Nu kan du…

Posted on by
Reply

…som läsare av bloggen kommentera framtida inlägg och lämna feedback, önskemål, ställa frågor till oss genom denna funktionen eller så kan ni nå mig genom att maila mig, ni finner min mailadress längst ner på den här sidan. Om du önskar att lämna en kommentera till ett redan skrivet blogginlägg kan du använda dig av denna bloggposten och då referera till det skriva blogginlägget. Vi hoppas på att detta gör bloggen mer intressant och interaktivt samt att vi på detta sätt får bättre kontakt mer er läsare för det är för er vi skriver och er som bloggen är skapad för!

För din kännedom så vill vi även göra dig uppmärksam på att kommentarerna på bloggen kommer att modereras. Mobbing, svordomar, spam, paj-/smutskastning i inläggen kommer därför inte att tillåtas.

Jag och vi på Onevinn AB vill även passa på att tacka alla våra trogna läsare som följer bloggen! Vi har flera intressanta saker på gång som kommer att publiceras framöver.

Fått ett samtal av Microsoft Tech Support?

Posted on by

Då ska du lägga på luren!

Henrik ParkkinenFör inte så länge sedan så skulle jag ut och äta lunch med en vän. När vi kliver ur bilen och ska bege oss in på lunch restaurangen så blir min vän uppringd av sin pappa som säger: “Jag blev uppringd av Microsoft support som ville felsöka min dator då dem säger att jag troligen har har virus i den och att det kommer skada min dator.” Min vän sa till sin pappa att det inte är Microsoft som ringer utan någon som försöker blåsa honom och att han bara skulle lägga på luren om dem ringer igen.

Det är inte Microsoft som ringer eller dem som pratar och Microsoft själva har gått ut med en officiell ståndpunkt enligt nedan:
“If you receive an unsolicited call from someone claiming to be from Microsoft Tech Support, hang up. We do not make these kinds of calls.”

I de flesta fall av cyberkriminalitet och blåsningar som dessa så uppger sig de som utför blåsningen att komma från kända företag, som i detta fallet Microsoft. De allra vanligaste metoderna som används för att blåsningar som dessa är mail, msn, telefon. Attacker som dessa blir bara vanligare och vanligare mot privatpersoner och jag själv varit med om att vänner till blivit utsatta för blåsningar av liknande slag.

Vad kan jag göra för att skydda mig och för att inte bli blåst?
Ge aldrig ut någon personlig information eller kontokorts information till någon obehörig om du blir uppringd på telefonen eller kontaktad via mail, msn etc. Öppna inte suspekta mail eller ladda ner suspekta program från internet eller som finns bifogade i mail! Använd virusskydd och se till att du har din dator uppdaterad med de senaste uppdateringarna till Windows och installerade program för att inte löpa risk för intrång genom eventuella säkerhetshål i operativsystemet eller installerade programvaror.

Nedan finns en film om hur en attack från de så kallade ”Microsoft tech support” kan gå till.

”Vi blir aldrig helt klara.” sa jag till CIO’n och…

Posted on by

Henrik Parkkinen ….han såg helt förbluffad ut och diskussionen fortsatte med något i likhet av:

 

 

 

CIO:
Va?! Men i projektplanen står det ju vi ska vara klara datum xxxx-yy-zz!

Henrik Parkkinen:
Projektet blir klart xxxx-yy-zz men vi kommer aldrig kunna sluta arbeta med produkten som sådan utan vi behöver ge den tid varje vecka, månad, år precis som det står i sektionen ”Livscykel” i projektplanen.

Ovanstående diskussion utspelade sig för något år sedan hos en kund under ett styrgruppsmöte där jag presenterade statusen i det projekt som jag var ansvarig för.
Jag blev åter påmind om att det faktiskt är människor som vi arbetar med och inte bara teknik vilket gör det så himla viktigt att vara kommunikativ och tydlig.
Diskussionen som utspelade sig frambringade ytterligare områden som kundens verksamhet behövde se över och CIO’n med styrgruppen förstod snabbt efter diverse illustrationer på whiteboarden vilka utmaningar och möjligheter som de stod inför.
Mitt förslag till att kunden var att de skulle upprätta en förvaltningsmodell för deras
IT-tjänster och till sin hjälp använda sig av MOF (Microsoft Operations Framework).

