Kerberos – Impersonation – Ticketing

Kerberos ticket voorbeeld 
Daniel Sonck [CC BY-SA (https://creativecommons.org/licenses/by-sa/3.0)]
Kerberos ticket aanvraag

Kerberos, ticketing en impersonation. Waar ga ik beginnen? Want werk je in de ICT ben je er ongetwijfeld al eens tegenaan gelopen. Maar was er dat besef dat het hier om dit onderwerp ging toen de foutmelding naar voren kwam? En zo complex als het lijkt, zo eenvoudig kan het zijn als het een plekje heeft. Laat me je meenemen en beginnen met een voorbeeld:

We nemen Navision als voorbeeld. Stel je drukt in Navision op een knop welke een proces in de achtergrond start. De uitkomst van dit proces wordt weggeschreven naar de bestanden in een map. Niet spectaculairs, maar vanuit een beveiliging oogpunt wel. Wat hier feitelijk gebeurt is dat Navision de opdracht gaat verwerken namens de gebruiker die de opdracht heeft gegeven. Jij dus. Dit betekent dat iemand, in dit geval iets, zicht voordoet als iemand anders op het netwerk. Best bijzonder, want juist daarom werk je me Multi Factor Authenticatie. Om dit te voorkomen.

En er is nog een vraagstuk. Stel nu eens dat jij als gebruiker helemaal niet op die betreffende locatie mag schrijven via de verkenner. Dan zou dit impliciet via Navision wel mogelijk zijn. Puur omdat jij binnen Navision de opdracht “mag” geven? Je hebt rechten om dit proces te starten, maar is het logisch dat je daarmee ook alles mag wat nodig is om dit proces tot een succes te laten komen, ook wanneer daarmee acties worden verricht die je normaal niet mag? Nee dus.

En hier komt Impersonation om de hoek kijken. Wat er feitelijk gebeurt is dat onderliggend, door jou als gebruiker, een ‘kerberos ticket’ wordt afgegeven aan Navision. Een ticket uit jouw naam met de machtiging dat Navision bestanden namens jou mag klaarzetten.

Vanaf hier heb jij als gebruiker iemand een “machtiging” gegeven. Navision is gemachtigd om namens jou als persoon bestanden op te slaan. Wanneer Navision klaar is met het desbetreffende proces, dan wil deze de beloofde bestanden op de opgegeven locatie opslaan. Hiervoor gaat Navision naar de beheerder van het opslagsysteem, in deze de ‘file server’. Navision doet het verzoek de bestanden op te slaan als de betreffende gebruiker, jij dus.

En hier vallen de puzzel stukjes op zijn plek.

De ‘fileserver‘ ontvangt het verzoek van Navision om bestanden namens een ander op te slaan. De ‘fileserver’ wil echter wel zekerheid dat de gebruiker hiervoor Navision heeft gemachtigd. Gelukkig heeft hiervoor Navision eerder het ‘kerberos ticket’ verkregen. Dit ticket, welke alleen door de betreffende gebruiker kan worden gegenereerd, omschrijft de machtiging voor Navision. Dit ticket geeft aan dat Navision namens de gebruiker de bestanden op mag slaan op de ‘fileserver’.

Laten we deze stappen vertalen naar Kerberos, ticketing, impersonation.

Hoe weten we wie de gebruiker is? -> De aanmeld gegevens worden geverifieerd bij het eerste contact met, in ons voorbeeld, het Windows (Active Directory) Domein.
De Kerberos aanmelding wordt afgehandeld door het KDC (Key Distribution Center).

De gebruiker geeft een machtiging af -> Dit gebeurt via een ticket. Er wordt bij het centrale punt, de KDC, gevraagd om een speciaal ticket. Bestemd voor Navision, met als doel een opdracht namens de gebruiker te geven om bestanden op te slaan.
De aangevraagde machtiging wordt vertaald naar een kerberos ticket

Navision gebruikt de machtiging -> Navision verzoekt de fileserver om bestanden op te slaan namens de gebruiker. De fileserver wil weten of Navision dat mag, en derhalve wordt het Kerberos ticket gebruikt bij de aanvraag.
Navision overhandigt het verkregen ticket. Impersonation maakt het mogelijk dat Navision zich voor mag doen als de betreffende gebruiker.

