Posts

So schön war die CeBIT 2014

Ein Charmanter Rückblick unseres Sicherheitspartners ESET auf die weltweit größte Messe für Informationstechnik.

Weiter zu ESET Smart Security 6 HIER KLICKEN

SQUID 3 mit Proxy Authentifizierung

In grösseren Firmennetzwerken ist die Kontrolle des Internetzugangs ein wichtiges Thema. Nicht nur der Schutz von Eindringlingen von aussen ist wichtig sondern auch die Kontrolle darüber welche Webseiten von den Benutzern aufgerufen werden können. Ein Kunde trat vor Kurzem mit einer interessanten Anforderung für die Steuerung des Internetzugangs an uns heran.

Das Netzwerk des Kunden besteht aus mehreren Segmenten. In der Aufteilung werden Server, PC und ThinClients netzwerktechnisch voneinander getrennt. Ein weiteres Netzwerk wird für die VDI’s unter Xen Desktop verwendet. Basierend auf der gewachsenen Netzwerkstruktur werden alle Netzwerke über ein Transfernetzwerk zum Internet geroutet. Das Internetbrowsen der Benutzer wird aus dem VDI-Netzwerk mit einer Webfiltersoftware gesteuert. Der Kundenwunsch war vor das Transportnetz einen Proxyserver zusetzen über den alle Rechner, bei Bedarf, auf das Internet zugreifen können. Desweiteren sollte dieser Zugriff getrennt von der Webfiltersoftware möglich sein. Um die Kosten niedrig zu halten empfohlen wir unserem Kunden die Nutzung von Squid3 Proxy-Server auf einer Linuxmaschine. Da es nur bestimmten administrativen Nutzern erlaubt sein soll über diesen Proxy auf das Internet zuzugreifen empfohlen wir die Verwendung von lokalen Benutzern via htpasswd anstelle einer Verbindung per LDAP an das Active Directory.

Nach der Installation eines Squid3 unter Debian und Anpassung der Konfiguration kann die Aktivierung der Authentifizierung erfolgen. Ein wichtiger Schritt ist in den Einstellungen des SQUID-Proxy-Servers so einzustellen das der Zugriff des lokalen Netzwerks untersagt wird. Wird diese Einstellung nicht vorgenommen wird die Authentifzierung ausgehebelt. Für die Authentifzierung werden nun folgende Zeilen in der squid.conf eingefügt:

#authentification
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic realm lachenmair.info – SQUID Internet-Zugriffsberechtigung
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl zugriff proxy_auth REQUIRED
http_access allow zugriff
http_access deny all
icp_access deny all
htcp_access deny all
#ende auth

Ab Debian8 verwendet der Squid3 statt “ncsa_auth” “basic_ncsa_auth”:

auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd

Vielen Dank für den Hinweis an Mischa Boschke von Schwielownet (http://www.schwielownet.de).

Für die Nutzung von htpasswd müssen “apache2-utils” installiert sein. Bei Längeren administrativen Aufgaben auf Linux-Maschinen nutze ich “su -” um Root des Systems zu werden:

Screenshot einer Linuxanmeldung via Putty und wechsel zum Root

Als Nächstes wird die Datei passwd mit dem Programm htpasswd im Verzeichnis der Squidkonfiguration angelegt. Nach der Erstellung werden die Lese- und Schreibrechte eingeschränkt:

Screenshot einer Linuxshell bei der mit htpasswd ein Passwortfile angelegt wird

Weitere Benutzer können später per SUDO angelegt werden:

Screenshot einer Linuxshell für die Benutzeranlage per htaccess via SUDO

Nachdem die Benutzer angelegt wurden wird der Squid-Dienst neugestartet. Danach müssen sich Benutzer beim Surfen mit Ihrem Benutzernamen und Passwort anmelden:

Screenshot der Benutzerabfrage des Internet Explorers bei aktivierter Squid-Authentifizierung

 

Um die Verteilung der Authentifzierung bzw. der Proxynutzung zu automatisieren wurde zusätzlich noch ein proxy.pac-File angelegt und per Gruppenrichtlinie verteilt. Die proxy.pac weist den Benutzern automatisch den Proxyserver zu. Da in diesem Netzwerk auch Notebooks, welche auch ausserhalb online gehen müssen, benutzt werden wurde eine automatisierte Erkennenung in dieser Datei hinterlegt. Mit dieser Einstellung konnten alle Benutzer ohne große Aufwände umgestellt werden. Nutzen Sie unser Kontaktformular bei Fragen zu Squid-Proxy-Server, Authentifizierung oder dem Einsatz einer proxy.pac

 

 

 

 

Prüfen Sie Ihre Passwortsicherheit!

