Infrastruktur och serverdrift

Att sätta upp ett SPF record för att minska SPAM och bedrägerier

Vad är ett SPF record och hur kan det minska SPAM ?

JufCorp AB hjälper företag och föreningar med frågor inom backup / restore , Disaster Recovery, IT säkerhet, molntjänster och Syspeace SPF recordI princip fungerar SPF record  så att när ni skickar ett mejl så kontrollerar den mottagande mejlservern huruvida mejladressen eller rättare sagt den mejldomän ni skickar från, i mitt fall alltså @jufcorp.com, verkligen får komma från den IP adressen den ska.

Ett inte ovanligt problem i världen är att det är väldigt, väldigt lätt att utge sig för att skicka ett mejl som någon annan.
Det finna massvis med hemsidor som beskriver hur det går till och de använder s.k. Open Relay servrar ute på nätet och helt enkelt utger sig för att vara dig. Det står alltså era mejladresser som avsändare.

En varningsklocka för att det händer er kan vara t.ex. att det helt plötsligt börjar trilla in en massa mejl med felmeddelanden om att mejl inte gick att leverera och ni vet att ni inte skickat dem.
Om man granskar mejlhuvudet lite närmare så inser man att någon har använt era mejladresser som avsändare men IP adressen där mejlet har skickats från (d.v.s mejlservern) är något helt annat än den ni använder.

Ett problem som kan dyka upp när sånt händer är att t.ex. er ISP tycker att det har skickats alldeles för många konstiga mejl med domän som avsändare och bestämmer sig för att helt sonika stänga av er från att mejla ut överhuvudtaget.

Att sätta upp ett SPF record för att undvika s.k. spoofade adresser och minska mängden SPAM och bedrägerier är oftast en bra idé alltså.

När en mottagande mejlserver får ett mejl så kontrollerar den huruvida avsändardomänen verkligen kommer från den mejlserver som är ansvarig för mejl genom att kontrollera SPF record.
Om det inte gör det så skickas ett felsvar tillbaka och mejlet tas helt enkelt inte emot (OBS , alla mejlservrar är inte inställda på att kontrollera det här, det är upp till serveradministratören att sätta upp kontrollen).

Det här är dock ändå en finurlig mekanism som minskar mängden SPAM och att folk skickar mejl i ert namn (det kan ju som sagt vara rena bedrägerier det handlar om)

Att sätta upp SPF record och saker att tänka på

SPF record sätts upp i din publika DNS servern d.v.s den är en del av din DNS domän som finns publikt tillgänglig.
Det är ett s.k TXT record och kan se ut så här

“v=spf1 mx a ip4:164.40.177.83 a:ch-p-mailout01.sth.basefarm.net”

I det här fallet så betyder det att alla servrar som är uppsatta som MX pekare (dvs mejlservrar) för den här domänen får mejla i domänens namn.
Den har även tillägget att IP adress “164.40.177.83” samt hostname “ch-p-mailout01.sth.basefarm.net” också får skicka mejl med den här domänen som avsändare.

De flesta ISPr tillåter inte att man skickar ut mejltrafik på port 25 direkt utan man måste använda deras relay servrar . Anledning torde vara att minska mängden SPAM från datorer med virus, hackers o.s.v. Port 25 är helt enkelt låst om den inte går via ISPns relay servrar

Jag använder Com Hem som leverantör och de i sin tur använder sig av Basefarm.
För att mejla ut från Com Hem så anger man next hop server (d.v.s relay server ) “mailout.comhem.se” som egentligen bara är ett alias för “smtp.comhem.basefarm.net” med IP adress “164.40.177.47”.

Det som händer efter det är att Basefarm i sin tur skickar den här trafiken vidare till ytterligare en server dvs till “ch-p-mailout01.sth.basefarm.net” med IP adress “164.40.177.83” och det är den adressen som kommer att synas för den mottagande mejlservern.

Alltså, när man sätter upp ett SPF record måste man ha koll på hur kedjan ser ut d.v.s vilken IP adress kommer mottagande mejlserver att se som avsändande mejlserver.
Tänk på att det kan vara en pool av IP adresser det handlar om (för redundans t.ex. )

Mm ni sitter på t.ex. Com Hems nät så är det ovanstående saker som ska in i DNS medans t.ex Telia och TDC och andra har andra IP adresser. Enklast är att ringa dem och fråga vilken IP adress som är den sista i kedjan för utgående SMTP.

Ytterligare en sak att tänka på kan vara att om ni har t.ex. ett webbformulär nånstans som mejlar saker till er (t.ex. ett kontaktformulär) så måste den IP adressen eller hostname också vara tillåten att skicka mejl eller ni måste ändra avsändande mejldomän till något annat.

Kontrollera att ert SPF record fungerar

Ett sätt att kontrollera om ditt SPF record är korrekt uppsatt eller om ni ens har är t.ex. att surfa till http://www.kitterman.com/spf/validate.html och skriva in ert domännamn.
Den här kontrollen kan dock inte veta vad som är den sista i kedjan utan slår bara upp huruvida det finns ett SPF record och om det ser korrekt ut vad gäller syntaxen.
Ni kan också testa hur det fungerar med raderna längst ner i formuläret genom att ange rätt IP adress och fel IP adress som aväsandande mailserver för att se hur en mottagande mailserver skulle reagera.

