Data1701

@ Xtragood Nun L2TP ist ersteinmal ein reiens Tunneling-Protokoll und und ist eine Weiterentwicklung von PPTP. Vorteil von L2TP, man kann nicht nur IP-Pakete Tunnel sondern auch andere Protokolle, z.B. IPX. L2TP ist kein Sicherheitsprotokoll, erst mit IPSec als Sicherheitsprotokoll wird die Sache abgerundet. IPSec kann zwar nur mit IP-Paketen umgehen, aber durch die Verbindung mit L2TP wird dieser Nachteil wieder wettgemancht. Über die in IPSec implementierete zweiseitige SA (Sicherheitsassoziation) - und dann auch noch mit Certifikaten - in Verbindung mit einer hohen Verschlüsselung, würde das Angriffsrisiko stark abgeschwächt werden. Man könnte sich auch so weit aus dem Fenster lehnen und sagen: "Da wird nix passieren". Einziger Nachteil Deiner Implementierung ist die Tatsache, dass Du ein MS-Produkt in vorderster Front hast. Also, alle Bugs etc. eines MS-Systems könnten die Sicherheit Deiner L2TP-VPNs kompromitieren. Deshalb bietet sich ja ein Stück Hardware eines anderen Herstellers an. Die kleinen Cisco-Pixen (z.B. 506) kosten ca. 1000 €, damit kann man schon viel machen. Es gibt natürlich auch günstigere Produkte, aber das wäre dann ein neuer Thread. Gruß Data Edit = Korrekturlesung

Oh, warte mal, ich wringe gerade meine Gehirnwindungen aus........ :D Da war doch was ! Ja, stimmt - Habe ich verdrängt. Dich erwische ich auch noch einmal auf dem falschen Fuß - Versprochen :D. Die Dipl.Arbeit sollte allerdings VPN mehr von der betriebswirtschaftlichen Seite betrachten, Technik wurde nur kurz angesprochen, hast Du richtig erfasst. Nun zusammenfassend: @xtragood Aus dem Buch: Manfred Lipp - VPN (Erschienen bei Addison-Wesley): Das Point-ta-Point Tunneling Protocol wurde von einer Reihe von Firmen entwickelt, die zu diesem Zweck das so genannte PPTP-Forum gründeten. Der Software-Riese Microsoft war, neben Unternehmen wie Ascend Communications, 3Com und anderen, maßgeblich an der Entwicklung beteiligt und hat seine PPTP-Clientsoftware in alle seine Betriebssysteme integriert bzw. für ältere Systeme wie Windows 95 Updates (Microsoft Dialup Networking Update 1.3) auf den Markt gebracht. PPTP kann sowohl als Basis für das Ende-zu-Ende-Modell dienen als auch durch Implementierungen in RemoteAccess-Konzentratoren im Provider-Enterprise-Modell eingesetzt werden. PPTP hat einen dem L2TP ähnlichen Aufbau. Für den Steuerungs kanal verwendet PPTP jedoch das TCP-Protokoll. Als Layer-2-Protokoll kapselt PPTP PPP-Rahmen mit einem modifizierten GRE-Header ein. PPTP bietet auch einige Sicherheitsfunktionen wie Datenverschlüsselung (MPPE, Microsoft Point-ta-Point Encryption) und Benutzer-Authentifizierung, die allerdings bei weitem nicht die Stärke von IPSec aufweisen. Insbesondere die Ableitung des Schlüssels, mit dem die Daten verschlüsselt werden, aus der Benutzer-Authentifizierung war in der Vergangenheit Zielscheibe einiger erfolgreicher Angriffe. Der Schlüssel des eingesetzten RC4-Protokolls ist zwar, je nach der Version von PPTP, entweder 40 oder 128 Bit lang - aber er wird aus einem Hashwert des Benutzer-Passworts erzeugt. Also muss ein Brute-Force-Angriff (vgl. Kapitel 4) nicht alle 240 oder 2128 möglichen Schlüssel testen, sondern braucht praktisch nur einen Wörterbuchangriff auf das Benutzer-Passwort durchzuführen. Microsoft hat mit einem Update auf die erfolgreichen Angriffe reagiert und eine neue, sicherere Authentifizierung namens MS-CHAPv2 implementiert. Aus Kompatibilitätsgründen kann das neue Verfahren beim Verbindungsaufbau jedoch durch die alte Version ersetzt werden, was eine nicht unbeträchtliche Angriffsfläche bietet. In jedem Fall basiert die Sicherheit der Verschlüsselung in PPTP auf der Sicherheit des Benutzer-Passworts - und das ist vielen Anwendern ein zu hohes Sicherheitsrisiko. Viele gute Sicherheitsstrategien legen darüber hinaus auch gewisse Verfahren und Richtlinien zur Schlüsselerzeugung und -Verwaltung fest, so dass der Einsatz von PPTP oft schon an dieser Hürde scheitert. Auch Microsoft verabschiedet sich langsam von seinem Problemprotokoll PPTP. Im neuen Windows 2000 werden verschiedene Tunneling-Protokolle - nach wie vor auch noch PPTP - angeboten, jedoch wird für neue Installationen die modernere und sicherere Variante L2TP IPSec (siehe Kapitel 9) empfohlen. In Provider-Enterprise-Modellen setzen die Service Provider zunehmend auf L2TP, so dass auch hier PPTP immer weiter verdrängt wird. Reicht das ? ;) Gruß Data

