Forcepoint contra el Ransomware WannaCry

Replico el comunicado oficial de Forcepoint que acaba de salir hace unos minutos (20:00 hs GMT -3, Sábado 13 de Mayo de 2017) sobre este malware que está afectando el mundo entero (el malware WannaCry).

De paso les comento -por si les sirve- que Microsoft ha publicado el parche hasta para los sistemas que ya no tenían soporte (como XP):

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

También está para las versiones actuales:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Espero les sea de ayuda.

¿Cómo se propaga WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY?

Si está el protocolo SMBv1 habilitado
A través de un enlace o sitio web accesible desde internet (WAN)
Si no está aplicado el parche MS17-010

Lic. Matias Colli

Consultor en Informática

Aqui va el comunicado:

Dear Forcepoint Partner,

Friday brought one of the most significant malware outbreaks the world has seen in the past few years. This ransomware, called WannaCry (and variations such as WCry and WannaCrypt0r 2.0), is able to spread from computer to computer inside enterprise or government networks, a significant change from how recent malware has behaved.

Forcepoint Web, Email and NGFW security products around the world were updated within hours and are already blocking the WannaCry malware from being downloaded.

Here are answers to top questions about WannaCry:

Q: How might WannaCry get into my organization?
A: One way WannaCry gets in is through email that lures people into clicking on links to compromised sites that push malware onto their machines. Users should be reminded not to click on links from unknown sources.

Q: What makes WannaCry so dangerous?
A: WannaCry is a particularly virulent form of ransomware. In addition to encrypting files of the user who clicked on the email, it takes advantage of unpatched operating system vulnerabilities to actively spread from computer to computer, greatly expanding the reach of its attack.

Q: Do I have to do anything to enable Forcepoint’s protection against WannaCry?
A: No, you don’t. Forcepoint’s web and email security were already providing protection. Then, within hours, Forcepoint pushed threat intelligence to our web, email and NGFW security products that increased this protection, automatically blocking the WannaCry malware from downloading.

Our Forcepoint Security Labs has an analysis of WannaCry on our blog that describes WannaCry in more detail and provides guidance on how you can stay protected. We are continuing to investigate and will share further details on our blog. For additional general guidance on ransomware, please visit https://www.forcepoint.com/ransomware.

If you have additional questions, please don’t hesitate to contact your local Forcepoint representative.

Forcepoint

Fuente: https://go.forcepoint.com/index.php/email/emailWebview?mkt_tok=eyJpIjoiTTJaa1lXTXlZakUxWkRObSIsInQiOiIyTnZicWdlXC9Md2MwZlcrOFZRVUs3RVBqWUJwdVpraVBFbzNXMTFcLzhjK1RvYWVJYU1PV2Y4OEhFeXN6UENYdkVDbWtqYnRUbHBzOEJiWDNQVU1HWDg2Qm5BbW9EaWtTaE84cG0yYTBtTVlVY1NoZVFTajB1clJWUHJUeUdJZDVlIn0%3D

IP de salidas consola tritón hacia updates de Websense

download.websense.com (204.15.67.80)
ddsint.download.websense.com (204.15.69.80)
ddsdom.download.websense.com (204.15.67.80)
kl.download.websense.com (204.15.66.80)

Agregar a la Whitelist de Websense un User-Agent (browser)

Tenés que capturar específicamente el user-agent del que se trata. Por ejemplo, de la lista que mencionaste si se autentica como "Thomson Reuters File Download 6.0” . Desde el WCG en Configure > Security > Access Control vas a la solapa Filtering, haces clic en Edit File, en Rule Type pones allow, en el campo Primary Destination Value pone un ".” (significa todas las IP de origen) y en el textbox User-Agent le pones lo siguiente:

Thomson Reuters File Download 6.0

Por último, haces clic en Add para agregar la regla y luego en Apply. No hace falta reiniciar WCG.

Prerequisitos en una instalación de Websense

Pasos necesarios para evitar complicaciones en una instalación de Websense en el equipo Windows:

1. Permisos de Logon as service y Logon locally para las cuentas postgres_eip y WebsenseDBuser. Si lo instalaste y el usuario te lo bloqueo tenés que desinstalar e instalar todo nuevamente.

2. Necesita .NetFramework 3.5. Si terminaste de desempaquetar durante media hora el instalador y no está instalado este framework, tenés que instalarlo y volver a hacer todo devuelta.

3. Desactivar DEP. Si no lo hizo el cliente o te dijo que sí y no lo hizo, tenés que desinstalar e instalar todo otra vez.

4. Desactivar UAC. Si no, funciona mal y ni te enterás.

5. Deshabilitar las actualizaciones automáticas porque te corrompe el sistema. Si el cliente, no te da bolilla en cuestión de tiempo tenés que ir a repararlo.

6. Deshabilitar Antivirus. Si no, presenta anomalías en el funcionamiento.

Lic. Matias Colli
Websense Engineer

Raytheon Websense ahora es Forcepoint por Matias Colli

Raytheon Websense ahora es Forcepoint. El cambio es solo un tema de nombres porque la gente asociaba Websense con Web solamente, a pesar de que había otros productos (Email, Data, etc), es solo un tema de estrategia de marketing a futuro. La principal linea de productos APX a través de la solución Triton se conservan tal cual con sus nombres de productos y prestaciones (ahora es ForcePoint Triton AP-WEB, AP-EMAIL, AP-DATA, etc). Forcepoint compró Stonesoft de McAfee, de esta forma engloba soluciones completas de protección no solo a nivel proxy sino a nivel networking/firewall. O sea, busca despegarse de ser la solución web más conocida para llegar a ser una solución completa.

