Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Sophos revolutioniert IT-Sicherheit mit offenem Ökosystem

Um den immer komplexeren und gezielteren Cyberattacken die Stirn bieten zu können, müssen IT-Sicherheitsunternehmen auf Teamwork und neueste Technologien setzen. Sophos trägt dieser Entwicklung mit seinem Adaptive Cybersecurity Ecosystem (ACE) Rechnung. Hierbei handelt es sich um eine neue, offene Sicherheitsarchitektur zur Optimierung von Threat Prevention, Detection und Response. Sophos ACE nutzt Automatisierung und Analysen sowie den kollektiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Entwicklern und anderen Security-Anbietern. So schafft diese Architektur einen Schutz, der ständig dazu lernt und sich weiterentwickelt.

„Sophos bietet unseren Kunden die branchenweit umfassendste Suite hocheffektiver, KI-basierter, cloudnativer Cybersecurity-Lösungen für Endpoints, Daten und Netzwerke“, erklärt Stefan Fritz (Channel Account Executive, Sophos). „Über eine zentrale Verwaltungsplattform arbeiten die Produkte von Sophos als synchronisiertes System zusammen.“

IT-Sicherheit ist zurzeit eines der Topthemen in jedem Unternehmen, egal ob groß oder klein. Entscheidend für die effektive Absicherung ist eine umfassende Expertise sowie die Erstellung eines individuellen IT-Security-Konzepts – und genau hier kommen Partner wie michael wessel ins Spiel. „Wir bei Sophos sind der festen Überzeugung, dass IT-Sicherheit erfolgreich nur im Teamwork realisiert werden kann“, verdeutlicht Stefan Fritz. „Unsere Partner sind der entscheidende Baustein als regionaler Anbieter vor Ort und leisten dort einen Service, den wir als internationaler Hersteller in diesem Umfang nicht alleine umsetzen könnten. Deshalb ist für uns die Zusammenarbeit mit regional etablierten Systemhäusern wie michael wessel von entscheidender Bedeutung und wir setzen alles daran, diese Partner bestmöglich zu unterstützen, damit sie ihren Kunden zukunftsfähige IT-Sicherheit aus einer Hand anbieten können.“

Michael Wessel, Geschäftsführer der michael wessel Informationstechnologie GmbH, bekräftigt: „Als innovativer wie auch bodenständiger IT-Security Anbieter setzen wir bei unseren Kunden in Mittelstand, öffentlichem Sektor und international tätigen Konzernen sowohl standardisierte als auch hochgradig individuell konzipierte Systeme ein.
Unser Partner Sophos bietet uns hierzu ein breites Lösungsspektrum. Bei der Integration von u.a. Edge-VPN, zentralen Firewall-Systemen und hochintegrierten, individuellen Security-Umgebungen arbeiten wir seit Jahren erfolgreich auf Augenhöhe zusammen, um unseren Kunden stets die optimale Lösung zu bieten.“

Wie nutzt michael wessel SD-WAN, um die Netzwerkumgebung eines Kunden zu optimieren?

Die Ausgangssituation: Die ca. 150 Nutzer des Kunden sind auf 7 Filialen verteilt und arbeiten in Terminal-Umgebungen auf Thin-Clients. Diese greifen auf ein zentrales Rechenzentrum zu, in dem alle Anwendungen gehostet werden. Da eine hohe Verfügbarkeit der Daten an allen Standorten für einen reibungslosen Arbeitsablauf essenziell ist, sind diese jeweils einzeln per MPLS an das Rechenzentrum angeschlossen.

Die Herausforderungen: Diese Struktur sorgt häufig für lange Antwortzeiten und eine insgesamt schwache Performance der gesamten Umgebung. Die Nutzer sind häufig unzufrieden und Arbeitsabläufe werden unnötig verzögert. Zudem entstehen durch die dedizierten MPLS-Verbindungen hohe Kosten.

