Einführung #

Der SPSA Setup Guide beschreibt die ersten Schritte zum Einrichten eines SPSA-Servers.

Die folgenden Kapitel beschreiben sämtliche Einstellungen, um den SPSA-Server für die erste Benutzung, einzurichten.

Einrichten des SPSA-Servers #

Erste Anmeldung an der Konsole #

Für das Setup melden Sie sich im ersten Schritt an der Konsole an, da aus Sicherheitsgründen alle Netzwerkzugriffe, bis auf die für SPSA erforderlichen, durch eine Host Firewall geblockt werden.

Account:          spadmin

Password:       

Anschließend können Sie das SPSA-Setup ausführen. 

Die Erstinbetriebnahme erfolgt über das Kommando 1strun.

Hierzu müssen Sie sich and der Konsole anmelden Zugriffe über das Netzwerk sind nicht möglich.

Abbildung 1 Start „1strun“

Als erstes müssen sie die Eula akzeptieren. Der Text finden sie Im Internet unter https://www.skill-plan.com/eula oder auch bei Ihren Unterlagen.

Um die Eula zu akzeptieren, geben Sie bitte „accept“ ein.

Abbildung 2 Akzeptiren der EULA durch Eingabe von „accept“

Sobald dies geschehen ist, wird das SPS Portal gestartet.

Abbildung 3 Start des SPSA-Portals

Als letztes müssen Sie noch das Password des spadmin Account setzen.

Bitte verwahren Sie diese an einem sicheren Ort, es ist der einzige Zugang zur Konsole!

Abbildung 4 Setzen des Passworts für den spadmin Account

Danach können Sie sich durch Eingabe von „exit“ von der Konsole abmelden.

Einrichten des Netzwerks #

Das Netzwerk besteht aus einem Eingangs-Interface mit dem Namen eth0 und dem Alias INC. Dieses Interface ist für die Benutzer erreichbar unter https://<IP Adresse>. Das zweite Interface eth1 oder OUT dient als Ausgangsinterface für das RDP und SSH-Protokoll. 

Die Voreinstellung für beide Netzwerkinterfaces ist DHCP.

Das Ausgangsinterface wird für Zugriffe auf die Zielsysteme über rdp Protokoll oder ssh verwendet. Das Interface eth1 mit dem Alias OUT ist vom übrigen System aus nicht erreichbar. 

Wichtig:
Falls Sie für beide Netzwerke eine DHCP-Reservierung vornehmen können, muss die Netzwerkeinstellung nicht unbedingt angepasst werden. 
In diesem Fall könne Sie direkt zum SPSA Portal (Seite 7) wechseln. 

Einrichten von SPSA mit statischen Adressen. #

Um statische Adressen zu verwenden, muss folgendermaßen vorgegangen werden

Beispiel: Statische Adressen ohne VLAN #

1. Melden Sie sich an der Konsole an mit dem Account: spadmin

Passwort: spadmin

• Wechseln Sie zu dem Verzeichnis der Netzwerkkonfiguration und wählen Sie ein Template aus.

Abbildung 5 Anzeige der Netzwerk Templates

Folgende Templates sind vorhanden:

• Interfaces.dhcp –DHCP-Template (Default)
• Interfaces.static –Template für statische IP-Adressen
• Interfaces.vlan – Template für statische IP-Adressen und VLAN-Umgebungen

Alle IP-Adressen sind beispielhaft und müssen der aktuellen Umgebung angepasst werden. Alle zu ändernden Parameter wurden grau markiert.

Beispiel: Erstellen einer Netzwerkkonfiguration mit statischen IP-Adressen #

Kopieren des Templates und Bearbeiten der Konfigurations-Datei

Abbildung 6 Kopieren der Netzkonfiguration für statische Adressen

Anschließend können Sie im Editor die notwendigen Änderungen vornehmen:

Abbildung 7 Beispiel Netzwerk Konfiguration mit statischen IP-Adressen

Rot markierte Stellen müssen zwingend geändert werden, gelb markierte sind optional, falls Sie andere Netzwerkmasken verwenden.

Abbildung 8 Bearbeiten der Konfiguration

Speichern (mit CRTL+X) und neu starten der Appliance

Betätigen Sie mit “Y”

Abbildung 9 Abspeichern bestätigen

Bestätigen Sie den Namen der Datei

Abbildung 10 Dateinamen Bestätigen

Zum Abschluss starten Sie die Appliance neu:

Abbildung 11 Appliance Neustart

Nach dem Neustart ist die Appliance eingerichtet und kann mit dem Browser über 
https://IP Adresse des eingehenden Interfaces erreicht werden.

z.B.: https://192.168.30.5 oder falls Sie DNS eingerichtet haben über https://spsa.firma.com

Aktuelle IP-Adressen anzeigen lassen #

Um die aktuellen IP-Adressen anzuzeigen, melden Sie sich an der Konsole des SPSA-Servers and und verwenden Sie das Kommando getip.

