Archiv der Kategorie: Sicherheit

Forefront Endpoint Protection Reporting

Kommentar verfassen

Wir setzen an unserer Schule Forefront Endpoint Protection (FEP) als Virenschutzlösung ein. Dies nicht, weil ich der Ansicht bin, dass es die beste Antivirenlösung auf dem Markt ist, sondern weil der FEP-Client beim School Agreement von Microsoft bereits enthalten ist und wir uns so das Geld für eine andere Antivirenlösung sparen können.

Verwalten lässt sich FEP aber nur über SCCM (System Center Configuration Manager). Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer School Agreement eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und FEP sogar bedeutend günstiger ist, als es unsere alte Antivirenlösung war.

Nun ist aber ein “worst case” eingetroffen. Ich habe keine Meldung mehr erhalten, dass ein Virenbefall abgewehrt wurde und auch in den Berichten standen 0 infizierte/gesäuberte Systeme. Daher bin ich davon ausgegangen, dass der Virenschutz problemlos funktioniert. Dank einem Hinweis unseres ISP’s bin ich auf einen Computer aufmerksam geworden, der mit dem Zeus-Trojaner infiziert wurde. FEP hat den Trojaner erkannt und in die Quarantäne verschoben, hat also seine Hauptarbeit erledigt, ABER hat mir keine Meldung zukommen lassen, damit ich über diesen Vorfall informiert gewesen wäre.

Damit FEP seine Meldungen an SCCM melden kann, muss der “Client-Agent für die Verwaltung gewünschter Konfigurationen” aktiviert sein.

image

Der muss früher schon einmal aktiviert gewesen sein, aber ist wahrscheinlich durch ein Layer-8 Problem meinerseits mal deaktiviert worden Trauriges Smiley.

Gemäss einem Test mit EICAR funktioniert nun auch das Reporting wieder. EICAR ist eine Datei, die zu Testzwecken von allen Antivirenprodukten als Virus erkannt wird. Man muss nur die Zeichenfolge
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
in einem Texteditor als ausführbare COM Datei abspeichern, damit das Antivirenprogramm reagiert.

image

Danach bekommt man wie gewünscht eine Mail an die konfigurierte Adresse mit den Angaben zur gefundenen Malware und den ausgeführten Aktionen.

image

Werde mir also in Zukunft angewöhnen, in einem festen Zeitintervall so eine EICAR-Testdatei auszuführen, um sicherzustellen, dass das Reporting auch wirklich funktioniert.

Zeus Trojaner

Kommentar verfassen

Shadowserver ist eine Seite, die verschiedene Honeypots betreibt, um festzustellen, welche Malware im Umlauf ist und von welchen Clients aus, diese aufgerufen wird. Die Swisscom als ISP hat sich bei Shadowserver angemeldet, um informiert zu werden, wenn ein Kunde von ihnen in so einen Honeypot tritt.

Das Computer Security and Incident Response Team (CSIRT) von Swisscom überwacht verschiedene Informationsquellen im Zusammenhang mit der Computersicherheit. Eine dieser Quellen ist Shadowserver (http://www.shadowserver.org). Über Shadowserver haben wir erfahren, dass eine Adresse aus Ihrem IP-Bereich versucht hat, einen Virus zu verbreiten oder die Verbindung zu einem Botnet-Command-and-Control-Server herzustellen.
Dies deutet mit hoher Wahrscheinlichkeit darauf hin, dass ein oder mehrere Rechner in Ihrem Unternehmen mit einem Virus, Wurm oder Trojaner („Malware“) infiziert sind.

Ich habe nun die entsprechende “Target Address” erhalten, die über unser Netzwerk aufgerufen wurde.

image

Dies kann man nun über die Logs der Firewall überprüfen. Meine Überprüfung hat dann gezeigt, dass tatsächlich ein Computer an diesem Tag die entsprechende IP aufgerufen hat. Dazu habe notepad++ benutzt, mit dem man gerade alle Treffer einer Suche auf einmal anzeigen lassen kann.

image

Den Namen des betroffenen Computers kann man schnell herausfinden, indem man ein nslookup “IP-Adresse” in der Eingabeaufforderung eintippt. 

image

Um aber sicherzugehen, dass am betroffenen Tag auch dieser Computer diese IP hatte, muss man noch auf dem DHCP Server anhand der Leasedauer überprüfen, ob der betroffene Computer auch an dem betroffenen Tag diese IP hatte. Dies war bei mir der Fall, also war der Computer identifiziert.

