Archives for JufCorp

Återstartsplaner för IT – Disaster Recovery på svenska

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Efter 20 år som IT konsult inom många olika områden är min erfarenhet att backuper och återstartsplaner för IT fortfarande är en eftersatt fråga. I sak har det inte förändrats mycket , trots molntjänster och förenklade metoder och hur många gånger det än diskuteras på möten blir det ändå eftersatt och uppskjutet.

Ända till den dagen något verkligen händer och de där backuperna behövs.

Backuper är för de flesta ett tråkigt ämne och sällan något som prioriteras, varken av IT avdelningen eller av ledningen men, tyvärr är ändå den krassa verkligheten att backuperna är något av det viktigaste ett företag eller organisation har.

En av de mest grundläggande frågorna varje IT chef och VD måste sälla sig är “Hur länge kan vi klara oss utan vår IT? Timmar ? Dagar ? Månader ?
Utan den tankegången kommer teknikerna och IT avdelning aldrig att ha ett mål att jobba mot för att skapa en användbar återstartsplan som följer den riktlinjen. Backuper och riktlinjer för återstartsplaner är alltid ledningens ansvar.

Förarbetet under den normala driften är väldigt viktig att tänka på .
Att inte kontinuerligt övervaka backuperna, testa att de innehåller vad de ska och ha ett öga på eventuella fel kan få väldiga konsekvenser.

Att inte ha planerat igenom hur en stor återställning av hela IT systemet ska gå till i förväg kan leda till en onödigt lång återstartsprocess i sökande efter dokumentation, backuper, hårdvara och kompetenta tekniker.

Att återställa enskilda filer på en server är inte en test av backuperna , det är i bästa fall bara ett test av läsbarheten på backuperna. Ett riktigt återstartstest (Disaster Recovery Test )  ska utgå från scenariot att hela servern eller hela servermiljön helt enkelt inte längre finns att tillgå.

Tekniker som skall återställa ska ha tillgång till backuperna, dokumentationen och hårdvara att återställa till. Det är allt. Ingen att ringa. Ingen att fråga. Syftet skall vara att ha en tillräckligt bra teknisk återstartsplan och kunna följa den så att företaget eller organisationen har tillgång till sina IT system inom den tid som krävs enligt IT policyn och företagets BCP (Business Continuity Plan ) och DRP (Disaster Recovery Plan) .

Här kommer många frågor in per automatik att tänka på.
Alla de här frågorna förutsätter att det redan är konstaterat att det är just backuperna som måste tas till .
För att komma fram till det beslutet krävs också en del planering innan och beslut att fatta baserat på vad som hänt (virusattack, brand, stöld, översvämning, terrorhot o.s.v. ) 

  1. Var finns backuperna? Är de på tape? -Var finns banden? Är de krypterade och vem har lösnorden?
    På disk?  I princip är frågeställningarna de samma som på tape.
    Är det onlinebackuper? – Är de krypterade ? Hur mycket data är det totalt och hur mycket bandbredd har vi att tillgå ? Kommer själva återläsningen av data att ta för lång tid för allt data över den här bandbredden t.ex. 10 Mbits eller 100 Mbits ?
  2. Hur har backuperna tagits ?  Vilken backup programvara ha använts och hur får vi tag på den ? Hur återställer man backupservern i t.ex. Legato Networker eller Tivoli TSM för att ens kunna börja återläsa något från backuperna? Hur lång tid tar den initiala återställningen och har vi räknat in den tiden i vår DRP ? För t.ex. Legato kan en sån återställning handla om många, många timmar för man kanske måste scanna igenom varje tape och få in dem i databasen och i TSM är databasen kritisk för att kunna få tillbaka något alls från backuperna.
  3. Hur ser systemdokumentationen ut ?
    Hur var servrarna uppsatta med volymstorlekar, programvaror, operativsystem med service packs o.s.v. ? Många företag missar den här delen i sin återstartplan och det kan leda till ett alldeles onödigt tidsspill under återställningen . Dokumentationen är gammal eller direkt felaktig . Här behövs enkla och automatiserade system som uppdaterar systeminformationen dagligen. Administrativa lösenord behöver också finnas tillgängliga, i Wndows server världen även de lokala administrativa lösenorden och en uppdaterad IP plan kommer behövas.
  4. Till vad ska vi återläsa backuperna?De flesta företag organisationer har inte en dubblerad serverpark som bara står och väntar en katastrof och att veta till vilken hårdvara det faktiskt ska återläsas till är en viktigt fråga att tänka på alltså, hur får vi tag på reserv hårdvara eller ska vi återläsa allt till en virtuell miljö? Hur får vi tag  på en server som kan husera t.ex. 25 servrar med 4 GB RAM vardera minst och 50 GB disk utrymme?
  5. Vart ska vi göra den faktiska återläsningen? Om företaget eller organisationen drabbats av en större olycka kommer det troligen inte att gå att återställa miljön på samma ställe. Det måste finnas en plan för vart både personal och IT personal ska ta vägen för att ens kunna påbörja en återläsning och återuppbyggnad av IT miljön. Oavsett hur så måste förmodligen verksamheten återuppstå förr eller senare.
  6. Vem ska göra vad? Och i vilken ordning?Det här är också hemskt viktiga frågor. Vem eller vilka ska göra det rent praktiska med återläsningen ? Vem ska t.ex. meddela på hemsidan / twitter / press att ni råkat ut för ett haveri och meddela när ni beräknas vara i full drift igen ? På vilka siffror baseras den informationen dvs från tidigare krascher eller tidigare återstartstester eller bara en “allmän känsla” dvs mer eller mindre baserat på gissningar ?Finns det redan utsett i vilken ordning olika system och funktioner ska upp och vilka som är mest kritiska och viktigast att få upp först ? Vad IT avdelningen tycker är viktigt kanske inte alls är det viktigaste för företaget sett ur affärssynpunkt. Att förstå samspelet mellan olika system är kritiskt.Om ingen med kunskap om hur miljön var uppbyggd finns tillgänglig, kommer dokumentationen att vara en hjälp eller ett hinder för den externe konsulten som skall hjälpa till ? Att återläsa t.ex. en kraschad Microsoft Exchange Server med tillhörande Active Directory eller en komplicerad Oracle installation är inte alldeles självförklarande för den som aldrig gjort det innan. Allt går såklart att göra om backupen är korrekt taen men det kan ta många gånger längre tid än nödvändigt att vara igång igen. Jag har sett exempel där det handlat om veckoer innan systemn är uppe igen.
  7. Återställningen i sig – är den permanent eller tillfällig? Om återställningen gått bra så måste man ändå ha klart för sig om det är en tillfällig lösning man återställt sin miljö till och så fort man är i normal drift igen måste man börja planera för återgång till den riktiga miljön igen .

Det här är egentligen bara några av saker som jag vet man måste tänka på för sin verksamhet och framförallt, man måste ta sig tiden att göra det här jobbet , antingen internt eller att anlita en extern konsult som hjälper till med att strukturera upp arbetet och planeringen med nya ögon.

Kommentera gärna eller kom med synpunkter eller kontakta mig för vidare funderingar kring de här frågorna.

Ett möte kostar bara lite tid men kan ge så mycket mer

Juha Jurvanen – Senior IT konsult inom backup, IT säkerhet, servedrift och molntjänster .

Syspeace vs Cyberarms – Bruteforce prevention for Windows Servers

IT konsult backuper, It konsult säkerhet, IT konsult syspeace, IT konsult återstartsplaner, It konsult Active DirectoryA few years back I had an idea about a Host Intrusion Prevention System for Windows servers. I did try to write a proof of concept myself and I did have a pretty good idea of how it should work and what mistakes to avoid. I ran into a Swedish development company by coincidence and I told them about my idea, showed them som proofs of concepts and we decided to create this product together and that’s what eventually became Syspeace.

We had a perfectly fine collaboration for a few years but sad to say I’m no longer associated with Syspeace. In short , after an intial contract for 3 years  for a certain percentage of gross sales , they suddenly decided that I wouldn’t get any money whatsoever for any sales of Syspeace after that. Simple as that. Yay me. Not really what I had in mind when presenting the idea and putting that work into it and still, stupidly enough , I kind of was under the impression that we’d continue the same way as the first contract was written, both practically and in spirit.. Yep. Admittedly bitter about it. I loved the idea, I love the product (although there are improvemens that need to be made in my humble opinion. The idea is even good enough to actually bring some revenue and if we would’ve stayed on terms, I would’ve been perfectly fine. Still, lesson learned. Don’t be so trusting.

Anyaway, this post isn’t about that really. Not getting into how I feel about that but I’m sure you can imagine. There’s another post that kind of relates to that here and my view on a product such as Syspeace.

Anyway, a German competitor called Cyberarms with their product IDDS did however actually manage to release their product just a couple of months prior to us. Our product was still in a testing phase at the time. Out of loyalty and so on, of course I stuck to using Syspeace but there were always a few things that bothered me.
For instance, when running SSL on RDP connections, the eventid 4625 in the Windows Securitylog didn’t record the source IPaddress, thus making it impossible for Syspeace to block anything. Using SSL on RDP connections and so on makes stuff fareasier if you’re hosting Terminal Servers (Remotdesktop Servers and RemoteApp servers) in regards to network security, error messages to clients and so on. It just helps you out a lot having valid SSL certificates.

Syspeace worked perfectly fine for blocking attacks when the source IP address was recorded but otherwise not.
There are a few workarounds and I have written about them earlier but none of them are really good and there are pros and cons to them. This lack of functionality (meaning Syspeace not blocking all attempts but merely the ones containing the source IP address) was always a big problem and it was intended to be fixed but they never really got around to doing so.
I’m sure they will but it has taken a long time though.

As of December 2016, Cyberarms decided to release their software as Open Source (my understanding is that they couldn’t find new investors for continuing but I don’t know really ) so of course I got curious and decided to take it for a spin.

The blocking works fine. It blocks IP addresses with their SSL/TLS agent perfectly fine and it’s free to use so why not use it?

Well. A few things to consider here though and you really might want to think about them before implementing Cyberarms IDDS on larger scale.

Syspeace vs Cyberarms

First of all , the notification email you get from Cyberarms contains far too little information for it to be useful in a datacenter environment or at a Cloud Service provider. If you’re simplt protecting your PC at home, sure but if your’re mmanaginfg a larger server environment it will become a nightmare.

If you get an email simply saying “The IP address xxx.xxx.xxx.xxx has been locked” and you get a few hundred of those, it’s not very useful to you as a sysadmin I’m afraid.

You need to quickly be able to see Geopgraphical information and the login name used in order to know whether it’s an actual attempt to use valid usernames and access data or if it’s just an automated “background noice attack”. With that said, do not underestimate those background nice attacks since they do use up resources like CPU and RAM on your servers. They can also be an attempt to hide other kinds of hacking attacks simply by “hiding in the noice”.

Another thing that Cyberarms lacks is an automatic “Reset on success” feature which in essence means that if you have a customer connecting to your services from behind a firewall and someone at the customer side mistypes their password, the IP address will be blocked. Works as designed in both Cyberarms and Syspeace.

In Syspeace though , there is a default mechanism for also keeping track of succesful logins and with some builtin logic, actuallynot banning the IP address if someone else succeeds with their login attempt from behind that same firewall. The toought behind it is of course to minimize false positives and hopefully not blocking your customers from your services. It’s not foolproof but it works well enough.

In Sypeace, the rules you can set are also more flexible including parameters such as a time window. This is very useful for you to catch “slow grinding” attempts meaning hackers that want to stay under the radar for products such as Syspeace and Cyberarms.

Cyberarms does not have access reports built in to it like it’s built into Sysepace which from time to time can be very useful for a sysadmin.

When you starting up Cybrarms intiially, no agents are activated by default so there’s more of a “how-to” tip for you.

Cyberarms doesn’t not support Windows Server 2003, while Syspeace does.

Syspeace does have an unfortunate built in flaw at the moment making it’s database grow above it’s limit of 4 GB in some scenarios but I’m sure that will be sorted too.
Whether Syspeace (or Cyberarms for that matter) would work on Nano installations and GUIless servers is another quiestion. My guess is that they bort need to be rewritten. None of them support a central managemant interface wich would be nice to have so you don’t have to RDP yourself to each server to make changes. I’m sutre there will be such a feature in either on of them though.

Still, Cyberarms does a good job at finding attacks and here’s how I’ve started using the two in conjunction.

In all honesty, my dream scenario would have been for the two to join forces, getting the best from each product and build a great product together. In fact, I’m sure an even greater product can be built for these things and and adjacent things  so if anyone’s up a for it, I’m game.I have quite a few ideas for new functionality and features for such a product already..or who knows,I might even end up being a part of the Syspeace team again.

Since IDDS is now Open Source I guess I could sit down and amp it up with the features I want to have in it but truth told, I’m not a good developer really. I have ideas and I know how it should work but getting to the actual coding would just take to much time for me.

Anyway … Here’s how I’m using both of them at the same time for now anyway
I have the set the block rules higher in Cyberarms than in Syspeace, therefore giving Syspeace the chance to do the initial blocking and getting better emails sent to me.

Below is an example of an email alert sent by Syspeace.

Blocked address 182.184.78.244 (SERVER-C7BF2B28) [Pakistan] 2017-02-20 10:10:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 5
Lockout time: 04:00:00
Previous observations of this IP address:
2017-02-20 06:09:59 *****\administrator
2017-02-20 06:09:57 *****\administrator
2017-02-20 06:09:55 *****\administrator
2017-02-20 06:09:52 *****\administrator
2017-02-20 06:09:50 *****\administrator

I’ve set Cyberarms to block after a higher number of intrusion attempts than Syspeace , getting it to catch those SSL/TLS

attacks since Syspeace can’t handle them at the moment.

Below is an example of the alert sent from Cyberarms.
Client with IP address 155.207.18.189 was hard locked

As you can see, the Cyberarms email doesn’t really provide me with any useful information as a sysadmin meaning for me to actually deal with it, I need to manually find out from where the attack originated, what username was used in order to decide whether it’s serious or not. Of course I could probably write something in .Net utilizing the Cyberarms logfile to get better notifications with more information but that shlould be built into the software really looking more like the Syspeace alerts.

The Syspeace notification isn’t prefect either but it is far better. I would also like to see what port was targeted and what process was targeted, i.e the running .exe.
That would be a quicker way for me as a Sysadmin to determine what’s really going on.

They both have Daily Reports and Weekly Reports so I thought I’d also incklude one of each from the same server and the same time window. I think you’ll noticed the difference and ralize why the SSL/TLS functionality is so crucial to have in place

Syspeace Report for week 2017-02-13 – 2017-02-19

— All Week ——

IP address Times Host name and country
——————– —– ——————————-
23.236.77.157 1 XS2323677157; United States (US)
47.34.65.227 1 47-34-65-227.dhcp.stls.mo.charter.com; United States (US)
52.14.84.148 6 ec2-52-14-84-148.us-east-2.compute.amazonaws.com; United States (US)
73.37.131.61 1 c-73-37-131-61.hsd1.mn.comcast.net; United States (US)
89.247.148.40 1 i59f79428.versanet.de; Germany (DE)
119.59.80.66 1 119-59-80-66.rdns.afghan-wireless.com; United States (US)
151.54.163.83 1 ; Italy (IT)
183.250.25.70 1 ; China (CN)
185.94.99.245 1 ; Iran, Islamic Republic of (IR)
189.26.112.234 2 corporativo.gvt.net.br; Brazil (BR)
193.34.9.171 1 nlink.nesso.ru; Russian Federation (RU)
202.104.33.34 1 ; China (CN)
203.146.142.62 1 ; Thailand (TH)
213.87.96.182 1 host.mrdv-1.mtsnet.ru; Russian Federation (RU)
213.136.87.8 1 vms8.riseforce.net; Germany (DE)
222.184.121.194 1 ; China (CN)
222.209.233.89 1 89.233.209.222.broad.cd.sc.dynamic.163data.com.cn; China (CN)

//  I Have removed the hourly breakdown opart from this report here //

Generated 2017-02-20 00:04:58 for machine ***.****.** by Syspeace v2.5.2.0

 

Cyberarms Weekly Report
Week of 2017-2-13
Installation Information
Server: ****
Events per Agent
Agent name Intrusion attempts Soft locks Hard locks
TLS/SSL Security Agent 1238 215 82
Windows Base Security Agent 133 0 1
Total 1371 215 83
Intrusion attempts by IP address
Client IP Intrusion attempts
1.192.144.148 1
104.43.19.172 1
118.69.171.47 1
146.185.239.117 1
149.3.47.190 1
169.50.7.234 1
200.2.192.186 1
207.225.237.110 1
208.44.83.36 1
209.249.81.231 1
211.72.12.36 1
212.175.49.50 1
212.92.127.126 1
213.89.246.166 1
217.208.101.73 1
217.23.11.249 1
217.8.84.31 1
223.25.241.88 1
37.0.20.79 1
39.109.11.209 1
5.150.237.244 1
50.193.208.177 1
50.203.20.67 1
54.243.236.34 1
68.44.212.144 1
70.169.12.6 1
75.71.25.220 1
78.188.193.185 1
8.21.216.2 1
80.82.77.34 1
82.80.252.200 1
83.137.55.249 1
85.105.245.147 1
88.99.8.164 1
91.121.64.15 1
91.200.12.75 1
91.215.120.225 1
92.51.70.248 1
94.43.33.178 1
96.80.87.202 1
98.101.132.98 1
104.185.131.1 2
12.201.134.132 2
173.226.255.254 2
185.56.82.58 2
197.242.149.19 2
208.184.124.150 2
216.162.88.19 2
216.236.16.89 2
217.34.0.133 2
5.175.0.111 2
63.253.50.210 2
66.229.43.193 2
68.15.114.164 2
76.71.75.79 2
83.69.223.227 2
85.72.58.154 2
96.80.60.1 2
98.112.92.39 2
108.242.76.81 3
178.208.128.131 3
206.252.196.162 3
210.109.189.218 3
217.34.0.135 3
75.127.164.214 3
90.168.232.247 3
108.60.96.19 4
117.218.128.22 4
12.30.90.162 4
208.78.220.145 4
208.81.109.6 4
23.102.44.152 4
38.88.150.106 4
40.85.92.80 4
52.187.36.243 4
52.228.35.94 4
52.228.40.215 4
52.228.42.136 4
66.64.166.178 4
66.84.140.17 4
91.183.212.73 4
144.139.207.212 5
212.83.168.244 5
213.136.87.8 5
216.162.88.62 5
217.148.113.118 5
217.91.224.26 5
222.184.121.194 5
23.235.162.34 5
23.236.77.157 5
52.228.46.46 5
67.55.103.188 5
73.37.131.61 5
85.93.93.116 5
89.30.240.164 5
98.103.178.186 5
119.59.80.66 6
183.250.25.70 6
185.94.99.245 6
189.26.112.234 6
202.104.33.34 6
203.146.142.62 6
212.170.198.61 6
213.87.96.182 6
222.209.233.89 6
46.185.117.106 6
89.247.148.40 6
108.58.0.234 7
109.73.46.130 7
12.199.176.194 7
121.161.141.239 7
151.54.163.83 7
155.133.82.102 7
159.122.106.114 7
159.253.26.77 7
169.50.22.186 7
185.130.226.42 7
185.93.183.218 7
185.94.193.75 7
190.145.28.67 7
193.34.9.171 7
193.86.185.50 7
198.23.210.133 7
199.167.138.110 7
201.161.36.162 7
201.18.18.151 7
211.52.64.52 7
213.136.79.237 7
218.60.57.131 7
27.254.150.30 7
35.156.247.241 7
35.157.110.187 7
47.88.33.114 7
5.122.136.4 7
5.196.215.194 7
59.175.128.108 7
64.110.25.6 7
69.166.130.134 7
79.120.40.185 7
83.110.74.36 7
84.55.94.211 7
89.185.246.67 7
89.185.246.79 7
89.185.246.95 7
91.218.112.173 7
94.102.51.124 7
94.107.233.189 7
94.142.142.156 7
121.175.229.89 8
125.227.100.10 8
141.255.188.47 8
155.133.82.50 8
185.109.255.12 8
185.109.255.13 8
213.124.64.27 8
31.44.191.8 8
47.34.65.227 8
47.90.16.194 8
52.233.26.114 8
62.210.244.44 8
65.61.102.251 8
76.70.18.47 8
80.82.79.228 8
83.136.86.179 8
104.160.176.45 9
109.228.26.93 9
114.34.79.103 9
116.125.127.101 9
170.161.62.42 9
172.245.222.8 9
173.10.107.141 9
173.74.198.161 9
178.159.36.150 9
185.159.145.26 9
194.61.64.252 9
198.27.119.249 9
207.233.75.39 9
212.86.108.191 9
23.249.224.189 9
31.145.15.3 9
37.46.255.63 9
37.75.11.86 9
40.139.95.146 9
5.135.7.98 9
5.39.222.19 9
50.243.143.129 9
52.174.36.251 9
52.187.37.144 9
52.232.112.92 9
58.221.59.22 9
78.154.13.222 9
91.211.2.20 9
95.154.22.236 9
144.130.57.185 10
50.247.156.86 10
74.95.221.25 10
194.17.59.90 11
93.174.93.162 11
118.34.230.5 12
213.179.6.49 12
43.254.126.10 12
103.54.250.94 13
174.4.72.229 13
146.0.74.126 14
203.128.240.130 14
5.39.223.166 14
2.139.204.18 17
74.203.160.89 17
93.115.85.228 17
185.159.36.122 18
195.154.52.156 18
24.249.158.60 18
31.184.197.6 18
52.14.84.148 19
185.70.186.140 21
119.145.165.86 23
91.211.2.109 54
Total 1371
Soft locks by IP address
Client IP Soft locks
108.58.0.234 1
109.73.46.130 1
12.199.176.194 1
12.201.134.132 1
121.175.229.89 1
144.130.57.185 1
155.133.82.102 1
155.133.82.50 1
159.122.106.114 1
159.253.26.77 1
169.50.22.186 1
173.226.255.254 1
185.130.226.42 1
185.93.183.218 1
185.94.193.75 1
190.145.28.67 1
193.86.185.50 1
197.242.149.19 1
198.23.210.133 1
199.167.138.110 1
201.161.36.162 1
201.18.18.151 1
208.184.124.150 1
211.52.64.52 1
213.136.79.237 1
216.162.88.19 1
217.34.0.133 1
218.60.57.131 1
27.254.150.30 1
35.156.247.241 1
35.157.110.187 1
43.254.126.10 1
47.88.33.114 1
47.90.16.194 1
5.122.136.4 1
5.196.215.194 1
59.175.128.108 1
62.210.244.44 1
63.253.50.210 1
64.110.25.6 1
66.229.43.193 1
68.15.114.164 1
68.44.212.144 1
69.166.130.134 1
76.71.75.79 1
79.120.40.185 1
83.110.74.36 1
84.55.94.211 1
89.185.246.67 1
89.185.246.79 1
89.185.246.95 1
91.218.112.173 1
93.174.93.162 1
94.102.51.124 1
94.107.233.189 1
94.142.142.156 1
96.80.60.1 1
98.112.92.39 1
104.160.176.45 2
108.60.96.19 2
109.228.26.93 2
114.34.79.103 2
116.125.127.101 2
12.30.90.162 2
141.255.188.47 2
146.0.74.126 2
170.161.62.42 2
172.245.222.8 2
173.10.107.141 2
173.74.198.161 2
178.159.36.150 2
185.109.255.12 2
185.109.255.13 2
185.159.145.26 2
194.61.64.252 2
198.27.119.249 2
2.139.204.18 2
206.252.196.162 2
207.233.75.39 2
208.78.220.145 2
208.81.109.6 2
212.86.108.191 2
213.124.64.27 2
217.34.0.135 2
23.102.44.152 2
23.249.224.189 2
31.145.15.3 2
31.44.191.8 2
37.46.255.63 2
37.75.11.86 2
38.88.150.106 2
40.139.95.146 2
40.85.92.80 2
5.135.7.98 2
5.39.222.19 2
5.39.223.166 2
50.243.143.129 2
50.247.156.86 2
52.14.84.148 2
52.174.36.251 2
52.187.36.243 2
52.187.37.144 2
52.228.35.94 2
52.228.40.215 2
52.228.42.136 2
52.232.112.92 2
52.233.26.114 2
58.221.59.22 2
65.61.102.251 2
66.64.166.178 2
66.84.140.17 2
78.154.13.222 2
80.82.79.228 2
83.136.86.179 2
91.211.2.20 2
95.154.22.236 2
118.34.230.5 3
185.70.186.140 3
24.249.158.60 3
119.145.165.86 4
185.159.36.122 4
195.154.52.156 4
31.184.197.6 4
93.115.85.228 4
91.211.2.109 12
Total 215
Hard locks by IP address
Client IP Hard locks
104.160.176.45 1
104.43.19.172 1
108.60.96.19 1
109.228.26.93 1
114.34.79.103 1
116.125.127.101 1
118.34.230.5 1
118.69.171.47 1
119.145.165.86 1
12.201.134.132 1
12.30.90.162 1
170.161.62.42 1
172.245.222.8 1
173.10.107.141 1
173.226.255.254 1
173.74.198.161 1
178.159.36.150 1
185.159.145.26 1
194.61.64.252 1
197.242.149.19 1
198.27.119.249 1
2.139.204.18 1
200.2.192.186 1
207.225.237.110 1
207.233.75.39 1
208.184.124.150 1
208.78.220.145 1
208.81.109.6 1
209.249.81.231 1
212.86.108.191 1
216.162.88.19 1
217.34.0.133 1
217.34.0.135 1
223.25.241.88 1
23.102.44.152 1
23.249.224.189 1
31.145.15.3 1
37.46.255.63 1
37.75.11.86 1
38.88.150.106 1
40.139.95.146 1
40.85.92.80 1
5.135.7.98 1
5.39.222.19 1
50.193.208.177 1
50.203.20.67 1
50.243.143.129 1
50.247.156.86 1
52.174.36.251 1
52.187.36.243 1
52.187.37.144 1
52.228.35.94 1
52.228.40.215 1
52.228.42.136 1
52.232.112.92 1
54.243.236.34 1
58.221.59.22 1
63.253.50.210 1
66.64.166.178 1
66.84.140.17 1
68.15.114.164 1
78.154.13.222 1
8.21.216.2 1
91.211.2.20 1
93.115.85.228 1
95.154.22.236 1
96.80.60.1 1
98.101.132.98 1
98.112.92.39 1
185.159.36.122 2
195.154.52.156 2
31.184.197.6 2
52.14.84.148 2
91.211.2.109 6
Total 83
To configure reporting options, please use the IDDS administration software on your server.

With that said, I would recommend people using both of them in order to minimize brute force and dictionary attacks against Windows servers.

Should you need assistance or have questions, please feel free to contact me here

Securing Windows Server with a baseline security

JufCorp AB hjälper företag och föreningar med frågor inom backup / restore , Disaster Recovery, IT säkerhet, molntjänster och Syspeace

Securing Windows Server with a baseline security

In short, to have an acceptable baseline security for any Windows server you need to think all of the things below in this list.
Sadly enough, even if you follow all of these steps, you’re still not secured forever and ever. There’s no such thing as absolute security.  That’s just the way it is but you might use this as some kind of checklist and also the links provided in this post.

 

Securing Windows Server with an acceptable baseline security

  • 1. Make sure all of your software is updated with all security patches. This includes the Windows operating system but also Adobe, Java,Office and any software really. This reduces the risk for so called 0day attacks or your server being compromised by software bugs.
  • 2. Make sure you have a good and not too resource intensive antivirus running on everything. Personally I’m a fan of F Secure PSB for Servers and Workstations for lots of reasons. It’s not just a pretty logo. If you need licenses or assistance, please feel free to contact me here
  • 3. Verify you have thought your file and directory access structure and that users and groups are only allowed to use and see what they’re supposed to. Setting file permissions is a very powerful tool to secure your server and crucial.
  • 4. Always make sure to read best practices for securing applications and servers and Google for other ideas also. No manual is the entire gospel.
  • 5. Enable logging. If you don’t know what’s happeing, you can’t really react to it can you ? It also makes any troubleshooting hopeless in restrospect.
  • 7. Have a good monitoring and inventory system in place such as the free SpiceWorks and I also recently discovered Sitemonitoring at Sourceforge that I liked. Unfortunately Sitemonitoring only works for HTTP responses , I’d love to also have it work for pure port monitoring.
  • 8. If your server has any monitoring agents from the manufacturer such as HP Server Agents, then install them and set them up with notifications for any hardware events to be prepared incas of hardware failures. If possible, also have spare parts readu for the common failures such as hard drives and PSu (Power Supply Units)
  • 9. Use Group Policies. It’s an extermely powerful tool once you start using it and it will make you day to day operations much easier.
  • 10. If your server is reachable from the Internet, use valid SSL certificates. They’re not that expensive and any communications should be encrypted and secured as fa as we’re able.
    Yes, think Mr. Snowden.Think NSA. There’s a few more things to consider when installing SSL on servers such as disabling weak cryptos and testing you´v done so correctly. I like using SSL Labs free test.
  • 11. Disable any unused services and network protocols. They can be a point of entry and for the unused network protocols, you bascially fill your local network with useless chatter that comsume bandwidth. This also goes for workstations and printers and so on.
  • 12. Enforce complex password policies! You won’t be well-liked but that’s not what you get paid for.
    If people are having trouble remembering passwords the have all over the world, maybe you could have them read this blog post I wrote about rememebering complex passwords
    and on the topic of online passwords and identities, they migh also want to read this post about protecting your online identity  also.
  • 13. Use a good naming standard for user logins. Not just their first name as login or something too obvious. Here’s an old blog post (still on the Syspeace Blog site though )  on why
  • 14. Backups! Backups! and again. BACKUPS!!
    Make sure you have good backups (and test them at least once a year for a complete disaster revovery scenario) and make sure you have multiple generations of them in case any of them is corrupted, preferrably stored offsite in some manner in case of a fire, theft or anything really.For day to day operations and generation management I highly recommend using the builtin VSS snapshot method but never ever have it instead of backups.
    You can also use the built in Windows Server backup for DR as described here
  • 15. You need to have an automatic intrusion protection against brute force and dictionary attacks with Syspeace since the “classic” methods do not get the job done. Here’s an older blog post on why . I you don’t have the time to read the article then simply download the free Syspeace trial or contact me for licenses and consulting regarding Brute force prevention

If you’re up for it, I’ve written a few other related posts here:

Securing your datacenter part 1 – Physical aspects
and
Securing your datacenter part II – Networking

There’s also a third one but to be honest , I can’t remember where I published it. This is one of the reasons I’m moving basically everyting I’ve written to my own website instead . Easier to maintain .
Keep it simple and easy is alway a good approach. 🙂

By Juha Jurvanen @ JufCorp

The anatomy of hacking attacks and a few countermeasures

konsult inom backup It säkerhet molntjänster hacking attacks

Various hacking attacks against servers and users

First of all, there are multiple types of hacker attacks and they all have different purposes.
There are also many different types of hackers and they all have cool names like “White hat” hackers and “Black hat” hacker.
The White Hat ones are usually the security experts hired at a company to check and verify the IT security measures at other companies.
The Black Hat hackers are not. They’re the ones to be afraid of.
I’m neither of them. I’m simply a consultant and the best of these guys know far more about theses things than I do but still, I thought I’d run through a few common attacks targeted to accomplish various things.

There are many reasons why an attacker wants to hack you.

It could be hacktivism and political reasons or an attempt to gain access to your server to be able to use it for hacking others (basically they want access to your CPU, RAM and disk to hide stolen data and tools, mine for Bitcoins or whatever and to have an IP address to use, not leading back to their own).
There’s a few very cool and easy ways to hide files on servers that ar more or less impossible to find such as hiding a file “behind” another file and so on.

Of course in some cases it can also be about trying to steal company secrets (industrial espionage), possibly a former (or current for that matter, internal data theft and hacking is far more common than you’d expect) discontent employee looking to sabotage or looking for revenge or in some cases, just for the fun of it to see if it can be done.

The pre-run. Checking out your site, server with portscans and bruteforce atttacks

First of all, any hacker will need to know what you’re running and what it looks like. “Know thy enemy” so to speak.
Usually a portscan of your servers will reveal quite a lot of information and there are loads of tools to do this, quietly, undetected and efficiently such as nmap or even Google actually.

In order to make it a bit more difficult for them I’d suggest you have your firewall correctly configured for blocking portscans, your servers on a DMZ and also to hide any banner revealing what software you’re running and what version. This can’t be done with all software I’m afraid but the ones that you can, please consider doing so.
For a hacker to know exactly what you’re running will only make his/her life much easier since all they do is to start
looking for any known vulnerabilities and so called exploits to that software and version.
Usually software developers have released a patch but unfortunately, a lot of software never gets updated in time due to the old “if it works, don’t fix it” attitude among a lot of server tekkies and hosting providers.

Another thing is to move all default pages and scripts (or delete them if you’re not using them) to make a bit more difficult to figure out what you’re actually running and how it is setup. Have for instance 404 error messages redirected to the start page or Google or your worst competitor and also 403 errors ..

DoS attacks and DDoS attacks and also hiding behind them.

A DoS attack is a “Denial of Service” attack which means that your server is in some way attacked and made to stop servicing your clients / users or customers the way it’s supposed to, for instance your webmail / OWA or a webshop or RDP services.

This can be accomplished in many ways. A DDoS attack is a DoS attacked but with the difference that it is a Distributed DOS attack meaning there are a lot of more computers involved in doing the attack.
These attacks often have the main purpose of taking a website down by overloading it really.

If you’ve got a web server servicing for instance a webshop and a hackergroup for some reason don’t like you, they’ll get a few hundred thousand computers around the world to ask for a specific document or picture on your website, thus overloading it so it can’t really service your customers since the server is busy handling the bogus requests.

It is not uncommon also for a hacker to hide behind these attacks to try and find out what kind of countermeasures you have in place such as Syspeace. The idea behind it is basically to became invisible in all the log noise a DDoS attack generates.

Worst case, hacking attacks such as this can actually go on for weeks and it has happened often. That is also simply an extortion. “If you pay us this and this much , your webshop will be back online again, otherwise not”. For some companies this of course could be an absolute disaster, imagine for instance around the Christmas sales.

Now, it might sound impossible to find a few hundred thousand computers to get such an attack underway. It’s not. They’re out there in botnets spread over VPS and physical machines and they’re for hire even. Including a trial run and with support.
Brave new world ..

There are ways to handle these attacks. For instance increasing the service capacity on the server, increasing you bandwidth and also have a talk with your ISP on how to mitigate the attacks if they have solutions in place for it. You could also have for instance a powerful SNORT server in front of the firewall to get rid of some of the traffic. You should also have Syspeace in place for handling the bruteforce atatcks

Poorly updated applications or neglected updates and 0day exploits

If a server is poorly updated and the application/website is sensitive for instance that the hacker simply adds some code against the webaddress trying to browse the file system on the server then this can also render in a DOS attack or even worse, the attacker gets hold of the users and administrator/ root passwords. Once they’ve got that, your pretty much ..well. you won’t be having a good day. Basically you need to make sure your webserver is always correctly updated, and you also need to make sure that the underlying file system can’t be reached from the outside more than absolutely necessary.
Make sure you checked every directory and path on the website and what actually is reachable, writeable and browsable. If you’ve got pages you don’t want indexed then hadndle that in the robots.txt or have them secured behind a user login page.If you’re running a Wordporess site, make sure you hav alarma set up for outdated plugins, changes to files and so on and and make sure to deal with it asap.

Unfortunately, from time to time there are also so called 0day exploits out in the wild and those are very hard to defend yourself against. If get alerted that there is one in the wild for your environment, please keep alert and stay on your toes until a patch is released and follow any best practices released by the vendor! This can also fall under the category viruses and trojans further down.

SQL Injections and badly formatted requests

If the website uses a SQL Server / MySQL or has any input form to validate or gather something, please make sure that the application strips away any characters that could make your server vulnerable to SQL Injections since the SQL Server is usually run with administrative rights making the SQL Server injections being run with high privileges and accessing the operating system.

If you don’t know how the application is written, please contact the developers of it and ask them and have them verify this.

For any part of the website where there are input forms, makes sure that all input is validated in terms of what characters are used and how long the input is.
If a website is poorly written and poorly validated, a memory buffer overflow can occur which basically means that the input is so large or strangely formatted that the server will stop working or even give the attacker access to the servers operating system by overwriting stuff in the RAM in a way that it’s not supposed to.

Viruses, rootkits and trojans.

If an attacker has been able to lure your users to a site that contains infected code (sometimes also called drive by hacking) and the web browser or plugins to it (Java, Adobe, Flash and so on) are sensitive to that particular infections you user might come down with an infected computer.
Depending on what actually has been infected and why the consequences vary of course.

This is often done by sending emails with links to websites or trying to get user to plug in an infected USB stick into their PC.

I’ve heard of companies that have been affected with a virus rendering them unable to work since nobody was allowed to even plug in their computers to the work networks until they could be sure they’d got rid of it. In this case it was a lot of computers so I think it took them 3 week until people actually could start working again, 3 weeks without any work. That’s a costly thing for any company.The same standstill could also come from a ransom virus, basically encrypting all your files and you’ll have to pay money to get the right decryption password.

The way to minimize such a horrible standstill is to make sure that ALL of your devices connecting to the network are properly updated with antivirus products (please do not use the free ones ..ever!) but also you need to make sure that any other software is properly updated . Java, Flash, and the operating system itself .
This also goes for workstations connecting from home and so on or otherwise you might be in for a bad day. You should also be very restrictive when it comes to letting users use USB drives and stuff. They might be infected with something.

MITM – Man in the Middle, proxies and easedropping

If you’ve got a corporate network, you want to know what devices actually are on it and why. If someone for instance sets up a computer and has all of the corporate traffic routed through (by acting a proxy) , all of your communicating is being copied and this can be done in various ways. The same goes actually for you if you’re using public WiFi hot spots which I would never recommend anyone really using. To intercept data isn’t very difficult unfortunately, especially if it isn’t protected by valid certificates.
You need to use valid SSL certificates and there’s no reason to use anything lower that 2048 encryption and you must also disable weak cipher and other stuff before your SSL is correctly set up. Check your configuartion against for instance on Qualsys SSL Labs.
Also make sure that all communications are secured within your network.

Brute force and dictionary attacks.

I’ve written loads and loads on this earlier so I won’t linger on it. A brute force or dictionary attack is basically someone trying to get access to your server by guessing the username and correct password using a large list of common passwords or a dictionary and simply trying them one by one (well, thousands at a time really since its’s automated).

To protect your servers and user you need to have a intrusion prevention system in place. For Windows Servers I recommend using Syspeace (and you can also use Sysepace for protecting web applications you’ve protected through the Syspeace API) and on Linux servers I’d have a look at fail2ban. You should also use and enforce complex passwords.

Anything that comes with a default password for logins (routers, switches, printers and so on) should have the password changed from default!
These are always sensitive to brute force attacks and there are sites on web listing thousandfs of default passwords out there

You should also have a very strict policy to immediately block an employees account as soon as they’re no longer with the company and you should be very careful with what user rights you grant your users since they can easily be misused.
You should also have software in place for managing mobile phones and other devices that your employees have and the ability to wipe them clean if they get stolen or if you suspect internal mischief from an employee.

On site data theft and social engineering.

Well. In a sense , it’s not hacking but it’s more fooling people. Not the initial part anyway.
Basically someone turns up, claiming to be from the phone company, a cleaning company, your IT support company or anything that makes sense and they want access to the data center, server room to “fix” something. This is also referred to as social engineering. First the hacker finds out as much as possible about the company they’re attacking and then use that information to gain access to workstations or servers within the company,

Once they’ve actually gained access, they’ve got USB sticks to insert into workstations or servers , either loading a software into them such as trojans or keyloggers or just something that elevates rights or maybe they’re simply after just copying the data.
It all depends on how much time they have and if they’re alone. In some scenarios it might even just be a trick for them to gain access to backup tapes since all the companys data is on them .
They could also bribe janitors, cleaning staff and so on to steal backup tapes for them since they far too often will have access to the datcenters and they’re
not that highly paid.

There are a lot of tools that can simply put on a USB stick, boot up the server and you can reset administrator passwords, overwrite systemfiles (or plant a trojan or destroy them to render the server unbootable) , steal data and so on and a lot of them are surprisingly user friendly like for instance Hiren’s BootCD

A variation of this is of course people phoning someone up, claiming to be from the IT departement or Microsoft or somewhere, wanting to “help you” with a problem and asking for remote access to your computer. Once they gain access, they’ll do same things. Plant a trojan or a virus or a keylogger and the basically own the computer.

To protect your company data please always make sure you know who and why people are on site, never have anyone come near servers without supervision or the users workstations and if possible, disable any USB ports and always use password protected screen savers.

Every device on your network must also have a good antivirus running in case someone still manages to put an infected USB stick into the workstation.
Also make sure you talk the users about the hazards of giving anyone access to their computer.

If you suspect you’ve been hacked. What to do. Contingency planning

First of all, try to verify that you have been hacked and also try to find out when. In some cases you’ll have to revert to backups taken BEFORE you we’re hacked to be sure that you don’t restore a root kit or something.
This also means your backup plans and DRP plans need to take these scenarios into account so don’t be cheap with the number of generations you actually save.
You might need something from 6 months ago.

Try to find out what happened, when it happened, how it happened and have it fixed before you allow access to the server again. There’s no sense in setting the same flawed server up again. It will only be hacked again,

Don’t be afraid to make it a matter for the police. They need to know about it and they want log files and any documentation you may have.

When you get the server up and running again (or preferably before you’ve been hacked) make sure to have monitoring set up for the server. If it’s a website for instance, you want to be alerted if anything changes on in the html code for website for instance, or if the site is responding slowly (this doesn’t have to mean you’ve been attacked but could point to other problems also such as disk problems, misconfigured server settings or ..well..anything really. In any case you want to look into it.)

So , these were only a few methods and there a loads and loads more of them .

I’ve written a few other blog articles on securing servers, data centers and on brute force prevention and here’s a few links to previous articles. Most of are copied from older blogs and I do admit I haven’t nor proofread them nor formatted them for this site yet. I will. Eventually.

Articles by Juha Jurvanen on securing your server environments

Securing server environments – Part I – Physical aspects

Securing server environments – part II – Networking

Securing your Windows servers and MSExchange with an acceptable baseline security | Syspeace – Brute force and dictionary attack prevention for Windows servers

Windows Server intrusion prevention for Cloud providers and hosting providers

Should you need consulting or ideas on these questions or on backup/restore or on building cloud services / migrating to cloud services ,
I’m reachable by clicking the link below.

Juha Jurvanen – Senior IT consultant at JufCorp”>By Juha Jurvanen – Senior IT consultant at JufCorp

End of life för Windows Server 2003 – Dags att migrera till nytt OS eller flytta till Molnet ?

End of life för Windows Server 2003 imorgon

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Imorgon är det sk Patch Tuesday dvs den dagen varje månad då Microsoft släpper olika uppdateringar för sina operativsystem.

Morgondagen är dock lite speciell då det är sista gången Microsoft släpper uppdateringar för just Windows Server 2003 familjen. Efter det kommer alltså inga nya säkerhetsuppdateringar att släppas och det är väldigt viktigt att vara medveten om.

För företag och föreningar som fortfarande använder någon variant av Windows Server 2003 familjen finns alltså en del saker att tänka på efter det.

Valen man står inför är att migrera till ett nyare operativsystem med allt vad det kan innebära som t.ex. inkompabiliktet med programvaror man kör. Oftast går det att lösa men kräver en del testande och tid att lägga ner på projektet för att vara säker på att verksamheten kan fortsätta utan överraskningar. Saker som länkar hos användare och olika pekar i filsystemen kan också ställa till en del trassel om man bara installerar upp en ny server i miljön.

Flytta till en plattformsoberoende molntjänst som Red Cloud ITs rCloud Office?

Ett annat alternativ är att t.ex. börja undersöka molntjänster dit man kan flytta sina applikationer som t.ex. Red Cloud ITs rCloud Office. Fördelar här är t.ex. att flytta sin Visma eller Pyramid och i ett slag göra den även åtkomlig från iPad, Android o.s.v men ändå ha säkerheten, backuper och generationshanteringar inbyggd till en fast kostnad per användare och månad.
Många CRM och affärssystem finns helt enkelt inte för MAC, Android , iPad osv men utvecklingen går alltmer åt BYOD dvs låt användarna själva bestämma vilket operativ eller plattform de vill använda. Då behövs lösningar som stöder att de kan komma åt affärssystemet o.s.v.

Oavsett bör man som företag se över sin IT miljö eftersom det helt enkelt över tid kommer bli alltmer osäkert att köra ett operativ som inte längre stöds. Hackers kommer att utnyttja vetskapen att ett tidigare oupptäckt säkerhetshål helt enkelt inte kommer att åtgärdas.

Det finns en del saker att göra under en övergångsperiod dock eftersom det ju kommer nya patchar imorgon.

Nedan är några punkter att tänka på

1. Se till at ha fungerande certifikat på all kommunkation till och från servern för att skydda er mot eventuell avlyssning och sk Man in the Middle attacker. Kom ihåg dock att bara installera ett SSL certifikat inte räcker, det behövs fler ingrepp i servern för att säkra upo den. Certifikatet i sig skyddar inte heller mot t.ex. skadlig kod eller intrångsförsök.

2. Se till att ha ett väl fungerande antivirus, t.ex. F Secures PSB lösning där man kan ta hjälp av tredje part att övervaka eventuella larm och använda dess Software Updater.

3. Ett automatiserat intrångsskydd för lösenorsdattacker med Syspeace. Det pågår väldigt mycket intrångsförsök i bakgruinden som man ofta är helt omedveten om.

4. Gå igenom vilka portar i brandväggar som är öppna och tänk igenom dem noggrannt. Vad behöver egentligen vara öppet ? Stän allt som inte uttryckligen måste vara öppet. Styr trafik korrekt.

5. En stark, tvingande lösenordspolicy för alla användare. MINST 8 tecken o.s.v.

6. Se till att alla program är uppdaterade, även Java och Flash o.s.v. om de körs på servern och den används som Terminal Server. Generellt sett så ska programvaror alltid vara uppdatrade till senaste versioner. Har ni en lite större miljö finns lösningar för att distribuera ut programvaror från centralt håll , även till era arbetsstationer, t.ex med PDQ Deploy eller via Group Policies.

7. Gå igenom alla fil och katalogrättigheter på servern och följ de rekommendationer som finns. Googla på uttryck som 2003 Server Hardening och läs igenom och testa att ni satt upp sakerna efter bästa rekommendationer.

8. Om ni kör t.ex. Windows Server 2003 SBS behövs en del eftertanke med hur er mail ska hanteras framöver. Det kan handla om stora mängder datat i en Exchange Server och kräva en del eftertanke med hur det ska migreras på bästa sett , antingen till en extern leverantör elelr till en ny mailserver,

9. Tänk igenom om servern behöver vara nåbar från Internet egentligen ? Finns det möjlighet att flytta Internet acessen till ett nyare operativ och låta åtkomst hanteras av den istället ? Är en VPN lösning smidigare eller finns det andra sätt att sköta extern åtkomst ? Det får ju inte vara för krångligt för användarna.

10. I sak har inte den här punkten med migrering av Windows Server 2003 att göra men kolla igenom backuperna kontinuerligt och tänk igenom hur ni kanske vill ha en arkivkopia av den gamla servern efter en migrering ? Hur ska den återläsas om det behövs ?

11. Fundera på vilken väg ni vill gå vad gäller er IT miljö. Till en extern molntjänst eller kanske dags bygga ett eget privat moln eller en hybrid ? Att flytta sina saker till en molntjänst kräver en del eftertanke och är kanske inte alls rätt väg för er.

Återanvända serverparken ?

Att uppgradera den befintliga serverparken kan vara den bästa lösningen för just er verksamhet. Troligen är det äldre servrar som körs om ni fortfarande använder Windows Server 2003 men de maskinerna kanske går att återanvända till andra saker (dvs först installera om / uppgradera dem till nyare operativ och sedan återanvända för t.ex. fillagring för arkivering , backup server, Terminal Server Access o.s.v.). I sammahanget ska naturligvis även virualisering av serverparken nämnas och även här finns flera vägar att gå t.ex. VMWare eller Hyper-V eller Xenserver.

Det finns inget självändamål i att kasta hårdvara bara för den är lite till åren och avskriven men ändå fungerar. Ofta kan den hårdvaran räcka till att byga en egen, intern molntjänst om man är orolig för att flytta sitt data till en molnleverantör.

Det finns många olika vägar att gå och det gäller tänka igenom att det blir rätt för just er verksamhet.

Oavsett väg ni väljer kan jag hjälpa er planera och implementera. För mer information, kontakta mig här

Grundläggande säkerhet på Windows Server – uppdaterad

Grundläggande säkerhet på Windows server

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Jag skrev den här saken för ett tag sen men har lagt till lite nya länkar till programvaror o.s.v.

Kortfattat behlövs minst samtliga saker i den här listan för att uppnå i vart fall en grundläggande säkerhet på Windows server.
Tyvärr kommer servern ändå inte vara fullständigt skyddad även om du följer alla steg. Absolut säkerhet finns helt enkelt inte men det här är i vart fall en lista för att göra ett antal grundläggande inställningar och steg.

Installerade program

1. Se till att alla progranvaraor är uppdaterade med senaste säkerhetsuppdateringarna. Det här gäller operativsystemet, Exchange, SQL men även Adobe, Java och allt annat som finns installerat. Det här minskar risken för att råka ut för s.k. exploits som utnyttjkar sårbarheter i programvaror. Kika på t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs när en sårbarhet blivit publikt känd men leverantören av programmet ännu inte släppt en uppdatering som avhjälper felet.

Antivirus

2. Se til att ha ett väl fungerande men inte för resusrkrävande antiviruws på samtliga system. Själv tycker jag om F Secures PSB lösning trots en del brister i software updater ämen den fungerar ändå väldigt väl för systemadministratör. Sätt upp larm på virusangrepp!

Katalog och filrättigheter

3. Se till att gå igenom alla katalog och filrättighter ordentligt och vilka användare och grupepr som har tillgång till vad. Tänk på att se till att användare , både interna och externa , endast ska kunna se det som de uttryckligen ska ha tillång till. Inget annat. Ett exempel är t.ex. att begränsa åtkomst till diskar och dölja diskar på Terminal Server (kolla t.ex. TS Hide Drives). Att sättw upp rättigheter på fil och katalognivå är oerhört kraftfullt sätt att begränsa tillgången till data. Testa innan du tillåter användare att nå servern. Det är alltid svårare att och jobbigare att fixa till saker i eftehand när servern är i drift. “Better to be denied than sorry”

Best practices

4. Se till att följa “best practices” för alla applikationer och tjänster du sätter upp. Googla. Ingen manual är komplett och programvarutillverkare tänker inte alltid på kringliggande saker som kan påverka säkerhet och kompabilitet.

Loggning

5. Se till att ha loggning påslaget där det går. Många program och funktioner har inte det påslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrång eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning

6. Se till att ha en väl fungerande övervakning och inventering på hela ditt nät. Själv är jag en förespråkare för Spiceworks som är gratis som man kan göra väldigt mycket med.

SNMP och serveragenter

7. Om din server har olika typer av övervakningsagenter som kommer från tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hårdvaran mår och larmar om olika typer av incidentter. Se till att också sätta upp larm från dem via mail till en funktionsbaserad maillåda dvs inte till en person. Se också till att ha en plan för incidenthantering på plats och utpekade ansvarig för olika typer av fel.

Group Policies

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sätter dig in i det och kommer att underlätta administration, säkerhetshantering och användarhantering väldigt mycket.

SSL TLS och Internet

9. Om servern är nåbar från Intern, se till att ha giltiga SSL certifkat för alla tjänster so ska kommuniceras med. Det är inte så dyrt man kan tro och kommer underlätta också att få en del funktioner att fungera smärtfritt. Tänk dock på att bara installera ett SSL certifikat inte räcker, du måste också slå av en del svaga krypton o.s.v.

Onödiga tjänster och nätverksprotokoll

10. Stoppa tjänster, funktioner och nätverksprotokoll som inte används. Minimiera attackytan för hackers, både interna och externa, men spara även prestanda i serven. Du slipper också onödigt tjattrig nätverkstrafik på nätet . Behöver t.ex. DHCP Client vara igång på en server ? Samma princip gäller för skrivare och arbetsstattioner.

Lösenordspolicy

11 Tvinga komplexa lösenord för alla användare. Ett av de vanligaste sätten för hackers att ta sig in i system beror just på svaga lösenord som enkelt går att gissa sig till. Byt namn på administratören då kontot inte går att låsa i Windows. Här är det också viktigt att ha et fungerande intrångsskydd mot lösenordsattacker med Syspeace.

Namnstandard för inloggningar

12. Använd en bra namnstandard för inloggningar. Använd inte bara t.ex. förnamnn@ertföretag.se eller något annat som är för uppenbart och enkelt. Ju svårare det är för en hacker att gissa sig till ett användarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även här är Syspeace en viktigt nyckel för hanteringen.

Backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gång om året. Att återläsa enskilda filer ur en backup är inte en återstartstest! Se även till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller två generationer att kunna falla tillbaka på vid ett haveri kan vara katastrof t.ex. om backupen av någion anledning är korrupt och inte går att använda eller om ni blivit hackade och nmåste få tillbaka systemet till ett tillfälle ni vet med säkerhet är OK innan intrånget skedde.
Se till att ha MINST en fungerande enreation av backupern anågon annastans än i samma lokaler där servern är utifall det brinner eller blir inbrott.

Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersätta backuper. All hårdvara kan falera, både fysiskt och logiskt som korrupta filsystem.
Ett tips här är också att slå på regelbundna VSS snapshots på alla diskar . Enkelt, stabilt och billigt sätt att ha flera generationer av data att tillgå –

Scanna , hacka , sök aktivt efter brister

14. Scanna din server med olika verktyg efter sårbarheter och tips för att öka säkerheten.

Brandväggar och kommunikationer

15. Tänk igenom hur serven kommunicerar med omvärlden vad gäller brandväggar och routing i nätet. Ha även den lokala brandväggen påslagen i Windows, trots att den står bakom en extern brandvägg.

Lösenordsattacker

16. Automatisk intrångshantering med Syspeace. I Windows går det inte att automatiskt hantera lösenordsattacker på ett vettigt sätt. De inbyggda mekanismerna kan t.o.m. göra mer skada än nytta. Att installera Syspeace löser mycket av problematiken direkt och är oerhört enkelt att installera och konfigurera.

Återstartsplaner för IT

17. Det här hör på sätt och vis ihop med punk 13 om backuper men se till att ha en vettig återstartsplan om något händer.

Microsoft Baseline Security Analyzer

18. Kolla med Microsoft Baseline Security Analyzer så du också följer deras rekommenadtioner. Den är inte heltäckande men användar för att ge en fingervisning

Kontakta mig för möte eller frågor

TLS 1.1, TLS 1.2 och SSL certifikat på Microsoft IIS Server och Exchange Server

Vad är ett SSL certifikat ?

konsult inom backup It säkerhet molntjänster SSL

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS är egentligen en vidareutveckling av just SSL även om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

SSL är dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.
Det här är absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det är en del manuell hantering och det är ofta svårt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server.
Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.

Många av standardvärdena i Microsoft IIS tillåter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas även en del viktiga inställningar i registret för Forward Secrecy o.s.v

Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp och frågor

Windows 10 släpps 29 Juli. Hur fungerar era molntjänster och IT miljö med det ?

JufCorp - backup disaster recovery IT säkerhet molntjänster och Syspeace Windows 10

Windows 10 ser ut att vara vad många tycker Windows 8 och 8.1 borde varit

När Microsoft släppte Windows 8 valde man att helt göra om gränssnittet.
Primärt var tanken att det skulle fungera på många olika (Windows)enheter och automatiskt anpassa sig efter vad man körde som t.ex. surfplattor, stationära datorer och laptops.

Systemet var till stor del byggt för olika skärmar med touch men fungerade inte speciellt bra på vanliga stationära datorer.
Det var helt enkelt för annorlunda mot Windows 7 och kändes krångligt och rörigt för de flesta , undertecknad inkluderad.

I Windows 8.1. återkom den gamla startmenyn i lite ny skepnad vilket underlättade något för många.
På det stora hela valde ändå de flesta företag att fortsätta använda Windows 7 då förändringen helt enkelt var för stor och det skulle ta för lång tid för användarna att ens sätta sig in i hur man ens startar t.ex. Word.

I Windows 10 har saker och ting rättats till ganska avsevärt och det kommer troligen bli vad man hoppats på.
Microsoft har också sagt att Windows 10 kommer vara det sista Windowsoperativet man gör. Resten kommer andla om uppdateringar o.s.v.

Att byta operativsystem, särskilt på ett föreag, kan vara en stor process som kräver mycket testande att de program och funktioner man använder fortsätter fungera även efter en migrering.

Tänk ett företag på 200 personer och man inte testat igenom att t.ex. ekonomisystemet eller tidsrapporteringen fungerar som det ska med det nya operativet.

Konsekvenserna kan bli katastrofala helt enkelt.

Molntjänster och Windows 10

Av förståeliga skäl kommer det finnas många knytningar till Microsofts egna molntjänster som Office365 och Azure men många företag och organisationer använder olika typer av molntjänster och bland de tidigare leverantörerna i Sveriga finns Red Cloud IT .

Tanken med en molntjänst är att data och proram körs egenbtlien inte i den lokala enheten. Data sparas någon annanstans och program och uppgraderingar, backuper , intrångssäkerhet o.s.v. hanteras av molnleverantören.
Uppgraderingar av program och gränssnitt ska inte heller komma som en överraskning vilket det kan göra med vissa molntjänster.
Ena dagen är gränssnittet så när man loggar in och nästa dag ser allt ut så.