Eine interessante Webseite flatterte heute per Twitter in unseren Newsfeed:

How Secure Is My Password

Auf dieser Seite wird sehr einfach und schnell dargestellt wie lange es dauert bis
Ihr Passwort per Brute Force Attacke geknackt werden kann.

howsecure

Prüfen Sie heute noch Ihr Passwort!
Nutzen Sie das Kontaktformular bei Fragen zu Passwortsicherheit
oder Software zur Verwaltung Ihrer Passwörter.

PS: Wollten Sie Ihr Passwort prüfen lassen?
Überlegen Sie immer wo Sie Ihre Daten hinterlassen!
Oder würden Sie dem Nächstbesten auf der Straße Ihre Haustürschlüssel geben?

 

 

Schützt Ihr Passwort sicher Ihre Daten?

Damit Ihre Daten, ob privat oder geschäftlich, im Internet geschützt übertragen werden, verlangen alle Internetseiten, Social Networks, Cloud Services, schlicht jede Seite, bei der Sie Angaben über sich machen müssen, ein Passwort. So soll sichergestellt werden, dass wirklich nur berechtigte Personen Zugriff darauf haben, ob es sich um Ihre Bestellhistorie in einem Online-Shop handelt, um hochgeladene Bilder und andere Dokumente, oder um noch viel wichtigere Daten, wie etwa Geburtstage, Kreditkarteninformationen und vieles mehr.

Schon im privaten Bereich ist Datendiebstahl im besten Falle lästig, ärgerlich, und vielleicht sogar kostspielig, im schlimmsten Fall ist es finanziell und persönlich verheerend. Für Unternehmen ist es noch schwerwiegender, denn das Bestehen der gesamten Firma kann durch Datendiebstahl und -missbrauch gefährdet sein.

Um unsere Daten zu schützen, müssen wir uns deswegen Passwörter einfallen lassen, die zusammen mit unserem Benutzernamen sozusagen unsere Identität bestätigen. In vielen Unternehmen werden Passwörter von der IT-Abteilung vergeben. Oft sind diese Passwörter sehr komplex, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, und man kann sie sich nur schwer zu merken. Das führt dann zu dem „beliebten“ Fehler, dass sie einfach per Haftnotiz am Monitor kleben, so dass dem Missbrauch sozusagen das digitale Tor geöffnet wird.

Wer sich selbst sein Passwort aussuchen kann, neigt aber dazu, ein einfacheres Passwort, meist ein „richtiges“ Wort, zu verwenden. Klassiker sind dabei die Namen der Kinder oder des Partners – die kann man sich ja normalerweise gut merken. Laut des Global Security Reports 2012 von Trustwave (einem auf IT-Sicherheit spezialisiertem Unternehmen), ist das allerbeliebteste Passwort im geschäftlichen Umfeld aber sogar noch schlichter: Password1. Einem Artikel auf heise.de zufolge gehören auch 123456, welcome, und P@ssw0rd zu den häufigsten Passwörtern. Diese Passwörter können natürlich schon von einfachen Programmen gehackt werden.

Aber nicht nur zu einfache Passwörter sind eine Bedrohung der Datensicherheit. Auch die unverschlüsselte Übertragung von Zugangsdaten ist eine Einladung für Hacker und Datendiebe, sich mittels entsprechender Schad-Software an Ihren Daten zu vergreifen. Schließlich müssen sie dazu nicht mehr machen, als mit einem Spähprogramm Ihre Daten “abzuhören” und sie dann selbst zu verwenden.

Selbstverständlich könnten auch biometrische Zugangsmöglichkeiten Abhilfe schaffen, also dass man sich anstelle von Namen und Passwort per Fingerabdruck oder Augenscan anmeldet. In großen Unternehmen ist das tatsächlich schon relativ üblich, wenn auch oft nicht konsequent auf allen Ebenen umgesetzt. Für kleine Unternehmen sind die anfänglichen Kosten für die entsprechende Hardware und die professionelle IT-Beratung oft abschreckend.

Als erster Schritt zu mehr Datensicherheit sollten Sie daher zumindest ein leistungsfähiges Virenschutzprogramm verwenden, das auch neue und noch unbekannte Angriffe und Malware zuverlässig entdeckt und abwehrt. Durch die Kombination einer guten Anti-Virus-Software mit sorgfältig ausgewählten Passwörtern können Sie die Sicherheit Ihrer Daten bedeutend erhöhen.