Lic. Matias Colli

Forcepoint Engineer

WCCP: Excluir servidores de la navegación (access-list)

Lo que necesitas para excluir los servidores del filtrado de Websense son las lista de acceso o access list. La transparencia del proxy viene dada a través del protocolo WCCP, que es el encargado de enviarle a Websense el tráfico HTTP/S y FTP, procesarlo y enviarle la respuesta a cada cliente. Dicho protocolo de red funciona para los 3 protocolos de aplicación que maneja Websense, a saber: HTTP, FTP y HTTPS. A cada uno de los protocolos Cisco le asigna un número, en este caso 0, 5 y 70 respectivamente para los 3 protocolos ya mencionados. Por lo tanto, se puede crear una lista de acceso (verbigracia access-list 120) y decirle a cada protocolo que la aplique tal como explica el propio fabricante en su sitio web:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/configuration/12-4t/iap-12-4t-book/iap-wccp.html

To disable caching for certain clients, servers, or client/server pairs, you can use WCCP access lists. The following example shows that any requests coming from 10.1.1.1 to 12.1.1.1 will bypass the cache, and that all other requests will be serviced normally:

Router(config)#

ip wccp 0 redirect-list 120

ip wccp 5 redirect-list 120

ip wccp 70 redirect-list 120

access-list 120 deny tcp host 10.1.1.1 any
access-list 120 deny tcp any host 12.1.1.1

access-list 120 permit ip any any

Una sola consideración: Por favor, no activen el web-cache, ya que estamos utilizando la versión 2 del protocolo WCCP y el web-cache es de la 1.

Lic. Matias Colli

Websense Engineer

WCCP Lab (proxy transparente)

Mi laboratorio WCCP

Websense + Cisco = Proxy transparente

P1 192.168.1.34
Cisco 192.168.1.89 (cisco:petroken)

GigabitEthernet0/0 192.168.1.89/24
GigabitEthernet0/1 192.168.247.89/24

IP de testing cliente: 192.168.1.170 255.255.255.0 (puerta de enlace: 192.168.1.89)

enable
config t
ip wccp version 2
ip wccp 0
ip wccp 5
ip wccp 20
ip wccp 70
no ip wccp web-cache
ip access-list standard TST
permit ip any any
ip access-list extended R_TST
permit ip host 192.168.1.34 any
permit ip host 192.168.1.89 any
ip wccp 0 redirect-list R_TST group-list TST
ip wccp 5 redirect-list R_TST group-list TST
ip wccp 20 redirect-list R_TST group-list TST
ip wccp 70 redirect-list R_TST group-list TST
interface GigabitEthernet0/0
ip wccp 0 redirect in
ip wccp 5 redirect in
ip wccp 20 redirect in
ip wccp 70 redirect in
exit
interface GigabitEthernet0/1
ip wccp 0 redirect out
ip wccp 5 redirect out
ip wccp 20 redirect out
ip wccp 70 redirect out
ip wccp redirect exclude in
exit
exit

Del lado del WCG
My Proxy > Basic > Feature > WCCP (Enable y Apply) y reiniciar (Restart)
Configure > Networking > WCCP
Service Group Name Service Group ID/Reverse ID Protocol Ports Network Interface Forward Method Assignment Method Return Method Weight Status
www   0/NULL   TCP   80   eth0   L2   MASK   L2   0   Enabled
https   70/NULL   TCP   443   eth0   L2   MASK   L2   0   Enabled
ftp   5/NULL   TCP   21   eth0   L2   MASK   L2   0   Enabled

Todo estaría bien, pero no veo registros del lado del router:

wccp#show ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   192.168.247.89
        Protocol Version:                    2.0

    Service Identifier: 0
        Number of Service Group Clients:     0
        Number of Service Group Routers:     0
        Total Packets s/w Redirected:        0
          Process:                           0
          CEF:                               0
        Service mode:                        Open
        Service Access-list:                 -none-
        Total Packets Dropped Closed:        0
        Redirect Access-list:                R_TST
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            7
        Group Access-list:                   TST
        Total Messages Denied to Group:      1154
        Total Authentication failures:       0
        Total GRE Bypassed Packets Received: 0

Service Identifier: 5
Number of Service Group Clients: 0

wccp#sh ip wccp 0 view
WCCP Routers Informed of:
-none-

WCCP Clients Visible:
-none-

WCCP Clients NOT Visible:
-none-

wccp#sh ip wccp 0 detail
No information is available for the service.

wccp#

Tampoco del lado de las estadisticas de Websense:

WCCP Statistics

Attribute	Current Value
WCCP Fragmentation
Total Fragments	0
Fragmentation Table Entries	0
Out of Order Fragments	0
Matches	0
www
Service Group ID	0
Configured mode (forward/assignment/return)	L2/MASK/L2
IP Address	192.168.1.48
Leader's IP Address	0.0.0.0
Number of Caches	0
Number of Routers	0
https
Service Group ID	70
Configured mode (forward/assignment/return)	L2/MASK/L2
IP Address	192.168.1.48
Leader's IP Address	192.168.1.48
Number of Caches	1
Number of Routers	0
ftp
Service Group ID	5
Configured mode (forward/assignment/return)	L2/MASK/L2
IP Address	192.168.1.48
Leader's IP Address	192.168.1.48
Number of Caches	1
Number of Routers	0