MOF är nu uppe på nivå 4 och kan sammanfattas enligt följande:
Målet med MOF är att ge vägledning till IT-organisationer att hjälpa dem att skapa, driva och stödja IT-tjänster och samtidigt säkerställa att investeringen i IT levererar förväntat affärsvärde på en acceptabel risknivå.

MOF:s syfte är att skapa en miljö där företag och IT kan arbeta tillsammans mot operativ mognad, med hjälp av en proaktiv modell som definierar processer och standardiserade förfaranden för att få effektivitet. MOF främjar en logiskt förhållningssätt till beslutsfattande och kommunikation och planering, driftsättning och support av IT-tjänster.

Att införa en modell enligt ovan är kanske inte något som passar alla. I vissa fall kommer man långt om man inför delar utav modellen för att uppnå önskad nivå av mognad av sina IT-tjänster. Det är dock sällan man ser att de processer och ramverk som införs, som exempelvis MOF , efterlevs. Det är därför viktigt att det är förankrade över hela organisationen! Jag tycker att det är viktigt att lyfta fram området för att skapa och påminna om möjligheterna och vilken nytta det kan ge oss. Om du önskar läsa mer om MOF så finner du information här.

Innan jag släpper pennan för idag vill jag återgå till ingressen av bloggposten; ”Vi blir aldrig helt klara.” som jag tycker är intressant och vad det idag skrivits om som delvis kopplar till MOF och andra ramverk.

Jag anser att vi aldrig riktigt blir helt klara i vårt yrke då IT-infrastrukturen sällan bara kan stå stilla och vila under en längre tid. Den är ständigt i rörelse och är det så länge som verksamheten rör på sig och förändras. Lika väl så har vi alltid säkerheten att tänka på i vår infrastruktur för vi lever tyvärr inte i en värld där attackerna som hotar oss går och lägger sig i dvala eller säger till oss ”Nu tar vi en paus på 2 månader, ni kan vara lugna!”. Summering av dagens bloggpost kan sammanfattas efter följande; för att IT ska fungera så behöver vi människor, teknik och processer. Dessa tre faktorer behöver samverka för att vi ska kunna erbjuda och tillhandahålla en önskad nivå av mognad av IT till vår verksamhet.

Gör din DirectAccess infrastruktur säker!

Posted on by

Henrik ParkkinenI min första bloggpost kring DirectAccess så gav jag er en översyn av teknologin, om ni råkat missa den så återfinns den här. I denna bloggpost kommer jag att berätta ytterligare information om DirectAccess och de säkerhetsteknologier som Onevinn rekommenderar att använda i en DirectAccess implementation för att säkra upp infrastrukturen och för att eliminera hotbilderna som kan uppstå.

Som jag tidigare nämnt så kan vi använda oss av Windows Server 2008 R2 eller Forefront UAG för att hantera anslutningarna från DirectAccess klienterna. Vi rekommenderar att om DirectAccess införs så bör man använda Forefront UAG, detta bla för att:

  • UAG agerar IPv6 router och tunnlar IPv6 trafik i IPv4 huvudet, vilket i korthet betyder att DirectAccess klienter får på så sätt åtkoms till IPv6 aktiverade resurser i nätverket och det krävs ingen extra handpåläggning på befintlig routinginfrastruktur för at stödja IPv6.
  • UAG gör det möjlig att komma åt system på Windows OS som inte kör Windows Server 2008 med hjälp av NAT64/DNS64 som är en inbygg teknologi i UAG.
  • UAG gör det möjligt att publicera tjänster för icke-DirectAccess klienter.
    Låt säga att verksamheten måste stödja fjärraccess för klienter med äldre OS än Windows 7, dessa kan få access till tjänsterna genom publiceringar i UAG portalen.

