Warum will Docusnap mit crl.microsoft.com reden?

[dippas 10]

Hallo Leute,

 

mir ist da was aufgefallen, was von euch vielleicht jemand verifizieren möchte.

 

Docusnap will sich beim Programmstart im Hintergrund mit der IP-Adresse 131.107.115.20 Port 80 (crl.microsoft.com) verbinden. Je nachdem, ob man diese Verbindung zulässt oder unterbindet, zeigt Docusnap ein unterschiedliches Verhalten.:suspect:

 

Zunächst die Konfiguration:

 

Windows XP-Pro aktuell gepatcht

F-Secure Client-Security 7.0 mit eingeschalteter Firewall

Kein anderes Schutzprogramm, auch Windowsfirewall ist aus

 

F-Secure ist so konfiguriert, dass er jeden unbekannten Verbindungsversuch meldet und mich entscheiden lässt, wie er damit verfahren soll. Ablehnen oder zulassen (natürlich auch mit Merkfunktion ;) )

 

Szenario 1: Die Verbindung wird Zugelassen.

Nach den üblichen Vorarbeiten gibt man die Credentials in der richtigen Notation ein und startet den Scan. F-Secure meldet sich dann nochmal, weil Docusnpa auf einem anderen Port nun lauscht.

 

Unterm Strich alles im grünen Bereich. :)

 

Szenario 2: Die Verbindung wird abgelehnt.

Beim Start von Docusnap unterbindet man die Verbindung zu crl.microsoft.com und alles sieht zunächst normal aus. Man gibt auf der Seite für die Credentials auch alles wieder genauso wie vorher und ....

 

Tja, nix is mit erfolgreicher Authentifizierung :mad: :thumb2:

 

Ich habe mehrfach die Gegenprobe gemacht. Immer wieder alles auf die Richtigkeit der Eingaben überprüft.

 

Auf meiner Kiste weigert sich Docusnap ein Netzwerk zu scannen, wenn ich beim Start die Zwangsverbindung zu crl.microsoft.com unterbinde!. :mad:

 

Ich finde, Docusnap ist ein tolles Tool, aber ich will mir nicht von einem Programm eine Zwangsverbindung unterjubeln lassen damit es richtig funktioniert :nene:

 

Zumal ich überhaupt nicht nachvollziehen kann, welchen Beweggrund es gibt zu einer Microsoft-Domain Kontakt aufzunehmen. Ein nslookup zur gewünschten Ziel-IP 131.107.115.20 gibt crl.microsoft.com zurück. Was soll das?? Ich will das nicht!:mad: :mad:

 

Was ist in Netzen, in denen kein Internet-Zugang existiert oder ausgefallen ist? Prima Auftritt, wenn Docusnap den Dienst verweigern würde. Zugegebenermaßen/Glücklicherweise ist mir dieser Fall bislang nicht untergekommen.

 

Mein Aufruf daher:

 

Testet doch mal meine genannten Szenarien bei euch.

 

Ich möchte gerne wissen, ob ich "allein da draussen" bin, oder ob jemand meine Beobachtung bestätigen kann.

 

Und insbesondere würde ich gerne den Zusammenhang zu crl.microsoft.com wissen. Überspitzt dargestellt, klingt das wie ein Bundes-Trojaner unseres allseits "geliebten" Bundes-Spürpanzer Wolfgang ;)

 

Die Frage ist eindeutig: Was soll das?

 

Ich freue mich über reges Feedback und eine vielleicht aufschlussreiche Erklärung.

 

grüße

 

dippas

[DocuSnap-Support 10]

Hallo,

 

danke zuerst für Deinen Hinweis. Zuerst einmal die Feststellung, dass DS zumindest bewußt keine "Home Calls" verwendet! DS nutzt ausschließlich Basiskomponenten von MS.

 

Bis jetzt ist uns so ein Verhalten nicht bekannt, wir werden aber Deine Erkenntnisse im Lab prüfen und eine Antwort publizieren.

 

Wenn keine Internetverbindung da ist funktioniert DS auch einwandfrei.

 

Ich melde mich sobald ich wieder Ergebnisse habe.

[dippas 10]

Mensch, das finde ich ja toll:

 

Am wohlverdiente Sonntag doch noch was für die Firma tun ...

 

Off-Topic:

Vielleicht ist es aber auch der "MCSEBoard-Virus" von dem er angesteckt wurde. Wie so viele hier ...

 

OK, da warte ich mal auf die Rückmeldung.

 

Falls ich mit Infos weiterhelfen kann oder aktiv testen soll, einfach melden. Gerne auch telefonisch. Die Kontaktdaten sind euch bekannt, hier noch mal zur Orientierung: netzwerkstudio.de

 

grüße

 

dippas

 

PS: Ich bin auch überzeugt davon, dass DS selbst keinen HomeCall erzeugt. Und wenn, dann doch wohl zu euch und nicht zu jemand anderen ;)

[MaVde 10]

Nur zur ergänzung:

 

Diese Adresse (wie auch crl.verisign.com) wird zum Überprüfen der Gültigkeit (bzw. zum Abfragen von Sperrlisten) digitaler Zertifikate verwendet.

[zahni 554]

CRL heisst "Certificate Revocation List ". Die XP prüft also z.B. bei SSL-Verbindungen auf zurückgezogene Zertifikate.

 

 

Certificate Revocation and Status Checking

 

 

-Zahni

[DocuSnap-Support 10]

Hallo,

 

wir haben in unserem Lab einige Test durchgeführt. Konnten aber keine besonderen Vorkommnise registrieren.

 

CRL heisst "Certificate Revocation List ". Die XP prüft also z.B. bei SSL-Verbindungen auf zurückgezogene Zertifikate.

