Jump to content

Lucyyyyyy

Junior Member
  • Content Count

    110
  • Joined

  • Last visited

Community Reputation

10 Neutral

1 Follower

About Lucyyyyyy

  • Rank
    Junior Member
  1. wenn ich das richtig verstanden habe, dann habt ihr einen eigenen BIND der im internen Netz für die namensauflösung domäne.ch zuständig ist... ######## die zonen datei domain.ch ----- $ORIGIN domäne.ch IN SOA dns.domäne.ch root ( 26779 ; serial 0 ; refresh (0 seconds) 0 ; retry (0 seconds) 1209600 ; expire (2 weeks) 3600 ; minimum (1 hour) ) irgendein_host IN A 192.168.0.1 irgendein_anderer IN A 192.168.0.1 . . ...und so weiter es hindert dich nichts daran diesen eintrga vorzunehmen: www IN A 172.67.35.2 (z.b. die ausgelagerte IP eures ISP) ---------------------------- euer internen dns kann dies nun auflösen ...möchtest du das "www" auch reverse auflösen, müsstest du eine neue zonen datei anlegen... z.b. 35.67.172.in-addr-arpa und dort den eintrag 172.67.35.2 IN PTR http://www.domäne.ch. vornehmen ..thts it ...
  2. ich find das mit den einsen und nullen immer recht verworren... hier eine (zumindest für mich einfachere variante: ------------------------------- 255 (256 gesamt, da man ja die null mitzählt)). = 8 bit z.b. Netzmaske .../255 . 255 . 255 . 0 .../8bit . 8bit . 8bit . 0bit = ( 3 x 8bit = 24bit ) also eine 24 bit netzmaske (24 bit netzanteil), bleiben dir 8bit (8bit Hostanteil) für die adressieren der hosts. so ist z.b. ..../255.255.255.255 eine 32bit netzmaske sprich 192.168.1.1 / 32 eine einzelne IP adresse 2 = 1 bit 4 = 2 bit 8 = 3 bit 16 = 4 bit 32 = 5 bit 64 = 6 bit 128 = 7 bit 256 = 8 bit d.h. bei 255 . 255 . 248 . 0 256 - 248 = 8 ( als 8 für den hostanteil im dritten oktet der notation 255 . 255 . 248 . 0 ) du hast 8 Teilnetze im 3. Oktett, dies entspricht siehe oben 3 bit im letzten oktet hast du 8 bit frei also insgesamt 11 freie bit für den hostanteil ausgehend von 32 bit ergibt sich 32 - 11 = 21 8 Teilnetze: ######## 220.78.168 ( das 1. netz) 220.78.169 ( das 2. netz ) . 220.78.175 (das 8. Netz ) also wie meine vorredner richtig posteten: 220.78.168.0/255.255.248.0 oder 220.78.168.0/21 ...just another way
  3. ...DFS trifft es nicht ganz (imho), ...wenn man "weiss" ...und etwas mit "mount" anfangen kann. ich zumindest würde DFS nicht mit mount vergleichen wollen. wenn dies jetzt so heissen würde: Inhaltsdaten des Netzlaufwerkes (\\server\freigabe) --- in diesem NTFS-Ordner bereitstellen. ...das wärs, ich denke darauf möchte mickey hinaus... soweit mir bekannt geht das "MS" Mount eben nur für lokale datenträger... noch ein beispiel... ich lege mir auf partition D: einen ordner test an ( D:\test ) in den ordner test mounte ich mir die freigabe \\server\c$ , ... wenn ich nun im explorer D:\test anklicke sehe ich diese struktur: D:\test\Dokumente und einstellungen D:\test\winnt D:\test\Programme ...und so weiter
  4. ...stichwort ...MOUNT... egal ob partition oder eine freigegeben ressource auf einem anderen system ... unter linux kann man sich so z.b.m mit einem samba mount diese freigabe unter /opt/freigabe einbinden. unter windows weiss ich das man dies nur mit partitionen direkt in ordner machen kann ...und das auch nur ab 2003? das meinte wohl mickey ... also beispielsweise soll \\server\freigabe unter c:\windows\diesefreigabe zu sehen sein...