Vill ni ha hjälp med dessa frågor eller andra inom mina områden så välkommen att kontakta mig här

Securing Windows Server with a baseline security

JufCorp AB hjälper företag och föreningar med frågor inom backup / restore , Disaster Recovery, IT säkerhet, molntjänster och Syspeace

Securing Windows Server with a baseline security

In short, to have an acceptable baseline security for any Windows server you need to think all of the things below in this list.
Sadly enough, even if you follow all of these steps, you’re still not secured forever and ever. There’s no such thing as absolute security.  That’s just the way it is but you might use this as some kind of checklist and also the links provided in this post.

 

Securing Windows Server with an acceptable baseline security

  • 1. Make sure all of your software is updated with all security patches. This includes the Windows operating system but also Adobe, Java,Office and any software really. This reduces the risk for so called 0day attacks or your server being compromised by software bugs.
  • 2. Make sure you have a good and not too resource intensive antivirus running on everything. Personally I’m a fan of F Secure PSB for Servers and Workstations for lots of reasons. It’s not just a pretty logo. If you need licenses or assistance, please feel free to contact me here
  • 3. Verify you have thought your file and directory access structure and that users and groups are only allowed to use and see what they’re supposed to. Setting file permissions is a very powerful tool to secure your server and crucial.
  • 4. Always make sure to read best practices for securing applications and servers and Google for other ideas also. No manual is the entire gospel.
  • 5. Enable logging. If you don’t know what’s happeing, you can’t really react to it can you ? It also makes any troubleshooting hopeless in restrospect.
  • 7. Have a good monitoring and inventory system in place such as the free SpiceWorks and I also recently discovered Sitemonitoring at Sourceforge that I liked. Unfortunately Sitemonitoring only works for HTTP responses , I’d love to also have it work for pure port monitoring.
  • 8. If your server has any monitoring agents from the manufacturer such as HP Server Agents, then install them and set them up with notifications for any hardware events to be prepared incas of hardware failures. If possible, also have spare parts readu for the common failures such as hard drives and PSu (Power Supply Units)
  • 9. Use Group Policies. It’s an extermely powerful tool once you start using it and it will make you day to day operations much easier.
  • 10. If your server is reachable from the Internet, use valid SSL certificates. They’re not that expensive and any communications should be encrypted and secured as fa as we’re able.
    Yes, think Mr. Snowden.Think NSA. There’s a few more things to consider when installing SSL on servers such as disabling weak cryptos and testing you´v done so correctly. I like using SSL Labs free test.
  • 11. Disable any unused services and network protocols. They can be a point of entry and for the unused network protocols, you bascially fill your local network with useless chatter that comsume bandwidth. This also goes for workstations and printers and so on.
  • 12. Enforce complex password policies! You won’t be well-liked but that’s not what you get paid for.
    If people are having trouble remembering passwords the have all over the world, maybe you could have them read this blog post I wrote about rememebering complex passwords
    and on the topic of online passwords and identities, they migh also want to read this post about protecting your online identity  also.
  • 13. Use a good naming standard for user logins. Not just their first name as login or something too obvious. Here’s an old blog post (still on the Syspeace Blog site though )  on why
  • 14. Backups! Backups! and again. BACKUPS!!
    Make sure you have good backups (and test them at least once a year for a complete disaster revovery scenario) and make sure you have multiple generations of them in case any of them is corrupted, preferrably stored offsite in some manner in case of a fire, theft or anything really.For day to day operations and generation management I highly recommend using the builtin VSS snapshot method but never ever have it instead of backups.
    You can also use the built in Windows Server backup for DR as described here
  • 15. You need to have an automatic intrusion protection against brute force and dictionary attacks with Syspeace since the “classic” methods do not get the job done. Here’s an older blog post on why . I you don’t have the time to read the article then simply download the free Syspeace trial or contact me for licenses and consulting regarding Brute force prevention

If you’re up for it, I’ve written a few other related posts here:

Securing your datacenter part 1 – Physical aspects
and
Securing your datacenter part II – Networking

There’s also a third one but to be honest , I can’t remember where I published it. This is one of the reasons I’m moving basically everyting I’ve written to my own website instead . Easier to maintain .
Keep it simple and easy is alway a good approach. 🙂

By Juha Jurvanen @ JufCorp

Securing your datacenter – Physical aspects

Securing your datacenter - Juha Jurvanen JufCorp AB

A basic guide to securing your datacenter- part 1

This blog post is intended only as a basic guide to securing your datacenter and it’s a repost with some new stuff added into it. I also wrote a couple of follow ups to it that I will repost later.

It is not intended to be the gospel of security since, well.. let’s be honest, there is no such thing as absolute security.

As an example, in Sweden there was a case where a computer was locked in a vault, with no network access whatsoever and only a few people had access to it and still, it leaked information to foreign countries. Yes . a computer controlled by the military.

