RSS-Feed abonnieren

Passwort vergessen?

v Anmelden

17. Nov 2016

Softwareupgrade im VPN-Dienst der Universität Halle

Verfasst von

Der VPN-Dienst ist Bestandteil der zentralen Firewall. VPN-Verbindungen öffnen temporär Zugänge zum uni-internen Datennetz in dieser Firewall. Somit sind diese Zugänge unter Sicherheitsaspekten als kritisch einzustufen. Eine ständige Aktualisierung der Software auf den beteiligten Komponenten ist Pflicht und bisher auch immer ohne weitere Ankündigung durchgeführt worden. Das betrifft also auch die VPN Clients auf den Endgeräten. Eine Bereitstellung der aktualisierten Clientsoftware auf dem VPN-Server führte so zu einer automatischen Aktualisierung der Software auf den PC.

Betriebsysteme, für die seitens des Herstellers keine Sicherheitsupdates mehr bereitgestellt wurden, wurden immer schon zum gegebenen Zeitpunkt in einem Update des VPN-Clients deaktiviert, was bisher auch nicht zu Rückfragen geführt hat. In dem kürzlich installierten Clientupdate wurden nun auch wieder einige Betriebssysteme ausgeschlossen, für die es keine sicherheitsrelevante Pflege durch den Hersteller mehr gibt. Einzelne Rückfragen belegen nun jedoch, dass es die Betriebssystempflege auf dem eigenen Rechner offenbar nicht immer ernsthaft betrieben wurde, was nun zum Ausschluss der betreffenden Rechner vom VPN-Dienst führte. Betroffene NutzerInnen sind deshalb nun angehalten, die nötigen Updates vorzunehmen, so wie es in der aktuellen Benutzerordnung der Universität Halle in §4 absatz 3 Satz 16 veröffentlicht wurde. Siehe auch:

http://www.verwaltung.uni-halle.de/KANZLER/ZGST/ABL/2015/15_05_14.pdf

Liste der derzeit im AnyConnect Client unterstützten Betriebssysteme (Quelle cisco.com, Release Notes Anyconnect 4.3):

  • Windows 7 SP1, 8, 8.1 & 10 x86(32-bit) and x64(64-bit)
  • Mac OS X 10.9, 10.10, 10.11, and 10.12 1
  • Linux Red Hat 6, 7 & Ubuntu 12.04 (LTS),14.04 (LTS), and 16.04 (LTS) (64-bit only

1 AnyConnect 4.3.3086 and 4.2.6014 are the minimum required releases for Mac OS X 10.12 support.

Ergänzungen nach Nutzerrückmeldungen:

Der AnyConnect-Client läuft auch problemlos unter:

  • openSUSE 13.1,
  • openSUSE 13.2 (64 Bit Version),
  • openSUSE Leap 42.2.

 

Uwe Drechsel

Über Uwe Drechsel

5 Kommentare

  1. Victor Hartmann sagt:

    Seit dem Update auf Client- Version 4.3xx ist das VPN nicht mehr nutzbar! Bereits wenige Sekunden nach dem Herstellen der Verbindung wird eben diese wieder unterbrochen- der Client selbst bleibt dabei jedoch Verbunden, nur unter Windows wird ein Netzwerkfehler angezeigt. Bitte um Hilfe!

    • Uwe Drechsel sagt:

      Sehr geehrter Herr Hartmann,

      bitte überprüfen Sie den Virenschutz auf Ihrem Rechner, aktualisieren diesen gegebenenfalls und scannen dann Ihr System. Es könnte sein, dass Ihr Rechner von der zentralen Firewall als Angreifer beurteilt wurde, weil sehr viele gleichartige Verbindungen in sehr kurzer Zeit von Ihrem Rechner ausgegangen sind. Das ist z.B. typisch für Bot-Netzwerke. In diesem Fall würde eine automatische Sperre einsetzen, die sich zwar nach 10 Minuten wieder automatisch deaktiviert aber sich sofort auch wieder aktiviert, wenn das Problem noch anliegt, welches zur Sperrung führte. Mit dem Client hat das nichts zu tun.
      Ich werde im Anschluss meine Logfiles durchsehen und Ihnen ggf. weitere Informationen zukommen lassen.
      Wenn das Problem so nicht behoben werden kann, so öffnen Sie bitte ein neues Ticket im Service über eine Mail an helpdesk@itz.uni-halle.de

      Mit freundlichen Grüßen
      Uwe Drechsel

  2. Victor Hartmann sagt:

    Vielen Dank für ihre schnelle Reaktion Herr Drechsel! Ich versuche das Problem noch einmal im Detail zu beschreiben:
    Ich selbst muss meine Internetverbindung über einen Proxyserver herstellen.
    Verbinde ich mich mit dem vpn1.uni-halle wird die Verbindung hergestellt und es scheint alles zu funktionieren. Sobald ich jedoch Traffic generiere (durchs Surfen, durch Hintergrundanwednungen wie Windows Update etc) stürzt meine Netzwerkverbindung ab, und der Browser zeigt mir „keine Internetverbindung“. Interessanterweise bleibt der Status im VPN Client jedoch bei VERBUNDEN, als wäre weiterhin alles ok (Kein Reconnect- Modus oder ähnliches).
    Ich hatte zuerst meinen lokalen Internetzugang in Verdacht- dieser erleidet jedoch keine Verbindungsabbrüche, wenn ich den VPN Client nicht benutze.
    Ich nutze das Uni VPN schon einige Jahre problemlos mit meinem Netzwerk, umso überraschter war ich über die plötzliche Fehlfunktion. Ich habe das Ganze auf zwei unterschiedlichen Windows 10- Geräten getestet um Hardware- Fehler auszuschließen. Beide mit gleichem Ergebnis. Meine Virenschutzsoftware ist Bitdefender und auf die neuste Version aktualisiert.

    • Uwe Drechsel sagt:

      Ich habe im Logging tatsächlich Zeilen gefunden, nach denen Verbindungen von Ihrer im VPN zugewiesenen IP-Adresse geblockt wurden, weil diese Adresse als Scan-Attacker eingestuft wurde. Die Details schicke ich Ihnen gleich noch in einer separaten Mail. Das dafür verantwortliche Sicherheitsmodul nennt sich „scanning threat detection“ und hat nichts mit dem VPN-Client zu tun. Dieses Feature wurde zusätzlich aktiviert, um verseuchte Rechner besser erkennen und eindämmen zu können. Leider zeigte die Auswertung der Log-Datei aber einen Grund auf, der zum Abschalten der automatischen Sperrfunktion im VPN führte. Die noch gesperrte Adresse wird nach dem Verbindungsabbau dem nächsten Nutzer zugeordnet, dessen PC vielleicht nicht auffällig ist. Dieser Nutzer kommt dann während der Restlaufzeit der Sperre auch nicht ins Netz.
      Ich habe also die automatische Sperre wieder deaktiviert, die Protokollierung aber aktiviert belassen. Somit sollten Ihre Probleme verschwunden sein. Ich weise aber ausdrücklich darauf hin, die Ursache der Sperrungen liegt auf Ihren Systemen und ist natürlich nicht behoben. Daher empfehle ich eine Systemprüfung auf Malware und Viren.

  3. Mathias Stölzer sagt:

    Die Liste der unterstützten Betriebssysteme vergisst Android (sicher ab Version 5, vermutlich auch noch mit 4).
    Ich nutze öfters MS Remotedesktop zum Uni-Rechner mittels AnyConnect. Das funktioniert ausgezeichnet auf dem Tablet.
    Keine Ahnung, ob es mit dem iPad auch geht.

Kommentieren


Seiten