  5. generell schon... dennoch sollte man bedenken, das in einer pki, pkix der private key der schlüssel-teil des asymmetrisch erzeugten schlüsselpaares ist, der eigentlich NUR DEM Eigentümer, ...in deinem fall einem deiner mitarbeiter bekannt sein sollte bzw. den nur er besitzen sollte. jenachdem wie du deine zertifizierungsrichtlinien definierst, kannst du das auch etwas lockerer betrachten und das asymmetrische schlüsselpaar für die mitarbeiter erzeugen. ich kann dir allerdings nicht genau sagen, wie das genau bei dem zert-dienst von microsoft funktioniert, da dies ja eine webbasierte anwendung ist, zertifikate online ausgestellt werden. ich selbst arbeite mit openssl, da ist das sehr gut möglich. wenn du an den private key der certifikate-authority (CA) kommst, sollte dir nichts mehr im wege stehen, dir tools wie openssl nutzbar zu machen und selbiges zu tun. ich selbst halte nicht soviel von diesen online- /webbasierten zertifikats-anwendungen, weil dir viel zuviel arbeit abgenommen wird und man nur schwer "zu verstehen lernt" ...wobei es darum wirklich geht. ...würd ich sagen im zweifelsfall: ...von einem arbeitsplatz "als dieser" user in der domain anmelden und zertifikat anfordern über deinen IIS danach das benutzerzertifikat installieren und danach kannst du es ja wieder wie beschrieben exportieren. mfg
  6. ...soweit ich weiss, werden zertifikate (im PFX oder P12 format), also mit dem dazugehörigen private key immer im zertifikatsspeicher "eigene zertifikate" abgelegt, ...insofern man den speicherort nicht selbst bzw. manuell auswählt. wichtiger ist denke ich, das das zertifikat den entsprechenden zweck ( definiert) über key usage/ extend keyusage inne hält. siehe auch object identifier oid (extended keyusage) Serverauthentifizierung (Webserver) 1.3.6.1.5.5.7.3.1 IPSec end system 1.3.6.1.5.5.7.3.5 Client authentication 1.3.6.1.5.5.7.3.2 IPSec tunnel 1.3.6.1.5.5.7.3.6 Code signing 1.3.6.1.5.5.7.3.3 IPSec user 1.3.6.1.5.5.7.3.7 Email Protection 1.3.6.1.5.5.7.3.4 Timestamping 1.3.6.1.5.5.7.3.8 Netscape SGC 2.16.840.1.113730.4.1 Microsoft Server Gated Crypto - SGC 1.3.6.1.4.1.311.10.3.3 enthält das zertifikat nicht die entsprechende extended keyusage ( z.B. IPSEC user)... dann findet er es natürlich auch nicht wenn du es verwenden willst, bzw. wird es dir nicht angezeigt... deshalb ist benutzerzertifikat auch nicht gleich benutzerzertifikat. gruss
  7. ...ich glaub hier wurde introusing detection von mir angesprochen! ...zum ende hin fühlte ich mich auch noch angemacht? ...weil ich durch weg5st0 genau auf deratige feature die im zusammenwirken mit iptables greifen "könnten" angesprochen wurde? ehmmm, mir fehlen da jetzt wirklich die worte... oder was soll denn das hier? ja hallo? hab ich denn im post 14 etwas anderes gemeint?...oder wurde das grosszügig überlesen oder ignoriert? ...oder wurde nur darauf wert gelegt, mich grosszügigst zitieren zu können? und durchgekautes weiter durchzukauen... ich nehme jedenfalls für mich mit, das man den begriff Firewall sehr weit dehnen kann, was auch hier geschieht, ...sich anforderungen an eine firewall (eine komplettlösung oder das zusammenwirken mehrer kleiner unabhängiger softwarelösungen zu einem ebenso kompakten system ausbauen lassen) @weg5st0 ...wie wahr. dem hab ich nichts entgegenszusetzen., ein philosophischer ansatz. nun muss man nur noch die aufgabenstellung kennen, diese auto sollte nur für eine 20-iger zone zugelassen sein, wohlmöglich bietet dieses gurtsystem ausreichend schutz zu diesem zwecke und ist nicht "oversized" und gemessen am aufwand schutz betreiben zu wollen, so ganz ohne überrollbügel ...die effektivste lösung. ...damit möcht ich das an dieser stelle mal abbrechen, ...denn nichts anderes verstehe ich letztenendes unter einer "guten firewall ..." ...aber so ist das nunmal im opensource ...viele kleine dinge ergänzen sich völlig unabhängig zu einem grossen ganzen ...und man hat einfluss darauf, ob das endprodukt oversized ist oder nicht... hab ich diese wahl bei checkpoint auch? @weg5st0 ...danke für deine PN ...und sorry!! ...seh das bitte nicht zu eng, weil ich hier keinem der beteiligten unwissenheit unterstellen würde... im gegenteil ...wie beim militär? ...Zügle bitte deine Ausdrucksweise! ...würde auch hier zum guten ton gehören, wenn du es besser machen würdest wollen als ich ;) ...das mit den SSL, PKIX PKI gehört nicht weiter hierher.... muss man nicht weiter ausdehnen... da dem produkt "verschlüsselungsendpunkt" die öffentlichen schlüssel bekannt sein müssten... leider kannst du nicht wissen, welcher öffentliche schlüssel verwendet wurde... und dazu muss ich mich nicht der PKI des unternehmens bedienen.