Absolute computer security is a myth and a beautiful dream. With that said, system administrators can still do a lot to make more difficult to access data and prevent attacks and sabotage to their systems.
Let’s start off with physical aspects .

The actual georgraphic location

Where is your server actually located and who has physical access to it?

Resetting administrator passwords or root passwords

Once you gain physical access to a sever, there are numerous way of accessing the data. The root password or Active Directory Domain Administrator password or NDS Admin password can be easily reset (yes, the sentence “easily reset” is used loosely) with a USB stick and booting the server. Have look a at for instance HIren’s Boot CD, Burglar for NDS or just play around with Google and search for terms such as “Reset administrator password”, “decrypt password” and so on .
You’ll be amazed when you realize how easy it actually is. Personally, I always carry with me some USB stick that enables me to boot up any system and “have my way with it”
So, we need to secure the server from outside access. The data center must be protected with card keys, cameras and access control. We need to who and why they are in the data center in the first place.For instance, a janitor or cleaning staff tends to have complete access due to what they do. Many companies hire outside help to get these kinds of jobs done.

Sabotage and disrupted data services

If I wanted to gain access to server, I would try to infiltrate one of those subcontractors to get a job as a let’s say janitor, and try to gain access to the data center somehow and from there, I can basically do what ever I wanted with the servers.
Maybe my goal wouldn’t be to steal data but to kill the data operations by corrupting the filesystems on the servers (for instance just “piping” data into various files from command prompt or hding files behind other files ), randomly switch disks on RAID systems or just put small holes in network cables to cause network errors, trigger an EMP in the data center and so on .
There would be numerous ways to disrupt the data operations, once i gained access to the data center or servers room.

Information theft

If I’m out to steal data, I would probably not target the servers themselves but instead I’d start looking for backup tapes or backup disks. Far too many companies have their backups in the same location as the servers themselves and since the backups usually are not encrypted , I’d go for stealing a complete backup set, go home and start doing a scan of the tapes to figure out what backup software was used and then do a complete restore of it all.
The backups are most likely to contain the data I’m after, although probably a maximum of 24 hours old but from them I can gain access to all kinds of information about the operations and crack administrative passwords for the server systems and so on . In the comfort of my own data center. or my couch.
This way would of require some skill of Disaster Recovery scenarios and how to get data back from backups but I’m fairly sure I’m not he only one in the world who has the expertise in those matters.

Backups are always a weak point from several aspects.

You need to know who has access to them , at all times.
If you are company that for instance have your backups shipped to another location on a daily basis or weekly, you need to know that people handling them haven’t been compromised. It wouldn’t take that long for anyone with the proper skills do clone your tapes or disks en route to their destination and you would have no way of telling they’d been cloned. In that scenario, all of your critical data would be in the wild, without you actually knowing it.

If you are using any kind of online backup service, remember to choose your encryption password wisely and be extremely restrictive with who has the password. A lot of backup software do not let you change the encryption password without doing the first backup all over again, thus doubling your usage of space and your costs.
Still , I highly recommend you use an encryption password for several reasons.
If you don’t use it, it’s just pure laziness and fear of administrative hassle and that’s just not an excuse. The risk of people at your online backup provider being able to access your data is of course also an obvious risk. Do you know these people and how could you be absolutely certain that they aren’t poking around in your data and maybe giving it to your competitors?

If you are thinking about online backups there are a few very essential questions you should ask yourself but we’ll get back to that later in another post.
Do not use the same encryption password as you have for Root / Administrator / Admin . That´s just crazy talk. Use a password generator to create a unique password. This is also very much valid for tape backups or backups on NAS / disk. Always encrypt your backups with password and be very, very restrictive with who has the password.

If an employee quits your company or an outside consultant quits his project and he / she has had knowledge of the password, change it.

If you’re doing a planned Disaster Recovery test for instance, change the administrative passwords right after the DR test , thus not enabling anyone to reuse what they’ve found out during the test
During the actual DR test, you should be there and be the one that actually types in the encryption password for the backups, not any outside technicians or consultants , not even the online backup service provider or your Disaster Recovery Service Provider. You , and you alone should be the one that has those passwords.
I’ll will return to backup questions and stuff regarding DR plans and so further down the line in some upcoming blog post
So, the conclusion is, always know who and why people are in proximity of your servers and NEVER let anyone be there alone without supervision and here’s a few more pointers.