Die Lösung: michael wessel führt in diese Umgebung eine intelligente und hochflexible SD-WAN-Infrastruktur ein. Statt der teuren MPLS-Verträge, erhalten die Standorte eine Kombination aus herkömmlichen Kabel- und DSL-Anschlüssen, die lediglich einen Bruchteil kosten. In jeder Filiale und auch im Rechenzentrum werden SD-WAN-Appliances eingerichtet, die in Ihrem Durchsatz den jeweiligen Anforderungen entsprechen. Kleinere Zweigstellen können so mit einem Gerät ausgestattet werden, das in der Anschaffung günstiger ist, den Nutzern aber dennoch eine optimale Bandbreite zur Verfügung stellt.

Die Vorteile: Durch die intelligente Bündelung der Anschlüsse steht dem SD-WAN eine deutlich höhere Bandbreite zur Verfügung als über MPLS. Die Redundanz der verschiedenen Leitungen stärkt dabei die Ausfallsicherheit der Verbindungen sogar noch zusätzlich. Dank der Vernetzung der einzelnen Standorte untereinander müssen zudem nicht mehr alle Daten zwangsweise über den „Flaschenhals“ Rechenzentrum laufen. Diese Maßnahmen führten zu einer deutlichen Steigerung der Performance der gesamten Umgebung und damit zu merklich zufriedeneren Nutzern.

Langfristig profitiert der Kunde mit der neuen Struktur auch erheblich von der zusätzlichen Flexibilität. Das gesamte SD-WAN wird zentral gesteuert und kann somit ohne große Aufwände an neue Gegebenheiten angepasst und aktualisiert werden. Sollte die Anzahl der Mitarbeiter an einem Standort wachsen, kann die vorhandene Aplliance einfach durch ein leistungsstärkeres Modell ersetzt werden. Ein Eingriff in die restliche Infrastruktur ist nicht erforderlich. So können auch neue Standorte sehr unkompliziert dem SD-WAN hinzugefügt oder vorhandene Standorte umgezogen werden. Dabei sind die einzelnen Verbindungen durch eine Ende-zu-Ende-Verschlüsselung ebenso sicher, wie mit der bisherigen Lösung.

Ein wirtschaftlicher Vorteil ist vor allem, dass mit der Einführung von SD-WAN die Notwendigkeit der kostenintensiven MPLS-Leitungen wegfällt. Da zudem die Umgebung als Ganzes lizensiert wird, sind z.B. einzeln lizensierte Firewalls an den verschiedenen Standorten nicht mehr erforderlich. Dies spart einerseits Kosten, vereinfacht aber vor allem das Lizenzmanagement enorm.

Durch die Einführung eines SD-WAN konnte michael wessel somit die Performance der Umgebung und die Zufriedenheit der Nutzer steigern, während gleichzeitig die Kosten und der Administrationsaufwand reduziert wurden.

Microsoft <3 Europe

Microsoft kündigte gestern in einem Blogpost an, künftig alle Daten ihrer EU-Kunden innerhalb der EU zu halten und spricht dabei von einer „EU Data Boundary for the Microsoft Cloud“. Dies gilt für Azure, Microsoft 365 und Dynamics 365.

Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen.

https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/

Zuletzt gab es immer wieder Kritik von Datenschützern, die sich gegen einen Einsatz von modernen Tools, wie Microsoft Teams ausgesprochen haben. Teilweise aus technischem Unverständnis oder aus Angst über den Kontrollverlust der Daten. Ob dies alles auch berechtigte Kritik gewesen ist, sei mal dahingestellt. Nichtsdestotrotz ist das ist ein starkes Versprechen, seitens Microsoft und wird hoffentlich so manchen Zweifler milde stimmen.

Angekündigt sind die Maßnahmen für Herbst 2021. Wir bleiben also als Partner dran und informieren unsere Kunden umgehend über die Entwicklungsschritte.

Was haben der Mädchenname Ihrer Mutter, Ihr erstes Auto und der Name Ihres liebsten Haustieres gemeinsam?

Diese müssen häufig dafür herhalten, wenn bei einer Neuanmeldung ein Passwort verlangt wird. So ist es eigentlich kaum verwunderlich, dass schwache und mehrfach verwendete Passwörter für 80% der gehackten Online-Konten verantwortlich sind. Für viele Nutzer stellt es noch immer eine zu hohe Belastung dar, für die stetig wachsende Zahl ihrer Zugänge ein separates Passwort zu wählen.