Abbildung 12 Anzeigen der IP-Adressen

Hierbei entspricht Port 1 dem ausgehenden Interface (eth1)

 Und Port 2 dem Eingehenden Interface (eth0)

Abbildung 13 Portnummerierung Rückseite

In diesem Beispiel verfügt das eingehende Interface über die Adresse 192.168.1.73, das Ausgehende über die Adresse 192.168.2.150.

192.168.1.73 ist also die Adresse für das SPSA Portal https://192.168.1.73, 192.168.2.150 ist die Adresse welche für RDP und SSH-Protokoll auf der Firewall zwischen dem SPSA-Server und den Zielsystemen (in der roten Zone) freigeschaltet werden muss.

SPSA Installation VMWARE #

SPSA Foundation kann ab ESX 7.0 installiert werden. Hierzu steht ein OVA-Template bereit.

Hardware Requirements der SPSA Foundation #

Da die virtuelle Appliance für die Auszeichnung von Verbindungsdaten als Video im größeren Rahmen nicht geeignet ist, benötigt die Installation nur 150 GB Plattenplatz.

Der Vorkonfiguriere Arbeitsspeicher von 8 GB unterstütz bis max. 10 gleichzeitige Session. Der Arbeitsspeicher kann bis zu 32 GB aufgestockt werden, um weiter Session zu ermöglichen. In der Max Ausbaustufe unterstütze SPSA Foundation bis zu 20 gleichzeitige Sessions. 

Abbildung 14 Ressource Anforderungen SPSA Foundation

Die SPSA Appliance verfügt über zwei Netzwerkadapter. Wenn beide Adapter an dem gleichen Subnetz betrieben werden, darf nur der Adapter 1 aktiviert werden: Der Adapter zwei wird nicht verwendet. (Bonding wird nicht unterstütz). 

Wir die Appliance an zwei Netzwerken betrieben (Inbound und Outbound), muss der zweite Adapter aktiviert werden.

Installation SPSA mit OVA-Template #

Abbildung 15

Abbildung 16

Abbildung 17

Abbildung 18

Verwalten von SPSA #

Die erste Anmeldung am SPSA Portal #

Nach der Einrichtung der Appliance können Sie mit der Verwaltung über das Web Portal fortfahren. Empfohlene Browser für Zugriffe auf SPSA sind Google Chrome oder Microsoft Edge.

Administrator einrichten #

Der Administrator ist vorbereitet, der Name des Administrators ist: spadmin

Das Password haben Sie gesondert erhalten.

Bitte beachten Sie, dass das Passwort nicht mit dem Konsole Passwort identisch sein sollte.

Bei der ersten Verbindung erhalten Sie eine Zertifikat Warnung, da es sich bei dem SSL-Zertifikat um ein selbstsigniertes Zertifikat handelt.

Abbildung 19 Chrome Warnung

Wählen Sie Advanced und danach die Option für das Fortführen einer unsicheren Verbindung aus.

Abbildung 20 Akzeptieren der Warnung

Danach erscheint der Anmelde-Bildschirm. Der Administratoren Account heißt: spadmin

Verwenden Sie das Initialpasswort für den Portal Zugriff 

Abbildung 21 Anmeldung am Portal

Im nächsten Schritt werden Sie einmalig aufgefordert das Passwort für spadmin bei der Einrichtung zu ändern. 

Abbildung 22 Setzen des Passworts

Nach der Änderung, erfolgt die Einrichtung der Multi-Faktor-Authentifizierung.

Dieser Vorgang kann mit dem Microsoft Authenticator oder dem Google Authenticator durchgeführt werden.

Abbildung 23 Einrichtung TOTP MFA

Hierzu scannen Sie den QR-Code auf dem Bildschirm. Es wird ein Eintrag für den spadmin Account für die Applikation SPSA angelegt.

Jetzt geben Sie bitte den angezeigten 6-stelligen Code ein.

Danach startet die SPSA-Verwaltungsoberfläche.

Abbildung 24 Erster Start Portal

In der rechten oberen Ecke sehen Sie zwei Templates für Verbindungen und die Optionen zur Verwaltung. Die Templates dienen als Muster für ihre RDP oder ssh Verbindungen.

Abbildung 25 Admin Menü

Über den Menüpunkt Einstellungen gelangen Sie in die Verwaltungsoberfläche.

Abbildung 26 Portal Einstellungen

Verbindungen Anlegen #

Um eine Verbindung zu einem Ziel zu ermöglichen, muss eine Verbindung angelegt und parametrisiert werden. 

Beispiel: Anlegen einer RDP-Verbindung #

Die wichtigsten Einstellungen sind im RDP-Template bereits hinterlegt. 