A short cheatsheet for datacenters

  1. Always have you data center locked and secured from unauthorized access, If you have the means, also have it secured against an EMP attack from the outside. Of course, I haven’t even touched the subjects but be sure your data center has all the necessary fire prevention/extinction equipment in place, UPS backups and , if possible, also an outside source for generating current in case the UPS or battery runs out of current. There should also be a system in place for protecting you servers against spikes in current.
    Be sure to know where water pipes are running in the building so you don’t place your server directly underneath one.
  2. Don’t keep cardboard or any other kind of flammable materials in the data center. Be sure to take them with you when you’ve set up a new server or switched disks. Don’t be lazy. The cost of laziness can be extreme.
  3. In the data center, always have your servers locked in cabinets that requires keys and access card to gain physical access to keyboards and stuff. Also remember to protect the cabling and the back of the servers! Never have a server logged on the console. Be sure to have all cabling to the and from the firewall and the internet access secured.
  4. If you’re “expecting company” i.e. external consultant and so on, be sure to think abut NOT having different kinds of network maps, administrative passwords and different kinds of information in plain sight for anyone to see. I’ve seen it hundreds of times, the IT department having their entire IT operations and information of their systems on white boards or on print on documents next to their workstations. It’s very quick and easy to take a picture of it with a cell phone and once you understand the infrastructure you can also start exploring weak points in it.
    Sure , it makes their lives easier but as one might gather, it also makes the life of the attacker easier. Knowledge is a powerful weapon, especially when it comes to data protection
  5. Don’t have software laying around in the data center with software keys and stuff on them . All it takes is a mobile phone for someone to coy your license keys thus possibly putting you in an awkard situation having to explain to Microsoft for instance how come that your Volume License keys are a bit too easy to find on Piratebay, thus putting you n the risk of your licenses becoming invalid and bringing your server operations to a halt , or at least a shoer disruption.
  6. Know where your backups are, at all times. Have them encrypted. If using online backup services, be sure to use an encryption key and , if possible, be sure to have restrictions on the online backup service providers end on to and from where backups and restores are allowed
  7. Do not allow mobile phones in the data center due to the risk of people photographing your equipment or software license keys or using the mobile phones to copy data via USB cables and stuff.
  8. If possible, disable any USB ports on your servers. This can be done in the BIOS (and of course also have a sysmtem password for accessing the BIOS, a unique one for each server ) or you can physically kill it by putting glue or semothing in there (I haven’t tried that myself so do try at your own risk .. )
  9. If you are sharing a data center with others, there is no need for you to have your company logo or anything revealing the servers are yours. Keep it as anonymous as possible. There is also no need for you to tell anyone where your servers are physically located (although it can be fairly easy for anyone to fin out using traceroute commands and so on ),
  10. Be sure to have a Disaster Recover Plan (DRP ) / Business Continuity Plan (BCP) if your site is compromised or an accident should occur. Also in this case, treat the secondary DR location as mission critical data. Far too often, the secondary site is forgotten and poorly updated.
  11. Once again, do not underestimate the powers of social engineering. Although it’s not hacking in the usual sense, it’s merely good acting but it can still be as harmful as I’m trying to point out here

So, there’s a few tips anyway and that’s just the start really. It’s not a complete recipe for securing your physical environment and I’m sure I’ve missed out loads of stuff but it’s a start anyways.

I hope you you liked this post and I’d love to hear you thoughts on it and if you want me to write a few others on the matters of securing your server operations, I was thinking in the lines of brute force protection, change management, 0day attacks, certificate management , password policies, protecting web servers and so on , You get the picture 🙂

// Juha Jurvanen

Contact me

Senior consultant in backup, IT security, server operations and cloud

Svenskt sjukhus förlorade data om 5000 patienter pga bristande backuper och övervakning 

backup återstartsplanering IT IT konsult IT säkerhet

De flesta företag och föreningar vet redan att backuper är viktiga att ha. I många avtal med externa leverantörer står det också att backuper ingår i deras tjänster.

Det som ofta inte står och inte heller görs är faktiska återstartstester och kvalitetskontroller på de backuper som tas.Särskilt inte av en oberoende tredje part. Det handlar såklart om att hålla kostnaderna nere.

Konsekvenserna dock av det kan ibland bli katastrofala pga detta. Vid ett haveri finns det flera aspekter att tänka på som t.ex hur man ska meddela sina kunder, vart ska backupen återläsas, hur och vilken ordning och hur lång tid får det egentligen ta? Hur stor dataförlust, om någon alls,  är acceptabel?

Dessa frågor och andra frågor kring  IT drift  är sånt jag hjälper företag och organisationer med.

Ett olyckligt exempel på hur man misslyckats med sin återstartsplaner och backupövervakning finns här i Computer Sweden nyligen. (exemplen är tyvärr väldigt många men majoriteten kommer aldrig fram i dagsljuset)

Ett sätt att i vart fall minimera risken är att anlita en tredje part som hjälper till att hålla ett öga på backuperna och även hjälper till att planera och genomföra återstartstester för övning och kvalitetskontroll.

Ny version av Wordfence för WordPress släppt idag

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Säkerhet och WordPress

WordPress är en av de absolut största plattformarna idag för websidor och CMS. Framgången ligger i enkelheten att sätta upp och alla tillägg och teman som finns till WordPress.

Många installerar många olika tillägg och får till sina sidor precis som de vill ha dem och tänker inte mer på det.

I det här sammanhanget kommer Wordfence tillägget in i bilden som ett verktyg för att få larm och övervakning på hur olika säkerhetsaspekter av ens WordPress mår.

Att installera Wordfence är enkelt och många av standardinställningarna är bra. Det finns dock en hel del jag brukar ändra på när jag installerat Wordfence.

