Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kerberos Authentication in Wireshark auslesen

Frage Netzwerke Netzwerkmanagement

Mitglied: germanese

germanese (Level 1) - Jetzt verbinden

12.12.2012 um 14:37 Uhr, 4018 Aufrufe, 5 Kommentare

hallo zusammen,

ich setze mich etwas mit wireshark auseinander, geniales und richtig mächtiges tool, aber bin jetzt an meine grenzen gestossen.

zum verständniss meine Problem: ab und zu haben wir probleme mit unserem sophos webfilter, die user kommen nicht ins internet. das logging vom webfilter behauptet dass username/password nicht mitgeliefert wurden und deswegen wird der http-request geblockt. im grunde macht der webfilter genau das richtige, nur verstehe ich nicht warum uername und password fehlen.

jetzt habe ich einen pc hier stehen, bei dem der fehler auftritt, also wireshark installiert und ein capture gestartet. ich sehe die GET Request und die responses, sehe ich auch irgendwo ob ein username/password hinterlegt ist? damit ich weiss ob vielleicht schon am client diese fehlen?

wir verwenden eine active directory domain von microsoft mit kerberos authentication, ich sehe im wireshark aber auch keine kerberos anfragen...

wo sollten die sein?
Mitglied: lenny4me
12.12.2012 um 15:10 Uhr
Guten Tag,

auch hier ist google dein Freund.
http://wiki.wireshark.org/Kerberos

Grüße
Bitte warten ..
Mitglied: broecker
12.12.2012, aktualisiert um 15:57 Uhr
die könnten schon beim Einloggen laufen, d.h. von Dir unbemerkt, wenn Du den Wireshark auf dem Client laufen läßt, vor dem Mitschneiden, der DC gibt dann möglicherweise ein ganzes Paket an den Client mit, beim eigentlichen Anmelden am Webfilter (?) wird das Ticket dann nur noch vorgewiesen - IE/Firefox müssen ggf. auch noch wissen, daß sie sich via Kerberos authentifizieren sollen, nicht via Benutzername/Passwort
Bitte warten ..
Mitglied: germanese
12.12.2012, aktualisiert um 15:59 Uhr
ja... google hatte ich selbstverständlich auch bemüht...

jedenfalls war ich auf der komplett falschen spur, richtig wäre NTLM gewesen... hab nicht daran gedacht...

scheint tatsächlich so zu sein dass bei den betroffenen pcs keine ntlm authentifizierung stattfindet, jedenfalls kann ich nirgends ntlm packete finden, bei captures von "funktionierendes" PCs finde ich diese sofort auf Anhieb..

ne idee vielleicht woran das liegen könnte?
Bitte warten ..
Mitglied: Alchimedes
12.12.2012 um 21:55 Uhr
Hallo,

mit Wireshark sniffst Du auf der Netzerkschnittstelle des Rechners nicht auf der Schnittstelle des Servers.
Weiterhin ist das livecapture Schwachsinn weil zig Tausend Packete reinschneien...

Besser mittels tcpdump den Netzverkehr mitschneiden und dann mittels Filter nach den entsprechenden Verbindungen zu suchen.

Was den Webfilter von Sophos angeht habt Ihr Sophos UTM am start ?

Da wuerde ich mal auf's Gateway schauen und die Logfiles durchsuchen ...
Denn wenn der Kamerad hier auf Dreckseiten surft darf mann sich nicht wundern wenn er nicht ins Internet kommt....

Wenn das nicht der Fall ist hast Du Sophos Support !! Dafuer hast Deine Firma bezahlt.

Gruss
Bitte warten ..
Mitglied: germanese
13.12.2012, aktualisiert um 09:43 Uhr
ja, das war so beabsichtigt, ich möchte nicht den server sniffern sondern meinen client. einfach nur um nachvollziehen zu können warum die authentifizierung nicht mitgeliefert wird. auf dem sophos webfilter sehe ich lediglich einen http GET auf www.google.de ohne benutzername und password, logischerweise sagt dann mein sophos webfilter "du kommst hier nicht rein" was auch völlig legitim ist.

die frage ist warum meine clients diese nicht mitsenden. mir ist auch bekannt dass tausende packete mitgeschnitten werden, ich hätte aber nicht one-by-one alle packete dursucht sondern schon den filter bemüht... das kann wireshark auch, aber dein tcpdump werde ich mir mal reinziehen, da ich das tool nicht selbst kenne...

sophos habe ich natürlich auch bemüht, weil der erste gedanke natürlich war "es liegt am webfilter" allerdings sagen die auch "wenn kein benutzername/password mitgesendet wird dann kanns ja nicht am webfilter liegen" was ja auch völlig richtig ist. die kameraden surfen auf ganz normalen seiten, ein simpler test auf google.de funktioniert ebenfalls nicht. problem habe ich an mehreren pcs, aber nicht an allen...

jedenfalls habe ich gestern festgestellt dass bei "funktionierenden" PCs der wireshark capture eine ntlm packet angezeigt wird, mit username und password. bei "nicht funktionierenden" PCs fehlen diese packete komplett, demnach muss es am client liegen...

muss jetzt nur noch rausfinden warum das so ist... eine schnelle suche auf google hat mir aber gezeigt dass ich anscheinend nicht der einzige mit dem problem bin...
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Batch & Shell
gelöst Appx aus Image auslesen und entfernen (9)

Frage von Markus2016 zum Thema Batch & Shell ...

JavaScript
gelöst Dropdownfeld auslesen und mit AJAX und JS an PHP senden (7)

Frage von ITFlori zum Thema JavaScript ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...