Forefront UAG erbjuder fler funktioner och du kan läsa mer om produkten här.

En annan utav de viktigaste teknologierna att använda sig utav i sin DirectAccess implementation är NAP och det i kombination med IPsec, dvs. IPsec NAP.
IPsec NAP fungerar i korthet som så att klienten som kör NAP erhåller ett så kallat hälsocertifikat från en certifikatutfärdare om de uppfyller hälsokraven som NAP infrastrukturen tvingar. Uppfylls inte hälsokraven, som NAP konfigurerats med, får klienten inget hälsocertifikat och klienten får på så sätt ingen access till nätverket.
Hälsocertifikatet på klienten är ett krav för att klienten ska få initiera trafik till resurserna i nätverket. I IPsec konfigurationen skapar vi ett eller flera regelverk som reglerar trafiken till resurser i nätverket. Med hjälp av IPsec kan vi skapa logiska zoner med önskade säkerhetskrav utifrån verksamhetens behov. Hur många zoner och hur mycket säkerhet vi väljer att applicera bör vi välja utifrån ett informationssäkerhetsperspektiv. Då IT inte äger informationen betyder det att det inte heller är IT som ska bestämma säkerhetsnivån utan detta är något som verksamheten och informationsägaren ska göra tillsammans med IT.

Om du önskar ytterligare information om IPsec, så har jag tidigare beskrivit det mer utförligt här.

Med IPsec NAP har vi löst delar av våra problem och hotbilder men dock inte alla.
Vi anser att man bör använda sig av Bitlocker  då detta säkerställer att om datorn blir stulen eller någon stjäl disken/diskarna till datorn så är informationen skyddad och obrukbar för förövaren. För vidare information om BitLocker fortsätt din läsning här.

Om verksamheten även har krav på stark autentisering anser vi att man bör koppla på denna fuktion i sin DirectAccess infrastruktur, där vi kan använda oss av Smart Card eller genom OTP (Onetime Password).

Det kan även finnas scenarion där man önskar att kunna göra en såkallad “remote wipe”, dvs. göra informationen på en stulen dator oläsbar. Onevinn AB har utvecklat funktion “remote wipe” för DirectAccess aktiverade klienter.

DirectAccess är ett tekniskt projekt men samtidigt även ett projekt där verksamheten har intresse och delaktighet på flera än ett tekniskt plan.
Med hjälp av teknologin ökar verksamheten sin produktivitet då användarna jämt kan vara uppkopplade och ha åtkomst till företagets information. Informationsägarna bör vara inblandade då säkerhetsnivån sätts på datan, dvs. tala om hur känslig informationen är för att IT ska kunna skapa IPsec-regelverket därefter. IT organisationen drar nytta av teknologin då dem får möjlighet till managering av klienterna ute på internet och verifiering av deras hälsostatus.

Som ni kanske förstår så kan vi inte lösa alla potentiella hotbilder med en produkt som kan förekomma vid en DirectAccess implementation, utan vi måste tillämpa flera lager av skydd då attackerna kan äga rum på flera lager. Modellen att tillämpa fler lager av skydd kallas, som många av er kanske redan vet, “Defense-in-Depth Security Model”. Jag kommer i framtida bloggpost berätta mer om säkerhetsmodellen och vad som ryms inom den.

Ovanstående säkerhetsteknologier är tyvärr inte i en “one size, fits all” modell och passar varje kund när det gäller DirectAccess implementationer. Vad jag menar på är att varje DirectAccess implementation kräver sin riskanalys då hotbilderna är olika från verksamhet till verksamhet. Säkerhet är inte heller bara teknologi och teknik utan även en “kultur” som vi tillsammans odlar. Vi måste skapa medvetenhet hos våra användare och vår verksamhet och detta kan vi göra delvis genom teknik men även genom mjuka verktyg, dvs. policys, metoder och processer.