  8. gottseidank muss ich das nicht, ...weil ich lösungen nach einer gestellten aufgabe oder problem erst im opensource bereich suchen würde... und im OS bereich vertärkt auf LINUX setze. tcpdump (ist für mich in ersterlinie ein sehr gutes und das wohl bekannteste consolen sniffer tool im opensource, alternativ für liebhaber der grafischen darstellung ethereal) ...und snort ein introusing detection system... sollte eigentlich jedem der einwenig mehr auf linux setzt kein fremdwort sein. nur darum ging es ja nicht wirklich oder? ich sehe hier eigentlich nur, das ich permanent zitiert werde, strikt auf meine ausdrucksweise und der das inhaltliche bis aufs letzte auseinander genommen wird, darauf geachtet wird... achtet also keiner derjenigen in einem posting darauf, bietet er allen anderen einen breitgestreute(n) angriffspunkt(e) egal wie hartnäckig ich argumente in euren augen ignoriere, was ich ja eigentlich garnicht tue und hiermit dementieren möchte... es ist eben nicht so das ich mich zu keiner zeit mit diesem thema auseinander gesetzt habe, mir jedoch genau dieses unterstellt wird, gar versucht wird zu suggerieren... das passiert eben in einer diskussion, wenn zuviele leute zuviel wissen, seminare besucht haben, erfahrungen gesammelt haben etc. genau in diesem zusammenhang ist es mir nicht gestattet, genauso peinlichst darauf zu achten? ...glaub ich dir. was hier zu keiner zeit erfolgt ist, tatsächlich geklärt wurde ist... wie setzt sich das zu schützende netzwerk zusammen, sind es tatsächlich produktivsysteme oder ist es ein schlichter webservice... existiert eine aufgabenstelllung und gilt es ein existentes sicherheitsproblem zu lösen... ich denke das es mehrere ansätze geben kann, steht nicht zur frage. danach bemesse ich ob die lösung oversized sinn macht oder nicht... ebenfalls gehen die meinungen stark auseinander was den begriff firewall betrifft... für die einen ist es ein komplexes system ...eine komplexe softwarelösung ... (watchguard x-500, checkpoint ) ...für andere ist iptables netfilter auch schon eine firewall... iptables mit, in meinen augen mit erweiterter funktionalität wie snort, die unmittelbar das packetfiltering beeinflussen, ...die koppplung mehrer dienste, also auch damit verbundene installation mehrer unabhängiger softwarlösungen... führe zu einer ähnlichen kompakten lösung ...eben ein anderer weg. aber das hatte ich auch schon längst erwähnt... (siehe post 14)
  9. ja eben, wie ich schrieb spontan... 1) ...in einer damaligen version meines webmins gab es es ein thirdpart modul (MON Service Monitor mon.wbm.gz Setup MON, a powerful service monitor and alerting system). ich habe zum damaligen zeitpunkt soetwas gesucht und ich glaube zu wissen, das es dieser monitord war... ich kam leider in die verlegenheit diesen komplieren zu müssen und zu installieren und auszuprobieren. leider genügte er nicht meinen ansprüchen bzw. konnte ich nicht das machen, was ich vorhatte. nicht immer sind ältere programme mit einer downloadrate von 2500 schlecht oder gar unfunktionell... zugegeben mag der "schlechtere" support und die Sprache sich als problematisch erweisen, sollte mich aber nicht daran hindern dieses zumindest zu testen. und vielleicht hatte ich ein einziges, klitze kleines problem und brauchte keinen oversizeded monitoring tool... um das analysieren zu können, braucht man auch eine konkrete aufgaben/anforderungs -stellung. ( in jedem fall hab ich keine oversized lösung gesucht @weg5st0 ) sooo und nun schau ich mir den ersten satz vom thread ersteller an.... ...nur deshalb hab ich mich geäussert und war wie richtig bemerkt nur ein tip. in diesem sinne hab ich es nicht im einsatz (hast recht), aber davon war von mir auch nicht die rede was eindeutig aus meinem geschriebenen hervorgeht... ansonsten muss ich dich entäuschen ...habs leider installiert und getestet...