En av de stora nyheterna i den nya versionen är Web Application Firewall som aktivt lyssnar efter olika typer av hacking attacker som SQL injection, XSS scripting o.s.v

Wordfence 6.11 finns att hämta här

För de kunder jag övervakar och hanterar WordPress så sköter jag såklart allt det där.

Kontakta mig här för frågor

NTLM settings and other fun labs searching for missing IP adresses in eventid 4625 or trying to get RemoteAPP to work well with RD Client on iPad, Android and even Windows!

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Using SSL causes mssing IP adresses in eventid 4625 and to get them back .. disable NTLM ? Nope. Not really an option

Today I took me a lab day to actually sit down and spend time with the NTLM settings and the RDWEB and try it out on various platforms and do some more or less scientific testing.
In short, I’äm not impressed by how Micropsoft has actually implemented parts of ther stuff..

I used Windows 10, RD Client for IOS and RD Client for Android. The server infrastructure was a Windows Server 2008 R2 with valid SSL certficates for all services.

The underlying problem is basiaclly that if you use an SSL certificate for your RDP connections , failed logins aren’t correctly dispalyd , i.e. your missing IP adresses in eventid 4625. (When not using an SSL certficate , it is recorded but then your users and customers get a lot of warnings when connecting to your servers and some things just donät work very well sucha as the Webfeed for RD Web)

Syspeace is a Host Intrusion Prevention Software that uses this inormation about the source IP address to block brute force attacks against Windows Servers.

One way around this is to disable incoming NTLM traffic and sure enought , all IP addresses are recorded.

The downside is .. only “full” RDP connections will work meaning that for instance connections to a server desktop works fine but if you’re really into RemoteAPP (and that’s the way I want to go and a lot of tekkies with me) you’ll be running into problems.
And, by th way.. frankly, full desktop session don’t work either from IOS (at least remote Desktop Client 8.1.13 and my iPad, they do from Android though, same server, same username and so on)

Not even Windows really working correctly when disabling NTLM ?

I also did some testing for fun by creating a .wcx file and oddly enough. In order to get that to actually work with Windows 10 (and I’m guessing it’s the same for Windows 7 and so on ) , It just refuses to connect to the RemoteApp service if incoming NTLM is disabled.
I can howerver start a normal Desktop Session against the server so, what I would claim is that the fault is actually within RD Web and the way it handles authentication, requiring some parts to be using NTLM.
The usual RD Web login interface works so far that I can login and see the resources but I can’t start any applications from it. No errors, nothing.
If enabling NTLM, I can start the applications just fine. Once again. NTLM has to be enabled in order for full functionality 🙁

So, basically, if I change the policy settings for the RD Server not to allow incoming NTLM traffic in order to be able to actually handle a bruteforce attack and also keep track of failed logins with informaion that’s actually useful for me as a sysadmin and CSO

These are by the way the settings I’m referring to

Computer Configuration\Windows Settings\Security Settings\Security Options

– Network security: LAN Manager authentication level — Send NTLMv2 response only. Refuse LM & NTLM
– Network security: Restrict NTLM: Audit Incoming NTLM Traffic — Enable auditing for all accounts
– Network security: Restrict NTLM: Incoming NTLM traffic — Deny all accounts

Regardless of how I try, I can’t get it to work to actually add remoteapp resources (or Remote Resource Feed) neither Windows 10, nor IOS, nor Android.

So, what are the implications of this ? Does it matter ? Do we need the source IP address in 4625?

First of all, the way this is handled within Windows Server is an absolut nightmare and frankly, just usesless and I can’t see any reason for Microsoft developers to leave the IP address out when using SSL certificates or at least have another entry in the eventlog for it containg useful information.
It’s not possible to handle brute force attacks natievly within Windows Server as I’ve written about many times earlier.

The biggest problem is of course that if someone tries to bruteforce your server, then how will you stop the attack ? How do you gather evidence ?
If your’e running a larger server environment and hosting customers and so on , you’ll have no way of knowing what attempts are legitimate customers and user and which ones aren’t really.
You can hardly shut down your services can you ?

At the moment , I don’t have a good solution to this problem. Syspeace catches lots and lots of bruteforce attacks for me but these ones it can’t since it doesn’t have any IP address to block.
I’m just hoping for Microsft to actually solve this on the server side since that would be the easiest fix for them I’d say.
Of course they also neeed to get the RDP clients working for all platforms but basically it should be working with NTLM2 at least and also to log the failed logon request correctly if using an SSL certficate. Anthing else is just pure madness and stupidity to be honest and someone should get fired for not thinking ahead.

By Juha Jurvanen @ JufCorp

End of life för Windows Server 2003 – Dags att migrera till nytt OS eller flytta till Molnet ?

End of life för Windows Server 2003 imorgon

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Imorgon är det sk Patch Tuesday dvs den dagen varje månad då Microsoft släpper olika uppdateringar för sina operativsystem.

Morgondagen är dock lite speciell då det är sista gången Microsoft släpper uppdateringar för just Windows Server 2003 familjen. Efter det kommer alltså inga nya säkerhetsuppdateringar att släppas och det är väldigt viktigt att vara medveten om.

