daywalker1971

Hallo, wenn die SW nix kosten soll, kannst Du Dir eine Linux-Maschine zusammenbauen, auf der Du den Squid-Proxy installierst und konfigurierst. Über diesen kannst Du genau steuern, "wer, wann, was" im Internet darf usw. Gruss daywalker

hi, irgendwie, imho, laufen hier 2 Gedanken parallel... 1.) Verteilung von Software-Packages (= GPO) 2.) Verteilung von Updates by MS Mit dem SUS verteilst Du ServicePacks & SecurityPatches .....(MS) ALLES andere per GPO ... (z.B. ApplicationPatches, wie Office SPx) Gruss daywalker P.S. ..... irre ich da ? WOW ... weil, diese Neuerung hätte ich gerne erläutert ... *g

Anwendungsfall : vielleicht will ja jemand "gaaaaaaaaaaanz langsam durch die Strassen fahren" .... denn, was macht den APIPA ? >> hält alle fünf Minuten Ausschau nach einem DHCP-Server (offener Access-Point ?). Findet sich einer, verwirft der PC seine IP-Adresse und holt sich diese beim DHCP-Server << *g Ein weiterer, praktischer Fall allerdings entzieht sich mir allerdings auch *g Gruss daywalker P.S. just a joke

@olaf Du wolltest ja eine Rückmeldung -> Yep, damit lässt sich (wenigstens) dieser Tunnel verhindern. Heisst, aufgrund verschiedenster Strukturen des 'tunnelings' ist natürlich nicht auszuschliessen, dass "andere Wege dennoch funktionieren" .... ABER httpf ist " 'scho geil" ! Hintergrund ist, wie erwähnt, ein Proxy auf Linux-Basis -> Squid ! (gibt's eigentlich adäquate Alternativen ? *g) Vor diesen schaltet sich dann der httpf .... und diesen kann man "herunterfiltern" bis auf "plain text" ...... Wenn man dann noch "hier & da" ein wenig bastelt ..... ist der (dieser) Tunnel Geschichte ! Ich will mal eben schnell anmerken, dass ich kein "Ur"-Linuxer bin, sondern seit Jahren aus der "MS-Welt" komme (bevor Diskussionen entstehen) .... aber im Bereich der Security (Mail/Spam/FW/ uswusw ....) nicht auf LX zu setzen .... iist einfach nur fahrlässig ! Die haben tatsächlich die dollsten Lösungen. So ganz langsam glaube ich, dass deren "grösste Ablehner" daher rühren, dass Sie das System nicht "begreifen" *g (dabei ist es so einfach . -> lesen bildet halt immer noch *g) Gruss daywalker P.S. Mein "neuer Freund" neben SquidGuard : http://httpf.sourceforge.net/

Hi @ Olaf >> Ich denke, für zu Hause zum Basteln mag dein Ansinnen vielleicht reichen aber bei 300 PCs ist es vom wirtschaftlichen Standpunkt einfach unsinnig, sich mit unausgewachsenen Lösungen zu beschäftigen. << "Richtig" scriptiert ist das definitiv KEIN Thema. Auch Deine These von der Unsinnigkeit unter ökonomischem Aspekt kann ich nicht ganz folgen. Ich habe per "login-,bat- &vb-scripts" schon 250 Rechner vom Novell-Client befreit, überflüssige Protokolle entfernt, den MS-Client dafür draufgehauen ect. Kompletter Umzug von Novell auf MS per Script auf Clientseite. Alles vollautomatisiert und übrigens parallel. Das ganze hat mich mit - wie sagtest Du - "Basteln" einen Arbeitstag gekostet. Clients waren NT, sowie 2k. Wenn also eine Umstellung dieser Art mit 3 x rebooten beim Client , ohne Benutzeraktion ausser dem login klappt : Was genau ist daran unwirtschaftlich ? @ Xandie Was ist das genau für eine .exe ? Gruss daywalker

Hi, welches OS haben Deine Clients ? Gruss daywalker

welchen Cisco hast Du denn ? Das simpelste wäre doch irgendwie, remote einfach das externe Interface runterzufahren ... Gruss daywalker

