Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kerberos Authentication in Wireshark auslesen

Mitglied: germanese

germanese (Level 1) - Jetzt verbinden

12.12.2012 um 14:37 Uhr, 4445 Aufrufe, 5 Kommentare

hallo zusammen,

ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.

zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.

jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?

wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...

wo sollten die sein?
Mitglied: lenny4me
12.12.2012 um 15:10 Uhr
Guten Tag,

auch hier ist google dein Freund.
http://wiki.wireshark.org/Kerberos

Grüße
Bitte warten ..
Mitglied: broecker
12.12.2012, aktualisiert um 15:57 Uhr
die könnten schon beim Einloggen laufen, d.h. von Dir unbemerkt, wenn Du den Wireshark auf dem Client laufen läßt, vor dem Mitschneiden, der DC gibt dann möglicherweise ein ganzes Paket an den Client mit, beim eigentlichen Anmelden am Webfilter (?) wird das Ticket dann nur noch vorgewiesen - IE/Firefox müssen ggf. auch noch wissen, daß sie sich via Kerberos authentifizieren sollen, nicht via Benutzername/Passwort
Bitte warten ..
Mitglied: germanese
12.12.2012, aktualisiert um 15:59 Uhr
ja... google hatte ich selbstverständlich auch bemüht...

jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...

scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..

ne idee vielleicht woran das liegen könnte?
Bitte warten ..
Mitglied: Alchimedes
12.12.2012 um 21:55 Uhr
Hallo,

mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...

Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.

Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?

Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....

Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.

Gruss
Bitte warten ..
Mitglied: germanese
13.12.2012, aktualisiert um 09:43 Uhr
ja, das war so beabsichtigt, ich möchte nicht den server sniffern sondern meinen client. einfach nur um nachvollziehen zu können warum die authentifizierung nicht mitgeliefert wird. auf dem sophos webfilter sehe ich lediglich einen http GET auf www.google.de ohne benutzername und password, logischerweise sagt dann mein sophos webfilter "du kommst hier nicht rein" was auch völlig legitim ist.

die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...

sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...

jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...

muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

RSA authentication failed authentication manager

Frage von ko81roVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich bekommen ob und zu immer wieder Probleme das sich die User nicht anmelden können, bei dem ...

Google Android

Wireshark für Android

Frage von ReinartzGoogle Android5 Kommentare

Hallo Gemeinde, ich suche eine App die wie Wireshark unter Windows funktioniert nur eben als App auf einem Android ...

Sicherheits-Tools

Wireshark Mitschnittsfilter

Frage von AkcentSicherheits-Tools8 Kommentare

Hallo, irgendwie will mein WS nicht so wie ich will. Habe WS 2.4.1 auf einem virtuellen Windows 2012R2 (Host ...

Monitoring

Hilfe bei Wireshark

gelöst Frage von GummixMonitoring17 Kommentare

Hallo, irgendwas im Netzwerk verursacht immer wieder Download und Upload traffic. Jetzt habe ich gelesen, dass man das einfach ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 2 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 8 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 22 StundenSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...