Dies gilt nicht nur für Menschen, die mit IT wenig Erfahrung haben. Als 2016 die Twitter-, LinkedIn- und Pinterest-Konten von Facebook-Gründer Marc Zuckerberg gehackt wurden, lautete sein Passwort angeblich „Dadada“.

Um das Bewusstsein für die Wichtigkeit von starken und sicheren Passwörtern zu erhöhen, hat Intel deshalb im Jahr 2013 den „Welt-Passwort-Tag“ ausgerufen. An jedem ersten Donnerstag im Mai sollen sich Nutzer bewusst mit ihren Zugangsdaten auseinandersetzen und schlechte Kennwörter durch sichere und starke ersetzen. Passend zum michael wessel Security Mai möchten auch wir Ihnen mit den folgenden Tipps helfen, Ihre Online-Zugänge vor den ständig wachsenden gefahren zu schützen:

Nehmen Sie sich die Zeit, ein wirklich starkes Passwort zu überlegen:

Ein einzelnes Wort, dass z.B. aus 6 Zeichen besteht hat 310 Millionen Kombinationsmöglichkeiten. Diese können von einem aktuellen PC innerhalb von 30 Sekunden durchgespielt werden. Sinnvoller ist es deshalb, z.B. die Anfangsbuchstaben der Wörter eines Merksatzes zu wählen, der im besten Fall noch eine Zahl enthält. (Meine Tochter ist 5 Jahre alt!

Wechseln Sie ein starkes Passwort nicht zu häufig:

Entgegen früherer Empfehlungen ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) mittlerweile dazu übergegangen, vom sehr häufigen Wechsel des Passworts abzuraten. Dies beruht auf der Erkenntnis, dass nach einiger Zeit aus Bequemlichkeit dann doch auf die Verwendung schwacher Passwörter zurückgegriffen wird.

Vergeben Sie für jedes Konto ein eigenes Passwort:

Die Gefahr, dass ein Hacker nach der Übernahme eines Accounts auch Ihre anderen Zugänge übernehmen kann, sinkt hierdurch rapide.

Nutzen Sie einen Passwort-Manager:

Anstatt alle Passwörter im Browser zu speichern, können Sie diese auch in einer Software hinterlegen. Hier gibt es sogar bereits kostenlose Lösungen, die Ihre Zugänge verwalten und Ihnen eine bequeme und sichere Anmeldung ermöglichen.

Verwenden Sie eine Multifaktor-Authentifizierung:

Wo immer es möglich ist, verwenden Sie für den Zugang einen 2. Faktor, wie z.B. die Freigabe über eine App auf dem Smartphone.

Haben Sie noch weitere Tipps, die Sie ergänzen möchten? Teilen Sie uns die lustigsten und skurrilsten Passwörter mit. Wie lauten Ihre Highlights?

Passend dazu, melden Sie sich gerne zu unserer „Alles sicher macht der Mail“ Webinar-Reihe an. Wir freuen uns auf Sie.

Alles sicher macht der Mai

Unternehmen und öffentliche Einrichtungen investieren bereits seit Jahren hohe Summen in den Bereich IT-Security. Damit wurden die Möglichkeiten für Angreifer „von außen“, durch das klassische Ausnutzen von Sicherheitslücken, in eine Umgebung einzudringen, stetig minimiert.

Deshalb richtete sich das Augenmerkt der professionellen Hackergruppen seit Mitte der 2010er Jahre verstärkt auf die Mitarbeiter der Unternehmen. Eine internationale Studie des Marktforschungsinstituts Vanson Bourne aus dem Jahr 2020, bei der 5000 IT-Beauftragte aus 26 Ländern befragt wurden, hat belegt, dass fast 30% der erfolgreichen Ransomware-Angriffe durch den Klick auf einen manipulierten Link durchgeführt wurden. 16% erfolgten über einen verseuchten Dateianhang. Damit wurden 46% der gehackten IT-Umgebungen nicht durch Angriffe von außen übernommen, sondern durch unachtsames oder falsches Verhalten der Nutzer.

Die michael wessel möchte ihren Teil dazu beitragen, den Schutz Ihres Unternehmens und das Bewusstsein Ihrer Mitarbeiter für Sicherheitsfragen zu erhöhen und hat deshalb den Mai zum Monat der IT-Security ausgerufen.