 

 

Certificate Revocation and Status Checking

 

 

-Zahni

 

Vielen Dank für Info.

 

In dem Netzwerk-Scan Assistenten wird nur eine Authentifizierung gegen das AD via LDAP durchgeführt.

 

... clients connect to alternate resources, such as Web servers or Lightweight Directory Access Protocol (LDAP) directories, where the CA has published its revocation information ...

 

VG Peter

[dippas 10]

Hallo,

 

wir haben in unserem Lab einige Test durchgeführt. Konnten aber keine besonderen Vorkommnise registrieren.

 

ok.

 

Und was heisst das nun für die weitere Vorgehensweise?

 

Wie gesagt bin ich gerne bereit mitzuhelfen, soweit es im Rahmen meiner Möglichkeiten ist. Wie wäre es mit einer Netviewer-Sitzung?

 

grüße

 

dippas

[DocuSnap-Support 10]

Hi,

 

ich denke dass müsste wahrscheinlich an Eurer Umgebung liegen.. Habt Ihr im ADS irgendetwas auf Zertifikate umgestellt? So wie es aussieht macht Euer XP das, wenn man eine Authentifizierung durchfürht.

[Dr.Melzer 191]

Arbeitet ihr mit Zertifikaten und wenn ja, wie sit das eingerichtet?

[dippas 10]

Hallo,

 

mein Notebook, auf dem Dokusnap installiert ist, ist KEIN Mitglied einer Domain, also nur Arbeitsgruppe.

 

Mit Zertifikaten haben wir an dieser Stelle nichts an der Backe ;)

 

Windows-Domains in denen wir uns rumtreiben haben im Allgemeinen auch nichts mit Zertifikaten für die Authentifizierung am Hut.

 

Der Verbindungsversuch kommt halt auch beim Start von Docusnap und nicht erst wenn ich eine AD auslesen möchte.

 

Was vielleicht noch ein Hinweis sein kann: Ich habe einen Juniper Netscreen VPN-Client an Bord. Der ist aber bislang nur plain installiert. Aber auch hier ist nichts (erkennbar) mit Zertifikaten.

 

Gibt es noch an anderen Stellen einen Ansatz nach Zertifikaten zu suchen - sofern es das ist?

 

Ansonsten habe ich vom einen oder anderen SBS ein selbst erstelltes Zertifikat für die HTTPS-Verbindung importiert, weil mir die Sicherheitsfrage unter IE7 ein wenig auf den Sender ging ... naja, das sollte es aber auch nicht sein.

 

Noch weitere hinweise/ideen?

 

grüße

 

dippas

[substyle 20]

Schau nochmal im IE:

 

Dort müsste es eine Option geben: "Auf zurückgezogene Serverzertifikate Prüfen"

 

Hatte auch mal so seltsamme connects. Da lag es am Virenscanner in verbindung mit dieser IE Einstellung.

 

Grüße subby

 

p.s. dippas, ich muss dich die Tage mal anrufen oder besser mailen.

[dippas 10]

Dort müsste es eine Option geben: "Auf zurückgezogene Serverzertifikate Prüfen"

 

Super Tipp!!

 

Kleine Ursache, große Wirkung:

 

Unter Extras/Internetoptionen/Erweitert gibt es den Haken "Auf gesperrte Zertifikate von Herausgebern überprüfen" (IE7).

 

Wenn dieser Haken weggenommen wird, fragt Dokusnap beim Start NICHT mehr nach einer Verbindung zu crl.microsoft.com und auch sonst funktioniert alles einwandfrei.

 

Ist der Haken allerdings wieder gesetzt, kommt wieder die Verbindungsanfrage mit den dazu gehörigen Ergebnissen (wie beschrieben).

 

Tja, nun gibt es zwar einen Workaround, aber das ist ja meines Erachtens sicherlich nicht der Weisheit letzter Schluss, oder?

 

Die Frage, die ich mir so insgeheim stelle ist folgende: Was hat DS mit Zertifikaten zu tun? Wo ist da der Zusammenhang? Und wieso zu Microsoft?

 

Wäre doch mal eine sportliche "Aufgabe", das zu erklären, oder?

 

Jedenfalls zunächst mal vielen Dank für den entscheidenden Hinweis Subby

 

grüße

 

dippas

 

PS: @subby: mail bietet sich an, bin in letzter zeit viel unterwegs.

[Dr.Melzer 191]

Wenn dieser Haken weggenommen wird, fragt Dokusnap beim Start NICHT mehr nach einer Verbindung zu crl.microsoft.com und auch sonst funktioniert alles einwandfrei.

 

 

Also wen nich das von Peter Kurz richtig verstanden habe ist es NICHT DocuSnap, der die Verbindung aufmacht...

[dippas 10]

Also wen nich das von Peter Kurz richtig verstanden habe ist es NICHT DocuSnap, der die Verbindung aufmacht...

 

ja, so habe ich es auch verstanden.

 

Fakt ist aber zumindest bei mir auf dem Laptop, dass Docusnap diesen Verbindungsversuch anstößt. Und aufgrund des Hinweises von Substyle kann man den Effekt ja reproduzierbar nachvollziehen und die Suche ein wenig eingrenzen.

 

Bin mal gespannt .. ;-)

 

grüße

 

dippas

[nerd 28]

Hi,

 

zu meiner Schande muß ich gestehen, dass ich DokuSnap nicht näher kenne ;-) aber könnte es sein, dass die Software zur Darstellung seiner GUI IE Komponenten verwendet? Ich hatte das mal bei Taxman da sah die GUI ganz komisch aus weil ich dem ie gesagt hatte, dass er keine Bilder laden soll (Internet via GPRS :D).

 

Gruß