Excluir Firefox y Safari para que no naveguen por Websense

Si pones allow haces un bypass de la autenticación IWA, y si le pones un deny haría un bloqueo del protocolo que pongas es destination (por ejemplo: HTTP). En teoría podría funcionar, se puede probar aunque de igual modo, creo que no es infalible y es sencillo de evadir. Existen números programas y addons para simular el user-agent por el de IE e incluso, manualmente con estos sencillos pasos: http://www.howtogeek.com/howto/18519/how-to-change-the-user-agent-string-in-firefox/

Esta página es útil para detectar el user-agent local y ver los disponibles: http://whatsmyuseragent.com

En un cliente bloquearon Firefox y Chrome por GPO con éxito no permitiendo instalarlos y ni ejecutarse. Si tienen un firewall de capa 7 pueden bloquearlo por ACL como bien decías.

Lic. Matias Colli

Websense Pre-Sales Engineer

Recategorizar un sitio web

Para pedir recategorización:

https://www.websense.com/content/support/library/web/v80/triton_web_help/recat_URL_explain.aspx

Y con esto pedis a websense que la recategoricen

http://www.websense.com/support/article/kbarticle/How-To-Submit-Uncategorized-Sites

FTP en Websense

Si en lugar de un browser utilizas un cliente FTP tipo Filezille o WS_FTP, te recomiendo que leas esto:

https://www.websense.com/content/support/library/web/v78/wcg_help/conf_ftp_clients.aspx

Si deseas bloquea el FTP en general pero permitirlo solo para uno o varios clientes, te recomiendo que leas esto:

http://www.websense.com/support/article/t-kbarticle/How-do-I-block-FTP-in-general-but-permit-one-or-two-FTP-sites-1258048479686

Habilitar o deshabilitar proxypac

Es un tema más de sistema operativo que de Websense, específicamente de Windows.

Creo que lo que necesitas para este caso puntual es esto:

http://superuser.com/questions/419696/in-windows-7-how-to-change-proxy-settings-from-command-line

Lic. Matías Colli

Certified Websense TRITON Olympian

Websense - Consulta páginas embebidas

Es una cuestión que se ha planteado en los foros de Websense, en este link:

Dealing with Embedded Video

Una solución según Websense:

http://www.websense.com/support/article/kbarticle/How-Do-I-Allow-Specific-Youtube-Video-With-Streaming-Media-Blocked

Sugerencia:

O utilizas las opciones avanzas de la categoría definida por Websense agregándole expresiones regulares (Advanced > Add Expression) sobre el contenido de los videos, o bien, creas una categoría propia de YouTube con los links que querés en quota (verbigracia User-Defined > My Youtube). Todo está explicado en link anterior.

Matias Colli

Websense Pre-Sales Engineer

HOW TO PATCH HF08, HF09 y HF10

cd /root
wget http://eval.websense.com/download/patches/WCG_7.8.4_Hotfix_08_WCG_Multiple_fixes_linux.tar.gz

wget http://eval.websense.com/download/patches/WCG_7.8.4_Proxy_Hotfix_09_WCG_Upgrade_OpenSSL_To_1_0_1_m_linux.tar.gz

wget http://eval.websense.com/download/patches/WSE_Hotfix_10_Upgrade_OpenSSL_To_1.0.1m_For_Fix_CVEs_binaries.zip

mkdir /tmp/HF08/
cp /root/WCG_7.8.4_Hotfix_08_WCG_Multiple_fixes_linux.tar.gz /tmp/HF08/
cd /tmp/HF08/
tar zxvf WCG_7.8.4_Hotfix_08_WCG_Multiple_fixes_linux.tar.gz
chmod +x /tmp/HF08/install_HF08.sh
./install_HF08.sh

mkdir /tmp/HF09/
cp /root/WCG_7.8.4_Proxy_Hotfix_09_WCG_Upgrade_OpenSSL_To_1_0_1_m_linux.tar.gz /tmp/HF09/
cd /tmp/HF09

tar zxvf WCG_7.8.4_Proxy_Hotfix_09_WCG_Upgrade_OpenSSL_To_1_0_1_m_linux.tar.gz
chmod +x /tmp/HF09/install_HF09.sh
./install_HF09.sh

Recomendaciones contra Ransomeware II por Matias Colli

Con el fin de evitar que puedan ser afectados por diversos malwares, ya sean virus, gusanos, ransomware, etc, les enviamos las siguientes recomendaciones para analicen desde la seguridad del proxy de websense.

Dentro de la categoría Security verificar que estén bloqueadas las siguientes sub-categorías:

• Advanced Malware Command and Control: Protects against outbound transmissions from a compromised machine to a malicious command-and-control center.

• Advanced Malware Payloads: Protects against inbound network transmissions of payloads intended to exploit a machine.

• Botnets: Sites that host the command-and-control centers for networks of bots that have been installed onto users' computers. (Excludes web crawlers.)

• Compromised Websites: Sites that are vulnerable and known to host an injected malicious code or unwanted content.