Im Rahmen von 4 Webinaren, jeweils am Dienstag des Monats, informieren wir deshalb praxisnah und spannend über wichtige Aspekte aus diesem Bereich.

Den Anfang macht am 04.05. ein Webinar zum Thema „IT-Security Awareness“, in dem wir Ihnen näher bringen, wie Sie durch den Einsatz von Schulungen Ihre Mitarbeiter von einem potentiellen Sicherheitsrisiko zur ersten Verteidigungslinie im Kampf gegen Cyberangriffe machen.

Am 11.05. befassen wir uns mit dem Schutz Ihrer Endpoints und erläutern die wichtigsten Bestandteile eines modernen Schutzkonzeptes. Anhand eines „live“ durchgeführten Angriffs auf eine Testumgebung zeigen wir, welche Wege moderne Hacker wählen und wie diese erfolgreich abgewehrt werden können.

Der 18.05. steht im Zeichen der Sophos Next Generation Firewall. Wir zeigen Ihnen anschaulich, wie Traffic-Analyse, SSL-Decryption und weitere Funktionen einer fortschrittlichen Firewall zusammenarbeiten, um die IT-Sicherheit Ihres Unternehmens rund um die Uhr zu gewährleisten.

Zum Abschluss erfahren Sie am Beispiel des Next Generation Access-Managements mit tenfold, welche Vorteile Ihnen eine moderne und intelligente Rechteverwaltung bietet. Diese erleichtert nicht nur das Onboarding neuer Mitarbeiter ungemein, sondern erlaubt auch die Erstellung von Reportings, die als Grundlage für Zertifizierung oder der Dokumentation Ihrer DSGVO-Konformität dienen können.

Melden Sie sich noch heute an und sichern Sie sich einen Platz in unseren Webinaren!

Nach Hafnium ist vor…??? – Zeit für mehr Sicherheit mit Azure Sentinel

Durch die fortschreitende Digitalisierung und die immer steigende Komplexität der Informationstechnologie müssen auch die Administratoren sich immer wieder neuen Herausforderungen stellen. Die Daten der Unternehmen müssen vor fortschrittlicheren Cyber-Bedrohungen oder Schwachstellen in der eingesetzten Software (z.B. Exchange-Server und der HAFNIUM-Exploit vor kurzer Zeit) weiter fachkundig geschützt werden. Bei Problemen oder Sicherheitsvorfällen müssen in großen Mengen Logdaten gesichert und gesichtet werden. Meist war an dieser Stelle aber schon alles zu spät, die Administratoren im reaktiven Arbeits-Modus. Die Auswertungen nehmen Wochen oder Monate in Anspruch. Daher ist es in der heutigen Zeit noch wichtiger geworden, die Sicherheit der IT-Infrastruktur proaktiv im Blick zu behalten. Aber wie?

Im diesem Blog-Beitrag wollen wir eine Möglichkeit vorstellen, mit der diese reaktive Arbeit auf relativ einfache Art und Weise weitestgehend automatisiert werden kann: Azure Sentinel – der Cloud-basierten SIEM (Security Information Event Management)- und SOAR (Security Orchestration Automated Response)-Lösung von Microsoft.

Azure Sentinel wird von Microsoft seit 2019 angeboten und als Dienst innerhalb der Azure-Plattform betrieben. Auf dieser Basis ist mit einem aktiven Azure-Konto die schnelle Installation und der einfache Betrieb der Lösung möglich. Weitere Investitionen in Hard- und/oder Software sind nicht nötig. Die Abrechnung der genutzten Ressourcen (z.B. Log-Speicherplatz etc.) erfolgt, wie in Azure gewohnt, entweder nutzungsbasiert oder auf Basis von zuvor festgelegten Kontingenten.