Nun eine Recherche zu Zeus. Da gibt es viele Beschreibungen, wie man überprüfen kann, ob man infiziert ist, oder wie man den Trojaner wieder wegbringt. Unter anderem gibt es von Microsoft ein Tool, das ich heruntergeladen und ausgeführt habe. Dieses hat aber keine Infektion gefunden.

image

Eine weitere Recherche hat dann gezeigt, dass nichts gefunden werden konnte, weil sich der Trojaner bereits in Quarantäne befunden hat.

image

image

Trotzdem handelt es ich um ein einmal infiziertes System und die vielen Internetressourcen deuten darauf hin, dass man nicht sicher sein kann, dass alles entfernt wurde (siehe für Informationen zu Zeus auch http://en.wikipedia.org/wiki/Zeus_(Trojan_horse))

image

Daher habe ich mich nun entschlossen, den betroffenen Computer neu aufzusetzen.

Swisscom Schulen ans Internet

2 Antworten

Die Swisscom bietet den Schulen der Schweiz einen Internetzugang an. Dieser ist bisher gratis, was einer riesigen Investition in die Schulen gleichkommt. Vielen Dank dafür.

Wir haben unsere Firewall gewechselt und nun funktioniert der Zugang ins Internet nur noch schlecht. Scheinbar hat der Swisscom Proxy Probleme mit schnelleren/neueren Firewalls. Zumindest ist das gemäss Kantonswebseite auch ein Problem mit anderen Firewalls.

Die neuste Serie von Zyxel Firewalls (USG) ist nicht mit den Swisscom-Routern (Cisco) für Schulen ans Internet kompatibel. Das Problem zeigt sich in einer äusserst verlangsamten effektiven Internetgeschwindigkeit.

Die Swisscom stellt sich gemäss Auskunft auf den Standpunkt, dass nach ihrem Konzept nicht vorgesehen ist, dass die Schulen eine eigene Firewall einsetzen, weil sie ja hinter der Firewall des Kantons stehen. Damit wäre man ja gegenüber dem Internet geschützt, aber nicht gegenüber anderen Schulen. Ausserdem hätten wir gar nicht so viele IP Adressen zur Verfügung wie wir benötigen würden (wir haben 350 Computer und weitere Geräte wie Drucker, Kopierer, … im Einsatz). Komisches, nicht fertig gedachtes Konzept der Swisscom also.

Auch wenn ich sehr zu schätzen weiss, dass die Swisscom den Internetzugang bisher gratis angeboten hat (wenn man eine Leistungssteigerung möchte, muss man in Zukunft auch (massiv) mehr bezahlen) bin ich im Moment am studieren, ob wir wieder zurück auf unseren Kabelnetzanbieter wechseln sollen.

Im Moment empfehle ich allen grösseren Schulen, die eine neue leistungsfähige Firewall einsetzen möchten, dies genau zu testen und abzuklären (oder einen anderen ISP als die Swisscom zu verwenden). Am wenigsten Probleme gibt es scheinbar mit kleineren Firewalls aus dem SOHO Segment.

Ausfall WLAN nach Windows Update

Kommentar verfassen

Wenn man WLAN zuhause einsetzt, verwendet man meistens einen Schlüssel, den man beim Laptop und dem Accesspoint (häufig auch ein Router mit eingebautem Accesspoint) eintragen muss. Dies heisst dann z.B. WPA2-PSK, wobei das WPA2 für die Art der Verschlüsselung und das PSK für “PreShared Key” steht. In einem Firmen- oder eben Schulumfeld macht dies aus diversen Gründen nicht so viel Sinn. Dieser Schlüssel lässt sich nicht ohne weiteres auf die Clients verteilen und ihn auf allen Clients manuell einzutragen kann auch nicht die Lösung sein.

Besser verwendet man einen Radius-Server, der die Clients authentifiziert. Wenn sich jetzt ein Client mit einem Accesspoint verbinden will, wird die Anfrage an diesen Server weitergegeben. Microsoft Server bieten das von Haus aus unter “Netzwerkrichtlinien- und Zugriffsdienste” an.

image

Man kann auf diesem Radiusserver angeben, wie die Clients authentifiziert werden sollen. Eine Möglichkeit ist eine Benutzernamen/Passwort Kombination. Dann kann dieser Benutzer aber mit jedem Gerät ins interne Netzwerk, was sicherheitstechnisch nicht sinnvoll ist. Ausserdem sollte der Client schon vorher über WLAN verbunden sein, damit die Gruppenrichtlinien vom Server schon beim Computerstart übernommen werden.