  10. :cool: ..alles klar weg5st0 ;) ...rofl ..tcpdump ...snort... weisst überhaupt was das ist oder musstest du das erst googeln? und du schreibst hier irgendwas, ohne zu lesen bzw. verstehen zu wollenn was andere schreiben? ...ja, sowas mag ich besonders... scheint aber generell ein problem zu sein... naja mir egal... den grössten lacher hast du bei mir gelandet mit iptables und ipchains sind personal firewalls ;) und komm von deinem ross runter... du verpackst dir den begriff firewall nach deinem geschmack... nicht mehr und nicht weniger... sooo ich muss weg... das mir hier zu heavy ...das war der ausgangspunkt der ganzen disskussion hier ^^... und nun schau ich mir die 4 seiten hier an... nunja ... baba und nen nice weekend :)
  11. ... smile ..hab nicht auf das datum geachtet, ...aber da ich nicht wissen kann, was es denn zu monitoren gibt und monitord durchaus noch funktionieren kann, und vielleicht auch wesentlich leichter zu administrieren ist als nagios und alle anforderungen des "problemkindes" erfüllt... wieso nicht ? ...zum anschauen reichts allemale smtp gabs 2001 eins doch auch schon oder? ...könnt sogar mir monitord machbar sein ;) ...war auch nur nen spontaner tip wobei es folgendes noch genau zu klären gibt... ist damit ausschliesslich die installationsplattform gemeint? ...dann fällt whatsup aus oder? ;)
  12. sehe checkpoint auch als firewall ...gegenteiliges hab ich nie behauptet... worauf ich hinauswill?...um das verstehen zu können, muss man wohl den ganzen thread hier gaaanz gaaanz aufmerksam verfolgen das hier leider etwas entglitten... sollte sich hier jemand angemacht fühlen, so bitte ich diesen um entschuldigung... mit allem anderen kann ich leben ;) ...ich muss das für mich hier einfach mal sooo beenden, weils kein sinn macht... nicht bös gemeint, weil ich die fakten nicht anders werte wie ihr, ...vielleichts liegt es ja auch an den verständigungsproblem wenn man "nur schreibt" ... ...auch wurst ob das meine firwall kann oder einer meiner sendmail filter ...ja ich weiss, ist auch nur nen beispiel, aber das ergebnis zählt. wir müssen das rad nicht neu erfinden, ...vielleicht können wir uns auf ein "optimiertes OS", ...einen optimierten kernel einigen... ;) es sei denn du erzählst mir, du bist soffwarentwickler und insider... oder hast die watchguard x-500 erfunden P.S: WOIZA ...du zitierst mich oft... du musst schon den ganzen thread lesen und versuchen zu verstehen, sonst müsst ich jeder deiner veräusserung entgegenen, darum geht es garnicht, jedoch stimme ich dir zu ^^ ...so oder so änlich... ;) ...da dir scheinbar die zusammenhänge entgangen sind... ;) ...der thread ist sehr informativ, mit begeisterung nehme ich diesen INPUT auf... in diesem sinne, auch ein dickes danke für diese wirklich sehr ínteressante gesprächsthema... (ehrlich gemeint)
  13. ich lese mir das, was ihr hier schreibt sicher sorgfältig durch, stelle fest das aneinader vorbeigeredet wird. ...wir haben mit der diskussion "firewall" ...als solches angefangen... und sind nun bei application firewall gelandet :rolleyes: ich denke gerade an ipchains (linux), das durch iptables abgelöst wurde ...und doch sind beides firewalls. UND DIES BITTE NUR ALS BEISPIEL WERTEN !! ... IPCHAINS kannte kein stateful filtering ...weiterentwicklungen, implementierungen ...zusätzliche features, einfach "tiefer" in die pakete schauen zu können... haben iptables zu einem einfach komplexeren ...ich sage mal system werden lassen ...und wieso auch nicht. trotzdem ist ipchains eine firewall wie iptables auch... sicherlich lässt sich der begriff jetzt wirklich sehr weit dehnen ... application firewall, ..."ganz ganz tief" in die