Für die grundsätzliche Funktion sammelt und aggregiert die SIEM-Komponente fortwährend Logdaten, die in der gesamten IT-Infrastruktur des Unternehmens generiert werden. Dabei spielt es keine Rolle, ob die Daten von Systemen und Anwendungen aus der Cloud (auch Clouds anderer Anbieter) oder der lokalen Infrastruktur erzeugt und Azure Sentinel zugeführt werden. Mit den dafür genutzten Monitoring-Agenten auf Linux- oder Windows-Servern können auf gleichem Wege die Logdaten von Netzwerk- und Sicherheitsgeräten wie Firewalls oder dem Endpoint-Schutz gesammelt werden. Innerhalb dieser Datenmenge werden über Analyse-Regeln sicherheitskritische Vorfälle und Ereignisse identifiziert, kategorisiert und analysiert. Für die Erkennung werden unter anderem auch die im Mitre ATT&CK-Framework (https://attack.mitre.org/matrices/enterprise/) aufgeführten Angriffs-Taktiken und -Techniken genutzt. Erkannte Bedrohungen, Anomalien oder Angriffe werden automatisch innerhalb von Azure Sentinel als Incidents angelegt und damit zum weiteren Handeln der IT-Administration übergeben. Diese Administratoren können nun über die erstellten Incidents auf umfangreiche Details der Vorfälle zurückgreifen. Hier werden die beteiligten Objekte im Einzelnen aufgeführt und zusätzlich in einer Übersichtgrafik dargestellt, so dass Zusammenhänge schnell erfasst werden können.

In der Praxis bietet Azure Sentinel dafür schon von Haus aus eine Vielzahl von vorkonfigurierten oder individuell anpassbaren Daten-Konnektoren, mit denen auf einfache Weise die nötigen Daten strukturiert gesammelt werden können. Viele Konnektoren haben dieselben Datenquellen, so dass z.B. im Bereich der Server nur ein zu installierender Monitoring-Agent auf Windows- oder Linux-Systemen unterschiedliche Daten sammelt – egal ob sie in der Cloud oder lokal betrieben werden.

Azure Sentinel bietet aber standardmäßig nicht nur die Daten-Konnektoren an, sondern auch weitere Bausteine:

  • Analyseregel-Vorlagen zum Auswerten der Logdaten mit intelligenten KI-Algorithmen und maschinellem Lernen
  • Arbeitsmappen zur Visualisierung der Logdaten
  • Thread-Hunting-Regeln zur aktiven Suche von Sicherheitsbedrohungen
  • Analyse des Benutzer- und Entity-Verhaltens für zuverlässige, handlungsrelevante Informationen zu den Vorfällen

Um dann aber auch automatisiert auf die durch SIEM erkannten Sicherheitsbedrohungen zu reagieren geht die SOAR-Komponente einen weiteren Schritt: Azure Sentinel bietet dafür die sogenannten Playbooks an. Durch die bereits integrierten Konnektoren zu unterschiedlichen externen Systemen könne über Trigger und Aktionen auch komplexere Szenarien abgebildet werden, wenn durch SIEM ein Vorfall gemeldet wird. Hier z.B. eine Reaktion auf einen eventuell kompromittierten Benutzer:

Dieser Beitrag kann nur einen groben Überblick über das breite Leistungsspektrum von Azure Sentinel liefern. Haben wir Ihr Interesse für diesen zusätzlichen, proaktiven Schutz Ihrer IT geweckt? Dann sprechen Sie uns gerne für weitere Informationen oder eine Live-Demo in Azure Sentinel an. Gehört Microsoft 365 / Microsoft Azure bereits zu Ihrer IT-Infrastruktur, dann bieten wir Ihnen gerne auch einen individuellen Proof-of-concept direkt in Ihrer IT-Umgebung an.

Die michael wessel auf der HANNOVER MESSE

Die Wertschöpfungskette immer im Fokus, eine hohe Tech-Affinität und immer innovativ. Eigenschaften, die (mindestens) zwei verbinden: Die HANNOVER MESSE und die michael wessel.
Und so wundert es kaum, dass wir in diesem Jahr auf der ersten digitalen HANNOVER MESSE als Aussteller vertreten sind, spannende Produkte wie unseren „Cloud Migration Check“ präsentieren und uns auf viele neue Kontakte freuen.

Die HANNOVER MESSE ist im Jahr 2021 weiterhin die führende Industriemesse und zieht Jahr für Jahr internationale Großkonzerne und lokale Industrielle gleichermaßen an. Erst 2017 wurde mit 225.000 Besuchern ein neuer Rekord verzeichnet und als rein digitale Veranstaltung ist die Erwartungshaltung selbstverständlich ebenfalls hoch.