Der Kohn, scheint wohl den kompletten MS-News-Dienst direkt in sein Hirn zugestellt zu bekommen :D. Nachteil bei der WPA2 - Implementierung: Nicht Abwärtskompatibel zu WEB. Damit kann man dann schon mal neue Hardware planen. Sollte allerdings so oder passieren, falls die alten Komponeten nur WEB unterstützen. Gruß Data

@ Velius Sicher ? Ich meine nämlich (Auszug aus meiner Diplomarbeit - Falls das als Quelle genügt :D ): IPSec stellt nicht die einzige Möglichkeit der sicheren Kommunikation in einem VPN dar, einige Unternehmen nutzen auch das Point-to-Point Tunneling Protocol (PPTP). Bei diesem Protokoll handelt es um eine Erweiterung des älteren Point-to-Point Protocol (PPP). Das Point-to-Point Protocol ist ein Schicht 2 Protokoll (vgl. Abb. 3). Es wurde von einem Firmenkonsortium, zu dem auch Microsoft gehörte, entwickeltet und hat daher in der „Microsoft-Welt“ einen hohen Stellenwert. (Fußnote 25) Wie IPSec ist es auch mit PPTP möglich einen sicheren Tunnel durch das Internet aufzubauen. Von Vorteil ist hier die Möglichkeit Netzwerke, welche verschiedene Netzwerkprotokolle verwenden, z.B. IP und IPX basierte Netzwerke, miteinander zu verbinden, da die Kommunikation auf Ebene 2 unterhalb des eigentlichen Vermittlungsprotokolls stattfindet. Diesem Vorteil steht aber der Nachteil der unzureichenden Datenverschlüsselung entgegen. Die Authentifikation geschieht über das Password Authentification Protocol (PAP), hier wird das Passwort des Benutzers im Klartext an die annehmende Stelle übermittelt, bis es quittiert oder verweigert wird. (Fußnote 26) Zwar wurden Verbesserungen an diesen Mechanismen vorgenommen, diese konnten jedoch nie die Sicherheit von IPSec erreichen. 25 Vgl.: Microsoft (Hrsg): Virtuell Private Netzwerke (VPN): Eine Übersicht (Whitepaper), S. 12, (Internetquelle). 26 Vgl.: a Campo, M. / Pohlmann, N.: Virtual private Networks, S. 165. Wurde mir in Dipl-Arbeit nicht als falsch angekreidet, das mag aber auch Prof. gelegen haben ;) Gruß Data