För företag och föreningar som fortfarande använder någon variant av Windows Server 2003 familjen finns alltså en del saker att tänka på efter det.

Valen man står inför är att migrera till ett nyare operativsystem med allt vad det kan innebära som t.ex. inkompabiliktet med programvaror man kör. Oftast går det att lösa men kräver en del testande och tid att lägga ner på projektet för att vara säker på att verksamheten kan fortsätta utan överraskningar. Saker som länkar hos användare och olika pekar i filsystemen kan också ställa till en del trassel om man bara installerar upp en ny server i miljön.

Flytta till en plattformsoberoende molntjänst som Red Cloud ITs rCloud Office?

Ett annat alternativ är att t.ex. börja undersöka molntjänster dit man kan flytta sina applikationer som t.ex. Red Cloud ITs rCloud Office. Fördelar här är t.ex. att flytta sin Visma eller Pyramid och i ett slag göra den även åtkomlig från iPad, Android o.s.v men ändå ha säkerheten, backuper och generationshanteringar inbyggd till en fast kostnad per användare och månad.
Många CRM och affärssystem finns helt enkelt inte för MAC, Android , iPad osv men utvecklingen går alltmer åt BYOD dvs låt användarna själva bestämma vilket operativ eller plattform de vill använda. Då behövs lösningar som stöder att de kan komma åt affärssystemet o.s.v.

Oavsett bör man som företag se över sin IT miljö eftersom det helt enkelt över tid kommer bli alltmer osäkert att köra ett operativ som inte längre stöds. Hackers kommer att utnyttja vetskapen att ett tidigare oupptäckt säkerhetshål helt enkelt inte kommer att åtgärdas.

Det finns en del saker att göra under en övergångsperiod dock eftersom det ju kommer nya patchar imorgon.

Nedan är några punkter att tänka på

1. Se till at ha fungerande certifikat på all kommunkation till och från servern för att skydda er mot eventuell avlyssning och sk Man in the Middle attacker. Kom ihåg dock att bara installera ett SSL certifikat inte räcker, det behövs fler ingrepp i servern för att säkra upo den. Certifikatet i sig skyddar inte heller mot t.ex. skadlig kod eller intrångsförsök.

2. Se till att ha ett väl fungerande antivirus, t.ex. F Secures PSB lösning där man kan ta hjälp av tredje part att övervaka eventuella larm och använda dess Software Updater.

3. Ett automatiserat intrångsskydd för lösenorsdattacker med Syspeace. Det pågår väldigt mycket intrångsförsök i bakgruinden som man ofta är helt omedveten om.

4. Gå igenom vilka portar i brandväggar som är öppna och tänk igenom dem noggrannt. Vad behöver egentligen vara öppet ? Stän allt som inte uttryckligen måste vara öppet. Styr trafik korrekt.

5. En stark, tvingande lösenordspolicy för alla användare. MINST 8 tecken o.s.v.

6. Se till att alla program är uppdaterade, även Java och Flash o.s.v. om de körs på servern och den används som Terminal Server. Generellt sett så ska programvaror alltid vara uppdatrade till senaste versioner. Har ni en lite större miljö finns lösningar för att distribuera ut programvaror från centralt håll , även till era arbetsstationer, t.ex med PDQ Deploy eller via Group Policies.

7. Gå igenom alla fil och katalogrättigheter på servern och följ de rekommendationer som finns. Googla på uttryck som 2003 Server Hardening och läs igenom och testa att ni satt upp sakerna efter bästa rekommendationer.

8. Om ni kör t.ex. Windows Server 2003 SBS behövs en del eftertanke med hur er mail ska hanteras framöver. Det kan handla om stora mängder datat i en Exchange Server och kräva en del eftertanke med hur det ska migreras på bästa sett , antingen till en extern leverantör elelr till en ny mailserver,

9. Tänk igenom om servern behöver vara nåbar från Internet egentligen ? Finns det möjlighet att flytta Internet acessen till ett nyare operativ och låta åtkomst hanteras av den istället ? Är en VPN lösning smidigare eller finns det andra sätt att sköta extern åtkomst ? Det får ju inte vara för krångligt för användarna.

10. I sak har inte den här punkten med migrering av Windows Server 2003 att göra men kolla igenom backuperna kontinuerligt och tänk igenom hur ni kanske vill ha en arkivkopia av den gamla servern efter en migrering ? Hur ska den återläsas om det behövs ?

11. Fundera på vilken väg ni vill gå vad gäller er IT miljö. Till en extern molntjänst eller kanske dags bygga ett eget privat moln eller en hybrid ? Att flytta sina saker till en molntjänst kräver en del eftertanke och är kanske inte alls rätt väg för er.

Återanvända serverparken ?

Att uppgradera den befintliga serverparken kan vara den bästa lösningen för just er verksamhet. Troligen är det äldre servrar som körs om ni fortfarande använder Windows Server 2003 men de maskinerna kanske går att återanvända till andra saker (dvs först installera om / uppgradera dem till nyare operativ och sedan återanvända för t.ex. fillagring för arkivering , backup server, Terminal Server Access o.s.v.). I sammahanget ska naturligvis även virualisering av serverparken nämnas och även här finns flera vägar att gå t.ex. VMWare eller Hyper-V eller Xenserver.