Die diesjährige Messe steht ganz im Zeichen der „Industrial Transformation“. Vordenker der Industrie werden spannende neue Technologien u.a. im Bereich AI präsentieren. Stets ein Bestandteil ist der elementar wichtige Baustein „IT“. Doch neben technischen Neuerungen wird die HANNOVER MESSE auch zwei weitere wichtige Themen behandeln: Nachhaltigkeit und „WomanPower“. Für beide Bereiche sind großartige Vorträge geplant!

Auch wenn es an einigen Stellen weiterhin etwas hakt: Die Digitalisierung schreitet kontinuierlich voran. Industrie 4.0, New Work, Cloud und Automatisierung – Begriffe die inzwischen nicht mehr nur auf Messen oder vergleichbaren Veranstaltungen zum allgemeinen Sprachgebrauch gehören. Bei Partnern wie der michael wessel erhält der Mittelstand das notwendige Know-how um Schritt zu halten.

Damit das auch so bleibt, werden wir neben der eigenen Ausstellung selbstverständlich ebenfalls die interessanten Vorträge der ExpertInnen besuchen und die Messe für die eigene Weiterbildung nutzen.

Wenn Sie uns oder weitere Aussteller besuchen möchten, dann können wir Ihnen gerne ein kostenfreies Ticket für die digitale HANNOVER MESSE zur Verfügung stellen. Senden Sie uns hierfür gerne eine kurze Mail an:

vertrieb@michael-wessel.de

und wir lassen Ihnen Ihr Ticket zukommen. Vereinbaren Sie gerne einen Termin mit uns und lernen Sie uns kennen, wir freuen uns auf Sie!

PreLogin VPN über NetScaler

Always On before logon Funktion des Netscaler Gateway

Inzwischen dürfte sich rumgesprochen haben, das über die Netscaler Gateway Funktion des Netscalers nicht nur ein Zugriff auf ein XenDesktop realisiert werden kann, sondern auch Web-Applikationen und ein vollwertiges SSL VPN integriert werden können. 

Weitaus weniger bekannt ist, dass mit der Version 11.1 der Netscaler Firmware zur SSL VPN Funktion eine Always On Funktion bzw. jetzt zusätzlich noch eine „Always on service“ Funktion hinzugekommen ist. 

Bisher konnten sich Benutzer an einem Notebook anmelden um dann eine Netscaler Gateway Verbindung aufzubauen und dann gesteuert über ein Session Profile ein Full VPN aufbauen.  

Die bisherige Funktion konnte prinzipbedingt einige Situationen nicht abdecken: 

  • Benutzer startet das Notebook außerhalb des Unternehmensnetzes und benötigt Support bei der VPN/ Gateway Anmeldung. 
  • Ein Benutzer wechselt mit einem eingeschalteten Gerät aus dem VPN (z.B. Internet Cafe/ Homeoffice etc.) in das Unternehmensnetz oder will mit einem Gerät transparent weiterarbeiten welches vorher im Unternehmensnetz war. 
  • Das Unternehmen möchte den Netzwerkzugriff bei abgebautem VPN kontrollieren. 
  • Neue Benutzer ohne Cached Credentials müssen sich am mobilen Gerät anmelden. 
  • Das Notebook soll bereits vor dem Windows Logon im Netz sein um es mit Policies oder Softwareverteilung zu versorgen. 

Wie funktioniert der Always on Service bzw. die neue Funktion „Always on before logon“? 

Die Always On Funktion verbindet ein mobiles Endgerät mit einem VPN Endpunkt, mit dem es zuvor manuell verbunden wurde. 

Abhängig davon ob sich das mobile Endgerät im Unternehmensnetz oder „on the road“ befindet, wird die VPN Verbindung automatisch auf und abgebaut. 