Onevinn AB har en lång erfarenhet av DirectAccess och har arbetat med produkten sedan Windows Server 2008 R2 var i beta status. Onevinn AB har medverkat på mässor och offentliga event och utfört demo på DirectAccess ihop med egen utvecklade NAP komponenter. Onevinn AB har även blivit ombedda av Microsoft att tala om erfarenheter, strategier och metoder för hur man implementerar DirectAccess i sin verksamhet. Bland våra kunder har vi flera kunder som har valt att implementera DirectAccess och de flesta av dem använder idag samtliga säkerhetsteknologier i sina implementationer. Vill ni veta mer om DirectAccess och se ett demo av samtliga tekonolgier och hur de samverkar är ni välkomna att kontakta oss.

Frukostseminarium: Säkert och effektivt samarbete via extranätet

Posted on by

Kraven på att effektivare kunna samarbeta med våra partners och kunna erbjuda en större tillgänglighet ökar allt mer. Det finns ett stort behov av att kunna komma åt och dela information när man befinner sig utanför kontoret och samtidigt ökar kraven på enkla och användbara tekniska lösningar. Som företag måste vi allt mer kunna erbjuda alla delar och det måste dessutom ske på ett sätt som är säkert och inte gör så att fel personer tar sig in i organisationen.

På frukostseminariet kommer vi bl a att diskutera:

  • Hur skall lösningen fungera för både interna och externa användare.
  • Hur en lösning skall sättas upp för att ge säker åtkomst.
  • Vilka olika varianter som finns?
  • Vilka servrar krävs?

Program 8 mars
07.30 Registrering, kaffe och frukost
08.00-08.50 Seminariet
08.50 Frågestund, mingel

Adress
Mogul Göteborg
Vasagatan 45, Göteborg
Karta hittar du här.

Hållplats
Närmaste hållplats för buss och spårvagn är Valand eller Heden

Kontakt
Om du har några frågor så kontakta
Jesper Viktor, Mogul, 0734-330011
Cecilia Ursholm, Onevinn AB, 0761-19 89 89.

Sista anmälningsdag
28 februari 2012

Anmälan till görs här: Moguls och Onevinns frukostseminarium

Varför betala för flera diskkrypteringsprodukter?

Posted on by

I de flesta bolag körs idag Windows 7 Ultimate/Enterprise och man har därmed redan betalat för BitLocker. Samtidigt levereras nästan alla nya laptops med ett säkerhetschip som standard. Varför investera i dyra tredjepartsprodukter med extra administration när man redan har en lösning som bara behöver slås på? I denna bloggpost kommer min kollega Christian Malm, som arbetar på Onevinn AB som säkerhetskonsult, att berätta närmare om BitLocker och dess möjligheter. Christian har utfört och granskat flertalet BitLocker implementationer på stora företag i Sverige.

BitLocker

Gränsen mellan företagsnätet och Internet är på väg bort när tekniker som DirectAccess(för ytterligare information om DirectAccess läs här) dyker upp. Var och varannan vecka kan vi läsa om dataläckage vilket visar hur viktigt det är att skydda informationen som finns inom företaget. Nya sätt att alltid förbli uppkopplad utvecklas hela tiden, vilket låter anställda hålla sig uppkopplade hela tiden. Detta leder till att anställda tar med sina klienter ut till nya miljöer såsom resan, kaféet och även till stranden en varm sommardag.

Vad skulle hända ditt företag om en dator innehållande känslig data är blir stulen?
Konsekvenserna skulle kunna vara ödesdigra.

