlich. Dank der Vernetzung der einzelnen Standorte untereinander müssen zudem nicht mehr alle Daten zwangsweise über den „Flaschenhals“ Rechenzentrum laufen. Diese Maßnahmen führten zu einer deutlichen Steigerung der Performance der gesamten Umgebung und damit zu merklich zufriedeneren Nutzern.

Langfristig profitiert der Kunde mit der neuen Struktur auch erheblich von der zusätzlichen Flexibilität. Das gesamte SD-WAN wird zentral gesteuert und kann somit ohne große Aufwände an neue Gegebenheiten angepasst und aktualisiert werden. Sollte die Anzahl der Mitarbeiter an einem Standort wachsen, kann die vorhandene Aplliance einfach durch ein leistungsstärkeres Modell ersetzt werden. Ein Eingriff in die restliche Infrastruktur ist nicht erforderlich. So können auch neue Standorte sehr unkompliziert dem SD-WAN hinzugefügt oder vorhandene Standorte umgezogen werden. Dabei sind die einzelnen Verbindungen durch eine Ende-zu-Ende-Verschlüsselung ebenso sicher, wie mit der bisherigen Lösung.

Ein wirtschaftlicher Vorteil ist vor allem, dass mit der Einführung von SD-WAN die Notwendigkeit der kostenintensiven MPLS-Leitungen wegfällt. Da zudem die Umgebung als Ganzes lizensiert wird, sind z.B. einzeln lizensierte Firewalls an den verschiedenen Standorten nicht mehr erforderlich. Dies spart einerseits Kosten, vereinfacht aber vor allem das Lizenzmanagement enorm.

Durch die Einführung eines SD-WAN konnte michael wessel somit die Performance der Umgebung und die Zufriedenheit der Nutzer steigern, während gleichzeitig die Kosten und der Administrationsaufwand reduziert wurden.