Hi zusammen, hat sich schon mal jemand mit dem SDC näher beschäftigt ? Hat einer von Euch einen VPN-Concentrator im Einsatz ? Ich habe WEBVPN i.V. mit dem SDC und den VPN Policy-Richtlinien (McAffe muss installiert sein und Viruspattern kleiner 5 Tage) konfiguirert. Läuft soweit auch alles, allerdings scheint die Verarbeitung der Policys - Viruspattern kleiner 5 Tage - fehlerhaft zu sein. Sobald ich ein Mindestdatum für das Viruspattern festlege kann ich das WEBVPN nicht mehr nutzen, obwohl das Pattern erst 2 Tage alt ist. Konfiguriere ich das ganze für NAV, läuft alles super. Patternalter wird korrekt ermittelt und der WEBVPN-Connect wird zugelassen. Ändere ich die Policy, wird der Connect nicht zugelassen, was ja auch richtig ist, da das Patterndate nicht der Policy entspricht. Wer hat eine Idee. Gruß Data

Sehe ich auch so, allerdings funktioniert Acronic etc. auch auf W2k. Wüsste nicht das MS VSS für W2k anbietet - Vielleicht mit SP5 :D Gruß Data

@themind Nichts für ungut - Wer ist denn wir ? Dein MCT :suspect: ? Also eine Online-Cloneprogamm wie Acronis oder LiveStateRecovery nutzt die Snapshottechnologie, ähnlich dem VSS. Die AD-Datenbank wird für die Zeit der Sicherung eingefroren, um einen konsitenten Stand zu sichern. Dieser konsistente Stand wird kann dann auch auf einer anderen Hardware wiederhergestellt werden. Das du den Clone ja so oder so auf ein leeres System einspielst, entfällt der Zwischenschritt mit abgesicherten Modus. Wie Velius schon richtig sagte, wird anhand der UPN dann festgestellt welche AD-Änderungen der Wiederhergstellte DC noch benötigt. Diese werden dann von seinem Replikationspartner übermittelt. Der Tombstoneintervall beträgt 60 Tage - Erst dann wird der DC im AD als tot gekennzeichnet und die anderen DCs replizieren sich nicht mehr mit ihm. Wenn Acronis oder LiveStateRecovery diese rudimentären Ansprüche einer Systemstate Sicherung nicht erfüllen (Meines Wissens tun sie es jedoch) könnte man die Programme komplett in Tonne hauen und gleich mit Veritas oder NT-Backup arbeiten. Zum Thema Ghost. Ich weiß nicht welche Version eingestetzt wird, aber die alten Versionen haben keinen "Live"-Clone gemacht, sondern das System vorher runtergefahren und dann von einer "DOS"-Konsole gesichert. Wenn da kein konsitentes AD gesichert wird, dann liegt es nicht an Ghost. Gruß Data

@pitt72 Wer Hilfe braucht, muss sich schon einmal etwas anstrengen ;) Gruß data

Ohmmmmm. :D Aber mal im ernst. @ heffa Kann ich nicht nachvollziehen, warum ein 1 Woche altes Backup sich nicht wieder einspielen lässt. Der DC ist ja noch nicht aus dem AD gestorben, dazu müsste man schon mal 60 Tage warten. Prinzipiell sollte man für ein DC-Restore ein getestet ToDo in der Schublade habe, damit man kein böses Erwachen hat. Gruß Data

@Undying Das lag dann aber an der Sicherungsart, wurde ein Image wirklich mit den Serverversionen der Clone-SW gemacht ? Anscheinend wurde der Systemstatus nicht richtig gesichert. Gruß Data

Hi, wenn Du baugleiche Maschinen zur Verfügung hast, dann geht beides, Backup und Image, auch bei einen zweiten DC - Wüsste nicht wo da Die Problematik ist Undying. Deshalb bietet es sich ja auch immer grundsätzlich an einen Server mit Service zu kaufen, da Dir der Hersteller immer die gleiche Kiste wieder hinstellt. Kosten zwar ein paar Euros, man kann aber besser schlafen :D . Sonst kriegt man auch bei Unterschiedlichen Konfigs die Kiste fast immer wieder zum rennen, kostet halt nur Nerven, wenn der Chef einem im Nacken hängt und dauerd fragt wann es denn wieder geht, oder . Gruß Data