• Custom-Encrypted Uploads: Outbound network transmissions of documents, payloads, and data that have been encrypted using custom encryption methods.

• Files Containing Passwords: Documents and data that include lists of network passwords such as Unix and Windows user passwords; also, documents that potentially contain lists of usernames and passwords.

• Keyloggers: Sites that download programs that record all keystrokes, and which may send those keystrokes (potentially including passwords or confidential information) to an external party.

• Malicious Embedded Link: Sites infected with a malicious link.

• Malicious Embedded Iframe: Sites infected with a malicious iframe.

• Malicious Websites: Sites containing code that may intentionally modify users' systems without their consent and cause harm.

• Mobile Malware: Protects against malicious websites and applications designed to run on mobile devices.

• Phishing and Other Frauds: Sites that counterfeit legitimate sites to elicit financial or other private information from users.

• Potentially Exploited Documents: Documents containing content with suspicious characteristics that could lead to the exploitation of a machine.

• Potentially Unwanted Software: Sites using technologies that alter the operation of a user's hardware, software or network in ways that diminish control over the user experience, privacy or the collection and distribution of personal information.

• Spyware: Sites that download software that generate HTTP traffic (other than simple user identification and validation) without a user's knowledge.

• Suspicious Embedded Link: Sites suspected of being infected with a malicious link.

• Unauthorized Mobile Marketplaces: Protects against websites that may distribute applications unauthorized by the mobile OS manufacturer, the handheld device manufacturer or the network provider. (Traffic visiting websites in this category may indicate jail-broken or rooted phones.)

También es recomendable verificar que en la categoría Extended Protection que estén bloqueadas las siguientes subcategorías:

• Dynamic DNS: Sites that mask their identity using Dynamic DNS services, often associated with advanced persistent threats (APTs).

• Elevated Exposure: Sites that camouflage their true nature or that include elements suggesting latent malicious intent.

• Emerging Exploits: Sites found to be hosting known and potential exploit code.

• Newly Registered Websites: Sites whose domain name was registered recently.

• Suspicious Content: Sites found to contain suspicious content.

Estás categorías o subcategorías deberían estar bloqueadas para todos los usuarios sin excepción. El motor de Websense a nivel proxy es uno de los más efectivos al detener este tipo de malware ya que utiliza la inteligencia ThreatSeeker junto con el motor ACE (Advanced Classification Engine) para detectar ransomware en las etapas 2,3,4,5 y 6 de la cadena de ataque.

Lic. Matias Colli

Websense Engineer

Recomendaciones Ransomeware

Websense utiliza la inteligencia ThreatSeeker junto con el motor ACE (Advanced Classification Engine) para detectar ransomware en las etapas 2,3,4,5 y 6 de la cadena de ataque.

La recomendación principal es tener siempre el motor ACE actualizado y luego, no abrir correos dudosos ni descargar contenido dudoso. El motor de Websense a nivel proxy es uno de los más efectivos al detener este tipo de ataques.

http://community.websense.com/blogs/securitylabs/archive/2015/04/29/turn-1-into-100-right-away-your-personal-files-are-encrypted.aspx

http://community.websense.com/blogs/securitylabs/archive/2015/02/25/ransomware-no-sign-of-relief-especially-for-australians.aspx

Por otro lado, McAfee recomienda el "Ransomware Removal Kit” escrito por la hacker (o profesional de la seguridad como más te guste) Jada Cyrus.

https://community.mcafee.com/thread/81220 (está dentro de la sección "Best Practices in Security Protection”). Para McAfee hay 2 tipos del Ransomware: Screen Lockers y File Encryptors, también agrega que en la mayoría de los casos una vez que se activa la encriptación no hay forma de volver atrás (excepto pagando el rescate claro está).

Las recomendaciones de McAfee al usuario son:

Backupear los datos.
Educar a los usuarios.
Emplear un buen antispam.
Utilizar la inteligencia McAfee Threat, especializada contra ransoware polimórfico.
Utilizar la protección para endpoints de McAfee (VirusScan Enterprise)
Bloquear programas innecesarios y no requeridos y bloquear tráfico (con McAfee Next Generation Firewall también).
Mantener los sistemas operativos y las aplicaciones críticas (verbigracia Java, Flash, Acrobat Reader, etc) al día.

https://blogs.mcafee.com/business/advice-unfastening-cryptolocker-ransomware/

Procedimiento para quitar browser de la autenticación IWA y deshabilitarle la navegación

Detallo el procedimiento para quitar browser de la autenticación IWA y deshabilitarle la navegación.

Desde el WCG, vas a Configure > Security > Access Control y elegís la solapa Authentication Rules. Allí haces clic en Edit File

Donde dice:

Dejar así:

MSIE.*|Trident.*|Firefox.*|Chrome.*

Luego, debes reiniciar el WCG.

Para asegurarte de bloquear los otros browser vas a la solapa Filtering y haces nuevamente clic en Edit File, en Rule Type pones deny y en el textbox User-Agent le pones lo siguiente:

Safari.*

Repetís el mismo paso para el otro navegador:

Opera.*

Por último, haces clic en Apply. No hace falta reiniciar WCG.

