mmc door firewall naar andere machines - Netwerken

vrijdag 10 juni 2005 12:22

Acties:

Topicstarter

Situatie : A servers(w2000) in een onveilig segment, B servers(w2000) in een veilig segment. Gescheiden door een pix506.

De interface policy op de pix is zo ingesteld dat B altijd naar A mag (B=100, A=0).
We kunnen inderdaad zo'n beetje alle connecties maken van B naar A.

Nu hebben we van GFI het pakket SELM gekocht, om gecentraliseerd events te bewaren en te filteren.
Ik kwam er achter dat we niet de events van het segment A konden binnenhalen terwijl alle packets van B naar A zijn allowed.

Ik ben gaan zoeken, en volgens mij is het zo dat wanneer er geen netbios connectie kan worden opgebouwd er wordt overgeschakeld naar SMB. Nou prima, dan zetten we dat toch open....
Echter hoeft er niets open gezet te worden want zoals al vermeld B naar A is allowed.

bij het benaderen van de remote event viewer krijg je netjes een authenticatie venster, dus x.x.x.x\username en het password invullen. De mmc opent netjes totdat je een willekeurig item daarbinnen aanklikt "ACCESS DENIED".

Ik ben daarom gaan monitoren met etherreal maar ik kom er nog niet achter wat nou het probleem is.
Dus 2 machines ingericht met XP op een virtual machine.
Nu krijg ik niet eens een authenticatie venster maar direct een "ACCESS DENIED".
Als ik met etherreal de packets ga bekijken, dan blijkt dat de credentials gebruikt worden van de ingelogte persoon vanwaar het MMC verzoek komt.

Kan iemand me helpen met hoe de event viewer omgaat met credentials, of een soortgelijke situatie aan de praat heeft weten te krijgen ? Zit er een verschil in de manier tussen die communicatie tussen XP en 2000 ? Zijn er nog aparte poorten die opengezet moeten worden ?

Bedankt alvast

vrijdag 10 juni 2005 14:41

Acties:

Sundead

Afgaande op de default policy settings van een ISA firewall is het volgende benodigd om remote management doormiddel van een mmc te verrichten:

code:

description: Allow remote management from selected computers using MMC  
action:       Allow     
Protocols:  Microsoft Firewall Control
            NetBIOS datagram
            NetBIOS Name Service
            NetBIOS Session
            RPC (all interfaces)
From/listener:   Remote Management Computers    
To:                   Local Host
Condition:         All Users

Allicht dat dit een stukje helderheid verschaft op welke protocols/poorten er benodigd zijn?

[ Voor 1% gewijzigd door Sundead op 10-06-2005 14:41 . Reden: TyP0 ]

vrijdag 10 juni 2005 15:55

Acties:

relaxteb

Topicstarter

Tnx voor je reactie, helaas werkt het zonder firewall nu al niet

vrijdag 10 juni 2005 17:05

Acties:

The End

!Beginning

relaxteb schreef op vrijdag 10 juni 2005 @ 15:55:
Tnx voor je reactie, helaas werkt het zonder firewall nu al niet

Je account heeft gewoon niet genoeg rechten op de remote machine. Vaak lukt het dan wel om te connecten met de eventviewer, maar als je dan op een eventlog clicked dan krijg je de access denied error.

maandag 13 juni 2005 09:28

Acties:

relaxteb

Topicstarter

Nou op de situatie waarin de 2000 machines gebruikt worden log ik gewoon in als de local administrator van de betreffende machine. En bij de XP machines worden de credentials gebruikt van de ingelogde user en niet opnieuw om credentials gevraagd.

[ Voor 31% gewijzigd door relaxteb op 13-06-2005 09:41 ]

maandag 13 juni 2005 14:20

Acties:

mutsje

Certified Prutser

om events te kunnen openen is het handig om poort 445 TCP te openen naar de machine en een goed werkend account te hebben

445 werkt alleen vanaf 2000 en hoger btw als vervanger van netbios.

[ Voor 22% gewijzigd door mutsje op 13-06-2005 14:21 ]

maandag 13 juni 2005 14:53

Acties:

Verwijderd

mutsje schreef op maandag 13 juni 2005 @ 14:20:
om events te kunnen openen is het handig om poort 445 TCP te openen naar de machine en een goed werkend account te hebben 445 werkt alleen vanaf 2000 en hoger btw als vervanger van netbios.

yup doe die netbios crap uit. overigens wil je dit natuurlijk niet over vanaf internet open hebben, want dan werken mappings e.d. ook.

edit: je topic niet goed gelezen. je hebt gewoon toegang (porten staan open) maar geen goed account.

met een scriptje werkt het wel:

code:

1
2
3

net use \\pc\ipc$ * /user:remotepc\adminaccount (remotepc kan ook remotedomain zijn).
start /w c:\whereeva\savedconsole.msc
net use \\pc\ipc$ /d /y

overigens was je gezakt bij mijn afname van een sollicitatie, ik stel een soortgelijke vraag en dan moet men op het idee komen dat het een authenticatie problem is... dat je het dan niet weet op te lossen door een mapping was geen probleem geweest, aangezien dat gewoon een truckje is dat je wel of niet weet.