Det är här BitLocker tar vid och hjälper till att skydda. Målet med BitLocker är att skydda klientdata men samtidigt erhåller man synergieffekter.
För att nämna några:
· Möjligheten att återställa lokalt administratörskonto begränsas genom att förhindra uppbootning från alternativt media
· Vid avveckling av klienter behöver inte data skrivas över upprepade gånger för att inte kunna återläsas
· BitLocker med TPM känner av att en förändring skett på klienten som skulle kunna innebära intrångsförsök för att få ut krypteringsnyckeln
· Centraliserad administration i det familjära gränssnittet Active Directory

BitLocker Drive Encryption är en teknik som låter hela systempartitionen krypteras. Tillsammans med ett säkerhetschip som kallas TPM(Trusted platform module) valideras tidiga uppstartsvariabler för att försäkra klientens integritet. Detta hjälper till att skydda företagsklienters data vid exempelvis stöld där man annars hade kunnat få ut känsliga dokument eller i värsta fall få tillgång till företagsnätverket.

Administration
Att administrera BitLocker sker centralt då man utnyttjar uppbackning till Active Directory. Integrationen av Active Directory erbjuder IT-supporten en central administration för att återställa data eller klienter. Vid en säkerhetsöverträdelse som är legitim till dess att användaren åter får tillgång till sin dator, brukar processen se ut enligt följande:

1. Användaren upprättar autentiserad kommunikation med IT-support/Help Desk och läser upp en åtta-siffrig sträng.
2. IT-support/Help Desk läser 48-siffrigt återställningslösenord. Detta består av åtta fält med sex siffror i varje fält. Varje fält har en kontrollsumma så att man snabbt upptäcker fel.
3. Användaren upprättar företagskommunikation. (VPN, DirectAccess, Besöker en site)
4. IT-support/Help Desk verifierar kärnorsaken till problemet och återställer sedan klienten så att den fungerar som innan.

För utökad administration och monitorering finns idag BitLocker Administration
and Monitoring (MBAM). MBAM är del av Desktop Optimization Pack (MDOP) för
ytterligare information, besök: http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx.

Att jobba på en BitLocker-klient
Många är vi som har provat på att arbeta på en klient med hårddiskkryptering och de flesta brukar känna av begränsningar prestandamässigt. Med BitLocker Drive Encryption är prestandapåverkan minimal och kan uppmätas till endast några enstaka procent. Microsoft hävdar själva att prestandapåverkan kan representeras med ensiffrig procentenhet vid prestandautvärderingar. Under krypteringen finns inga krav på att datorn behöver vara påslagen tills krypteringen är klar, utan användaren kan fritt stänga av datorn när arbetsdagen är slut och det är dags för hemgång. Detta gäller även om ett strömavbrott skulle ske under krypteringen, krypteringen återupptas när klienten återfår ström.

BitLocker To Go
Utöver att kryptera sekundära diskar vilket BitLocker möjliggör, så brukar önskemålet om BitLocker To Go dyka upp. Onevinn implementera en möjlighet för användarna till att köra BitLocker To Go i samband med våra BitLocker leveranser. Detta innebär att användare har möjlighet till kryptering av USB-minnen samtidigt som all återställningsinformation backas upp till Active Directory. När en användare glömmer bort sitt lösenord till det krypterade USB-minnet brukar de bli väldigt tacksamma när IT kan hjälpa dem att återställa annars förlorad data.

Onevinn AB har lång erfarenhet av BitLocker och har gjort flera implementationer, designer och granskningar. Önskar ni ytterligare information kring BitLocker och vilka möjligheter det ger er verksamhet är ni välkomna att kontakta oss.

Vet du vad DirectAccess är?

Posted on by

Den senaste teknologin av fjärraccess från Microsoft heter DirectAccess och kallas för nästa generations VPN. DirectAccess är en nyhet i Windows 7 på klientsidan och på serversidan kan vi välja mellan Windows Server 2008 R2 feature och Forefront UAG för hantering av inkommande trafik. Vad som skiljer DirectAccess från ett traditionellt VPN är att klienterna kopplar upp sig automatiskt till företagets nätverk och får efter autentisering access till interna resurser. Med DirectAccess behöver alltså användarna inte göra några interaktiva operationer för att datorn ska etablera en anslutning till företaget. Det blir en helt transparent upplevelse, precis som om du satt på kontoret!