Lic. Matias Colli

Websense Engineer

Websense Reputation Service

el link que te indica como hacerlo para todas las versiones incluyendo la que tenés:

http://www.websense.com/support/article/kbarticle/Ip-listed-in-Websense-Reputation-Service-is-a-false-positive

Análisis online de una URL para verificar cómo está categorizado un sitio:

http://csi.websense.com/blockpage.aspx?url=sitio

Lic. Matias Colli

Websense Engineer

Procedimiento de Rollback para IWA

Procedimiento de Rollback para IWA

En cada uno hacer clic en Configure > Security > Access Control, luego hacer clic en la solapa Authentication Rules donde se verán todas reglas.

Allí, al hacer clic en Edit File se abrirá una nueva ventana en la que podes indicarle qué regla deshabilitar tildando en Disabled.

Luego, presionar Set > Apply > Close y se cerrará la ventana. En la ventana original presionar Refresh y comprobar que los cambios fueron realizados con éxito.

Pero aún falta reiniciar el WCG para que aplique los cambios. Esto se hace haciendo clic en My Proxy > Restart (que dura aprox 15 segundos y no corta el servicio por estar en cluster).

Procedimiento de Creación de usuarios administradores de consola

Desde la consola Triton, ir a la solapa Triton y crear los usuarios teniendo en cuenta de no darles permisos de "Global Administrator” sino “Grant for this module” (que es el Web Security only). Luego, ir a Delegate Administration y crear los roles, con el botón Add agregar los usuarios que se requieren y por último, darle permisos para las OU que dependen de dicho usuario.

Lic. Matias Colli

Websense Engineer

Consejo para sitios sin categorizar en Websense Web Security Gateway y APX

Investigando y planteando el principal problema que reportan en cuanto a los sitios que no son categorizados por el proxy, te comento que en lugar de bloquear los sitios que Websense no pudo categorizar, todos nuestros clientes bloquean la subcategoría Newly Registered Websites dentro de la categoría Extended Protection pudiendo preservar la navegación. Websense no solo actúa como filtro web sino que también analiza los sitios web en busca de malware, por lo tanto, en caso de existir un sitio que no puede categorizar lo analiza previamente antes de permitir. Comento esto porque entiendo que su principal temor para habilitar los sitios sin categorizar es una posible brecha de seguridad la cual está cerrada por otros mecanismos internos que ofrece el producto. Por otro parte, entre nuestros clientes Websense figuran los principales bancos y tarjetas de crédito de Argentina y esto que te comento, es base a la experiencia que tenemos con todos ellos, ya que ninguno tiene bloqueados los sitios sin categorizar.

Lic. Matias Colli
Websense Engineer

Activar el Debug en Websense Remote Filtering

Para activar el debug, se hace desde la computadora cliente, es decir, desde donde estás originando la petición activando unas claves del registro, las cuales te envío en el archivo .reg, el cual podes ejecutar con total seguridad haciendo doble clic. Luego de esto, probá en navegar a un par de sitios y listo (no más de 2 minutos de navegación).

En la carpeta C:\Program Files\Websense\Websense Endpoint vas a encontrar un archivo DebugDump.txt, el cual necesito que me envíes. Allí dirá todo lo que el cliente está intentando hacer y todo lo que el RFS de Websense le responde.

Lic. Matias Colli

Websense Engineer

Could not start the Websense TRITON Settings Database. The service did not start due to a logon failure

The TRITON Settings Database Service, service runs using a local postgres_eip user, which is created during installation. This user account must have the "Log on as a service" right within the Windows Local Security Policy in order for the service to start.

The "Log on as a service" right is automatically granted to the postgres_eip user during installation. However, if this right is overwritten by local or group policy, it will be stripped when the policy is applied (typically at login or reboot.)

If the TRITON Settings Database service is stopped after the right to log on as a service has been stripped, it will then fail to re-start with a "logon failure" error.

Temporary Workaround:

As a temporary workaround, you can manually enter the postgres_eip credentials into the service properties Log On tab within Windows Services Manager:

If you know the postgres_eip password, go to step 2. If you do not know the password for the postgres_eip account, you will first need to reset it. Go to Start > Run > and type lusrmgr.msc to launch the Local Users and Groups console. Right click on the postgres_eip user and use the Set Password option to reset the password.
Add the password into Windows Services Manager. Go to Start > Run > and type Services.msc. Right click on the Websense TRITON Settings Database service and select Properties. In the Log On tab, ensure the service is configured to run using the local postgres_eip user and enter the credentials.
The service should now start.

When the password is manually entered back into the service properties, the postgres_eip user account is automatically granted the right to log on as a service. This will allow the service to start and run until the "Log on as a service" right is again stripped by local or group Policy.

Permanent Solution:

By default, Windows 2008 R2 does not allow local accounts to have "Log on as a service" or "Log on locally" rights. On other platforms, this right may be restricted by the Local Security Policy or Group Policy.

To assign this right within the Local Security Policy:

Select Start > Run > secpol.msc.
Expand Local Policies > User rights assignment.
In the right pane, right click on "Log on as service", select Properties, and ensure the postgres_eip user is listed in the Local Security Settings tab.
Return to Local Policies > User rights assignment. Right click on "Allow log on locally" and ensure the postgres_eip user is listed in the Local Security Settings tab.

If the rights are restricted by Group Policy, we recommend creating a new GPO applicable to the Websense Server. Add the "Log on as a service" and "Allow Log on locally" rights for the postgres_eip account and prevent inheritance from overriding the values. Then run "gpupdate /force" on the Websense server to apply the new GPO.