@Velius Du weißt doch Totgeglaubte leben länger ;) Gruß Data

Mir kam es eigentlich auch mehr auf die Komponenten an, die in Deinen Verbindungen hängen, wie z.B. QoS, Determenistic Network Enhancer usw. Gruß Data

Schalte mal den Nortel Client komplett weg. Am besten mach mal einen Screenshoot von dem Reiter "Allgemein" in der Eigenschaften der LAN und Dialupverbindung. Ich habe ca. 250 Clients die wunderbar mit dem Cisco laufen - NT - W2k und XP. Der Fehler muss ja zu finden sein. Gruß Data

Das Hotfix betrifft so ziemlich alle MS-Produkte nicht nur 2003. Wir hatten nach dem einspielen ganz massive Problem mit all unseren W2k DCs. Nachdem wir das Hotfix für das Hotfix eingespielt hatten war alles wieder schön. Es gab massive Replikationsprobleme, Sysvol veraltet, DFS nicht durchrepliziert, AD-Änderungen brauchten Tag anstatt Stunden. Anscheinend ist dein Problem ja nicht VPN - oder ISDN-Spezifisch, wenn ich das alles richtig verstanden habe. Also würde ich eher auf der Client- bzw. Serverseite suchen. Was logt denn der SAP-Server so ? Gruß Data Edit: Wenn Du SNMP und den Comunitystrig hast, dann kasst Du wenigstens die Leitungen mal monitoren. Ein Art Haftungsauschluß sehe ich da nicht.

Hi, auf was für einem System laufen die SAP-Kisten ? Gab es schon vorher Probleme mit SAP über VPN ? SAP mag halt keinen großen Latzenzeiten. Funktioniert der Rest denn noch richtig, Replikation zwischen den Standorten ? Könnte nämlich auch der Hotfix 893066 sein, der Dir die TCP/IP Sitzung stört. http://www.mcseboard.de/showthread.php?t=61031&highlight=bug Wir hatten extreme Probleme damit und mussten überall ein Hotfix füt das Hotfix einspielen und alles war schön. Nutz Du Cisco-Komponeten für das VPN ? Dann lese auch mal bei Cisco nach, unter gewissen Vorraussetzungen kann es dort auch zu Problemen kommen. Überigens SNMP-Zugriff aug T-COM Router ist möglich. Gruß Data

Hi, also wenn Du dich nicht selbst um das Backup kümmerst, dann würde ich immer ein diff. Backup empfehlen, da Du dann keine Problem hast wenn Du etwas zurücksichern willst. Mit dem letzten Vollbackup und der letzten Diff-Sicherung steht das System wieder. Ein Backup to Disk to Tape ist bei Deiner Datenmenge noch nicht nötig. Schafft Euch ein LTO2 Laufwerk (Kein DDS - Macht soviel Probleme) an und baut für das System und die Datenpartition eine SATA-Raid 5 (Fürs System geht auch 1) zusammen mit jeweils einer Standby-Platte. Somit hast Du das System ausfallsicher und vor Datenverlust geschützt. Bandwechsel geschieht nur einmal die Woche und zwar an WE für das Vollbackup. Über die Woche wird die Diff-Sicherung immer auf ein Band geschoben und angehangen. Eigentlich kann man das noch alles mit NT-Backup handeln. Wenn es etwas prof. sein soll dann nimm BackupExec von Veritas. Gruß Data

Ach so, schicke mir man ne PN um mich daran zu erinnern. In der Firma betreiben wir da etwas, mir will aber der verdammte Name nicht einfallen. Gruß Data

