Archiv der Kategorie: Sicherheit

WhatsApp über Contentfilter

Der Kanton St. Gallen verlangt von den Schulen, dass sie für Internetzugänge “Web Content Screening” einsetzen. In diesem Beitrag wird beschrieben, wie man das mit einer Sophos UTM Firewall umsetzt. Da das Aufbrechen von SSL Verbindungen ein Eingriff in die Privatsphäre der Benutzer ist, haben wir auf unserer Schulhomepage neben Anleitungen zur Installation unseres Zertifikats auch ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was da passiert. Nun funktionierte WhatsApp, wahrscheinlich seit der Umstellung auf Ende zu Ende verschlüsselten Verbindungen, nicht mehr aus unserem Netzwerk.

Weiterlesen

Schulnetzwerk vor Malware schützen

Ich möchte hier mal exemplarisch aufzeigen, wie ich versuche, unser Netzwerk zu schützen.

Bemerkung am Rande: Nach dem Ruag Hack hat Melanie einen Bericht mit Best Practices veröffentlicht. Die lassen sich leider aber nicht alle in einem Schulnetzwerk umsetzen, da ansonsten Lehrpersonen und Schüler/-innen viel zu stark eingeschränkt sind (z.B. AppLocker). Wir „leben“ also damit, nicht die besten Schutzmassnahmen umzusetzen, damit wir arbeiten können (es ist was anderes in einer Firma mit wenigen Applikationen und wenig „Freiheit“ für den Benutzer). Daher bleibt in so einem Fall nur auf den gesunden Menschenverstand der Benutzer zu setzen und wenigstens alle möglichen anderen Sicherheitsmassnahmen umzusetzen, die aber die Benutzer nicht zu stark einschränken.

Weiterlesen

E-Mail Alarm bei Erkennung von Malware

Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nach einem Test wird in SCCM eine Warnung generiert.

image

Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.

Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.

image

Danach funktioniert auch der Alarm per Mail.

image

Windows Defender ersetzt Endpoint Protection

Microsoft bietet einen eigenen Virenschutz an, den man mit SCCM (System Center Configuration Manager) verwalten kann. Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer Schulkonditionen eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und Virenschutz günstiger als die meisten anderen Antivirenlösungen ist.

Wie man Endpoint Protection zusammen mit SCCM konfiguriert wird im Technet oder in dieser Schritt für Schritt Anleitung beschrieben. Bei der Installation von Windows 10 wird der Defender als Virenschutz installiert. Dieser wird aber bei der Installation des SCCM Clients mit aktiviertem “Endpoint Protection-Punkt” nicht wie erwartet mit Endpoint Protection ersetzt.

image

Neu bleibt Windows Defender installiert. Dieser erhält aber trotzdem über SCCM Updates und Richtlinien (Policies).

Wichtig ist also, dass man bei der Konfiguration des Softwareupdatepunkts auch an diesen Umstand denkt. Unter “Klassifizierungen” sollte also “Definitionsupdates” aktiviert und bei Produkte “Windows Defender” ausgewählt sein.

image 

Ansonsten habe ich alles analog dieser Anleitung für Endpoint Protection konfiguriert.

Dass die Richtlinien greifen, kann man überprüfen, indem man bei “Hilfe” –> “Info” auswählt.

image

Wenn man auf Einstellungen geht, stellt man auch fest, dass beispielsweise der Echtzeitschutz ausgegraut ist und nicht mehr vom Benutzer deaktiviert werden kann.

image

Phishing Mail Test

McAfee bietet unter https://phishingquiz.mcafee.com/ einen Test mit 10 Mails, bei denen man entscheiden muss, ob es sich um ein Phishing Mail handelt oder nicht. Aus der Statistik kann man entnehmen, dass da sehr viele Mails falsch beurteilt werden.

image

Neben aktuellen Systemen (Betriebssystem, PlugIns, Virenschutz,…) und Schutz beim Übergang vom resp. ins Internet (Firewall, Content Filter, Intrusion Prevention, ausführbare Anhänge bei Mails blockieren, …) sollte man also auch immer mal wieder die Benutzer sensibilisieren.

Leider ist der Test auf Englisch. Zum einen können nicht alle Lehrkräfte Englisch und zum anderen eignet er sich darum auch nur bedingt, um das Thema mit den Schüler/-innen im Informatikunterricht zu besprechen. Wer seine Schüler/-innen zu diesem Thema sensibilisieren möchte, findet übrigens auch im Kapitel 13 vom Medienkompass Unterstützung.

Sophos UTM: Advanced Threat Protection

Die Sophos UTM bietet unter “Network Protection” –> “Advanced Threat Protection” eine Funktion an, mit der man das Netzwerk nach Malware überwachen kann. Dabei wird ausgenutzt, dass viele Malware eine Verbindung mit sogenannten “Command and Control” Servern aufnimmt, um Daten zu übermitteln oder neue Befehle entgegen zu nehmen. Wenn ein Computer versucht, eine Verbindung mit einem bekannten “Command and Control” Server aufzunehmen, wird die Verbindung geblockt und ein Alarm angezeigt (und per Mail verschickt).

image

Dies bietet neben einem lokal installierten Virenschutz auf den Clients eine weitere Barriere gegen Malware in einem Netzwerk. Genauere Informationen über den Vorfall erhält man, wenn man unter “Logging & Reporting” –> “View Log Files” –> “Advanced Threat Protection” –> “View” auswählt.

