Jump to content

s21it21

Members
  • Gesamte Inhalte

    166
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von s21it21

  1. Hallo,

     

    Folgende gut erhaltene Bücher sind abzugeben:

     

    1) Cisco CallManager Fundamentals (Ciscopress, isbn:1587050080)

    2) CCNA-Exam 640-801 (McGrawHill, Osborne, isbn:00072229349), ohne CDROM

    3) Troubleshootng Cisco IP-Telephony (Ciscopress, isbn:1587050757

    4) CCNA-Self-Study, Certification Lib for CCNA,ICND and Intro-Exams (Ciscopress, isbn:1587200945 und 158720093x)

     

    Bei Interesse mail bitte an: martin.peinsipp@inode.at

     

    lg

    Martin

  2. Hallo,

     

    Ich bin nun seit fast 10 Jahren in der IT-Branche tätig. Seit gut 7 Jahren in der Security/Netzwerk-Branche (bin Checkpoint und ISS zertifiziert). Darum bin ich natürlich auch im Netzwerkbereich tätig (oder sogar hauptsächlich). Ich würde sagen mit einem CCSA alleine holst Du heute keinen Hund mehr vor den Ofen. Der CCSA deckt die absoluten Grundlagen ab und ist sicher eine gute Basis, aber alleine mit diesem wird das nichts. Viel mehr zählt Berufserfahrung, technisches Gesamtwissen und Einsatzvermögen zu wichtigen Einstellungskriterien. Wenn Du dann unter anderem einen CCSA hast, ist das nicht schlecht, aber es ist heute kein Hauptkriterium mehr.

     

    Wie ich in der Security-Branche angefangen hatte, hatte ich bereits zwei Jahre Erfahrungen unter anderem mit Checkpoint (damals FW 4.1) und der Cisco PIX. Checkpointzertifizierungen hatte ich damals auch schon. Wie gesagt, diese waren zwar nett als Draufgabe, aber ausschlaggebend war meine Erfahrung und meine zahlreichen anderen Zusatzausbildungen (Solaris-Schulungen, zwei Management-Schulungen, etc.).

     

    LG

    Martin

  3. Hallo,

     

    Prinzipiell kann ich bei Deinen Einstellungen nichts schlechtes findne.

    Beim preshared key würde ich vorschlagen, dass Du min. 12 Zeichen verwendest (und dabei wirklich alles verwendes, Gross/Kleinschreibung, Sonderzeichen, etc.).

     

    3DES würde ich heutzutage als absolut minimale Verschlüsselung wählen, wenn möglich dann sogar AES.

     

    LG

     

    Martin

  4. hallo,

     

    immer die gleichen fragen mit zu wenig infos. mit diesen angaben wird dir keiner helfen.

    als it-administrator (ich gehe mal davon aus) solltest du schon beim troubleshooten schon etwas strukturierter vorgehen.

     

    Folgendes wäre hilfreich:

     

    1) welche pix-version

    2) wie schaut die struktur (netz, security-policy) aus

    3) was (ok ftps) willst du von wo, wohin freischalten.

     

    Um Deine Fragen zu beantworten:

    Du kannst die Pix dazu bringen, in dem Du es einfach freischaltest.

    Ja Erfahrungen gibt es sicher dazu.

     

    Entschuldige bitte wenn ich etwas unfreundlich wirke, aber mit solchen Fragen (ohne genaueren Angaben) kann Dir niemand helfen und der Threat wird unnötig lange (weil man alles erst erfragen muss).

     

    lg

    Martin

  5. hallo,

     

    also ganz ehrlich, das kann ja wohl nicht wahr sein. das sind absolute 08/15 pix-grundlagen. dazu findet man bei google 1000 dokus, anleitungen, etc.

     

    wiese fragt man immer zu erst und denkt/sucht nacher!!

     

    Verwende mal die Suche + Google dann komm wieder!