[ Voor 45% gewijzigd door Verwijderd op 13-06-2005 15:07 ]

woensdag 15 juni 2005 09:01

Acties:

mutsje

Certified Prutser

hou er wel rekening mee dat als je Active Directory Users and Computers wil gaan beheren door de firewall je een MMC ook als "run as.." moet opstarten dus met alternate credentials maar je ldap en nog veel meer open moet zetten.

to iis5_rulez: dat zijn inderdaad goede vragen waar veel "beheerders" op zakken

[ Voor 19% gewijzigd door mutsje op 15-06-2005 09:01 ]

woensdag 15 juni 2005 10:46

Acties:

relaxteb

Topicstarter

bedankt voor de reacties, Waarschijnlijk ligt het niet eens aan de firewall.
Ik ben op dit moment nog aan het uitzoeken wat het probleem is. Op dit moment kan al wat meer maar in de security log komen heel veel meldingen van een account wat niet gebruikt wordt door GFI. Het lijkt erop alsof er 2 accounts tegelijk gebruikt worden...Als ik meer weet post ik het hier natuurlijk.
Ik heb ook niet zoveel aan een net use naar ipc$ want dan zou het hele "credential" tabblad binnen GFI SELM niet nodig zijn.

[ Voor 55% gewijzigd door relaxteb op 15-06-2005 10:52 ]

woensdag 15 juni 2005 13:50

Acties:

The End

!Beginning

relaxteb schreef op woensdag 15 juni 2005 @ 10:46:
bedankt voor de reacties, Waarschijnlijk ligt het niet eens aan de firewall.
Ik ben op dit moment nog aan het uitzoeken wat het probleem is. Op dit moment kan al wat meer maar in de security log komen heel veel meldingen van een account wat niet gebruikt wordt door GFI. Het lijkt erop alsof er 2 accounts tegelijk gebruikt worden...Als ik meer weet post ik het hier natuurlijk.
Ik heb ook niet zoveel aan een net use naar ipc$ want dan zou het hele "credential" tabblad binnen GFI SELM niet nodig zijn.

Het was toch al een tijdje duidelijk dat het niet aan de firewall lag? Misschien heb je niet zoveel aan dat net use commando in het pakket, maar je kan het wel gebruiken om de authenticatie te testen...

Misschien werkt dat GFI SELM credential tabblad niet eens in Windows 2000? Je zou even een support maitlje kunnen sturen naar GFI...

woensdag 29 juni 2005 15:39

Acties:

relaxteb

Topicstarter

Nou inderdaad maar een support mailtje gestuurd naar GFI.
Het schijnt dat ze WORKGROUP configuraties niet zo leuk vinden....
Er zijn nu op alle servers dezelfde accounts aangemaakt.
Op de GFI server draaien de services ook onder dit account.
Nou worden er wel events gecaptured maar zonder description

De call is inmiddels ge-escaleerd, bevindingen zal ik uiteraard hier posten.

woensdag 29 juni 2005 15:45

Acties:

Verwijderd

The End schreef op vrijdag 10 juni 2005 @ 17:05:
[...]

Je account heeft gewoon niet genoeg rechten op de remote machine. Vaak lukt het dan wel om te connecten met de eventviewer, maar als je dan op een eventlog clicked dan krijg je de access denied error.

Ik heb dit ook en ben zelfs domain admin, meer admin kan je niet zijn...

donderdag 30 juni 2005 10:47

Acties:

The End

!Beginning

relaxteb schreef op woensdag 29 juni 2005 @ 15:39:
Nou inderdaad maar een support mailtje gestuurd naar GFI.
Het schijnt dat ze WORKGROUP configuraties niet zo leuk vinden....
Er zijn nu op alle servers dezelfde accounts aangemaakt.
Op de GFI server draaien de services ook onder dit account.
Nou worden er wel events gecaptured maar zonder description
De call is inmiddels ge-escaleerd, bevindingen zal ik uiteraard hier posten.

Ja, het was ook best wel relevant om te vertellen dat je met workgroups werkt!! Zelfde username en password trucje werkt inderdaad om dit soort problemen op te lossen.
Dat de description in the eventlog niet doorkomt, komt waarschijnlijk omdat je de eventlog dll van GFI niet hebt op je lokale systeem waar je de eventlog leest.

Verwijderd schreef op woensdag 29 juni 2005 @ 15:45:
[...]

Ik heb dit ook en ben zelfs domain admin, meer admin kan je niet zijn...

In hetzelfde domein? Heb je ook gechecked dat je lid ben van de local adminstrators group van de remote machine?

donderdag 30 juni 2005 10:51

Acties:

relaxteb

Topicstarter

The End schreef op donderdag 30 juni 2005 @ 10:47:
Ja, het was ook best wel relevant om te vertellen dat je met workgroups werkt!! Zelfde username en password trucje werkt inderdaad om dit soort problemen op te lossen.

Sorry, inderdaad onvolledig, ik ging er vanuit dat dat al wel logisch was.

Dat de description in the eventlog niet doorkomt, komt waarschijnlijk omdat je de eventlog dll van GFI niet hebt op je lokale systeem waar je de eventlog leest.

Ik gebruik de event viewer van GFI zelf op de server waar GFI op draait dus welke dll bedoel je ?

donderdag 30 juni 2005 10:56

Acties:

The End

!Beginning

relaxteb schreef op donderdag 30 juni 2005 @ 10:51:
[...]

Sorry, inderdaad onvolledig, ik ging er vanuit dat dat al wel logisch was.

[...]

Ik gebruik de event viewer van GFI zelf op de server waar GFI op draait dus welke dll bedoel je ?

o ok, ik dacht dat je nog steeds remote de events van de GFI server wilde uitlezen. Van GFI events weet ik niks..