image

In dieser Datei wird angezeigt, welcher Client mit welchem Server Kontakt aufnehmen wollte. Dummerweise wird hier der DNS Server angezeigt.

image

Wenn die Malware eine Verbindung zu ihrem “Command and Control” Server über einen Domänennamen und nicht über eine fixe IP Adresse herstellen will, stellt der Computer zuerst eine DNS Anfrage an den DNS Server. Wenn dieser den Eintrag nicht selber liefern kann, stellt dieser eine weitere Anfrage an den externen DNS Server (häufig derjenige des Providers), um die entsprechende IP Adresse zu erhalten. Dies bedeutet also, dass auf der Firewall der DNS Server der erste ist, der eine Anfrage nach dem betroffenen DNS Namen resp. der IP auslöst. Dies ist meiner Meinung nach ein Fehlverhalten der UTM. Besser wäre es, wenn die DNS Abfrage zugelassen wäre (dies ist ja nur Verkehr mit dem vorgelagerten DNS Server) und erst der direkte Kontakt des Clients mit dem entsprechenden Server unterbunden würde. Dann könnte man im Logfile auch den Client identifizieren. Da ich nicht ganz sicher bin, habe ich eine Anfrage im Forum gestellt).

Da ich schon einmal so einen Vorfall hatte und wissen wollte, welches der betroffene Client ist, habe ich auf dem DNS Server Logging aktiviert. Weil das viel Last auf dem Server generiert, sollte man das nur zu Testzwecken aktivieren. Habe nun aber gesehen, dass es eine andere Möglichkeit gibt, die nicht so viel Last erzeugen sollte.

Auf jeden Fall findet man in den DNS Logs dann den Client, der die Anfrage ausgelöst hat, wenn man z.B. nach dem Domänennamen sucht (in meinem Fall cwporter).

image

Nun kann man diesen Client weiter überprüfen. Die beste ist wohl, den Client neu aufzusetzen, die zweitbeste, den Computer mit mehreren Virenscannern aus einer verlässlichen Umgebung zu testen und am Schluss kann man noch mit dem im Betriebssystem installierten Virenscanner einen Vollscan auslösen, was die unsicherste Methode ist.

Die Seite cwporter hat mit dem zweiten Weltkrieg zu tun.

image

Es ist also gut möglich, dass eine Lehrperson nur durch eine Internetrecherche auf diese Seite gekommen ist. Auch wenn auf dieser Seite ein “Command and Control” Server aktiv wäre (z.B. weil der Webserver gehackt wurde) wird der Alarm von der Sophos UTM reproduzierbar wieder ausgelöst, wenn man versucht, in einem Browser die Seite aufzurufen. Die UTM kann ja nicht entscheiden, ob eine Malware diesen Aufruf ausgelöst hat, oder ein Benutzer durch eine Internetrecherche. Es kann sich also genauso gut um eine sogenannte “false positive” Meldung handeln.

Auf jeden Fall handelt es sich bei Advanced Threat Protection um eine weitere sinnvolle Möglichkeit, sein Netzwerk gegen Malware zu schützen.

Content-Filter für SSL Seiten auf Sophos UTM einrichten

In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.

Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.

image

Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.

image

Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.

image

Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

image

Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.

image

Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.

image

image

Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.

image

Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.

Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.

Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.

image

Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.

Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.

image

image

Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.

Eine Anleitung für die verschiedenen Geräte findet sich hier.

Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.

image

Content-Filter für SSL Seiten

Wir haben unseren Internetzugang von Swisscoms “Schulen ans Internet” Angebot auf einen lokalen Kabelnetzbetreiber gewechselt.

Damit sind wir auch selber zuständig für das vom Kanton verlangte “Web Content Screening”. Auch wenn einige Gründe gegen ein Aufbrechen des SSL Verkehrs sprechen (vgl. z.B. Blogbeitrag von Beat Döbeli), machen wir das nun auch.

MITMAweiss

  • Da der Kanton dies vorgibt, ist der Spielraum sehr klein. Wenn Schüler/-innen z.B. bei der Bildersuche von Google z.B. nach pornografischen Begriffen suchen, kommen sie definitiv auf Bilder, die zu den unerwünschten Inhalten gehören, die gemeint sind.
  • Auf den Computern in der Schule müssen nur Seiten aufgerufen werden, die einen schulischen Bezug haben. Wer den Personen, die Zugang zur Firewall haben, nicht traut, sollte private https Seiten nicht mehr in der Schule aufrufen.
  • Viele Seiten sind immer noch unverschlüsselt, dort kann jeder, der unterwegs Zugang zu dem Datenverkehr hat, mitlesen.
  • Die Daten liegen dem Serverbetreiber unverschlüsselt vor. Bei einer Google-Suche wertet Google alle gesuchten Daten aus und versucht ein Profil des Benutzers zu erstellen.
  • Wenn bei einem Mailprovider ein Spamfilter auf dem Server aktiviert ist, muss dieser auch alle Mails durchsuchen, um sie als Spam zu klassifizieren.

Trotz all dieser Gründe ist und bleibt es ein Eingriff in die Privatsphäre der Benutzer. Daher erscheint mir sehr wichtig, dass die Benutzer auf diesen Umstand hingewiesen werden. Wir haben daher auf unserer Homepage ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was denn da genau passiert.

Nachtrag
Hier ist beschrieben, wie man das mit einer Sophos UTM umsetzen kann.