SPUVA / Web-Cockpit / Livelog / Skype

Moderator: Securepoint

Gesperrt
Andre
Beiträge: 20
Registriert: Di 13.03.2007, 13:10
Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
Kontaktdaten:

SPUVA / Web-Cockpit / Livelog / Skype

Beitrag von Andre »

Hallo

ich habe ein paar Dinge zusammengestellt, die mir hier bei den Tests aufgefallen sind:


SPUVA: Ist man im SPUVA angemeldet, hat aber den Proxy (auch transparent) aus, ist kein Aufruf von www.securepoint.de möglich

Web-Cockpit: Das Web-Cockpit verschluckt / erkennt beim Tippen einige Eingaben nicht. Teilweise muss man extra langsam tippen

Livelog: Im Livelog werden keine Verbindungen über Port 80 angezeigt, nur HTTP Verbindungen, aber dafür muss der Proxy genutzt werden (nicht immer der Fall)

Skype: Die Anwendungsblockierung von Skype funktioniert nicht, imho wär Securepoint auch der erste Hersteller, der dieses erfolgreich und beständig geschafft hätte. Darf man erfahren, wie die Anwendungsblockierung bei Skype funktionieren soll? Aus ISA Server Zeiten weiß ich noch, dass man dort mit HTTP Signaturen versucht hat zu arbeiten, allerdings recht erfolglos. Das einzig hilfreiche Mittel gegen Skype ist imho organisatorischer Natur (IT Richtlinien) und entsprechende Pflege der Benutzerberechtigungen und Software Restriktionen seitens GPO's.

Angaben ohne Gewähr und beziehen sich logischerweise auf mein System ;)


Viele Grüße!
André Partecke IT CONSULTING
Kommunikation - Sicherheit - Projekte
www.partecke.de

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

SPUVA: kann ich gerade nicht testen

Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)

Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor :D
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.

Skype:
Im Moment wird der mitgelieferte User-Agent auf die Zeichenfolge "skype" untersucht. Das ist zugegebenermaßen recht einfach gehalten.
Google ist der Meinung, dass man für eine effektive Blockierung von Skype den Zugriff auf IPs (Dotted-Quad) mittels CONNECT-Methode unterbinden muss (Klick). Wenn wir das Standardmäßig einbauen fallen mir mindestens zwei Kunden ein, die dann hier anrufen :D (die missbrauchen den HTTP-Proxy für FTP-Traffic *schauder*)

Andre
Beiträge: 20
Registriert: Di 13.03.2007, 13:10
Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
Kontaktdaten:

Beitrag von Andre »

Moin moin
Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)
Ich sag ja, ich brauch hier was neues ;-) Nein, das kann schon sein, ich arbeite mit einem Netbook
Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor :D
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.
Bei Livelog versuch ichs nochmal,möglichweise etwas unglücklich ausgedrückt ;-) ...wobei wir nichts gegenteiliges behaupten:
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?).
Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.

Hintergrund war, dass der Proxy nicht immer läuft, ich dennoch Verbindungen über Port 80 untersuchen musste und diese dann nicht angezeigt wurden. Über tcpdump hingegen schon (logisch).

Mein Problem etwas klarer? ;-)
André Partecke IT CONSULTING
Kommunikation - Sicherheit - Projekte
www.partecke.de

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.
Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.

Ihnen bleibt als Alternative eine Regel:

Internal_Network -> Internet -> http -> ACCEPT

mit aktivem Logging, um einen Verbindungsaufbau zu protokollieren. Den Inhalt der Pakete können Sie sich auf der root-Konsole mit tcpdump oder snort anschauen.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

Andre
Beiträge: 20
Registriert: Di 13.03.2007, 13:10
Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
Kontaktdaten:

Beitrag von Andre »

Quote
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.


Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.
sorry, das "diese" bezieht sich natürlich auf "die Verbindung", nicht auf "die Webseite". Natürlich wird die Webseite angezeigt, aber halt kein Logeintrag, trotz aktivem Logging in der Regel. Im Prinzip reden wir vom selben Thema ;-)

Auf der Konsole ist das alles kein Thema und wird wie gewünscht angezeigt, daher ja auch die Frage, ob der Log-Client Verbindungen über Port 80 herausfiltert, weil davon ausgegangen wird, dass sowieso der Proxy läuft und dieser dann die Verbindung protokolliert.

Anders ausgedrückt:
Ich nutze den Proxy in der Regel nicht und habe mich halt gewundert, wieso ich, obwohl alles funktioniert (also Regel korrekt angelegt usw...), keine Verbindungen über Port 80 loggen konnte... zeigt er einfach nicht an.

Viele Grüße!
Zuletzt geändert von Andre am Mi 03.03.2010, 12:10, insgesamt 1-mal geändert.
André Partecke IT CONSULTING
Kommunikation - Sicherheit - Projekte
www.partecke.de

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Könnte daran liegen, dass die Regel einfach nicht matcht. Vielleicht haben Sie weiter oben eine Regel, die "any" Richtung Internet erlaubt und schalten dann das Logging für die "http"-Regel an. Diese Regel greift aber nie, weil vorher die any-Regel steht.
Desweiteren verschickt die Firewall nur eine bestimmte Anzahl Logeinträge pro Sekunde an den Client. Dadurch können auch "Pakete" verloren gehen.

Andre
Beiträge: 20
Registriert: Di 13.03.2007, 13:10
Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
Kontaktdaten:

Beitrag von Andre »

hmm eigentlich gibt es nur folgendes:
spuva-alles -> internet -> any > kein log
spuva-andre -> internet -> default-internet > medium-log

ich bin mit "andre" angemeldet, nicht mit "alles"... ich teste das nochmal.
ich kann aber herauslesen, dass es sich um kein gewolltes verhalten handelt... das ist erstmal gut zu wissen :-)

Danke jedenfalls
André Partecke IT CONSULTING
Kommunikation - Sicherheit - Projekte
www.partecke.de

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

spuva-alles -> internet -> any > kein log
Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).

Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

Andre
Beiträge: 20
Registriert: Di 13.03.2007, 13:10
Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
Kontaktdaten:

Beitrag von Andre »

Quote
spuva-alles -> internet -> any > kein log



Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).

Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.
...aber wieso, wenn ich doch mit dem spuva benutzer "andre" angemeldet bin?
die o.g. regel greift doch nur, wenn ich mit dem benutzer "alles" angemeldet bin und da ist mir bisher auch kein andere verhalten aufgefallen.
André Partecke IT CONSULTING
Kommunikation - Sicherheit - Projekte
www.partecke.de

Gesperrt