-
Gesamte Inhalte
166 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von s21it21
-
Frage zur CCNA Zertifizierung
s21it21 antwortete auf ein Thema von u0679 in: Cisco Forum — Allgemein
hello, also so weit ich weiss nein. die einzige "erneuerung" die ich kenne ist, dass man die prüfung jetzt entweder komplett auf einmal machen kann, oder auf zwei teile teilt (eher theoretischer teil und dann praktischer teil bzw. verständisteil). lg martin -
T-Mobile MDAIII - BlackBerry -> Erfahrungen
s21it21 antwortete auf ein Thema von reyeg in: Windows Forum — Allgemein
Hallo! Von Vodafone gibt es ein "WirelessPushEmail"-Produkt. Das ist so ähnlich wie Blackberry (teste ich gerade). Schau Dir das mal an. Nachteil ist, dass es dafür nur drei Geräte gibt (P910, und noch zwei weitere). lg Martin -
T-Mobile MDAIII - BlackBerry -> Erfahrungen
s21it21 antwortete auf ein Thema von reyeg in: Windows Forum — Allgemein
hallo, sie zwingen dich nicht, aber so weit ich bescheid weiss, putzen sie sich ab, wenn der bes server zb. den hauptdominoserver lahm legt. darum empfehlen sie sehr stark einen zweiten server. lg martin -
hallo leute, danke, :) :) habe die antwort bereits selbst erabeitet...war ja nicht so schwer... man braucht also KEINEN STATIC für den Server in der DMZ. Man braucht nur irgendein NAT/static für den Quellrechner hinter dem inside-Interface. Wichtig ist nur, dass die Verbindung nicht in die PAT-Konfig für das Internetsurfen (PAT auf die pupIP der Firewall) fällt. Also am besten ein nonat (also nat 0) machen, oder einen static (aber eben nicht am dmz-interface). so long martin
-
Hallo! Ich habe da einen kleinen Denk- bzw. Vetständnisfehler. Die statics sind mir an und für sich klar (Zugriff von einer niedrigeren Priorität auf einen Server in einer höheren Priorität). Wenn ich jetzt vom LAN hinter dem INSIDE-Interface auf einen Server in der DMZ zugreifen will, brauche ich dann für den Server in der DMZ trotzdem einen static-eintrag, oder nicht? Vielen Dank für Eure Hilfe! lg Martin
-
Router Simulator - welchen?
s21it21 antwortete auf ein Thema von IWS-Germany in: Cisco Forum — Allgemein
hallo, ich kenne da nur den cisco-config-maker. die software ist bei vielen cisco-büchern dabei. lg martin -
Hallo! Den Cisco Config Maker kann ich auch noch empfehlen. Damit kann man auch sehr viel virtuell nachbasteln. lg Martin
-
T-Mobile MDAIII - BlackBerry -> Erfahrungen
s21it21 antwortete auf ein Thema von reyeg in: Windows Forum — Allgemein
hallo, ja das stimmt, und der admin-user muss eben zugriff auf die mailboxen haben. soweit ich das gesehen habe, werden diese ja aber auch auf den zweiten domino-server repliziert, oder? lg martin -
T-Mobile MDAIII - BlackBerry -> Erfahrungen
s21it21 antwortete auf ein Thema von reyeg in: Windows Forum — Allgemein
Hallo! Also eine Blackberry-Installation auf Lotus Domino schaut so aus: 1) Domino-Server 1: Beinhaltet alle Mailboxen, etc. 2) Blackberry empfiehlt (sonst gibts keinen Support) einen ZWEITEN Domino-Server. Die zwei Domino-Server müssen replizieren können. Weiters muss es eine Admin Gruppe geben "BlackBerryAdmins" (die muss GENAU SO LAUTEN). Diese Gruppe muss Adminrechte auf die zwei Domino-Server haben und muss die Mailboxen der User lesen/schreiben können. Auf diesem zweiten Domino-Server wird dann der Blackberry-Server installiert. WICHTIG bei Domino: Von Blackberry wird KEINE Partitionierung unterstützt. Das OS/Notes/Blackberry sollte unbedingt am zweiten Domino Server auf dem Laufwerk C installiert werden. Wenn Du noch was brauchst, melde Dich einfach. lg martin -