Hi, die VM-Ware wäre mir auch eingefallen, da ich mal eine ähnliche Situation hatte. Allerdings wollte der NIC dann nicht, wie er sollte. War ein Broadcom-Adapter, der den Dienst via RIS & PXE verweigerte. Solltest Du Probleme haben darüber PXE zu booten, melde Dich. Habe den Link gerade nicht parat, suche ihn dann raus. Gruss daywalker

Hi, Moment @Underline Jo, ich habe eine Disk "reingeschoben" .... weil man dass nunmal bei der Erstinstallation bei nicht vorhandenem NOS-Treiber so macht ..... Ich sagte aber auch, dass ich das nun nicht mehr brauche. Beim Recover wohlgemerkt ! (im übrigen : wenn ich einen Server auf diesem Wege wieder hochziehe, stehe ich eh' meist lokal davor ..... somit ist das mit der Diskette wohl nicht soooo weit weg ...) Mit einem "zweckentfremdeten" Treiber gehts halt auch so. Habe aber die Basis(Erst-)installation auf diesem Wege noch nicht getestet, da ich noch keinen weiteren Server seitdem aufsetzen musste, wobei eigentlich nichts gegen die Funktionalität spricht, denn wenn er 1.) den Treiber nimmt 2.) als Folge von (1) die Platte erkennt, kann ich 3.) auch neue Partitionen unattend setzen ... die Definition des Raid-Levels übernimmt übrigens der Controller ... und das weit vorher ... Gruss daywalker

Hi, also Dein Ansatz würde mich auch interessieren. Ich habe es anfangs ganz pragmatisch so gemacht, dass ich meinen Server via RIS-Recovery einfach vor zurückspielen des Images kurz die Diskette mit dem NOS-Treiber reingepackt habe. Als das zu lästig wurde *g, habe ich einen "System-Raid-Treiber" so verbogen, dass mein PERC3 automatisch genommen wurde. Beim Recovery braucht man a) kein neues Raid anlegen, sondern will b) einfach nur die Boot-Part. behalten. Wie hast Du es gemacht ? Gruss daywalker

Hi, habe zwar von Novell soviel Ahnung, wie von Geburtswehen - aber es stellt sich doch die Frage, ob ich nicht "problemlos" übers Login sowohl "diese exe-Datei", als auch ein passendes Script temporär lokal auf den Client hochschiebe, um danach per (z.B. vb-) Script zunächst das entsprechende Adminrecht zu übernehmen und im Anschluss daran die Installation laufen zu lassen .... Kann nicht das grosse problem sein, oder ? Gruss daywalker

Klaas hat irgendwie schon alles gesagt. Inklusive dem (vermeintlich) häufigsten Irrtum, Centrino sei eine eigene Prozessorarchitektur. Ein Notebook wird erst dann zu einem "Centrino", wenn auch ein WLAN-Modul drin ist. ... dieses aber nicht mit "Celeron" verwechseln *g Dass wiederum könnte zu "Performanceüberraschungen" führen ;-) Gruss daywalker

Hi, ja - klar - content filter meinte ich schon. einen, der mir über den squidguard hinausgeht, habe ich heute unter die lupe genommen. http://httpf.sourceforge.net das ding hat was ! klemmt sich vor den squid und wird als proxy bei den clients eingetragen. je nach config gibts nicht mehr viel zu sehen im browser. werde morgen bei einem weiteren test mit dem "supporter" einen weiteren (anderen) kompletten mitschnitt laufen lassen und mal schauen, was da jetzt so rauskommt. gruss daywalker

Hi, erst einmal "Danke" für Dein Interesse und Deine Antwort ! Mein Problem ist ja genau dieses ...... tunneln kann man alles ... Blocken könnte ich einen Download verschiedenster "expressions" (zip,exe, .... wasauchimmer ...) ziemlich einfach via Proxy. Dieses allerdings ist "nicht gewünscht". Darüberhinaus ziehen bis dato auch alle Policies, in denen definiert ist, dass der "normale User" nix installieren darf, heisst, nix, was das System (Registry) anfasst. Davon ausgenommen ist leider der Download und Start verschiedenster exe-Files....... Nun "hart" per GPO zu definieren, "wer was" ausführen darf, ist doch ein wenig heavy ..... Somit bleibt wohl die "statefull Inspection". Und da frage ich mich, wie ich "dazwischenkomme", wenn ein (vermeintlich rfc-konformer) Tunnel aufgebaut wird ....... Gruss daywalker