Cómo cambiar prioridad de risk security en Websense

Desde la 7.6 inclusive cambió la prioridad en la clasificación de sitios de Websense.
Primero va hacia la clase de riesgos consultándole a la Master Database y luego a las categorías predefinidas.

Para alterar dicho orden, hay que deshabilitar esta característica de sobrescribir la categoría Risk Security por sobre el resto. Esto se hace en el WWS editando el archivo C:\Program Files (x86)\Websense\Web Security\bin\eimserver.ini:

[WebsenseServer]
WebsenseServerPort=15868
BlockMsgServerPort=15871
DNSLookup=auto
BlockMsgServerTimeout=60

[FilteringManager]
InfoServerName=portal.websense.com
CustomUrlDomainMatch=off
SecurityCategoryOverride=off

[Diagnostics]
DiagServerPort=15869

Es decir, se agregó la línea SecurityCategoryOverride=off dentro de la sección [FilteringManager].
Luego, hay que hacer un restart del Filtering Service.

Espero que te sirva como feedback de mi investigación.

Lic. Matías Colli

Qué hacer cuando no funciona la integración de TMG con Websense

Cuando las peticiones de Internet a través de un proxy TMG no son vistas por el Websense debe verificarse:

1. Si el ISAPI Filter es el único componente de Websense instalado en el equipo que tiene el TMG, el problema está en que el plug-in no está pudiendo comunicarse con el Websense filtering instalado en otro equipo.
Entonces, se debe verificar que el ISAPI Filter está accediendo la dirección IP y puerto correcto en el que está corriendo el Filtering Service.
En el directorio C:\windows\system32, mirar el archivo: wsMSP.ini. En la sección [initSection], verificar los parámetros EIMServerIP y EIMServerPort. Por ejemplo:
[initSection]
EIMServerIP=10.203.136.36
EIMServerPort=15868

El puerto por defecto del Filtering Service es 15868.

Ahora bien, si los componentes de Websense fueron instalados en el mismo equipo junto con el ISA Server y su plug-in, probar en reinstalar el servicio Microsoft Firewall.

2. Verificar que exista una regla en firewall del TMG que permita acceder al puerto e IP del Filtering Service.

Instalación del cliente Telnet mediante la línea de comandos

Para instalar el cliente Telnet mediante una línea de comandos, abrir una ventana del símbolo del sistema (comando cmd) y escribir:

pkgmgr /iu:"TelnetClient"

Si aparece el cuadro de diálogo Control de cuentas de usuario, confirmar que la acción que muestra es la que se desea y,luego, hacer clic en Continuar. Cuando el símbolo del sistema aparezca nuevamente, la instalación habrá terminado.

Funciona en Windows Server 2008,Vista, 7 y 8.

Thin vs Thick en VMWare

Al importar una MV en VMWare, existen diversas formas de almacenamiento:

Thick Provision Lazy Zeroed: VMware creará un disco duro virtual con el espacio elegido, en el datastore de ESX usará todo el espacio elegido para el disco. El espacio requerido para el disco virtual se asignará durante la creación. Este disco duro se pondrá a cero en la primera escritura de la máquina virtual.
Thick Provision Eager Zeroed: idem que el anterior con la diferencia de que el disco se pondrá a cero en la creación, siendo más lento en esta etapa pero más rápido al momento de la primera escritura.
Thin Provision: creará un disco duro virtual pequeño utilizando el espacio mínimo necesario. Luego, se irá incrementando hasta el máximo indicado de acuerdo a la demanda.

Conclusión:

En un entorno pequeño y con poco almacenamiento conviene elegir Thin.

En un entorno productivo y con gran capacidad de datos conviene Thick. También cuando se utilizan base de datos de gran volumen y con picos de gran crecimiento.

Cómo instalar un WCG 7.8.2 en GNU/Linux

Paso a paso cómo instalar un WCG 7.8.2 en GNU/Linux

por Matías Colli

Requisitos de Hardware

Procesador Quad-core corriendo al menos 2.8 GHz o superior
Memoria RAM: 6 GB mínimo (8 GB recomendado)
Red Hat Enterprise Linux 6 de 64-bit
Almacenamiento: 2 disco (1 de 100GB para el SO, el Content Gateway, y los archivos temporales. 1 de 147 GB para el caching OPCIONAL)
Debe ser un disco sin formatear, no un sistema montado.
Debe ser un servidor dedicado y no formar parte de un RAID por software.

Realizar una instalación mínima de RHEL 6.5 Server con 2 placas de red.
Si es una MV clonada en VMWare, hay que borrar las placas de red anteriores.

# rm -f /etc/udev/rules.d/70-persistent-net.rules

Deshabilitar el firewall:

# service iptables stop
# chkconfig iptables off

Para no descargarlo de Internet, se debe utilizar un repositorio local:

# mount -t iso9660 -o loop /dev/cdrom /mnt

# vi /etc/yum.repos.d/rhel.repo

[rhel65]

name=RHEL 6.5 x86_64

baseurl=file:///mnt

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY

gpgcheck=0

enabled=1

Dependencias a instalar:
# yum install bind-utils gd samba-winbind-clients compat-readline5 nc apr-util perl ftp apr tcl krb5-workstation ncurses-devel readline-devel libicu redhat-lsb unzip wget

Comprobar que es posible conectarse la base de datos de Websense vía Internet:

# wget download.websense.com --delete

El cual debería devolver correctamente un 200.

