Sie kennen das Problem aus Ihrer IT Hotline vielleicht, wenn Benutzer melden, dass "trotz korrekten Benutzernamen und Passwort" die VPN Verbindung nicht funktioniert. In diesem Fall, hat sich der Benutzer dennoch meist (zu oft) vertippt und ist nun auf die ein oder andere Art gesperrt. Manchmal ist aber tatsächlich auch nur die Caps-Lock Taste gedrückt oder Num-Lock nicht aktiv, weswegen sich der Benutzer schlussendlich dann doch vertippt.

In diesen Fällen, müssen Sie 4 Dinge beachten. Und zwar:

  • der Benutzer in Active Directory nicht gesperrt ist
  • sich der Benutzer nicht innerhalb der automatisierten Sperrzeit der Firewall befindet
  • ein geeignetes Passwort verwendet wird
  • das Benutzerkonto eventuell kürzlich angelegt oder verändert wurde


Benutzerkonto in Active Directory entsperren

  1. Melden Sie sich auf Ihrem Domain Controller an.
  2. WIN+R -> dsa.msc -> Es öffnet sich Active Directory-Benutzer und -Computer.
  3. Suchen Sie das Benutzerkonto des entsprechenden Benutzers und öfnen Sie die Eigenschaften.
  4. Im Register Konto aktivieren Sie das Kontrollkästchen Kontosperrung aufheben und speichern den Dialog.


Automatische Sperre in der Sophos SG Firewall

Als erstes müssen Sie prüfen, ob und wie lange, die automatische Sperre bei Ihnen überhaupt aktiv ist. Wenn Ihre Mitarbeiter das Sophos User Portal verwenden, so erkennen Sie eine Sperre meist auch daran, dass diese nicht mehr aufgerufen werden kann (Beispiel https://ihreFirewall.dns).

Verifizieren wir nun die automatische Sperre:

  1. Gehen Sie auf die WebAdmin Oberfläche. In der Regel lautet die Adresse: https://ihreFirewall.dns:4444
  2. Wechseln Sie nach Definitions & Users -> Authentication Services -> in das Register Advanced

Sie sehen hier ganz oben nach wievielen Versuchen und für wie lange Pakete der betroffenen Benutzer/Computer blockiert werden. Ist die Option drop packets from blocked hosts aktiv (was ja Sinn macht, denn wer will schon einem Angreifer "weitere Informationen" liefern), erhält der Benutzer auch keine Fehlermeldung. Es scheint für Ihn, als könne er die User Portal Seite nicht erreichen (wie oben angedeutet).

"Erkennen Sie am User Portal" desswegen, weil in der Regel in der Facilities-Liste meist auch das User Portal aktiv ist. In diesem VPN Beispiel, ist auch SSLVPN in der Liste aktiv. An dieser Stelle sei erwähnt, dass Sie unbedingt die Punkte SMTP sowie SSH access auch aktiv haben sollten.

Es gibt in der GUI keinen "entsperren" Knopf. Sie müssen also, um den Benutzer schnellstmöglich entsperren zu können, die Zeit kurzfristig auf z.B. 5 Sekunden reduzieren und den neuen Wert speichern (alternativ können sie natürlich auch die Funktion kurzzeitig deaktivieren/aktivieren). Warten Sie eine halbe Minute bis das System die Änderung verarbeiten konnte. Dann aktivieren Sie die Option wieder mit dem alten Wert.

Bedenken Sie, dass Sie einen Angreifer höchstwahrscheinlich länger blocken wollen, beispielsweise 8h (28800 Sekunden). Aber einen User (physisch intern) möglicherweise nicht. Sie könnten daher überlegen in den Ausnahmen untenstehend lokale Bereiche Ihres Netzes bzw. zumindest Ihren "Admin PC" ausnehmen.


Geeignetes Passwort

Mittlerweile seltener anzutreffen, denn die Zeit der "einfachen Passwörter" ist eigentlich schon lange vorbei. Dennoch kann es immer noch vorkommen, dass ein Benutzer übersehen wurde und möglicherweise noch ein altes (unsicheres) Passwort wie 123, dem Usernamen oder im schlimmsten Fall überhaupt "kein Passwort" und dergleichen verwendet. Setzt die Firewall für Ihre Benutzer komplexe Kennwörter voraus, so wird das VPN des Benutzers auch nicht funktionieren. Überprüfen Sie die Option hier: Definitions & Users -> Authentication Services -> in das Register Advanced -> In der Mitte bei Local Authentication Passwords. Wenn aktiv, müssen Sie für diesen Benutzer in Active Directory eine Passwortänderung beim nächsten Login erzwingen (was ohnehin in diesem Fall erforderlich wäre).


Kürzlich angelegtes Benutzerkonto

Ist das Benutzerkonto eben angelegt worden und arbeiten Sie vielleicht auch mit Active Directory Gruppen, so wurden die Kontendaten vielleicht noch nicht von der Firewall erkannt (synchronisiert). Lösen Sie daher eine manuelle Synchronisation aus: Definitions & Users -> Authentication Services -> in das Register Advanced -> die Option Synchronize Now unter Active Directory Group Membership Synchronization


Live Logs

Für Troubleshooting können Sie zudem die folgenden Live Logs zu Rate ziehen:

  • client authentication
  • directory user prefetch
  • ssl vpn
  • user authentication daemon


Benötigen Sie weitere Informationen, Hilfestellungen oder haben Projektanfragen? Treten Sie mit uns in Kontakt.

Previous Post