Tipp: kopieren Sie hierbei das vorhandene Template, welches die notwendigen Informationen für die RDP-Verbindung ausführt.

Kopieren des Templates #

1. Gehen Sie zum Menüpunkt Verbindungen, 
2. öffnen Sie das RDP-Template, 
3. gehen Sie ans Ende der Einstellungen und 
4. wählen Sie KOPIEREN

Danach können Sie die notwendigen Änderungen eintragen und die neue Verbindung abspeichern. 

Abbildung 27 Verbindung einrichten

Bearbeite Verbindung #

Vergeben Sie einen eindeutigen Namen, welcher von Ihren Benutzern leicht zuzuordnen ist[CL1] . 

Als Protokoll benötigen Sie RDP

Verbindungslimit #

Max. Anzahl der Verbindungen legt fest, wie viele Verbindungen gleichzeitig erlaubt sind. Konfigurieren Sie 10, falls nicht anderes erforderlich ist.

Max Anzahl Verbindungen pro User: dieser Wert muss mindestens 1 betragen

Lastverteilung #

Wird nicht benötigt

Guacamole Proxy Parameter #

Hier muss in der Produktivumgebung immer der verwendete SPSA-Proxy angegeben werden. Ist nichts Anderes bekannt, nehmen Sie hier immer spsad als Platzhalter für die lokale Proxyinstanz. 

Abbildung 28 Netzwerk und Basiseinstellungen

Netzwerk #

Hostname – IP-Adresse oder FQDN des Zielsystems (10.5.6.89 oder rdp001.firma.com)

Port – Der Standard Port für RDP ist 3389

Authentifizierung #

1. Aus Sicherheitsgründen sollten diese Anmeldedaten für Systeme nur in ganz speziellen Fällen hinterlegt sein. Auf keinen Fall bei SPSA-Servern, welche via Internet verfügbar sind. 
2. Sicherheitsmodus: im Normalfall sollte hier NLA ausgewählt werden
3. Serverzertifikat ignorieren: aktivieren Sie diese Option, falls Sie selbsterstellte Zertifikate verwenden. 
   

Wichtig

Sollte es keine Verbindung zum Ziel Host geben, so überprüfen Sie die Einstellungen der Verbindung.[CL2] 

Remote Desktop Gateway #

Nicht erforderlich

Basiseinstellungen #

Wird nicht benötigt

Abbildung 29 RDP-Verbindungsparameter

Bildschirm #

Hier sind im Normalfall keine Anpassungen notwendig

Zwischenablage #

Disabled copying from remote Desktop – Aus Sicherheitsgründen ist dies Option aktiviert und sollte bei Zugriffen in eine kontaminierte Zone immer aktiviert bleiben. 

Geräteumleitung #

Audio deaktivieren – SPSA ist nicht auf Audiotransfer oder Videotransfer ausgelegt, daher ist diese Option per Default disabled. 

Disable File Download: aus Sicherheitsgründen ist dies Option aktiviert und sollte bei Zugriffen in eine kontaminierte Zone immer aktiviert sein.

  #

Wichtig:

SPSA ist kein Werkzeug, um Daten sicher zwischen einer kontaminierten Zone und einem Zugriffsrechner auszutauschen. Dieser Datentransfer bringt immer das Risiko weiterer Infektionen mit sich und ist daher per Default unterbunden. Jede Abweichung hiervon geschieht auf eigenes Risiko und wird von der Firma Skillplan GmbH nicht unterstützt.

Geschwindigkeit #

Schriftenglättung: Um unscharfe Darstellungen am Bildschirm zu vermeiden, ist diese Einstellung per Default aktiviert. 

Die weiteren Einstellungen werden für eine Teststellung nicht unterstützt und sind daher nicht weiter aufgeführt.

Beispiel: Anlegen einer SSH-Verbindung #

In den Einstellungen selektieren Sie das SSH-Template, kopieren Sie es, passen Sie es an und speichern Sie es ab:

Abbildung 30 Organisation Verbindungen

Ändern Sie folgende Einträge ab:

Namen: Server Namen wie er für die Benutzer angezeigt wird

Standort-Verbindungsgruppe, entweder „Root“ oder Sie können Die Verbindungen in beliebigen Gruppen zusammenfassen 

Die Verbindungslimits sollten nicht geändert werden.

Wichtig:

Es muss immer mindestens eine Verbindung erlaubt sein, sonst kann der Benutzer keine Verbindung zum Zielserver herstellen.

Abbildung 31 Einstellungen gleichzeitige Verbindungen

Ziel Host und Zwischenablage einrichten #

Hostname: Name oder IP-Adresse des Zielservers

Zwischenablage: „Disable Copying from Client“ unterbindet es Text aus der Umgebung zu kopieren. Aus Sicherheitsgründen ist diese Option vorselektiert. 

