Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kerberos Authentication in Wireshark auslesen

Frage Netzwerke Netzwerkmanagement

Mitglied: germanese

germanese (Level 1) - Jetzt verbinden

12.12.2012 um 14:37 Uhr, 4201 Aufrufe, 5 Kommentare

hallo zusammen,

ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.

zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.

jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?

wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...

wo sollten die sein?
Mitglied: lenny4me
12.12.2012 um 15:10 Uhr
Guten Tag,

auch hier ist google dein Freund.
http://wiki.wireshark.org/Kerberos

Grüße
Bitte warten ..
Mitglied: broecker
12.12.2012, aktualisiert um 15:57 Uhr
die könnten schon beim Einloggen laufen, d.h. von Dir unbemerkt, wenn Du den Wireshark auf dem Client laufen läßt, vor dem Mitschneiden, der DC gibt dann möglicherweise ein ganzes Paket an den Client mit, beim eigentlichen Anmelden am Webfilter (?) wird das Ticket dann nur noch vorgewiesen - IE/Firefox müssen ggf. auch noch wissen, daß sie sich via Kerberos authentifizieren sollen, nicht via Benutzername/Passwort
Bitte warten ..
Mitglied: germanese
12.12.2012, aktualisiert um 15:59 Uhr
ja... google hatte ich selbstverständlich auch bemüht...

jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...

scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..

ne idee vielleicht woran das liegen könnte?
Bitte warten ..
Mitglied: Alchimedes
12.12.2012 um 21:55 Uhr
Hallo,

mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...

Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.

Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?

Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....

Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.

Gruss
Bitte warten ..
Mitglied: germanese
13.12.2012, aktualisiert um 09:43 Uhr
ja, das war so beabsichtigt, ich möchte nicht den server sniffern sondern meinen client. einfach nur um nachvollziehen zu können warum die authentifizierung nicht mitgeliefert wird. auf dem sophos webfilter sehe ich lediglich einen http GET auf www.google.de ohne benutzername und password, logischerweise sagt dann mein sophos webfilter "du kommst hier nicht rein" was auch völlig legitim ist.

die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...

sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...

jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...

muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
gelöst Windows 7 Pro x64 Key aus einer (fast) kaputten HDD auslesen (7)

Frage von carbon1X zum Thema Festplatten, SSD, Raid ...

Batch & Shell
gelöst Zeiten in .txt datei auslesen und Differenz berechnen (14)

Frage von meex87 zum Thema Batch & Shell ...

Batch & Shell
Dateigröße und Änderungsdatum auslesen (6)

Frage von michi-ffm zum Thema Batch & Shell ...

Batch & Shell
gelöst Problem Auslesen einer Internetseite mit Powershell (11)

Frage von c20082005 zum Thema Batch & Shell ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
gelöst Benutzer lässt sich nur an einem Clientcomputer anmelden (16)

Frage von Ammann zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Netzwerk in 2 Teile trennen (11)

Frage von pattex zum Thema LAN, WAN, Wireless ...

Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...