De fileserver verifieert de machtiging -> Mag Navision zich inderdaad wel voordoen als een gebruiker? Navision heeft wel een ticket, maar mag deze zich ook inderdaad voordoen als een gebruiker. En als deze gemachtigd is, voor wat voor dienst is deze gemachtigd. Mailen is heel wat anders dan bestanden opslaan. Door dit te beperken tot alleen de benodigde rechten vindt een hoger beveiligingsniveau bereikt.
Er vind een controle plaats of het betreffende ‘service account’ van Navision gemachtigd is voor: ‘impersonation’. Zich voordoen als een gebruiker.
En dan nog de verificatie of deze machtiging inderdaad geldig is voor de gewenste actie. In deze dus bestanden opslaan.

Wat je hiermee voorkomt is dat een kwaadwillend stuk ‘code’ geïmplementeerd kan worden. Deze code zou ‘namens de gebruiker een mail kunnen sturen’. Dit gaat nu niet. Reden is dat er geen machtiging (kerberos ticket voor impersonation) is afgegeven om een e-mail te sturen. Wel om bestanden op te slaan, maar niet om te e-mailen.

In een dergelijke ‘setup’ wordt er ook wel gesproken over een 3-tier model.

  • Tier1
    • Een gebruiker geeft de opdracht in de applicatie. Deze opdracht wordt doorgegeven aan Tier2 t.b.v. verwerking.
  • Tier2
    • Verwerking laag. Opdracht vanaf de client wordt verwerkt op deze laag. Uitkomst wordt opgeslagen in de database.
  • Tier3
    • Database opslag t.b.v. verwerkte data.

Uiteraard kan de applicatie vervangen worden door eenieder product. Exact welke CLIEOP bestaand klaarzet. Een Sharepoint pagina met een Webpart t.b.v. de (outlook) agenda weergave in de pagina. Webmail met een plug-in welke informatie leest/schrijft naar Sharepoint.

3x groot security issue – patch je systemen nu!

3x een flink security issue in één week. Gooi je agenda om. Zorg dat je deze morgen nog alles bijwerkt. Het kan je zomaar een hoop tijd gaan besparen.

Security issue 1
Citrix – niet geheel nieuw maar van 16 december: Nu.nl – beveiligingslek-bij-citrix-treft-nederlandse-ministeries-en-ziekenhuizen.html
Begin bij dit Citrix support artikel: https://support.citrix.com/article/CTX267027
Om vervolgens de huidige mitigation oplossing uit dit artikel toe te passen: https://support.citrix.com/article/CTX267679

Security issue 2
Deze morgen is een ander ernstig Microsoft lek bekend geworden. Een soortgelijke variant was de oorsprong van het WannCry virus. Dit om de urgentie aan te geven.
Nu.nl – groot beveiligingslek in windows 10 aan het licht gebracht
Het Nationaal Cyber Security Centrum maakt er ook melding van:

Je kan ook direct beginnen bij de Microsoft blogpost. Je dient de updates met de hand uit te rollen. Microsoft neemt ze mee in Windows Updates in de volgende ronde. Welke voor volgende week dinsdag gepland staat.
MIcrosoft Blog artikel over de patch
Al doe je er wellicht verstandig aan hem hier alvast te pakken:
Direct naar de security patch

Security issue 3
De laatste patch is voor de RDP Gateway.
Ook vermeld in hetzelfde Nationaal Cyber Security Centrum artikel

Patch de RDP Gateway met deze fixes:
Link 1 – bevat de link naar juiste CVE’s.

Dit betreft onderstaande patches:
CVE1CVE2CVE3CVE4CVE5

Pak een kop koffie. Controleer de back-ups. Informeer de business, en ga daarna van start.

meraki wifi map

Adfocom en Cisco Meraki – Oplevering van klant

Meraki Wifi dekking kaart

Meraki wifi dekking

Meraki was nog niet eens van Cisco, en wij waren al verliefd op het product. Toen de overname van Meraki door Cisco wereldkundig werd, waren we helemaal blij! Het Cisco merk zou Meraki goed doen. Nu een aantal jaar verder blijkt dat ook.

Maar wat kan er zoal mee? Hieronder een kort voorbeeld van een recente oplevering bij een klant.

