IDENTIKEY Authentication Server ODBC Weakness

השבוע ביצעתי נוהל גיבוי עבור מערכת IDENTIKEY מבית Vasco כאשר בסיס הנתונים של המערכת היה מבוסס Database מקומי (ODBC).

את נוהל הגיבוי ניתן למצוא כאן.

לאחר הרצת פקודת הגיבוי אנו נתבקש להזין סיסמה עבור מסד הנתונים.

החלק היותר מענין הוא שקיימת סיסמה דיפולטית למסד הנתונים:

You will be prompted for the password of the database administrator" 

account to access the database. The default password created during 

installation is digipassword. If you have changed it, make sure to use 

the correct password.

להלן המלצותיי בנושא:

1.יש להגביל את גישת הניהול לשרתים לכתובות IP מורשות בלבד.

2.יש לשנות את ה-Default Password ל-Complex Password בעלת 8 תווים לפחות.

3.במידה ושינוי הסיסמה לא יספק אתכם-ניתן ליצור משתמש לטובת Service Account עבור ODBC.

4.יש ליישם מנגנון Audit עבור התחברות ל -ODBC.

חידוש תעודות עבור SCEP מבוסס Certificate Services 2003

השבוע  נתבקשתי לפתור תקלה בשרת  Certificate Authority מבוסס Server 2003 כאשר על שרת ה-CA היה מותקן רכיב SCEP לצורך הנפקת תעודות IPsec עבור נתבי Cisco.

לטענת מנהל האבטחה ,השרת הפסיק לבצע חידוש תעודות עבור נתבים בהם תוקף תעודת ה-IPsec הולך לפוג.

כאשר ניגשתי ל-Event Viewer נגלה לעיני ה-Event הבא:

Event Type:      Error
Event Source: SCEP Add-on
Event ID:  34
Description
At least one RA certificate of SCEP Add-On has expired

כאשר ניגשתי ל-Local Store המקומי שמתי לב כי מצב התעודות הבאות  היה ב- Expired:

• (Exchange Enrollment Agent (Offline Request

• CEP Encryption

הליך חידוש התעודות עבור SCEP מבוסס 2003 הנו הליך פשוט ביותר אשר מצריך התקנת ה- Add-On מחדש.
להורדת ה-Add-On ולפרטים נוספים יש ללחוץ כאן.

ניטור שינויי קונפיגורציה ברכיבי CISCO

לאחרונה הוזמנתי לפגישת יעוץ בארגון  כאשר כלל רכיבי הרשת לרבות רכיבי אבטחת מידע  היו מבוססים CISCO.
מטרת הפגישה הייתה חיזוק מערך האבטחה בארגון.
אחת הדרישות המרכזיות של ההנהלה  הייתה יכולת ניטור שינויים בקונפיגורציה בכלל הרכיבים .
מסתבר שאין צורך ברכישה של Appliance מטורף או מערכת מסחרית מפוצצת לצורך משימה זו.
ניתן להגדיר את רכיבי ה-CISCO לשלוח SNMP Trap בכל ביצוע שינוי למערכת OpenNMS .
מדובר במערכת שו"ב חינמית בעלת ממשק ניהול אינטואיטיבי  מבוסס Web אשר בין היתר מרכזת אירועים ומנטרת התקני רשת כמו גם ניתן לקבל התראות באמצעות המערכת SMS או Email.
להוראות עבור הגדרת SNMP Trap וטיפים נוספים בנושא יש ללחוץ כאן.

(Juniper MAG (SSL VPN- הזדהות באמצעות תעודה

לאחרונה סיימתי פרויקט אינטגרציה לטובת Secure Remote Access אשר כלל הטמעת מכונות Juniper MAG בתצורת (High Availability (HA והטמעת תשתית PKI מאובטחת.
מנגנון ההזדהות היה מבוסס על Two-factor authentication:1.השלב הראשון דרש Certificate בתוקף אשר הונפקה משרת ה-Enterprise CA.
2.השלב השני דרש אימות מבוסס Active Directory Credentials.
בסיום הפרויקט ביצעתי מספר בדיקות חוסן למערכת כאשר נוכחתי לגלות כי ניתן להשתמש ב-Credentials של משתמש מסוים ואילו לבצע את האימות השני באמצעות תעודה של Userנוסף אשר נמצא באותה קבוצה
(Active Directory Group)-דבר המאפשר ביצוע מניפולציות שונות בקרב המשתמשים.
קיים פתרון אלגנטי לסוגיה-כאשר המשתמש יבצע Sign in למערכת, ה-Juniper ייקח את ה-User Name מהתעודה הדיגיטלית ויעביר אותו לשלב השני (הזדהות מול Active Directory)..
למעשה המשתמש יראה רק חלון עם אפשרות  להזין סיסמה ללא אפשרות להזין שם משתמש.
בתצורה זו משתמש שיש לו תעודה אשר הונפקה עבורו לו לא יוכל לבצע Sign in עם שם משתמש וסיסמה השייכים לאדם אחר.
את ההגדרה מבצעים ברמת ה-Juniper:

1.יש להיכנס ל-User Authentication Realms ולבחור ב-Realm המדובר.
2.יש לגשת ל-Genera->Additional authentication server
3.יש להוריד את הסימון של תיבת ה -".specified by user on sign-in page" .

קיבוע פורט CertSrv Request בשרת Winsows Server 2008

בפרויקט בו נתבקשתי לסייע היה צורך לגלוש לממשק ה-CertSRV ולהנפיק תעודות מרשת שונה בה נמצא שרת ה-CA.

כידוע,Certificate Enrollment Web Services עושה שימוש ב-Daynamic Ports.

מאחר ושרת ה-CA היה נמצא מאחרי Firewall ובכדי להימנע ממתן הרשאת ANY Service היה צורך לקבע את ה-Port עבור CertSrv Reques.

ניתן לבצע זאת באמצעות:

1. MMC Console ע"י הרצת dcomcnfg.exe , יש לעבור על שלבים 1-3 לפי מאמר זה.

2.קיבוע הפורט ברמת ה-Registry על פי מאמר זה.

מידע בנושא Firewall Rules for Active Directory Certificate Services ולרשימת הפורטים ניתן למצוא כאן.

שינוי ה-Default Certificate Template להנפקה עבור Microsoft SCEP Server

לאחרונה עסקתי בפרויקט לטובת הקמת מערכת(Network Device Enrollment Services (MSCEP .

מאחר והגדרות ה--Default Certificate Template עבור תעודה מסוג (IPsec (Offline request  לא היו תואמות למדניות הארגון -היה צורך לבצע Duplicate ל-Template ולבצע שינויים מותאמים אישית.

גם לאחר שכפול וביצוע Publish ל-Template , שרת ה-CA המשיך להנפיק את התעודות על בסיס ה-Default Template.

על מנת להנפיק תעודה על בסיס ה-Template מותאם אישית שיצרנו :

1.יש להיכנס ל-REGEDIT לנתיב הבא:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

2.בכל אחד מהמפתחות הבאים יש לשנות את הערך ל-Template Name (ולא ל-Template Display Name):

- EncryptionTemplate

-GeneralPurposeTemplate

-SignatureTemplate

3.יש לבצע Restart ל-Service של שרת ה-CA .

שגיאה בהורדת קבצי +CRL,Delta CRL ו-CRT

אחד השלבים החשובים ביותר בהגדרת שרתי ה-Certificate Authority הנו הגדרת Extensions עבור (Authority Information Access (AIA ו-(Certificate Revocation List (CRL.בעת התקנת שרת Microsoft CA לרוב נתקין שרת IIS אשר הגדרת ה-Extensions יצביעו אילו.כאשר נבצע Health Check באמצעות הכלי PKIView לעתים נקבל שגיאה בנוסח "Unable To Download"  אשר מציגה שגיאה אודות הורדת קובץ CRL , Delta CRL או CRT .

על מנת להתגבר על שגיאה זו:

1.יש לנסות תחילה להוריד באמצעות Internet Explorer ( וכי או  כל דפדפן אחר) את הקובץ באמצעות העתקת
ה-URL .

2.במידה והנכם מצליחים להוריד את הקובץ יש לוודא כי שרת ה-IIS מאפשר הורדת קבצים אלו וכי אפשרות AllowDoubleEscaping פעילה.

יש לבצע את הכתוב במאמר KB 942076 .

3.יש לבדוק הרשאות NTFS ברמת Share ו-Security לנתיב עליו מצביעה ה-Virtual Directory.

4.יש לבדוק הגדרות DNS  ו-DNS Name Resolution .

5.יש לבדוק הגדרות Publish תחת לשונית Extensions  בשרת ה-CA.

מאמר מוצלח ומומלץ לביצוע Troubleshooting  בנושא ניתן למצוא ב-Windows PKI Blog.