Abbildung 32 Einrichtung Zwischenablage

Filetransfer und Abspeichern #

Ebenfalls aus Sicherheitsgründen ist per Default kein Filetransfer erlaubt. 

Abbildung 33 Einstellungen Filetransfer (ssh)

Mit „Speichern“ legen Sie die neue Verbindung an. Wir empfehlen dies vorab zu testen, bevor Sie dies für Ihre Anwender freigeben. 

Anlegen von Benutzern #

Benutzer erhalten einen lokalen Account. Für diesen Account wird die automatische TOTP-Multifaktor-Authentifizierung eingeschaltet. Dies ist für Systeme ohne weitere Multifaktor Authentifizierung obligatorisch. 

Jedem Benutzer können einzelne oder alle Verbindungen zugeordnet werden. Die zugeordneten Verbindungen werden dem Benutzer, nach erfolgreicher Anmeldung, zur Auswahl angezeigt. Wurde dem Benutzer nur eine Verbindung zugeordnet, wird diese nach erfolgreicher Anmeldung hergestellt. Auch für Benutzer können Templates angelegt und bei Bedarf kopiert werden.

Benutzer bearbeiten #

Im Menüpunkt Benutzer wählen Sie „Neuer Benutzer“

Abbildung 34 Benutzereinstellungen und Berechtigungen

[CL3] 

Benutzername: der Benutzername für das SPSA-Portal kann dem Standardname des Benutzers entsprechen. 

Passwort und Passwort Wiederholungen: dieses Passwort sollte den Sicherheitspolicies entsprechen und nicht identisch mit dem Passwort auf dem Zielsystem sein.

Profil #

Die Profileinestellungen sind optional und dienen dazu den Benutzer genauer zu identifizieren.

Accounteinschränkungen #

Accountbeschränkungen sind optional und dienen dazu die Verwendung des Accounts zeitlich einzuschränken (beispielsweise zwischen 8:00 morgens und 17:00 nachmittags).

Berechtigungen #

Solange es sich nicht um eine Administratoren Account handelt, sind hier keine Einstellungen erforderlich. Ausnahme: „Eigenes Passwort ändern“. Diese Einstellung wird für die Ohne-Time Passwörter vom TOTP-Multifaktor benötigt. 

Abbildung 35 Autorisierung für Verbindungen

Verbindungen #

Unter Verbindungen werden dem Benutzer eine oder mehrere Verbindungen zu Verfügung gestellt. Der Benutzer bekommt lediglich die freigegeben Verbindungen nach der Anmeldung am Portal angezeigt.

Fehlersuche und Freischaltung von SSH-Zugriffen #

Kommandos zur Fehlersuche #

Um sicherzustellen, das SPSA Portal Zugriffe auf die Zielsysteme hat, gibt es die Testprogramme sshpingund rdpping. 

sshping testet, ob eine Verbindung zum Ziel Host für das Protokoll ssh (22) möglich ist.

Abbildung 36 Verwendung sshping

rdpping testet, ob eine Verbindung zum Ziel Host für das Protokoll rdp (3389) möglich ist.

Abbildung 37 Verwendung

  #

Solange diese Tests nicht erfolgreich abgeschlossen werden, kann SPSA auch keine Verbindung zu einem Zielserver herstellen. In diesem Fall fehlen entweder Netzwerkeinstellungen im LAN, Firewall Policies auf der Firewall zwischen SPSA-Server und Zielhosts, oder Einstellungen auf dem Ziel Host. 

Verwenden von ssh (sftp) für Zugriffe auf den SPSA-Server. #

Wichtig: 

Per Default ist die Verwendung von ssh auf dem SPSA-Server unterbunden. Dies dient der Sicherheit des Servers und sollte nur in Ausnahmefällen (und lediglich für einen kurzen Zeitpunkt) ermöglicht werden. Ausnahmenfälle sind zum Beispiel, das Kopieren von validen Zertifikaten auf den Server, das Erstellen von Logdateien für den Support oder kurzzeitige Server-Zugriffe (um das System zur verwalten oder Fehler zu suchen). 

Ssh Zugriffe sind nur auf dem eingehenden interface INC (etgh0) möglich. Auf dem Interface eth1 (OU) sind alle Zugriffe von außen aus Sicherheitsgründen unterbunden. Die kann nicht aufgehoben werden. 

Einschalten von ssh für temporäre Zugriffe

Abbildung 38 SSH Einschalten für spadmin

Ausschalten von ssh, nachdem die Arbeiten beendet sind.

Abbildung 39 Beenden von SSH

Wichtig:

SSH-Zugriffe müssen unbedingt abgeschaltet sein, solange ssh nicht benötigt wird. Ein dauerhaft eingeschalteter ssh Server ist ein Sicherheitsrisiko für den SPSA-Server und somit für alle Systeme, welche die über SPSA erreichbar sind.