Die Funktion „always on before logon“ wird über den „Always on service“ realisiert (Ablauf im Modus „Always on sErvcie with a user persona“): 

  • Nach dem Einschalten des Geräts wird eine Verbindung, der „Machine level tunnel“ zum Netscaler Gateway mit einem Device Zertifikat aufgebaut 
Alwayson with user personal flow

(Bild von Citrix) 

  • Der  Benutzer meldet sich mit seinem AD Benutzer an das Gerät an 
  • Nach der Anmeldung wird der Benutzer ggf. nach seinem zweiten Faktor befragt und nach erfolgreicher Verifizierung der „Machine Level tunnel“ durch einen „User level Tunnel ersetzt“ 
  • Wenn der Benuter sich abmeldet wird der „User Level Tunnel“ wieder durch den „Machine level tunnel“ ersetzt 

Ob und welcher Tunnel aufgebaut ist, lässt sich bei einem gesperrten Gerät über die Sign-In Options sehen (service mode= Machne level tunnel): 

Windows credential manager screen

(Bild von Citrix) 

Wie funktioniert die normale „Always on“ Funktion ? 

Sollte keine primäre Netzwerkverbindung vorhanden sein, wartet der Always on Service im Hintergrund auf den Verbindungsaufbau. 

Nach der neuen „always on before logon“ Funktionalität greift die bereits länger vorhandene „always on“ Funktion. 

Durch ein Always On Profile auf dem Netscaler kann kontrolliert werden, ob die VPN Verbindung aufgebaut bleiben soll, wenn das Gerät sich im Unternehmensnetzwerk („Location based VPN“) befindet oder was passieren soll wenn kein VPN Tunnel aufgebaut werden kann („Network Access on VPN Failure)“. Über das Setting „Full Access“ kann normaler Netzwerkzugriff und logon an jedem anderen Netscakler Gateway als Backup freigeschaltet werden. 

Citrix ADC vpx 
Configuration X 
@ https:// 
10.20.lO.lOO 
/menu/n 
Citrix ADC vpx (3000) 
Reporting 
HA Status 
Primary 
Documentation 
Ill \ 
Partition v 
default 
Downloads 
nsroot 
Dashboard 
Configuration 
O Configure AlwaysON Profile 
Name 
aonprof_mwde 
Location Based VPN* 
Remote 
Client Control* 
ALLOW 
Network Access On VPN Failure* 
Full Access 
OK 
Close

(Bild von br/ MWDE) 

Systemanforderungen 

AlwaysOn service Windows version Citrix ADC and Windows VPN plug-in version 
Always on service without a user persona Windows 7 and later No recommendation on specific Citrix ADC version. VPN plug-in must be version 13.0.36.xx and later or 12.1.53.xx and later. 
Always on service with a user persona Windows 8 and later Citrix ADC and VPN plug-in must be version 13.0.41.xx and later. 
   

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html  

„The expression is_aoservice is valid from Citrix Gateway version 13.0 build 41.20 and later.“ 

Aus https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html 

Welche Schritte sind zur Konfiguration von „Always on service with a user persona“ notwendig? 

  1. Für ein bestehendes Netscaler Gateway  muss ein Authentication Profile mit einem neuen AAA Authenticationserver 
    erzeugt werden (sofern noch kein Netscaler N-Factor im Einsatz ist) 
  2. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice“ prüft und die Action „sys.client_expr(“device-cert_0_0”)“ triggert (Binden mit Prio 100).  
  3. Es muss eine EPA Policy hinzugefügt werden welche auf „is_aoservice.not“ prüft den Actiontyp „No_AUTHN“ hat (Binden mit Prio 110)  
    als „Next Factor“ wird eine LDAP Authentication Policy hinterlegt. 

Weiterführende Links: 

Grundlegende Always On Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson.html

Neue Always On Servcie / before Logon Funktion: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html

Konfiguration der „before Logon Funktion“: 

https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows/alwayson-before-logon-with-a-user-persona.html

EPA mit Device Zertifikation: 

https://docs.citrix.com/en-us/citrix-gateway/13/device-certificate-in-nfactor-as-an-epa-component.html

Christmas Playbook für Teams

Die Microsoft Deutschland GmbH hat vor ein paar Tagen ein „Christmas Playbook“ mit Ideen für virtuelle (Weihnachts-)Events veröffentlicht. Für den Weihnachtsmarkt in Microsoft Teams bleibt nicht mehr viel Zeit. Die Ideen lassen sich aber auch wunderbar verwenden für andere Anlässe.

Damit allen Leserinnen und Lesern eine besinnliche Weihnachtszeit und einen guten Start in 2021 – bleiben Sie gesund!