Det finns inget självändamål i att kasta hårdvara bara för den är lite till åren och avskriven men ändå fungerar. Ofta kan den hårdvaran räcka till att byga en egen, intern molntjänst om man är orolig för att flytta sitt data till en molnleverantör.

Det finns många olika vägar att gå och det gäller tänka igenom att det blir rätt för just er verksamhet.

Oavsett väg ni väljer kan jag hjälpa er planera och implementera. För mer information, kontakta mig här

Grundläggande säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Jag skrev den här saken för ett tag sen men har lagt till lite nya länkar till programvaror o.s.v.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

Installerade program

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjkar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Katalog och filrättigheter

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat. Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sättw upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift. “Better to be denied than sorry”

Best practices

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet.

Loggning

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.

SNMP och serveragenter

7. Om din server har olika typer av övervakningsagenter som kommer från tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group Policies

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL TLS och Internet

9. Om servern är nåbar från Intern, se till att ha giltiga SSL certifkat för alla tjänster so ska kommuniceras med. Det är inte så dyrt man kan tro och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

Onödiga tjänster och nätverksprotokoll

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Behöver t.ex. DHCP Client vara igång på en server ? Samma princip gäller för skrivare och arbetsstattioner.

Lösenordspolicy

11 Tvinga komplexa lösenord för alla användare. Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

Namnstandard för inloggningar

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även här är Syspeace en viktigt nyckel för hanteringen.

Backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.
Se till att ha MINST en fungerande enreation av backupern anågon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.

Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersätta backuper. All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar . Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå –

Scanna , hacka , sök aktivt efter brister

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Lösenordsattacker

16. Automatisk intrångshantering med Syspeace. I Windows går det inte att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

Återstartsplaner för IT

17. Det här hör på sätt och vis ihop med punk 13 om backuper men se till att ha en vettig återstartsplan om något händer.

Microsoft Baseline Security Analyzer

18. Kolla med Microsoft Baseline Security Analyzer så du också följer deras rekommenadtioner. Den är inte heltäckande men användar för att ge en fingervisning

Kontakta mig för möte eller frågor

Återstartsplaner för IT – Disaster Recovery på svenska

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Efter 20 år som IT konsult inom många olika områden är min erfarenhet att backuper oc återstartsplaner för IT fortfarande är en eftersatt fråga. I sak har det inte förändrats mycket , trots molntjänster och förenklade metoder och hur många gånger det än diskuteras på möten blir det ändå eftersatt och uppskjutet.

Ända till den dagen något verkligen händer och de där backuperna behövs.

Backuper är för de flesta ett tråkigt ämne och sällan något som prioriteras, varken av IT avdelningen eller av ledningen men, tyvärr är ändå den krassa verkligheten att backuperna är något av det viktigaste ett företag eller organisation har.

En av de mest grundläggande frågorna varje IT chef och VD måste sälla sig är “Hur länge kan vi klara oss utan vår IT? Timmar ? Dagar ? Månader ?
Utan den tankegången kommer teknikerna och IT avdelning aldrig att ha ett mål att jobba mot för att skapa en användbar återstartsplan som följer den riktlinjen. Backuper och riktlinjer för återstartsplaner är alltid ledningens ansvar.

Förarbetet under den normala driften är väldigt viktig att tänka på .
Att inte kontinuerligt övervaka backuperna, testa att de innehåller vad de ska och ha ett öga på eventuella fel kan få väldiga konsekvenser.

Att inte ha planerat igenom hur en stor återställning av hela IT systemet ska gå till i förväg kan leda till en onödigt lång återstartsprocess i sökande efter dokumentation, backuper, hårdvara och kompetenta tekniker.

Att återställa enskilda filer på en server är inte en test av backuperna , det är i bästa fall bara ett test av läsbarheten på backuperna. Ett riktigt återstartstest (Disaster Recovery Test )  ska utgå från scenariot att hela servern eller hela servermiljön helt enkelt inte längre finns att tillgå.

Tekniker som skall återställa ska ha tillgång till backuperna, dokumentationen och hårdvara att återställa till. Det är allt. Ingen att ringa. Ingen att fråga. Syftet skall vara att ha en tillräckligt bra teknisk återstartsplan och kunna följa den så att företaget eller organisationen har tillgång till sina IT system inom den tid som krävs enligt IT policyn och företagets BCP (Business Continuity Plan ) och DRP (Disaster Recovery Plan) .