Gebruikte Meraki producten

2x een Meraki MX64 Security appliance in hoge beschikbaarheid. Bij uitval van één wordt dit automatisch afgevangen.
5x Meraki Accesspoint ten behoeven van de wifi oplossing.
1x Meraki switch QoS ten behoeve van Citrix verkeer

Highlights in de configuratie

  • Thuiswerk VPN oplossing op basis van bestaande AD (Active Directory) authenticatie.
  • Wifi authenticatie waarbij bestaande (Windows) aanmeld gegevens worden benut doormiddel van AD (Active Directory) integratie.
  • Wifi gasten netwerk met “splash page” waarbij eerst de voorwaarden dienen te worden geaccepteerd alvorens toegang wordt verkregen tot het gasten netwerk.
  • URL Filtering ter bescherming tegen “twijfelachtige websites”
  • Advanced Malware Protection (AMP). Downloads worden gecontroleerd tegen een wereldwijde Cisco Security database of deze correct zijn. Is de download niet bekend dan wordt deze geïsoleerd van het klant netwerk gecontroleerd door deze te onderwerpen aan 825 security checks.
  • Intrusion Detection and Prevention (IDS/IPS) bekende aanvallen worden standaard geblokkeerd. Verkeer wordt niet alleen toegelaten of geweigerd, maar daadwerkelijk geïdentificeerd. Net zoals bij AMP word geidentificeerd verkeer vergeleken met een wereldwijde database die vrijwel alle soorten verkeer direct herkent.

De aanvraag

De wens is niet veel anders dan gemiddeld. Een wifi netwerk, een separaat gasten netwerk, en dit alles goed beveiligd. Door de wifi oplossing eerst in te meten kon de benodigde tijd voor een goede implementatie omlaag worden gebracht. Alles zou immers in één keer op de goede plek hangen. Een overzicht van de dekking van de wifi, waar zitten de hotspots, is zien in het figuur van hierboven. Na oplevering is deze oproepbaar vanuit het cloud portaal. Dankzij de onderbouwing met van een tekening van het pand kan een eventuele wifi verstoring snel worden achterhaald.

Authenticatie op de VPN en Wifi op basis van bestaande gebruiker aanmeld gegevens.

De wifi en thuiswerk oplossing zijn gekoppeld aan de “Active Directory”. Hiermee wordt voorkomen dat er separate wifi wachtwoorden nodig zijn. Er kan worden aangemeld via de bekende aanmeld gegevens van de Windows omgeving.

Vervolg stap. Authenticatie over de bekabelde infrastructuur

Een vervolg stap gaat nu worden om dezelfde authenticatie te vereisen op het bekabelde netwerk. In dat geval dient een medewerker die gebruikt maakt van een bekabelde oplossing, nog steeds zichzelf eerst te identificeren met behulp van de zijn Windows aanmeld gegeven, alvorens toegang wordt verleend.

Meraki Internet verkeer per categorie

Representatie van netwerk verkeer

Meraki Aantal beveiliging overtredingen

Gedetecteerde frauduleuze pogingen

Meraki Top IDS/IPS Detecties

Pogingen gedetecteerd door IDS/IPS

www.adfocom.nl

Meer informatie over deze specifieke producten

pizza avond

Cisco pizza avond technische collega’s

Het was een mooie avond, alle technische collega’s bij elkaar voor een pizza sessie door één van de collega’s over Cisco  Networking. Enthousiasme van de mensen werd benadrukt door de vragen, uitwisseling van ideeën, en het denken in oplossingen voor huidige situaties. Trots op dit teamwork!

Cisco Switching is er in Enterprise en MKB waarbij Cisco Meraki hier parallel aan staat. Adfocom stelt bij iedere situatie de vraag, is dit nog de juiste lijn en staat dan ook direct stil bij Cisco Meraki. Wilt u eens sparren of die Enterprise lijn nog wel nodig is? Of vraagt u zich af wat Cisco Meraki, een echte Cloud infra oplossing, u kan bieden? Cisco Wireless/Security/Networking is voor ons dagelijkse kost.

In deze onderwerpen nemen we graag het voortouw. Neem gerust contact op met Adfocom voor een goed gesprek met een van onze specialisten

blog bloggingit header

Weer een Klant omgeving succesvol verhuisd naar het datacenter

Afgelopen weekend hebben onze collega’s een klant omgeving gemigreerd naar het datacenter. Vanaf het moment dat de voorkeur voor het datacenter is uitgesproken is Adfocom begonnen met een gedegen plan van aanpak. Punten die “onzeker” zijn of als zodanig aanvoelen zijn apart uitgewerkt. Denk hierbij aan punten als “beschikbare bandbreedte, VoIP, interne diensten die beschikbaar zijn van buitenaf” dan wel de noodzakelijke herinrichting van de infrastructuur.