Nu är det faktiskt ett tag sedan DirectAccess kom till världen, och många av er har säkert redan hört talas om det, men samtidigt så är det inte speciellt många som har tagit steget till att fullt implementera lösningen…vilket jag dock kan förstå då där är en del att tänka till kring och en del strategier som man bör ta ställning till. Jag vill dock återigen säga , som jag sagt förut, och det är att implementationen inte behöver vara svår.
Allt som oftast så tycker jag mig höra en del skräck och oro från beslutsfattare och IT organsationer då man ska implementera nya teknologier. Jag anser att det sällan är den nya teknologin som sätter käppar i hjulet i ens verksamhet utan anser att det snarare är avsaknad av de mjuka värdena, exempelvis strategier och policysramverk, som leder till mindre lyckade implementationer. Nog om det för tillfället, vi kommer att återkomma till vad jag just pratade om i ”DirectAccess – Del 2” och då belysa vad som är viktigt att tänka till kring och vilka erfarenheter vi har med oss från våra implementationer.

Forefront UAG DirectAccess

Redan så tidigt som 2009 satte jag, Henrik Parkkinen, upp en PoC (Proof Of Concept) av DirectAccess och demonstrerade detta på Microsofts kommundag samma år. Demot jag körde var DirectAccess ihop med IPsec NAP (Network Access Protection). Det som gjorde vårt demo och vår implementation av DirectAccess unikt redan 2009 var att vi på Onevinn hade då utvecklat egna tester till NAP för att verifiera hälsostatusen på klienten.
Förutom att DirectAccess ger slutanvändarna en transparant fjärraccess lösning ger teknologin även stora möjligheter för IT organisationen, då dem bla kan fjärrstyra datorn utanför företagets nätverk, kontrollera och hantera uppdateringar till operativsystem, antivirus, mjukvaror etc.

DirectAccess medför samtidigt en del utmaningar utifrån ett säkerhetsperspektiv, både sett från ett tekniskt perspektiv och utifrån ett informationssäkerhetsperspektiv. En klient som har DirectAccess aktiverat kan initiera trafik varsomhelst ifrån i världen då datorn har en internetförbindelse, vilket i teorin kan illustreras som en förlängd nätverkskabel inifrån företaget ut till datorn. I praktiken och i teorin vore det väldigt oklokt att förlänga ethernetkabeln utanför företaget utan någon vidare kontroll eller medvetenhet kring säkerhetsriskerna. Vad jag menar på i det här fallet är att om en DirectAccess aktiverad dator skulle bli stulen finns där en hotbild och en del utmaningar som vi behöver vara medvetna om och kunna försvara oss mot.

Microsoft erbjuder flera teknologier som i de flesta fallen finns inkluderade i klientens eller serverns operativsystem för att öka säkerhetsnivån på infrastukturen. Vi kommer i “DirectAccess – Del 2″ att titta närmare på hur vi kan åstadkomma en högre säkerhetsnivå för vår DirectAccess infrastruktur och hur dessa teknologier samverkar.

Onevinn AB har en lång erfarenhet av DirectAccess och har arbetat med teknologin sedan Windows Server 2008 R2 var i betastatus. Onevinn AB har medverkat på mässor, seminarium, offentliga event där vi presenterat och demonstrerat DirectAccess. Onevinn AB har även blivit ombedda av Microsoft att tala om erfarenheter, strategier och metoder för hur man implementerar DirectAccess i sin verksamhet. Vi har flera kunder som har valt att implementera teknologin och de flesta av dem använder idag flertalet av de säkerhetsteknologier som vi kommer titta närmare på i nästa del.
Vill ni veta mer om DirectAccess och få ett demo av samtliga teknologier och hur de samverkar är ni välkomna att kontakta oss, nedan finns namn, mail och telefonnummer till våra säljare som kan boka in er på ett demo.