hallo, mein ccsa ist zwar schon ein wenig her, aber folgende tipps kann ich dir geben: checkpoint fragt teilweise SEHR genau die diversen menüpunkte in den guis ab. teilweise wollen die sogar wissen, was zb. das rote rufzeichen im logviewer bedeutet. sehr intensiv werden auch diverserste nat fragen kommen. da musst du wirklich fit sein, denn die fragen sind teilweise sehr verwirrend (mit doppelten verneinungen, etc.). wichtig zu wissen ist auch was genau die stateful inspection von checkpoint alles kann und eben unterschiede zu paketfiltern, etc. die verschiedenen authentifizierungsarten (client-auth, etc.) werden auch sehr genau gefragt. lg martin
-
hello, stimmt schon, ich habe aber bereits situationen bei kunden gehabt, da hat die fw ziemlich gesponnen (vor allem bei vpns), erst nachdem im objekt selbst das interface gelöscht wurde, oder via get-top. die interfaces neu eingelesen wurden (und damit auch das gelöschte im objekt weg war), hat wieder alles funktioniert. lg martin
-
hallo, trotzdem solltest du das interface im gui für das fw-objekt löschen. lg martin
-
PIX 501 - Gezielt Connection sofort trennen
s21it21 antwortete auf ein Thema von 1000dinge in: Cisco Forum — Allgemein
hallo, um eine verbindung SOFORT zu löschen (zb. hackattacke) nimmt man auf der pix den SHUN befehl. im enable-mode einfach shun <ip-adresse> eingeben. die pix dropped dann alle verbindungen von dieser ip. das shunning (sorry habe deinen beitrag erst jetzt genau gelesen) ist aber nur dafür da, wenn man schnell jemanden blockieren muss. sonst macht man das wie meine vorredner beschrieben haben. lg martin -
hello, grundsätzlich hast du recht. man kann diese gesamte nat-antispoofing-verhalten auf der checkpoint aber auch komplett umdrehen. und dann greifen meine ausführungen. bzw. macht es einen unterschied ob du von fw-1 4.1 auf ng upgegraded hast, oder ob es eine neuinstallation war. wie gesagt, probiere es aus (es wird wahrscheinlich alles so passen, wie es bei dir eingestellt ist), und wenn es probleme gibt, gibt die nat-ips in die antispoofing-gruppe. lg martin
-
hello, :) da hat mein browser nicht den gesamten text geladen. :) sorry, beim nat ist es so: unter bestimmten umständen kann es vorkommen, dass am internen interface die genattet-pup-ips aufscheinen. wenn das dann im antispoofing nicht berücksichtigt wird, funktioniert dies nicht. bei der checkpoint ist es ja möglich, dass die genattet pup-ip zu erst geroutet und erst dann genatten wird. wie gesagt, dabei kann eben die pub-ip am internen interface aufscheinen. aus diesem grund, muss man die pup-ip, die fürs natten gebraucht wird, auch in die antispoofing gruppe geben. das betrifft aber nur solche nats, wo eben user auf einen webserver (beispiel) von euch zugreifen. nats ins internet (fürs surfen, zb.) ist das egal. lg martin
-
hallo, fürs externe interface passt das so. fürs interne im prinzip auch, so lange da nicht andere netze drübergehen. based on topology heisst ja nur, dass eben das netzt an dem die fw angeschlossen ist, erlaubt wird. hast du ein grösseres netz, wo eben andere netzte drüber geroutet werden, kann es ein problem geben. wenn dem so ist, mach besser eine gruppe. in diese gruppe gibst du alle möglichen netzte rein. dann sagst du bei anti-spoofing eben, dass diese gruppe verwendet werden soll (statt der topology). beim nat musst auch aufpassen. aber das merkst du e gleich. :) im schlimmsten fall, musst du alle nat-ips (die pub-ips) auch in diese gruppe geben (das kommt darauf an, wie du das nat auf der fw konfiguriert hast. es geht ja folgendes: zu erst nat, dann routing, oder zu erst routing und dann natting)....probiere es einfach aus.... lg martin ps: ach ja, das betrifft nur die static-inbound nats (static-destination nat heisst das bei checkpoint, wenn ich mich nicht irre).