Här kommer många frågor in per automatik att tänka på.
Alla de här frågorna förutsätter att det redan är konstaterat att det är just backuperna som måste tas till .
För att komma fram till det beslutet krävs också en del planering innan och beslut att fatta baserat på vad som hänt (virusattack, brand, stöld, översvämning, terrorhot o.s.v. ) 

  1. Var finns backuperna? Är de på tape? -Var finns banden? Är de krypterade och vem har lösnorden?
    På disk?  I princip är frågeställningarna de samma som på tape.
    Är det onlinebackuper? – Är de krypterade ? Hur mycket data är det totalt och hur mycket bandbredd har vi att tillgå ? Kommer själva återläsningen av data att ta för lång tid för allt data över den här bandbredden t.ex. 10 Mbits eller 100 Mbits ?
  2. Hur har backuperna tagits ?  Vilken backup programvara ha använts och hur får vi tag på den ? Hur återställer man backupservern i t.ex. Legato Networker eller Tivoli TSM för att ens kunna börja återläsa något från backuperna? Hur lång tid tar den initiala återställningen och har vi räknat in den tiden i vår DRP ? För t.ex. Legato kan en sån återställning handla om många, många timmar för man kanske måste scanna igenom varje tape och få in dem i databasen och i TSM är databasen kritisk för att kunna få tillbaka något alls från backuperna.
  3. Hur ser systemdokumentationen ut ?
    Hur var servrarna uppsatta med volymstorlekar, programvaror, operativsystem med service packs o.s.v. ? Många företag missar den här delen i sin återstartplan och det kan leda till ett alldeles onödigt tidsspill under återställningen . Dokumentationen är gammal eller direkt felaktig . Här behövs enkla och automatiserade system som uppdaterar systeminformationen dagligen. Administrativa lösenord behöver också finnas tillgängliga, i Wndows server världen även de lokala administrativa lösenorden och en uppdaterad IP plan kommer behövas.
  4. Till vad ska vi återläsa backuperna?De flesta företag organisationer har inte en dubblerad serverpark som bara står och väntar en katastrof och att veta till vilken hårdvara det faktiskt ska återläsas till är en viktigt fråga att tänka på alltså, hur får vi tag på reserv hårdvara eller ska vi återläsa allt till en virtuell miljö? Hur får vi tag  på en server som kan husera t.ex. 25 servrar med 4 GB RAM vardera minst och 50 GB disk utrymme?
  5. Vart ska vi göra den faktiska återläsningen? Om företaget eller organisationen drabbats av en större olycka kommer det troligen inte att gå att återställa miljön på samma ställe. Det måste finnas en plan för vart både personal och IT personal ska ta vägen för att ens kunna påbörja en återläsning och återuppbyggnad av IT miljön. Oavsett hur så måste förmodligen verksamheten återuppstå förr eller senare.
  6. Vem ska göra vad? Och i vilken ordning?Det här är också hemskt viktiga frågor. Vem eller vilka ska göra det rent praktiska med återläsningen ? Vem ska t.ex. meddela på hemsidan / twitter / press att ni råkat ut för ett haveri och meddela när ni beräknas vara i full drift igen ? På vilka siffror baseras den informationen dvs från tidigare krascher eller tidigare återstartstester eller bara en “allmän känsla” dvs mer eller mindre baserat på gissningar ?

    Finns det redan utsett i vilken ordning olika system och funktioner ska upp och vilka som är mest kritiska och viktigast att få upp först ? Vad IT avdelningen tycker är viktigt kanske inte alls är det viktigaste för företaget sett ur affärssynpunkt. Att förstå samspelet mellan olika system är kritiskt.

    Om ingen med kunskap om hur miljön var uppbyggd finns tillgänglig, kommer dokumentationen att vara en hjälp eller ett hinder för den externe konsulten som skall hjälpa till ? Att återläsa t.ex. en kraschad Microsoft Exchange Server med tillhörande Active Directory eller en komplicerad Oracle installation är inte alldeles självförklarande för den som aldrig gjort det innan. Allt går såklart att göra om backupen är korrekt taen men det kan ta många gånger längre tid än nödvändigt att vara igång igen. Jag har sett exempel där det handlat om veckoer innan systemn är uppe igen.

  7. Återställningen i sig – är den permanent eller tillfällig? Om återställningen gått bra så måste man ändå ha klart för sig om det är en tillfällig lösning man återställt sin miljö till och så fort man är i normal drift igen måste man börja planera för återgång till den riktiga miljön igen .

Det här är egentligen bara några av saker som jag vet man måste tänka på för sin verksamhet och framförallt, man måste ta sig tiden att göra det här jobbet , antingen internt eller att anlita en extern konsult som hjälper till med att strukturera upp arbetet och planeringen med nya ögon.

Kommentera gärna eller kom med synpunkter eller kontakta mig för vidare funderingar kring de här frågorna.

Ett möte kostar bara lite tid men kan ge så mycket mer

Juha Jurvanen – Senior IT konsult inom backup, IT säkerhet, servedrift och molntjänster .

TLS 1.1, TLS 1.2 och SSL certifikat på Microsoft IIS Server och Exchange Server

Vad är ett SSL certifikat ?

konsult inom backup It säkerhet molntjänster SSL

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS är egentligen en vidareutveckling av just SSL även om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

SSL är dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.
Det här är absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det är en del manuell hantering och det är ofta svårt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server.
Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.

Många av standardvärdena i Microsoft IIS tillåter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas även en del viktiga inställningar i registret för Forward Secrecy o.s.v

Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp och frågor

%d bloggers like this: