Archives for jufcorp

SSL och kryptering på IIS Server räcker inte

Standardinställningarna för SSL och kryptering på IIS Server räcker inte

backup disaster recovey kontinuitetsplaner SSL IT säkerhet molntjänster syspeace

IIS dvs Microosft Internet Information Server är en gratis webserver som följer med alla Microsoft Windows Server installationer om man väljer använda den. Som standard finns inga SSL certifikat men de går att lägga till och det rekommenderas starkt att man gör det .
Oavsett vad man ska ha servern till.

En vanlig metod för en hacker är att använda en MITM (Man In The Middle) attack , i praktiken går den till så att hackaren utger sig för att vara den servern som en användare tror sig för prata med (t.ex. Bliocket eller sin bank eller Facebook ) men egentligen är trafiken lurad att gå genom hackarens dator och på det sättet kan hackaren få fram all trafik som lösenord och användarnamn o.s.v.

Det här kan åstadkommas på ett antal sätt och ett av dem är just att standardinställningarna i en webserver tillåter gamla och utdatwerade krypteringar och det bör man inte tillåta från servern.

Den här artikeln på IDG väckte frågan till liv igen och ett antal nya brister s användsa av FREAK, POODLE och HEARTBLEED

Kryptering på IIS Server

Jag har sammanställt nedanstående script efter letat och läst på nätet som slår av dålia krypteringar , aktiverar TLS som det ska och helt enkelt rättar till de värsta bristerna i vart fall.
Det här gäller IIS 7 och uppåt.

Testa först hur er server är uppsatt med SSL

Enklast är att göra det via den här länken.
Skriv in ert domännamn och klicka ok .
Betyget kommer efter ett tag. Allt med en bokstav högre än B bör fixas. A är bra medans att upp nå A+ kräver en del andra ingrepp också som kan vara svårt att få till.

Säkra upp sin kryptering på IIS

Kopiera all text mellan == JufCopr Börja här == till == JufCorp Klart == , spara ner i en fil med ändelsen .reg och dubbeklicka på den . Svara ja på frågan och starta om servern.
Testa sedan en scan igen av er server igen på SSL Labs.
Glöm inte klicka i lilla texten “Clear cache” så ni inte tittar på en gammal scan av serven.

== JufCorp Börja här ==

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
“DisabledByDefault”=dword:00000000
“Enabled”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
“Enabled”=dword:00000001
“DisabledByDefault”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
“DisabledByDefault”=dword:00000000
“Enabled”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
“Enabled”=dword:00000001
“DisabledByDefault”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 64/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
“DisabledByDefault”=dword:00000001
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
“DisabledByDefault”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
“Functions”=”TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,”

== JufCorp Klart ==

Kontakta mig

NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

Många NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

backup disaster recovey  kontinuitetsplaner exchange server 2010 IT säkerhet molntjänster syspeace

Nyligen råkade jag ut för att det helt plötsligt började dyka upp väldigt många mail i min brevlåda som sade att min mail jag skickat inte gick fram trots att jag inte skickat dem. Jag testade de vanliga kontrollerna men min server var inte öppen för relay som är standard i Exchnage 2010.
Nackdelen med de här testerna är att de anger en användare som t.ex. anonymous@någondomän.se som avsändare och den typen av relay är mycket riktigt inte är tillåtet som standard.

Min första tanke var att det är någon som spoofat min domän dvs man använder min mailadress som avsaändare men t.ex. från adressen är någon annans namn som “Walter Banker” vilket i praktiken leder till att när ett mail inte kan levereras så skickas svaret tillbaka till min mailadress som är standard och då får man “Olevererbart” från “Mail delivery systems” o.s.v.

Det hrä är väldigt lätt att göra och svårt att skydda sig mot tyvärr. Allt so behövs är en telnet klient.

Ett par tre mail sådär är inte hela världen men jag märkte att det började bli hundratals inom loppet av några dagar så något stod inte rätt till och den här tyepn av probem kan i förlängningen orska att mailserven blir svartlistad ute i världen så den helt enkelt knappt går att använda. Problemet måste alltså lösas.

Felsökning i SMTP logg

EFter jag tittade närmare i loggarna på serven så märkte jag att det var mailservrar som anslöt sig till mig, autentiserade sig som min användare satt till avsändare så servern i sig tyckte det var ok .
Här nedan är ett exempel på hur det såg ut i loggen för SMTP ( C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive)

2015-03-02T00:02:08.633Z,EUROPA\Default EUROPA,08D21EB6E51D0300,0,192.168.0.6:25,122.100.78.143:55545,+,,
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,1,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,2,192.168.0.6:25,122.100.78.143:55545,>,”220 EUROPA.jufcorp.com Microsoft ESMTP MAIL Service ready at Mon, 2 Mar 2015 01:02:08 +0100″,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,3,192.168.0.6:25,122.100.78.143:55545,< ,EHLO kadegy, 2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,4,192.168.0.6:25,122.100.78.143:55545,>,250-EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,5,192.168.0.6:25,122.100.78.143:55545,>,250-SIZE,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,6,192.168.0.6:25,122.100.78.143:55545,>,250-PIPELINING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,7,192.168.0.6:25,122.100.78.143:55545,>,250-DSN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,8,192.168.0.6:25,122.100.78.143:55545,>,250-ENHANCEDSTATUSCODES,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,9,192.168.0.6:25,122.100.78.143:55545,>,250-STARTTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,10,192.168.0.6:25,122.100.78.143:55545,>,250-X-ANONYMOUSTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,11,192.168.0.6:25,122.100.78.143:55545,>,250-AUTH NTLM LOGIN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,12,192.168.0.6:25,122.100.78.143:55545,>,250-X-EXPS GSSAPI NTLM,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,13,192.168.0.6:25,122.100.78.143:55545,>,250-8BITMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,14,192.168.0.6:25,122.100.78.143:55545,>,250-BINARYMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,15,192.168.0.6:25,122.100.78.143:55545,>,250-CHUNKING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,16,192.168.0.6:25,122.100.78.143:55545,>,250-XEXCH50,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,17,192.168.0.6:25,122.100.78.143:55545,>,250-XRDST,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,18,192.168.0.6:25,122.100.78.143:55545,>,250 XSHADOW,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,19,192.168.0.6:25,122.100.78.143:55545,< ,STARTTLS, 2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,20,192.168.0.6:25,122.100.78.143:55545,>,220 2.0.0 SMTP server ready,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,21,192.168.0.6:25,122.100.78.143:55545,*,,Sending certificate
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,22,192.168.0.6:25,122.100.78.143:55545,*,”CN=*.jufcorp.com, OU=HQ, O=JufCorp AB, L=Tumba, S=Tumba, C=SE”,Certificate subject
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,23,192.168.0.6:25,122.100.78.143:55545,*,”CN=GeoTrust SSL CA – G3, O=GeoTrust Inc., C=US”,Certificate issuer name
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,24,192.168.0.6:25,122.100.78.143:55545,*,036A6FA9E022316DD7080442BC6838F5,Certificate serial number
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,25,192.168.0.6:25,122.100.78.143:55545,*,17E89A5FD1E5596B40D260CF3319A7C0D28B7C33,Certificate thumbprint
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,26,192.168.0.6:25,122.100.78.143:55545,*,*.jufcorp.com;jufcorp.com,Certificate alternate names
2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,27,192.168.0.6:25,122.100.78.143:55545,< ,HELO kadegy, 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,28,192.168.0.6:25,122.100.78.143:55545,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate' 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,29,192.168.0.6:25,122.100.78.143:55545,>,250 EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,30,192.168.0.6:25,122.100.78.143:55545,< ,AUTH LOGIN, 2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,31,192.168.0.6:25,122.100.78.143:55545,>,334 ,
2015-03-02T00:02:14.842Z,EUROPA\Default EUROPA,08D21EB6E51D0300,32,192.168.0.6:25,122.100.78.143:55545,>,334
,
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,33,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,34,192.168.0.6:25,122.100.78.143:55545,*,JUFCORP\juha.jurvanen,authenticated
2015-03-02T00:02:16.105Z,EUROPA\Default EUROPA,08D21EB6E51D0300,35,192.168.0.6:25,122.100.78.143:55545,>,235 2.7.0 Authentication successful,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,36,192.168.0.6:25,122.100.78.143:55545,< ,MAIL FROM: ,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,37,192.168.0.6:25,122.100.78.143:55545,*,08D21EB6E51D0300;2015-03-02T00:02:08.633Z;1,receiving message
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,38,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.0 Sender OK,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,39,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,40,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,41,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,42,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,43,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,44,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,45,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,46,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.534Z,EUROPA\Default EUROPA,08D21EB6E51D0301,0,192.168.0.6:25,81.246.126.146:29327,+,,

Att slå av relay för autentiserade användare i Microsoft Exchange 2010

Eftersom servern tyckte att min användare är en giltig användare så tycker den också att jag som användare har rättigheter att skicka mail men utan att ange ett lösenord dvs i praktiken är servern öppen för relay bara man angivit ett användarnamn som finns i domänen. Självklart är det inte svårt för en hacker elelr spammer att lista ut en sån sak och min mailadress finns på många forum o.s.v. så det är inte svåert att hitta mig.

För att lösa problemet slog jag av rättigheten att vilken användare som helst ska tillåtas att skicka ut mail om den finns och det gjorde jag med följande kommande:

Get-ReceiveConnector “Default Europa” | Remove-ADPermission -user “NT AUTHORITY\Authenticated users” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

EFter ändringen måste Microsoft Transport tjänsten startas om.

Kontakta mig för frågor

Skydda FTP Server från lösenordsattacker

Skydda FTP Server från lösenordsattacker

backup disaster recovey konituitetsplaner FTP Server IT säkerhet molntjänster syspeace
Ett vanligt sätt att ge kunder tillgång till data, eller ha sitt data hemma tillgängligt, är att sätta upp en FTP Server.
En av de vanligaste torde vara FileZilla FTP Server som är gratis eller att använda den inbyggda FTP Servern i Microsoft IIS.

Det är klokt att ytterligare säkra upp sin FTP med SSL certifikat för att skydda inloggningsinformationen från avlyssning men även om man gör detta så finna själva inkggingsporten där och hackers kommer att försöka komma åt den.

Det är även klokt att dölja vilken version av FTP man kör som ett generellt tips. dvs ta bort headerinformationen för att göra det svårare för en hacker att lista ut vilka sårbarheter som just er FTP server har.

Lösenordssattacker mot FTP

Lösenordsattacker bygger helt enkelt på principen att en hacker försöker gissa sig till ett giltigt användarnamn och lösenord med hjälp av automatiserade verktyg.
En attack kan vara allt från några hundra försök till flera tusen och även från flera hundra eller tusen IP adresser samtidigt.

I FileZilla finns ett enklare inbyggt skydd mot lösenrdsattacker på just bara FTP nivå medan det i Microsoft IIS FTP i princip inte går att skydda sig mot dessa. Se t.ex. den här artikeln om lösenordsattacker på Wndows.

Syspeace för FTP server

Med hjälp av Syspeace och medföljande s.k. detectors kan man enkelt och snabbt sätta upp sin FTP server att även skyddas av Syspeace.

Vid en attack kommer angriparens IP adress att helt låsas ute på servern från all kommunikation vilket gör att du i ett svep även skyddar alla andra tjänster som är aktiva på servern / datorn.

Som systemadministratör får du ett mail varje gång en attack låses ute med enkel och överskådlig information som från vilken IP adress och DNS namn attacken gjordes, vilket land och vilket användarnamn som de försökte använda. Här är ett exenpel på ett sånt larm

Blocked address *.*.*.* (*.*.*) [Vietnam] 2015-02-23 14:53:00 Rule used:
Type of block: FileZilla FTP
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-02-23 12:52:32 administrator
2015-02-23 07:56:23 admin
2015-02-23 05:02:39 guest
2015-02-20 22:09:46 anonymous
2015-02-20 22:09:45 anonymous@jufcorp.com

Syspeace detectors

Till Syspeace finns idag ett flertal färdiga detectors för FTP, IIS FTP, WordPress och även stöd för .NET , ASP , PHP för utvecklare av webbsidor som vill skydda inloggningar med hjälp av Syspeace istället för att behöva skriva all logik och historikhantering själva.

Kontakta mig för möte

Hitta, exportera och spåra inloggningar i Windows

Inloggningar i Windows för företag, molnleverantörer och driftsbyråer

backup disaster recovey koninuitetsplaner IT säkerhet molntjänster syspeace
För alla företag, driftsbyårer och molnleverantörer är det viktigt att kunna ta fram olika typer av rapporter för hur användare och kunder varit inloggade. Om du har satt upp åtkomst till din Windows PC med Remote Desktop är det här också relevant.
Tyvärr är det komplicerat att hitta och spåra inloggningar i Windows. Det går att göra men är ganska tidskrävande,

För ett företag kan det handla om t.ex. att se om en viss person verkligen har jobbat under den perioden som den påstår och varifrån.
Om det är någon som reser mycket eller varit borta mycket men på lite oklara grunder måste det finnas en möjlighet för arbetsgivaren att kontrollera när och varifrån någon varit inloggad utifall en varning behöver ges och man vill ha underlag för det.

Ur säkerhetssynpunkt vill man också veta om t.ex. någon före detta anställd försökt använda sitt konto efter de blivit uppsagda och kontot har stängts då det kan handla om framtida rättsliga åtgärder p.g.a. försök till dataintrång.
Vilket företag vill ha sin kunddatabas på vift till en före detta säljare som kanske gått till en konkurrent?

Ge kunderna rapporter och statistik för driftsbyrårer och molnleverantörer

Som driftsbyrå eller molnleverantör kan behovet av att kunna ge kunderna den informationen vara viktig som en tredje, obeorende part men även att själva kunna filtrera ut alla inloggningar från en viss IP adress eller filtrera ut alla inloggningar som inte innehåller ett visst användarnamn t.ex. “juha.jurvanen”. I vissa fall vill man även kunna påvisa för en kund att de verkligen har nyttjat ens tjänster utfiall man hamnat i en dispyt kring användadet och fakturor.

De inbyggda funktionerna i Windows

De inbyggda mekanismerna i Windows är väldigt begränsade för den här typen av hantering.
För att se om t.ex. “juha.jurvanen” varit inloggad så öppnar man Windows Event viewer och loggen Security , högerklicka och väljer “Find”.

Här kan man söka t.ex. alla händelser som innehåller “juha.jurvanen” eller en viss IP adress.

Listan man får upp är varje händelse för sig i en lång lista och innehåller egentligen bara rådata på varje rad.
För varje träff i loggen kan man sedan trycka nästa och se nästa träff i loggen.
Sökningen tar lång tid och loggen skrivs per automatik över om den blir för stor.
Man har alltså inte kvar så länge och den kan rensas av någon med administrativa rättigheter som kanske inte vill att informationen ska kunna tas fram.

Det finns inget sätt att exportera t.ex. bara de logghändelser som innehåller just “juha.jurvanen” utan valet som finns är att exportera alla händelser eller några manuellt utvalda, händelse för händelse.

Formaten att exportera till är en egen loggfil med filändelsen .evtx (eller .evt i Windows Serevr 2003), .csv, textfil eller xml.
De filerna kan i sin tur importeras till t.ex. Excel och filtreras, sökas och formateras.

Informationen i sig är som sagt bara rådata och ger ingen överblick om t.ex. varifrån inloggningen kom. Det får man undersöka i efterhand med t.ex. WHOIS o.s.v

Möjligheten att göra en sökning direkt i loggen på t.ex. alla misslyckade inlogningar som INTE är “juha.jurvanen” och som är inom ett visst intervall t.ex under den senaste veckan finns helt enkelt inte.

Som systemadministratör vill jag kanske se alla inloggningar som inte kommer från den här specfika IP adressen men innehåller användarnamnet “juha.jurvanen”. Det här kan ju t.ex. handla om min VD vill veta om jag ens varit i landet under just den perioden.

Det går alltså att få fram grundinformationen men det kan vara ett ganska komplicerat och manuellt arbete men ändå något som era kunder förväntar sig ni ska kunna få fram och utan stora extra kostnader för er tid.

Hantera inloggningsrapporter med Syspeace

Här har jag gjort en video på hur man kan få fram all relevant information väldigt enkelt med Syspeace där man snabbt och enkelt söka på alla inloggningar, både lyckade och misslyckade, t.ex. “juha.jurvanen” eller alla inloggningar från en viss IP adress under en viss period.

Jag kanske vill se alla inloggningar som inte är juha.jurvanen eller alla inloggningar som misslyckats men som inte är från en viss IP adress?

Jag vill kanske också filtrera informationen på den senaste veckan eller under en viss period under förra året och kunna klicka på informationen för att se varifrån inloggningen skedde, hur mångar gånger o.s.v

Resultaten kan enkelt exporteras till en .csv fil och sedan t.ex. skapas som en ,pdf för att ge kunden som frågat efter informationen. Jag har många gånger även använt dessa rapporfte för att påtala intrångsförösk som skett mot mina kunder och snabbt fått fram information jag kunnat ge till det företaget eller leverantören som försökt med lösenorsatatcker mot mina kunder. Jag har bara helt enkelt skapat en mall i vilken jag klistrar in informationen från Syspeace och mailar iväg.

Syspeace är alltså en billig och enkel lösning för att snabbt kunna ge kunden eller VD den informationen som de vill ha och ett enkelt verktyg för systemadministratören att se vad som pågår i nätverket kring inloggningar.

Kontakta mig för möte

Epicor iScala, Lotus Notes Edicom Transport som molntjänst

JufCorp

JufCorp

Epicor iScala, Lotus Notes Edicom Transport som molntjänst

Som ett roligt och intressant projekt satte jag nyligen upp ett privat moln hos en kund. Kunden har c:a 20 användare fördelat över 3 olika länder och ett 10-15 tal servrar varav fortfarande många kör Windows 2003 så det var dags att göra något.

Kunden tänkte urpsrungligen köpa in nya servrar (för så har man ju alltid gjort ) , installera upp nyare serveroperativ och flytta alla applikationer till dem med allt vad det innebär.
I princip samtliga servrar behövdes bytas ut så bara hårdvarukostnaderna och licenser för detta skulle enkelt ha blivit minst 500 000 sek. Minst.

Efter en analys av miljön föreslog jag istället att bygga en privat molntjänst åt dem och återanvända några av servrarna och endast köpa en ny för att hantera molntjänsten och återanvända de andra för andra funktioner och failover.

I miljön används b.la. Epicor iScala, Lotus Notes , Edicom Transport, StreamServe och diverse programvaror kring lagerhantering och logistik.

När lösningen nu är klar kan jag konstatera att de i ett slag blev plattformsoberoende och nu även kan köra sitt CRM i Lotus NOtes och Epicor iScala som plattformsoberoende och molnbaserat i sin egen serverhall. Efter diskussioner avvecklade vi även en VPN lösning och ersatte med SSL certfikat för att förenkla tillgång till program för säljarna och även ge dem tillgång till alla deras program på iPad, MAC, Android och naturligtvis alla Windows versioner.

Ytterligare en given fördel är att investeringskostanderna för lösningen kanske blev en 10 % av vad de annars hade tänkt investera.

Kostnaderna för framtida investeringar i tunga arbetstationer är borta, all hanteringen är central och intrångshanteringen sköt såklart av Syspeace.

Ett roligt uppdrag och både jag och kunden är väldigt nöjda med hur enkelt och smidigt det blivit.

Så om ert företag också sitter i funderingar att migrerar från Windows Server 2003 så kanske det inte är den bästa lösningen att köpa nytt bara för att man alltid gjort så . Det finns nya, smidiga och väldigt väl fungerande lösningar att använda som de flesta företqag redan har hårdvara på plats för. Det handlar bara om att veta ur man återanvänder det man har isället för att bara köpa nytt.

Vill ni veta mer om att skapa en egen molntjänst för ert företag eller kanske diskutera om ni kan flytta det ni har idag till en publik molntjänst som t.ex. Red Cloud ITs rCloud Office?
Kontakta mig

Server management, infrastructure and application management

How are your backups configured ?

* What are the different backup types such as Full, Differential and Incremental backups .. or maybe even Delta / Block level? What are the pros and cons of the different approaches? What are the consequences? Enough time to finish backup within your backup window? Is there different solution or can your’s be more effective?

Is it enough for a complete restore ?

* What is the minimum for backups to restore a complete system crash or just parts of it? Is there documentation on HOW to do it? Do you have systems that are interdependent and in what order should a restore be done as quickly as possible to return to normal operation again? How does your server-operative behave? Microsoft Windows, Novell NetWare, SUN Solaris, Linux .., they all behave differently at restore.

Or, is it too much backed up ?

* For instance, when restoring a Microsoft Exchange Server, certain things should be excluded that can “entangle” the restore. There are many examples and it requires know how and experience. Backing unnecessary functions and files will cost you time, space and bandwidth. Is it possible perhaps to streamline? Have you backed up a lot of unnecessary private files that occupy time and space on backups? Are your workstations and laptops backed up? If that is the case, how?

Backup log files, who reeads them and manages errors?

* Missing error messages in the backup can have dire consequenses if your critical data is not included when necessary

How are your backup stored and who has access to them ? And when ? Whos responibility is it if the go missing ?

* Remember that all of your company’s data is stored on tapes/media and with the right knowledge it can be used to do you harm.

What guidelines are in place and how they are followed?

* Are there any policies set for overwriting of tapes? From how far back in time is data supposed to be able to be restored? For how long do you have archived data? What does the law state in your case? What guidelines are decided from the top?

Communications

* Fixed connection or ADSL or another and what are the consequences? Frame Relay? Speed​​? From which provider? should there be redundancy in communication? Routing and Switching? Wireless networks and how secure is it, WEP, WPA, WPA2? VLANs in the switches? Spanning tree? Monitoring of the links?

Firewall

* What firewalls covers your needs? Hardware-based or software based? Microsoft ISA/TMG Server? Linux? FireWall1? NetScreen? Juniper? Clavister ? How should the rules be set up to block malicious traffic? Are rules also applied to outbound traffic? Should there also be a IDS/IPS system? Brute force prevention at the firewall-level or the servers? DMZ and forwarding? Who/what should have access to the firewall? How quickly can they make changes if needed?

The servers

* Will the servers be placed on a separate server network, server LAN or backbone? What is the speed, 100 Mbit, 1 Gbits or 10 Gbits? How you can optimize your speed? Should the network is divided into zones so-called subnets? What is “private IP network”? What is “public addresses”? How does DNS work and who manages it? Need of WINS? How to plan a Microsoft Active Directory or Novell NetWare NDS? Global catalog? What will/should be monitored? With what software? SNMP? Insight Manager? Microsoft SCMM? Where should alarms be sent? How should the alarm be handled?

The users

* Will users be placed on a separate network? What should they able to reach and use of the resources? Are there integrated solutions with useraccounts and Firewall rules? How do we secure the server from brute force attempts and unauthorized access

What guidelines and policies do you vae in place?

* Are there policies in place for what the users are allowd to do and access? Do you have a policy for social medias? Is bandwidth limiting an option ? Restricting sites? How do you manage laptops, VPNs, mobile phones, iPads?

Backup and restore , Disaster Recovery Plan Questions

How are your backups configured ?

* What are the different backup types such as Full, Differential and Incremental backups .. or maybe even Delta / Block level? What are the pros and cons of the different approaches? What are the consequences? Enough time to finish backup within your backup window? Is there different solution or can your’s be more effective?

Is it enough for a complete restore ?

* What is the minimum for backups to restore a complete system crash or just parts of it? Is there documentation on HOW to do it? Do you have systems that are interdependent and in what order should a restore be done as quickly as possible to return to normal operation again? How does your server-operative behave? Microsoft Windows, Novell NetWare, SUN Solaris, Linux .., they all behave differently at restore.

Or, is it too much backed up ?

* For instance, whne restoring a Microsoft Exchange Serverr, certain things should be excluded that can “entangle” the restore. There are many examples and it requires know how and experience. Backing unnecessary functions and files will cost you time, space and bandwidth. Is it possible perhaps to streamline? Have you backed up a lot of unnecessary private files that occupy time and space on backups? Are your workstations and laptops backed up? If that is the case, how?

Backup log files, who reeads them and manages errors?

* Missing error messages in the backup can have dire consequenses if your critical data is not included when necessary

How are your backup stored and who has access to them ? And when ? Whos responibility is it if the go missing ?

* Remember that all of your company’s data is stored on tapes/media and with the right knowledge it can be used to do you harm.

What guidelines are in place and how they are followed?

* Are there any policies set for overwriting of tapes? From how far back in time is data supposed to be able to be restored? For how long do you have archived data? What does the law state in your case? What guidelines are decided from the top?

Services

Backup / Restore -After working daily for 8 years as a Disaster Recovery Technnician at SunGard Availabiliy Services I can be very helpful with most backup solutions available on Windows, NetWare, Solaris and Linux. I have unique skills on how to recover servers, and network functions.

IT operations and management as senior second line servertechnician -Since I earlier worked as a consultant in outsourcing, I am also proficient in the operation, installation and support of corporate networks. I have also been part of the operation such as on SunGard’s online backup services in which I have been through design, installation and operation. I can help with your support and help desk on the server side or serve as temporary IT Manager. I’m also the architect and manager of the cloud services at Red Cloud IT .

Installing and planning for new servers and functions -I can help you with planning, installation and configuration of mail systems, SQL Server, networking, firewalls, VPN solutions, monitoring, DNSBlacklisting, antivirus protection, etc. .

Procedure descriptions and documentation -I can help you with creating procedures and documentation to ensure proper operation and an effective approach in case of an accident. No one can plan for every possible scenario, but a good basic plan is a prerequisite for the fastest possible to come back into production after a breakdown. The question is very simple – how long can you be without your IT?

Cloud services and cloud computing -In recent years I have been very active with cloud services at Red Cloud IT where I’ve built, hosted and designed their rCloud Office solution and served as technical manager and consultant. I am also part owner of Red Cloud IT but I will help you to evaluate other cloud services and help you choose what suits your business. There are many different cloud services out there, and it comes to choosing the exactly right for your business.

Verification, audit and study of existing solutions -I can assist with verifying existing solutions, either examining the solutions you have and suggest changes or help you do a disaster recovey test of your systems to ensure functionality. I’m not tied to any company or product which makes my analysis completely independent of other suppliers. I’ll help you plan your DR-tests and write restart plans (known as DRP Disaster Recovery Planning) so they are in place when needed and you can minimize your standstill.

Courses and workshops -I have given courses and workshops for companies about disaster recovery and backups.

Your companys Internet reputation? -I am happy to assist you in reviewing how you appear on the Internet and come with tips and advice on how you can protect your brand and how such can use Google Analytics to relevant reports on visitors to your website and get a better lead generation. I’ll help you set up simple but efficient tools to get an alarm if something changes unexpectedly on your website that may as a result of a hacker attack. I will gladly help you also to monitor this.

Basic safety reviews -Basic control of network security, patch management, password policies, intrusion attempts, etc.

My consultant profile (CV) as PDF – in Swedish -A far from complete CV as such would be unduly long after 15 years as an IT consultant but it gives some idea of ​​what I’ve worked with before.

Brute force prevention and blocking for Windows servers -Syspeace is a software I came up with idea for and it has from there evovled to a simple but very powerful protection for Windows servers including Microsoft Exchange, Terminal Server, etc.

#Webforward not working at #One.com – How to solve it

Today the webforward functionality at one.com stopped working.

At Red Cloud IT we own the domain rcloud.se that points to some of our services at another domain we own in order to have certificates and stuff working correctly.

No idea why and no idea on how long they need to solve it or if it will work again without setting all the webforwards up aain  .

Here’s what I did not be forced to wait for the to fix it – In Swedish first .

1. Skriv upp alla hostnames och vad de pekar till
2. Skapa en undermapp med samma namn som hostname (utan domännamn ) t.ex. portal
3. Skapa en fil med namnet index.php med innehållet nedan (texten efter location är alltså vart det ska ta vägen )

<?php
header(“Location: https://tsgw.rcasp.se/rdweb “, true, 301);
exit();
?>

4. Ladda upp index.php till respektive undermapp , i det här fallet portal
5. Klicka på filen och kolla du hamnar rätt
6. Slå av webforwarding hos one.com

Nu kommer det alltså att skickas vidare trafik till rätt sida om man skriver in t.ex. portal.rcloud.se

In English

 

1. Write down all jhostnames and what they Point to
2. Create a subfolder witth the same names , for instance portal

3. Create a file called index.php and put the followin in there (the address after Location: is where you want the traffic to go )

<?php
header(“Location: https://tsgw.rcasp.se/rdweb “, true, 301);
exit();
?>

4. Upload you index.php to each subfiolder (make sure to use the correct index.php for each hostname
5. Click the file and verify you end up where expected to

6. Reset webforwarding at one.com

Now trafific will be correctly forwarded agaoin

 

If you only have one domain name yopu want to fiorward this can also be done in the /.htaccess file so this is nore if you ahve multiple hostnames like porta.rcloud.se and macportal.rcloud.s and so on

 

By Juha Jurvanen

#eBay hacked ? Sending #trojans according to #FSecure

So. Today I went to a customer site and we’re using #Fsecure there.
All of sudden a user unexpectedly got a virus-warning about a trojan that seems to originate from #Ebay. Of course #Fsecure caught it and I did get a seconf email about a virus from eBay ..
During the weekend he had ordered stuff from #Ebay but his order-history was gone and when he tried to check from the workstation here at the custiomer site he got that virus-warning .

Basically. Stay off #Ebay for a while until you know for sure.

I can’t say for sure they’ve been hacked but I can’t say for sure they haven’t either.

Juha Jurvanen