Lees meer

De Adfocom Microsoft Azure Experts! – Een opfriscursus op het gebied van Microsoft Azure.

We zijn het nu officieel, Microsoft Azure Experts! Adfocom gebruikt Microsoft Azure echter al enkele jaren en dat is uiteraard niet zonder de vereiste kennis. Desondanks was het weer eens tijd om naar de laatste ontwikkelingen op dit gebied te kijken. Niet alleen vanuit de techniek, maar ook de stappen ervoor, commercieel, distributie visie etc. en of deze aansluit op de visie van Microsoft zelf.

Al snel bleek dat we toch wel erg diep in de materie zitten, zeker gezien we zowel kleine als grote omgevingen hierop draaien, maar ook specifieke componenten in hybride mode gebruiken, daar waar anderen nog zoekende zijn hoe en waar Azure in te passen.

Lees meer

Verschillende versies en Windows Profiel locaties

profiles

Een intern mailtje omschreef wat de diverse locaties van de Windows Profielen zijn over de verschillende versies heen. Handig voor Group Policy’s, scripting, of upgrades.

Dus maar even op de blog, altijd makkelijk. Bedankt David.

Windows XP and Windows Server 2003 \\<servername>\<fileshare>\<username>
Windows Vista and Windows Server 2008 \\<servername>\<fileshare>\<username>.V2
Windows 7 and Windows Server 2008 R2 \\<servername>\<fileshare>\<username>.V2
Windows 8 and Windows Server 2012 \\<servername>\<fileshare>\<username>.V3
(after the software update and registry key are applied)
Windows 8 and Windows Server 2012 \\<servername>\<fileshare>\<username>.V2
(before the software update and registry key are applied)
Windows 8.1 and Windows Server 2012 R2 \\<servername>\<fileshare>\<username>.V4
(after the software update and registry key are applied)
Windows 8.1 and Windows Server 2012 R2 \\<servername>\<fileshare>\<username>.V2
(before the software update and registry key are applied)
Windows 10 \\<servername>\<fileshare>\<username>.V5
Windows 10 Anniversary Edition \\<servername>\<fileshare>\<username>.V6

Anti-spam en “Phising” met behulp van SPF, DKIM en DMARC

spf-dkim-dmarc

Hoe meer de strijd oplaait tegen Spam, Phising, hoe lucratiever de criminelen worden in het ontfutselen van uw gegevens dan wel zich voordoen als een ander. Wat kunt u hiertegen doen? De bulk mail is te voorkomen doormiddel van anti-spam oplossing die vaak ook voorzien zijn van Anti-X (virus, Phising, enz.).

Echter, wat we steeds vaker zien is gerichte mails met als doel informatie of geld te ontfutselen. Een e-mail die ogenschijnlijk van directie/MT lid afkomt, iemand die zich voordoet als een medewerker van de administratie maar wat kan je hiertegen doen? Welke technieken zijn hiervoor in te zetten?

Lees meer

VoIP verstoring – kennis en een goede samenwerking

speakupbedankt

Heel vervelend als een klant de storingsdienst moet bellen om dat er “iets geks” aan de hand is met de telefonie oplossing. Niet direct een verstoring, maar wel hinder in de werking. Wel is het dan prettig als je een kundig persoon aan de lijn krijgt (op de vroege ochtend) die snel weet uit te sluiten dat het niet onze Swyx telefonie centrale is maar de VoIP leverancier zelf.

Door een goed verslag met technische onderbouwing kon de VoIP leverancier zich direct een beeld vormen waar het mis kon gaan met als resultaat een zeer snel herstel van het probleem en aanvullend een “Bedankt” kaartje van de leverancier voor de goede samenwerking en voor die klanten die wel binnen kantooruren werken, geen overlast.

Geheugen modules, zoveel soorten in zoveel smaken

ddr3sdram

Van het weekend e.e.a. aan het opruimen geweest, thuis weliswaar maar ook daar zwerft e.e.a. aan elektronica waaronder “geheugen” bankjes. En dan wil je even snel kijken wat is wat, om vervolgens te kijken wat je weg wilt gooien.

Maar dan komen de termen, PC2100, DDR2/DDR3 maar PC2-4200, PC3-6400. En dan de varianten als R / U / F  of zonder toevoegingen.

Voor mijzelf, voor anderen, hierbij een aantal referenties en een overzicht van de verschillende varianten.

Lees meer