     

    lg

    Martin

  6. hallo,

     

    was meinst du mit empfangen??

    Gehts nur um Pakte die zurück gehen sollten über die Pix, dann wie oben ists das Routing.

    Oder meinst Du den externen Zugriff durch die PIX auf Dein Netzwerk? Dann liegst an einem fehlden static oder an der fehlenden access-list..oder beidem.

     

    Bitte definiere "Daten empfangen"?

    LG

     

    Martin

  7. Hallo Leute!

     

    Mich als UNIX/LINUX Mensch quält folgendes Problem:

     

    Wie ist es möglich, dass ich von einem WinXP-Client via Doppelklick auf eine zb. Batch-Datei klicke, und dann ein bestimmer Befehl remote auf einem anderen Rechner mit Adminrechten ausgeführt wird (und sofort gestartet wird).

    Mit dem "at-Befehl kann ich das zwar, aber da schaffe ich es eben nicht einen User zu übergeben. Google spuckt zwar x-Seiten zum Thema vbscripting aus, aber zum Ziel bin ich noch nicht gekommen.

     

    Vielleicht kann mir jemand da helfen.

     

    DANKE!

    lg

    Martin P.

  8. Hallo!

     

    Lies Dir das nochmal durch:

    Site-to-Site-VPN zwischen zwei PIXEN:

    http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094761.shtml

     

    Zum PDM:

    Schau mal ob Du überhaupt einen PDM auf der PIX drauf hast. Das machst Du über die CLI im enable modus: "show ver". Dort siehst Du die Version vom PDM (wenn er installiert ist).

     

    Wenn ja, dann aktivierst Du den so:

     

    1) CLI einsteigen

    2) in den enable modus wechseln

    3) conf t eintippen (=configmodus)

    4) http server enable (Webserver wird aktiviert)

    5) pdm history enable (Logging für den PDM)

    6) http 192.168.1.2 255.255.255.255 inside (hier wird der Host 192.168.1.2 am Inside-Interface erlaubt den PDM zu starten). Das kannst DU jetzt für Dich anpassen.

     

    So und jetzt kannst Du via Broswer den PDM nutzen (aber NUR über das INSIDE Interface der Firewall!!!!!).

     

    Mach das mal und dann melde Dich wieder (aber mit einer vernünftigen Fehlerbeschreibung *g*).

     

    LG

    Martin

  9. Hallo,

     

    Versuchen wir es noch mal:

     

    Wenn Du sagst "...es passiert einfach nichts..." kann Dir niemand helfen. Analysiere doch mal die LOG/syslog/Debug Messages. Irgendetwas müssen die zwei PIXen ausspucken (Meldungen, etc.).

     

    Was heisst beim PDM, dass auch nichts passiert?? Du verbindest Dich via https auf die PIX. Bekommst Du einen Userlogin? Oder funktioniert nicht mal das. NIMM BITTE das Handbuch, da steht einfach drinen wie der PDM zu aktivieren geht!!

    Sorry, das kann ja nicht so schwer sein!!!

     

    LG

     

    Martin

  10. Hallo,

     

    Sorry, ohne genauere Fehlerbeschreibung kann Dir hier keiner helfen (oder es dauert sehr lange). Schreibe bitte mal geordnet was geht und was eben nicht.

     

    1) Können sich die zwei Pixen pingen

    2) Funktioniert der PDM schon? Wenn nein, welchen Fehler bekommst Du?

    3) Welche Fehlermeldung bekommst DU beim VPN-Aufbau (den Du ja schon versucht hast)?

    4) Hast Du debug/syslog-Meldungen für uns?

     

    Sorry, aber Du gehst auch nicht zum Automechaniker und sagst, dass das Auto nicht fährt. Wie es sich verhält oder was passiert ist, sagst Du aber nicht.

