69011
Dec 12, 2012
7725
5
0
Kerberos Authentication in Wireshark auslesen
hallo zusammen,
ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.
zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.
jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?
wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...
wo sollten die sein?
ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.
zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.
jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?
wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...
wo sollten die sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195758
Url: https://administrator.de/contentid/195758
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
die könnten schon beim Einloggen laufen, d.h. von Dir unbemerkt, wenn Du den Wireshark auf dem Client laufen läßt, vor dem Mitschneiden, der DC gibt dann möglicherweise ein ganzes Paket an den Client mit, beim eigentlichen Anmelden am Webfilter (?) wird das Ticket dann nur noch vorgewiesen - IE/Firefox müssen ggf. auch noch wissen, daß sie sich via Kerberos authentifizieren sollen, nicht via Benutzername/Passwort
ja... google hatte ich selbstverständlich auch bemüht...
jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...
scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..
ne idee vielleicht woran das liegen könnte?
jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...
scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..
ne idee vielleicht woran das liegen könnte?
Hallo,
mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...
Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.
Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?
Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....
Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.
Gruss
mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...
Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.
Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?
Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....
Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.
Gruss
ja, das war so beabsichtigt, ich möchte nicht den server sniffern sondern meinen client. einfach nur um nachvollziehen zu können warum die authentifizierung nicht mitgeliefert wird. auf dem sophos webfilter sehe ich lediglich einen http GET auf www.google.de ohne benutzername und password, logischerweise sagt dann mein sophos webfilter "du kommst hier nicht rein" was auch völlig legitim ist.
die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...
sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...
jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...
muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...
sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...
jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...
muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