Verificar que SELinux esté deshabilitado.

# sestatus

# cat /etc/selinux/config

Si no está deshabilitado, editar el archivo /etc/selinux/config y cambiar el parámetro de forma tal que quede así.

“SELINUX=disabled”

Luego de editar el archivo, ya que reiniciar el equipo para que lo tome (no hay opción).

# reboot

Luego, copiar el comprimido al directorio de programas (opt) y ejecutar el instalador:

[root@WebsenseCG782 root]# mkdir /opt/wcg_v782/

[root@WebsenseCG782 root]# mv WebsenseCG782Setup_Lnx.tar.gz /opt/wcg_v782/

[root@WebsenseCG782 root]# cd /opt/wcg_v782/

[root@WebsenseCG782 wcg_v782]# ./wcg_install.sh

The osvers is 2.6.32-431

Websense Content Gateway v7.8.2-6768

WEBSENSE

SUBSCRIPTION AGREEMENT

....

Do you accept the above agreement [y/n]? y

---------------------------------------------------

Websense Content Gateway Administration Information

---------------------------------------------------

Enter the administrator password for the Websense Content Gateway

management interface.

Username: admin

Password:> 123456

Websense Content Gateway requires an email address for alarm notification.

Enter an email address using @ notation: [] > matiascolli@gmail.com.ar

Websense Content Gateway Integrations Configuration

---------------------------------------------------

Enter the Policy Server IP address (leave blank if integrating with Data Security only): [] >

Websense Content Gateway Port Configuration

-------------------------------------------

Websense Content Gateway uses 8 ports on your server.

Port Assignments:

-----------------

'1' Websense Content Gateway Proxy Port 8080

'2' Web Interface port 8081

'3' Auto config port 8083

'4' Process manager port 8084

'5' Logging server port 8085

'6' Clustering port 8086

'7' Reliable service port 8087

'8' Multicast port 8088

Enter the port assignment you would like to change:

'1-8' - specific port changes

'X' - no change

'H' - help

[X] > X

Websense Content Gateway Clustering Information

-----------------------------------------------

'1' - Select '1' to configure Websense Content Gateway for management

clustering. The nodes in the cluster will share

configuration/management information automatically.

'2' - Select '2' to operate this Websense Content Gateway as a single node.

Enter the cluster type for this Websense Content Gateway installation:

[2] > 2

Websense Content Gateway Cache Disk Configuration

-------------------------------------------------

Websense Content Gateway will operate in proxy-only mode.

No disks are detected for cache.

Websense Content Gateway will operate in PROXY_ONLY mode.

Press ENTER to continue without cache...

-----------------------------------------------------------------------------

Configuration Summary

-----------------------------------------------------------------------------

Websense Content Gateway Install Directory : /opt/WCG

Admin Username for Content Gateway Manager : admin

Alarm Email Address : matiasc@issecurity.com.ar

Websense Content Gateway Cluster Type : NO_CLUSTER

Websense Content Gateway Cache Type : PROXY_ONLY

Do you want to continue installation with this configuration [y/n]? y

Writing values to file...done

Using configuration file: /tmp/WCGinstall.cfg

Extracting files...

Installing Adaptive Redirection Module (ARM)...done

Websense Content Gateway will operate in proxy-only mode.

Setting Websense Content Gateway environment...done

Installing required RPMs...

Installing required RPMs...done

Installing Samba...done

Installing DSS Policy Engine...done

Starting services...

Starting Websense Content Gateway...

Started Websense Content Gateway

Starting Websense Analytics Service...

*COMPLETED* Websense Content Gateway 7.8.2-6768 installation.

A log file of this installation process has been written to

/root/WCG/Current/WCGinstall.log

For full operating information, see the Websense Content Gateway

Help system.

Follow these steps to start the Websense Content Gateway management

interface (Content Gateway Manager):

-------------------------------------------------------------------

1. Start a browser.

2. Enter the IP address of the Websense Content Gateway server,

followed by a colon and the management interface port (8081 for

this installation). For example: https://11.222.33.44:8081.

3. Log on using username admin and the password you chose earlier.

A copy of the CA public key used by the Manager is located in /root/WCG/.

[root@WebsenseCG782 wcg_v782]#

Comprobar el estado del servicio:

[root@WebsenseCG782 ~]# /opt/WCG/WCGAdmin status

Content Cop is running...

Websense Content Gateway is running...

Content Gateway Manager is running...

Analytics Server is running...

[root@WebsenseCG782 ~]#

Nota: El instalador implementará el Content Gateway en el directorio /opt/WCG con el propietario root.

Luego desde un navegador ingresas a https://<direccionIPWCG>:8081

Donde direccionIPWCG es la dirección IP donde se instaló recientemente el WCG y 8081 el puerto que está escuchando el administrador web.