-
hallo, also mit checkpoint kenne ich mich aus. :) was antispoofing grundsätzlich tut, weisst du, oder? du kannst antispoofing für jedes interface extra einrichten, du musst nicht alles komplett einrichten. wichtig ist, dass du bei den internen interfaces wirklich alle netze, die du hast bzw. die aufscheinen können, angibts. fehlt da ein netzt, wird der traffic blockiert und im log siehst du das dann eben als anti-spoofing alarm. ACHTUNG: Du kannst dich so wunderbar aus der firewall aussperren. ACHTUNG2: Bei bestimmten NAT-Konfigurationen erscheinen am internen interface ebenfalls die externen, genatteten ip-adressen. diese müssen dann in die antispoofing konfig miteingebaut werden, sonst passt das nat nicht. von den rules her musst du nix beachten. wichtig ist eben nur, dass nicht falsche ip-netze/adressen auf den falschen interfaces "aufscheinen".... lg martin
-
hallo, bevor ich dir lange und breit das erkläre, genau so habe ich es gemacht: LINK: HIER lg martin
-
Pix 501 - Zugriff von extern nach Intern
s21it21 antwortete auf ein Thema von cardman2 in: Cisco Forum — Allgemein
hallo, damit du durch die pix von "aussen" auf einen server kommst, musst du einen static einrichten + einer access-list (min). und zwar so: :) :D static (inside,outside) global-ip local-ip inside: dort hängt der interne server dran outside: von dort wird auf die global-ip auf diesen server zugegriffen und auf die local-ip "genattet". bei einem static ist die transaltion in beide richtungen offen, das muss man machen, damit man eben von aussen nach innen zugreifen kann (dabei kommt es auf den security-level der interfaces an) --> zugriff von einem niedrigeren auf einen höheren level --> benötigt einen static. + einer access-list, damit man auf die externe ip mit den nötigen ports zugreifen darf. lg martin -
VPN mal so von Grund auf...
s21it21 antwortete auf ein Thema von micha5576 in: Cisco Forum — Allgemein
hello, ein möglicher weg wäre: zugang von aussen auf das cisco-gerät entweder mit dem cisco-vpn-client oder mit dem windows-client (dem integrierten). zu klären für dich wäre dann folgendes: 1) wie erfolgt die anmeldung (user + pwd, user + zertifikat). 2) sind die user wie du gesagt hast, am cisco-gerät hinterlegt, oder fragt dieser einen tacacs-server, etc. 3) wie erfolgt die verschlüsselung des/3des/aes/etc. wie schon gesagt, checke mal die cisco seiten, dort gibt es zahlreiche howtos. wenn du aber noch nie was mit vpns zu tun hattest, würde ich mal ganz von vorne anfangen (lesen, lesen, lesen) und dann das ganze mal im kleinen rahmen testen. sonst kommst du in 100ter probleme. lg martin lg martin -
hello, dann müsstest du unter umständen, eine andere software verwenden zb. dameware, remotley-anywhere, vnc, etc. lg martin ps: bedenke dabei aber, dass es dabei schon auch um eine originalversion handeln sollte. :)
-
Cisco PIX Firewall - Traffic Shaping/Überwachung
s21it21 antwortete auf ein Thema von Darksun777 in: Cisco Forum — Allgemein
hello, welcher user gerade wo sich connectet, kannst du nur via syslog sehen, oder wenn du direkt mit debugst...debug geht aber nur diret via cli (und bitte mach kein debug packet all...dann steht die pix)... in beiden fällen siehst du aber "nur" die quell- ziel-ip und die ports.... mehr leider nicht...das geht leider nicht besser bei der pix.... traffic-shaping geht mit 6.x nicht....das kannst du nur vielleicht auf einem csico-switch vorher machen.... lg martin -
Cisco Pix 501 Port Forwarding
s21it21 antwortete auf ein Thema von tobi_1985 in: Cisco Forum — Allgemein
hallo, na die interne ip, ist jene des pcs im lokalen lans und die externe ip-adresse ist, eben die externe die du verwenden willst. du musst also von der externen ip adresse die gewünschten ports nach hinten, ins lokale lan weiterleiten. lg martin -
Cisco Pix 501 Port Forwarding
s21it21 antwortete auf ein Thema von tobi_1985 in: Cisco Forum — Allgemein
hallo, sorry, den pdm nutze ich nicht, ich kann dir nur via cli helfen. lg martin -
hallo, ob ein proxy (es kommt darauf an, was der proxy macht, nur reiner proxy, proxy+http-scan, proxy+policy, etc.) in der dmz wirklich einen enormen sicherheitsvorteil bringt ist zu diskutieren, vom traffic her wird es der firewall egal sein, ob jetzt die clients den traffic über die firewall verursachen, oder nur der proxy. es kommt auf die struktur deiner dmz an. wenn die dmz an einer firewall hängt, dann muss der gesamte datenverkehr über dieses eine interface rein und wieder raus. das würde dann, wenn der proxy in der dmz steht, sogar noch mehr traffic, als vorher, erzeugen. denn, der traffic vom client geht über die firewall zum proxy, der proxy geht über die firewall ins internet, und die rückantwortpakte gehen vom internet zum proxy wieder über die firewall zum client (und nochmal über die firewall), also vier mal.... lg martin