Nun, dann wollen wir mal sortieren. Inetfreigabe ist an, sagtest Du. Wie soll PC2 wissen wo er seine Anfragen an IP-Adressen außerhalb seines Netztes hinsenden soll, wenn er kein Standardgateway (Bildlich gesprochen eine Art Haustür in die große weite Welt) eingetragen hat. Diese Standardgateway ist Dein PC 1. Also gebe mal bitte die IP von PC1 in dem Feld Stardardgateway auf PC2 ein. Nun haben wir zwar Die Tür, nur fehlt uns nur eine Art Telefonbuch, DNS. Alle Namensanfragen, z.B. http://www.google.de, müssen von einem DNS-Server in IP-Adressen übersetzt werden. Da Dein PC2 das nicht kann, ihm fehlt das Telefonbuch, fragt er einfach PC1, der hat zwar auch keines, weiß aber wen er fragen muss, nämlich seinen ihm vom Provider genannten DNS-Server. Im Feld DNS-Server gibst Du einfach auch die IP-Adresse von PC1 ein. Deine Frage mit dem Kennwort. Du bist User1 vom PC2. Willst Du nun auf PC1 zugreifen, dann muss der gleiche User (Username und Kennwort müssen identisch sein) auch in der Benutzerdatenbank von PC1 existieren. Sonst fragt Dich PC1 wer Du eigentlich bist, da er Dich nicht kennt. Das nennt man dann Athentifizierung. Versuche einmal Dein Glück. Ich würde Dir aber trotzdem raten zusätzlcih das Remote Disconnection Utility (RDU) zu nutzen. Auf dem PC1 läuft dann praktisch ein RDU-Server-Client der ins Netz horcht ob ein RDU-Remote-Client eine Einwahl initieren soll. Auf dem Serverclient hat man dann noch einige Interaktionmöglichkeiten, z.B. die Einwahl unterbinden, da es gerade nicht passt oder so. Gruß Data

Du hast ja den Second Shot. Kostet Nix. Wie gesagt, die 70-218 ist recht breit gefechert geht aber nicht unbedingt in die Tiefe. Die Druckerfragen kommen immer. Druckjob hängt, wie umleiten und so. GPO, RAS etc. der bereich ist meistens stark gefragt. Lass den Kopf nicht hängen. Gruß Data

Schau mal hier: http://www.burstek.com/products/btloganalyzer.htm Kann wirklich ne Menge. Gruß Data

Na da geht jetzt etwas durcheinander. Was ist denn WPAD - Ein Skript welches den IE konfiguriert. Dieses Skript wird vom Proxy, welcher auf Port 8080 (Beim ISA ist das Standard) auf die WPAD-Anfrage wartet, rausgegeben. Deshalb kommt es auch zu keinem Konflikt mit Deinem IIS. Nähere Infos hier: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/automaticdiscovery.mspx Gruß Data

Hi. Nun ein Raid ersetzt KEINE Datensicherung. Werden Daten ausversehen gelöscht so sind diese "WEG". Lassen wir die Thematik SadowCopy mal außen vor. Optimal wäre also, Raid für die Ausfallsicherheit und eine tägliches Backup auf ein anders Medium (Tape) mit Boardmitteln oder anderer Sicherungssoftware. Das gilt sowohl für die System- wie auch für die Datenpartition. Wie man im Detail vorgeht, hängt stark von der Datenmenge und den eingesetzten Sicherungsmedien ab. Prinzipiell kann man viel mit NT-Backup machen, allerdings gibt es hier natürliche Grenzen ab den es sinnig ist z.B. Backup Exec von Veritas zu nutzen. Gib uns ein paar mehr Daten und Du bekommst ein Konzept: a. Datenmenge b. Wie schnell sollen die Daten wieder zur Verfügung stehen c. Wie oft muss gesichert werden Gruß Data

Schau mal hier: http://www.mcseboard.de/showthread.php?t=38351 Deckt sich das ? Gruß Data

Aha. Da haben wir doch mal etwas. XP - SP2 auf dem Rechner mir Internet installiert, oder eine ander FW ? Gruß Data