Fuente: http://es.websense.com/content/support/library/deployctr/v78/checklist_info.aspx

Autor: Matias Colli

Componentes de Websense Web Security Gateway

El Web Security Gateway de Websense se compone de 3 módulos:

1.- Websense Web Security (WWS) se encarga de loguear, categorizar y filtrar el contenido web. Determina el acceso que tendrán los clientes al conectarse a los sitios web y protocolos, para enviarle luego la decisión tomada a un dispositivo o una aplicación externa, ya que puede integrase con un firewall, proxy server, cache, o incluso hasta un network appliance, siendo lo más común el proxy server del Websense, a saber, WCG. Sin embargo, puede existir el caso en que no se necesite un proxy server -como el WCG, ISA Server, TMG, etc- sino que se puede integrar con un router Cisco (mediante el protocolo WCCP) o sino instalarse como stand-alone delegando en el Network Agent (NA) el bloqueo de conexiones .

2.- Network Agent (NA) es un monitor de red (sniffer) que identifica los protocolos que no son web para proveer su posterior filtrado a través del Filtering Service. Por ello va conectado a un switch o router desde el lado interno de la red, siempre detrás del firewall. Dicho switch debe permitir hacer mirror o span al NA (se recomienda spanning bidireccional así con una sola placa de red se monitoriza el tráfico a la vez que se envían las páginas bloqueadas al WWS). Pueden ser implementados hasta 4 NA por Filtering Services y corren tanto en sistemas operativos GNU/Linux como en Windows, siendo lo recomendable una instalación en un servidor dedicado. También provee información sobre las administración de las cuotas y del ancho de banda. Actualmente, un NA puede monitorear hasta 50Mbits de tráfico por segundo u 800 peticiones por segundo.

3.- Websense Content Gatewat (WCG) es un proxy con funciones de seguridad en tiempo real (escanea el tráfico de los clientes, protege la red y aplica las políticas de seguridad), que se integra con el WWS y permite el analizar el contenido HTTPS (la capa SSL que no es analizada por WWS). Debe tenerse en cuenta que tanto el NA como el WCG realizan el filtrado a través del Filtering Service.

Deshabilitar DEP y UAC

Para instalar WebSense Web Security en MicroSoft Windows 2008 Server de 64 bits se debe deshabilitar DEP y UAC.

¿Qué es DEP?

DEP es la Prevención de ejecución de datos (Data Execution Prevention), la cual ayuda a impedir daños en el equipo producidos por virus y otras amenazas a la seguridad. Los programas perjudiciales pueden intentar atacar el sistema mediante la ejecución de código desde ubicaciones de la memoria del sistema reservadas para el mismo y otros programas autorizados.

¿Cómo desactivar DEP?

1. Ejecutar en consola de Administrador: bcdedit.exe /set {current} nx AlwaysOff.
2. Reiniciar el equipo.

¿Qué es UAC?

UAC es el servicio de Control de cuentas de Usuario (User Account Control), el cual ayuda a evitar que Malware dañen el sistema ya que advierte cuando se intenta instalar un programa o modificar una carpeta del sistema .

¿Cómo desactivar UAC?

1. Ir a Start Menu -> Control Panel -> System and Security -> Action Center
2. Hacer click en "User Account Control settings".
3. Bajar la barra hasta el valor más bajo (osea Never Notify).
4. Reiniciar el equipo.

Por Matías Colli.
Fuente: MicroSoft Website.

Depurar TMG integrado con WebSense

Necesito ver la información que el servidor TMG le está enviando al Filtering Service del WebSense. ¿Cómo activar la depuración en archivo de texto (trace)?

Para generar la depuración (trace) de la ISAPI:

1. Dentro del TMG, ir a la carpeta C:\Windows\system32.

2. Hacer una copia de seguridad del archivo wsMSP.ini en otra carpeta local.

3. Con un editor de texto, abrir el archivo wsMSP.ini y agregar a final del mismo la sección de Diagnósticos con las siguientes líneas:

[diagnosticSection]

ProgressTraceType=FileOnly

ProgressTraceMask=1

ProgressTraceFile=C:\TEMP\WsISA.log

DumpUserNames=any

ctrace=1

4. Guardar y cerrar el archivo abierto con el editor de texto.

5. Reiniciar el servicio de cortafuegos (Microsoft Firewall).

6. Luego de unos minutos, al generarse tráfico desde los equipos cliente, se generarán 2 nuevos archivos.

· C:\TEMP\WsISACircleTrace.log

· C:\TEMP\WsISA.log (tal como se especificó en el punto 3).

7. Pasado unos minutos y una vez recolectada la información necesaria, detener el servicio de cortafuegos (Microsoft Firewall), quitar las lineas agregadas al final del archivo wsMSP.ini.

8. Reiniciar nuevamente el servicio de cortafuegos (Microsoft Firewall).

Nota: En el archivo wsMSP.ini hay dos parámetros EIMServerIP ay EIMServerPort (Dirección IP y Puerto del Filtering Service respectivamente). El puerto por defecto será el 15868 aunque si está en uso por el sistema operativo intentará automáticamente subir el número de puerto (por ejemplo: 15869). Dicha configuración puede verificarse en el archivo eimserver.ini, dentro del directorio de instalación por defecto de WebSense (C:\Program Files or Program Files (x86)\Websense\Web Security\bin).

Por Matias Colli.

Fuente: WebSense Website.

¿Qué es DEP?

¿Qué es UAC?

Necesito ver la información que el servidor TMG le está enviando al Filtering Service del WebSense. ¿Cómo activar la depuración en archivo de texto (trace)?

Formulario