Fullständingt vansinne för dig som användare som säkert inte vill tillbringa timmar med att hitta just de vanligaste knapparna i programmen du använder för att leverantören velat ändra design.

Hela idén med molntjänster är att det ska vara oberoende av enheten och operativet man använder och man ska kunna köra sina egna program i den version man vill..

Att ha lagt t.ex sitt CRM eller ekonomisystem som Visma eller Pyramid i Molnet ska göra att det helt enkelt är nåbart och tillgängligt vare sig man använder Windows 10, Android, MAC eller Windows XP.

Det ska även vara nåbart hemifrån , från grannens dator eller från mobiltelefioner och surfplattor. Tanken är alltså inte så långt ifårn vad Microsoft ville uppnå med Windows 8 och t.ex. Office 365 ursprungligen.

Kort sagt, att byta operativsystem eller t.o.m plattform för användarna ska inte påverka produktiviteten mer än nödvändigt.

Nedan är en video som Red Cloud IT gjorde redan i Oktober 2014 sen som visar hur enkelt och snabbt en kund kommer åt sina program och data, även när de migrerat till Windows 10.

En annan video som visar samma installation fast på Windows 8

En äldre video som visar samma enkla installation fast på Windows XP

Videon nedan här visar hur det ser ut när man sätter upp rCloud Office på MAC, iPad, Android.

Än en gång, Kort sagt, att byta operativsystem eller t.o.m plattform för användarna ska inte påverka produktiviteten mer än nödvändigt.

Bygga ett privat moln eller migrera t.ex sin Windows 2003 Server?

Nu står många företag och organisationer inför ett antal större uppgraderingar och utmaningar.
Stödet för Windows Server 2003 har upphört och Windows 10 kommer alldeles snart som sagt.

Valet företag står inför är om man ska migrera sin Windows 2003 Server till ett nyare operativ , flytta upp sina program i någon molntjänst eller kanske t.o.m. bygga en egen privat molntjänst ?

Att bygga sin egen lösning kan göras allldeles utmärkt med standardlösningar men kräver en del planering, kunskap och eftertanke.
Oavsett väg man väljer så kommer en hel del av IT hanteringen att förändras de närmaste åren.

Vill ni ha hjälp med att implementera, skapa, säkerhetskontrollera eller migrera från t.ex. Windows Server 2003 miljö, vänligen kontakta mig här

“Det finns inget Molnet – det är bara någon annans dator” – Om molntjänster och var finns egentligen datat ?

konsult inom backup It säkerhet molntjänster och infratruktur Molnet
För ett tag sen såg jag just den texten på en dekal som någon lagt upp på Facebook i en grupp jag är med i och jag log glatt.
Det påminde mig om en sak jag skrev för några år sen just om det.

kontentan i den är just att oavsett hur vi ser på Molnet och molntjänster så är det helt enkelt så att inget data bara flyter runt magiskt i luften. Nånstans lagras det alltid fysiskt på en hårddisk i någon datahall. Det finns många olika sätt att lagra data men till syvende och sist hamnar det alltid på en hårddisk av något slag som SAS, SCSI, FLASH o.s.v

Det som kan vara viktigt att tänka på när man köper molntjänster är just att veta var den datahallen (eller datahallarna för den delen ) faktiskt finns.
Finns ert data i Sverige eller på Irland eller kan leverantören ens garantera var data befinner sig ?

Hur hanterar leverantören t.ex. antivirus och SPAM filtrering ? Går det över någon amerikanskt tjänst och i så fall, vem har till gång till era mail ?

Om man t.ex. hanterar känsligt material som man inte vill ska färdas över nationsgränserna till något amerikanskt bolag med allt det innebär kanske inte Office365 eller Googles molntjänster är dem man ska titta på. Det kanske t.o.m är mera intressant att se över hur man kan bygga ett privat moln ?

Man kanske även har andra behov som att flytta sitt befintliga CRM eller ekonomisystem till en molntjänst men att göra det till de stora leverantörerna kan vara avsevärt mera komplext än vad man förutsåg. Att köra Microsoft Office och andra standardprogram är sällan svårt att få till men gäller det att flytta mera udda och komplexa system så kan det bli ganska komplicerat , om det ens går att göra ?

I samma andetag är det naturligtvis också väldigt högaktuellt att tänka på de här sakerna då många ser över att migrera sina Windows Server 2003 till antingen nyare serverplattformar eller att flytta sina funktioner till Molnet.

Inlägget jag skrev om publika moln, hybrida moln, VPS o.s.v. finns att läsa här

Kontakta mig

Hur Syspeace blockerar lösenordsattacker mot Windows – video

Hur portblockering med Syspeace stoppar lösenordsattacker mot Windows

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Att hantera lösenordsattacker (även kända som ordboksatacker eller brute force attacks / dictionary attacks ) mot Windows är en komplicerad historia. I själva operativet finns väldigt lite skydd mot detta , se t.ex. den här artikeln för mer information kring problemet att hantera frågan.

En del prgramvaror och webtjänster har en inbyggd hantering mot lösenordsattacker men problemet är att de bara tar hand om den egna applikationen .
Ett exempel är t.ex. WordPress eller FileZilla FTP Server.
Till båda finns möjligheten att ställa in att en attack ska stoppas från att få försöka logga in under en viss tid mot just den egna applikationen.
De kan dock inte på något sätt stoppa trafik mot andra applikationer eller tjänster som är igång på samma server som t.ex. Exchange OWA webmail elelr Remote Desktop Services.

En hacker kommer märka han blev blockerad på t.ex. FileZila Server men han kan fortfarande föröska logga in mot andra tjänster som t.ex. Exchange OWA Webmail eftersom den ju är nåbar.
På det sättet kan alltså lösenordsattacken fortsätta mot andra tjänster på samma server. Det är bara just FileZilla som inte tillåter att den IP adressen försöker logga in.

Hur Syspeace hanterar hackerattacken

Syspaece hanterar lösenordsattacker annorlunda.När en applikation eller tjänst som skyddas av Syspeace blir attackerad så komnmer attacken att stoppas mot alla tjänster på samma server .
Det innebär alltså att om man har t.ex. en FTP server och Webmail på samma server så kommer en hacker att bli helt utelåst från all kommunikation. med den servern.Attacke  spåras, rapporteras till Syspeace Global Blacklist och mailas till systemadministratören med information om varfrån attacken skedde, när, vilket användarnamn som användes och hur länge den IP adressen kommer att vara låst.

Den här demon resulterade i det här mailet till mig som sysadmin.

syspeace alert mail

Ämne :Syspeace Alert from JUFCORP\EUROPA, IP 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] blocked until 2015-03-01 20:22:00

Blocked address 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] 2015-03-01 20:22:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:00:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-03-01 18:21:43 syspeacevideo
2015-03-01 18:21:40 syspeacevideo
2015-03-01 18:21:41 syspeacevideo
2015-03-01 18:21:38 syspeacevideo
2015-03-01 18:21:39 syspeacevideo

 

Hur Syspeace stoppar en hackeratattack

Den här videon är ett försök att visa hur det fungerar med Syspeace.

Det här är vad vi ser på skärmen:
Kontunierlig ping mot servern (högst upp till vänster)
Den lokala IP adressen (mitten)

De andra fönstren visar olika typer av inloggningar mot tjänster på den servern, i det här fallet FTP Server, SMTP på port 25, Webserver, Webmail.

Jag börjar med att visa att jag når alla tjänsterna normalt och får en inloggning normalt och kan visa websidor som är min hemsida hhttps://www.jufcorp.com/worpdress

Sedan startar jag medvetet en lösenordsattack med net use mot servern för att få Syspeace att hantera attacken.
När blockeringen träder i kraft så ser man hur ping slutar svara och jag når inte heller några av de andra tjänsterna jag nådde innan .
Jag som hacker är alltså helt utelåst från all kommunikation mot servern mot alla tjänster och det jag inte kan kommunicerra med kan jag inte helelr attackera.

Alla tjänster är dock fullt nåbara för alla andra så servern fungerar fortfarande precis som den ska mot kunder och anställda så de inte drababs av attacken som att få konton utelåsta eller tjänster som upphör fungera.
Jag försöer visa det genom att byta IP adress och nå tjänsterna igen vilket fngerar alldeles normalt igen

Se videon här

Kontakta mig för möte eller frågor om Syspeace