Dies kann man z.B. mit Zertifikaten erreichen. Dazu benötigt man eine sogenannte PKI (public-key infrastructure). Auch das bieten die Microsoft Server von Haus aus.

image

Mit so einer Microsoft CA (Certificate Authority) kann man Zertifikate ausstellen lassen, denen innerhalb einer Domäne vertraut wird und die sich über Gruppenrichtlinien auf die einzelnen Clients verteilen lassen. Mit folgender Einstellung werden die Zertifikate automatisch ausgestellt und erneuert, wenn sie ablaufen.

image

Vereinfacht sieht der Ablauf dann so aus:
Der Client hat ein Zertifikat installiert, und verbindet sich mit dem Accesspoint. Dieser reicht das Zertifikat an den Netzwerkrichtlinienserver weiter. Dieser überprüft das Zertifikat und erlaubt dem Accesspoint, den Client ins Netzwerk zu verbinden. Die Zertifikate werden automatisch von der CA herausgegeben und erneuert.

image

 

Nun zum Problem

Plötzlich konnten sich alle Clients nicht mehr verbinden. Zertifikate und Netzwerkrichtlinienserver schienen aber in Ordnung zu sein. Trotzdem wurde alles nochmals überprüft und diverse Möglichkeiten getestet. Der Ausfall schien zeitnah mit der Installation von Windowsupdates begonnen zu haben. Im Systemlog fand ich dann folgenden Hinweis: Ereignis-ID: 36885, Quelle Schannel.

image

Scheinbar hatte der Server eine zu lange Liste mit vertrauenswürdigen Zertifizierungsstellen, so dass bei der Übermittlung an den Client ein Teil davon abgeschnitten wurde. Dummerweise darunter auch das unser eigenen CA.

Bei den letzten Updates wurden auch die Stammzertifikate ergänzt (und damit die Liste zu gross).

image

Gemäss Kollege Google kann man einfach die nicht benötigten Zertifikate aus den “Vertrauenswürdigen Stammzertifizierungsstellen” löschen. Dabei muss man mindestens die eigene CA und die im Knowledgebase Artikel 293781 aufgeführten, von Windows benötigten, drin lassen. Zur Sicherheit habe ich zuerst alle exportiert.

image

Nun verbinden sich die Clients wieder wie gewünscht…

E-Mails mit gefälschtem Absender

Kommentar verfassen

Heute wurde ich auf ein Mail aufmerksam gemacht, das scheinbar schon einige unserer Lehrpersonen erhalten haben. Gesendet von einem bekannten Absender (in dem Fall einem Schüler), mit Betreff “amazing!” und als einzigem Inhalt einem Link “Click here to see the attached photos”

image

Man kann immer wieder beobachten, das Spammails scheinbar von Absendern kommen, die man kennt. Die Absenderadresse kann sehr einfach gefälscht werden. Wenn ein Computer von einem Virus oder Trojaner infiziert ist, kann sein Adressbuch ausgelesen werden. Die Chance, dass sich die Personen aus diesem Adressbuch kennen, ist relativ hoch. Ebenso wie die Chance erhöht ist, dass Personen auf einen Link aus einem Mail mit bekanntem Absender klicken. Weitere Informationen zu gefälschten Absenderadressen finden sich hier.

Was passiert, wenn man auf den Link klickt?

In diesem Beispiel kann man schön sehen, dass in dem Link die Adresse der angeschriebenen Person steckt.

image

Wenn man also nun auf den Link klickt, bestätigt man, dass diese E-Mailadresse benutzt wird. Listen mit solchen E-Mailadressen werden unter Spammern gehandelt, sind also bares Geld wert.

Noch schlimmer kann es kommen, wenn diese Seite mit Malware verseucht ist und man sich auf diesem Weg einen Virus, Trojaner… einfängt. Dazu werden Sicherheitslücken in verschiedenen Produkten wie Internetbrowser oder Plugins wie Adobe Flash etc. ausgenutzt.

Wenn Ihr Rechner Schwachstellen hat, reicht es also aus, eine solche Internetseite zu besuchen, um sich einen Schädling einzufangen. Weil der Nutzer davon nichts bemerkt und auch gar nichts weiter dazu beitragen muss – etwa auf eine Datei klicken -, nennt man diesen Infektionsweg Drive-by-Download (also im "Vorbeifahren").

Weitere Informationen zu solcher Malware und deren Verbreitung finden sich hier.

Was kann man tun?

Wichtig ist, die Systeme laufend aktuell zu halten, also alle Updates einzuspielen. (Betriebssystem, Browser, Plugins, Virenschutz…..). Trotzdem bleibt eine Restgefahr. Diese Updates können nämlich nur vor dem schützen, was sie bereits kennen. Es gibt aber Sicherheitslücken, die ausgenutzt werden, bevor es einen Patch vom Hersteller dafür gibt. Man spricht dann von einem sogenannten “zero-day-exploit”, also einer Möglichkeit, Malware zu verbreiten, für die es noch kein “Gegengift” gibt. Gegen “zero-day-exploits” hilft nur, nicht überall draufzuklicken, wo man könnte.