     

    LG

    Martin

  11. Hallo,

     

    Ich helfe gerne. Aber wie schon gesagt wurde, Deine Angaben zum Fehlerbild sind recht wenig. Dein Post klingt eher so nach dem Mott "..ich will das...ich schaffe es nicht..bitte macht es mir..danke" (vielleicht habe ich Dich auch falsch verstanden).

     

    Damit ich auch was produktives beitrage:

     

    Schaue mal zu aller erst, dass sich die zwei Pixen OHNE VPN unterhalten (=pingen) können.

     

    So wie Du das netzwerktechnisch aufbaust, würde ich das sowieso nicht machen.

     

    So ist es ein wenig einfacher (vor allem auch deswegen, weil das SEC-Modell der PIX etwas "eigen" ist --> sprich das interne LAN unterliegt einer höheren Security-Stufe als das externe. So wie DU das machst, könnten sich dann ganz andere Probleme ergeben (und das ist das was ich gemeint habe, schaue Dir die PIX mal grundsätzlich an und dann mache ein VPN). Aber egal.

     

    Ich würde das so aufbauen:

     

    Laptop 1 (simuliert fremdes LAN) ----- inside-PIX1-outside---------"INTERNET"-----outside-PIX2-inside------Laptop2 (simuliert eigenes LAN).

     

    So schaue, dass das mal so funktioniert (ping von PIX1 nach PIX2 und UMGEKEHRT).

    Dieser Aufbau ist viel realistischer als Deiner (=klassisches Site-to-Site-VPN).

     

    Genau diese Teststellung entspricht auch den Vorraussetzungen der ganzen Cisco-DOKs.

    Nun aktivierst Du den PDM (wie das geht kannst du in der quick-doku lesen).

     

    So und JETZT kannst Du mit dem PDM ein simples Site-to-Site-VPN einrichten. Jetzt kannst Du Dir die Konfig via CLI anschauen und die Syntax studieren.

     

    Wenn alles geklappt hat, kannst Du vom Laptop 1 den Laptop2 durchs VPN pingen!

     

    Von dem aus kannst Du dann die gesamte Konfig an passen und erweitern.

     

    So sehe ich das.

     

    LG

     

    Martin

  12. Hallo,

     

    Entschuldige bitte, aber ohne gute Englischkenntnisse und ohne gute PIX-Kenntnisse gleich ein VPN aufzubauen ist nicht ganz einfach und (so finde ich) der falsche Weg.

     

    Du kannst nicht erwarten, dass Du hier Deine Konfig postest und sofort die Lösung bekommst. Ich weiss die Cisco-Dokus sind mühlselig, aber lies Dir das doch trotzdem mal durch. Die VPN-Dokus dazu (also für die PIX) sind sehr gut und sehr anschaulich erklärt. Gerdade die PIX ist ein teilweise eigenartiges Device und nicht ganz einfach zu bedienen. Um dann noch ein VPN (via CLI und ohne den beschxxx PDM) richtig zu machen (ohne die dazu benötigten Grundlagen zu haben) ist nicht sehr einfach.

     

    Nimm das nicht persönlich, ich weiss in unserer Branche wird schnell einfach mal drauf los geklickt und probiert. Aber gerade bei VPNs und der PIX ist das der etwas falsche Weg.

     

    Lade Dir mal die VPN-Howtos bei Cisco runter. Da wird auch das nötige Hintergrundwissen vermittelt. Und dann verstehst Du auch, warum das so konfiguriert wird. Das bring dir viel mehr, als einfach die fertige Lösung ins CLI reinzukopieren...Denn Troubleshooten solltest Du das ganze ja auch mal.

     

    Um ein VPN auch sinnvoll zu analysieren mache Dich mit dem DEBUG Befehl vertraut. Gerade bei VPNs kommt es darauf an wo es hakt (Phase 1, 2) bzw. welche Log-Meldungen BEIDE Firewalls ausspucken.

     

     

    LG

    Martin

×
×
  • Neu erstellen...