pakete schauen zu können, exploits entdecken zu können ...leute leute ...wovon reden wir hier eigentlich... ich meine welches software oder hardware entwickelnde unternehmen bietet noch simple firewallsysteme mit der funktionalität von ipchains an? ....ich weiss net. vor 40 jahren waren 2 takt-automotoren wohlmöglich auch das highend... heute verkauft sich soetwas einfach nicht mehr... linux - iptables ipt_MASQUERADE, ipt_unclean, ipt_multiport, ipt_REJECT, ipt_state, iptable_mangle, iptable_filter, ip_conntrack_ftp, ip_nat_ftp, iptable_nat für mich sind das MODS, ...die sich beliebig erweitern lassen, ich kann sie nutzen, implementieren oder auch nicht, bzw. nach bedarf. ipchains konnte das nicht ! und ja, bis zu einer bestimmten ebene kann man pakete mit iptables auswerten. leute leute, ...kann das ne tiny firewall auch? ...oder hat sie den namen firewall nicht verdient? sorrry, aber wenn ich das hier lese ---> ...guten tag ! ...wo hab ich das verlauten lassen... ...auch davon war nicht die rede. schau, daraufhin äusserte ich mich, ...wege gibt es natürlich immer ! ...da müsste ich mich NUN ehrlich gesagt schlau machen, weil ich bisher davon ausgegangen bin, das ich bei einem asymetrisch erzeugtem schlüsselpaar, also mails die mit meinem öffentlichen schlüssel verschlüsselt wurden, auch nur mit meinem privaten schlüssel, ...den eigentlich nur ich haben sollte !! ...entschlüsselt werden kann !! versteh ich jetzt nicht ganz !! wozu dann eine PKI oder PKIX ... wozu dann private schlüssel... wenn dritte, eigentlich unbefugte dieses entschlüsseln ...also was genau hab ich jetzt nicht verstanden? ...welche keyusage tut soetwas? aber auch darum ging es mir nicht, weil gesagt wurde ...in jedes paket... aber da du ja nicht wissen kannst mit welchem ihrer öffentlichen schlüssel ich verschlüssele ...nunja ...oder hast du die firewall firewall mit all ihren öffentlichen schlüsseln "gefüttert"... ;) ...also ist das eine aussage ... nunja ^^ und ob mein asymetrisches schlüsselpaar durch die unternehmens pki signiert wurde ...weisst du auch nicht ...vielleicht hab ich ein selfsigned zertifikat verwendet ...soviel dazu... ...sorry, aber auch das bestätigt mir, das wir hier absolut am thema vorbeireden... ist eine firewall nur ne firewall wenn sie AUCH application filtering betreibt? packetfiltering reicht mir um sagen zu können, dies ist eine firewall... aber da sind wir wohl wieder bei den 2 takt und 4 takt motoren.
  14. ...wirklich helfen in dieser situation? --> 3 schicht system. irgendwann hat auch der admin seinen feierabend verdient. ansonsten kann ich mich meinen vorredner Squire nur anschliessen... das was du brauchst sind monitoring programme die bestimmte aktionen ausführen... als ereignis dem admin um 2 uhr in der früh eine sms schicken oder den beeper wild vibrieren lassen. monitoring dienste von simple bis oversized... von opensource bis "ziemlich teuer"... letzten endes tun sie jedoch alle das gleiche , überwachen, reagieren und agieren... ich habe mir bei ebay nen recht alten 19" server von compaq gekauft ...pentium 1,4 ghz DL360 G2, ...die haben soetwas sogar on board ...nennt sich glaub ich ASR ...automatic server recovery ... server schmiert ab, blue screen ...neustart... opensource ...linux ...schau dir den monitoring daemon an ...kostet nix und recht einfach in der bedienung ...über den webmin verwaltbar... hab mir den nur kurz angeschaut und kann leider keine genauen auskünfte erteilen .... kostet nichts und tut wie jedes monitoring "tool" seinen dienst ... SourceForge.net: monitord ich werd mir das jedenfalls noch genauer anschaun, hab leider bisher noch nicht die zeit gefunden...
  15. ...hehe Velius :D ...ich nich ...aber so gesehn interessiert mich das schon ^^ ...man muss ja nicht nur immer helfen wollen in sonem forum ...nen meinungsaustausch ist auch was feines = INPUT ^^
×
×
  • Create New...