Hi, ich will ja nicht "zu paranoid" erklingen, aber wenn man WIRKLICH von Sicherheit sprechen möchte ...... Zitat :" sowie zusätzllich eine Software-Firewall von Norton" .... Norton = Symantec = USA-zert. Produkt = gute Nacht = erkennt, was es erkennen "SOLL" ..... Hintergrund : Symantec bietet z.B. ein 30k-€ teures Produkt namens "Manhunt" an ..... sieht auf den ersten Blick echt "lecker" aus und die kamen auf der Cebit gar nicht damit nach, mir dieses aufzudrücken. .... naja, hat nicht wirklich lange gedauert, zu widerlegen, dass es genügend Quellen gibt, die Syamntec (Produktübergreifend) "einfach" mal ignoriert ..... Gruss daywalker

Hi, also wenn Du schon einen Cluster unter 2k3 laufen hast ... nehme ich einfach mal an, dass Du "irgendwo" auch einen DC laufen hast....... der wiederum auch vermutlich einen DNS laufen hat ..... MS empfiehlt in einem "Whitepaper" (im Technet), eine Clusterumgebung als "Non-DC" und "Non-DNS" laufen zu lassen. Du brauchst somit "einen" sauberen DNS im Netz, zu dem Du eine Verbindung hast. Die "virtuelle IP" des Clusters wäre in jedem Falle eine nicht wirklich gute Wahl .... es sei denn, Du hättest tatsächlich einen "DNS-Deamon geclustert *g" Unterm Strich : Nehme einen DNS, der in Deinem Netz bis dato "sauber" Deine Namensauflösung verrichtet. Gruss daywalker

Erst einmal ein "Hallo" an Alle hier ! .... hoffentlich das richtige Forum ..... aber irgendwie ist es ja LAN *g Zunächst "meine" Umgebung : intern Serverseitig : homogen Win 2000 (16x). Clients : 2000/XP (ca. 250x) ADS wird aktiv eingesetzt nach Aussen : 3-stufige Firewall, bestehend aus Cisco-Komponenten, sowie diversen Linux-Maschinen mit (jeweils wieder *g) aktivierten Firewalls, sowie als "IDS" konfiguriertem "snort". Natürlich im Zuge dessen auch diverse DMZ's. Internet findet via "internem" & "externem" Squid-Proxy (sowie Squidguard) statt. Mein Problem stellt sich folgendermassen dar : Hat irgendjemand eine IDS/IPS , die aktiv einen http-Tunnel "meldet" ? Hintergrund ist folgender : Es gibt mittlerweile ja einige Ansätze, auffälligen Traffic zu überwachen. Ich habe bei uns, wie gesagt, "SNORT" entsprechend konfiguriert. Nun bekam gestern ein User von einem 3rt-Party-Supporter die Aufforderung, sich ein "kleines exe-File" von deren Homepage zu holen und bitte zu starten. Dieser User macht es natürlich (ich weiss, könnte diese Downloads sperren .....) ...... und 1 Minute später steht eine Remote-Desktop-Connection vollkommen an der FW und sämtlichen Sensoren vorbei ! Ist klar, denn es wird ein http-Tunnel mit "initialized by outgoing" aufgebaut" ...... Was mir quer aufstösst ist, dass ich dieses heute mit diesem Supporter "nachgestellt" habe unter zuhilfenahme "sämtlicher Tools" : IE-Sicherheit "dicht gemacht" - heisst : nix ActiveX, kein Java, kein Scripting .... tcpdump auf dem Proxy : zeigt nur Port 80 tcpview auf dem Client : dito ...... und der Hammer : ein "Filemon" zeigt mir auch nicht, wieso der Desktop aufgemacht wurde ! Da passt es doch ins Bild, dass der angemeldete User natürlich lediglich "Benutzer-Rechte" hat ..... (alle Tools by sysinternals.com) Nu' frag ich mich .... wie erkenne ich wenigstens ansatzweise, dass A nach B einen Tunnel initiiert ....... Dass es Systeme gibt, die "RFC-Verletzungen" melden ist klar. Nur ist ein Tunnelaufbau nicht zwingend eine entsprechende Verletzung von RFC's, sondern eine "fremdentzweckung" *g Wer verrät mir, wie ich's frühzeitig erkenne ? *g Gruss daywalker