Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kerberos Authentication in Wireshark auslesen

Frage Netzwerke Netzwerkmanagement

Mitglied: germanese

germanese (Level 1) - Jetzt verbinden

12.12.2012 um 14:37 Uhr, 4376 Aufrufe, 5 Kommentare

hallo zusammen,

ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.

zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.

jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?

wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...

wo sollten die sein?
Mitglied: lenny4me
12.12.2012 um 15:10 Uhr
Guten Tag,

auch hier ist google dein Freund.
http://wiki.wireshark.org/Kerberos

Grüße
Bitte warten ..
Mitglied: broecker
12.12.2012, aktualisiert um 15:57 Uhr
die könnten schon beim Einloggen laufen, d.h. von Dir unbemerkt, wenn Du den Wireshark auf dem Client laufen läßt, vor dem Mitschneiden, der DC gibt dann möglicherweise ein ganzes Paket an den Client mit, beim eigentlichen Anmelden am Webfilter (?) wird das Ticket dann nur noch vorgewiesen - IE/Firefox müssen ggf. auch noch wissen, daß sie sich via Kerberos authentifizieren sollen, nicht via Benutzername/Passwort
Bitte warten ..
Mitglied: germanese
12.12.2012, aktualisiert um 15:59 Uhr
ja... google hatte ich selbstverständlich auch bemüht...

jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...

scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..

ne idee vielleicht woran das liegen könnte?
Bitte warten ..
Mitglied: Alchimedes
12.12.2012 um 21:55 Uhr
Hallo,

mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...

Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.

Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?

Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....

Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.

Gruss
Bitte warten ..
Mitglied: germanese
13.12.2012, aktualisiert um 09:43 Uhr
ja, das war so beabsichtigt, ich möchte nicht den server sniffern sondern meinen client. einfach nur um nachvollziehen zu können warum die authentifizierung nicht mitgeliefert wird. auf dem sophos webfilter sehe ich lediglich einen http GET auf www.google.de ohne benutzername und password, logischerweise sagt dann mein sophos webfilter "du kommst hier nicht rein" was auch völlig legitim ist.

die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...

sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...

jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...

muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
RSA authentication failed authentication manager
Frage von ko81roVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich bekommen ob und zu immer wieder Probleme das sich die User nicht anmelden können, bei dem ...

Google Android
Wireshark für Android
Frage von ReinartzGoogle Android5 Kommentare

Hallo Gemeinde, ich suche eine App die wie Wireshark unter Windows funktioniert nur eben als App auf einem Android ...

Sicherheits-Tools
Wireshark Mitschnittsfilter
Frage von AkcentSicherheits-Tools8 Kommentare

Hallo, irgendwie will mein WS nicht so wie ich will. Habe WS 2.4.1 auf einem virtuellen Windows 2012R2 (Host ...

Monitoring
Hilfe bei Wireshark
gelöst Frage von GummixMonitoring17 Kommentare

Hallo, irgendwas im Netzwerk verursacht immer wieder Download und Upload traffic. Jetzt habe ich gelesen, dass man das einfach ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...