s21it21

hello,

also so weit ich weiss nein.

die einzige "erneuerung" die ich kenne ist, dass man die prüfung jetzt entweder komplett auf einmal machen kann, oder auf zwei teile teilt (eher theoretischer teil und dann praktischer teil bzw. verständisteil).

lg

martin

Hallo!

Von Vodafone gibt es ein "WirelessPushEmail"-Produkt. Das ist so ähnlich wie Blackberry (teste ich gerade). Schau Dir das mal an.

Nachteil ist, dass es dafür nur drei Geräte gibt (P910, und noch zwei weitere).

lg

Martin

hallo,

sie zwingen dich nicht, aber so weit ich bescheid weiss, putzen sie sich ab, wenn der bes server zb. den hauptdominoserver lahm legt. darum empfehlen sie sehr stark einen zweiten server.

lg

martin

hallo leute,

danke, :) :)

habe die antwort bereits selbst erabeitet...war ja nicht so schwer...

man braucht also KEINEN STATIC für den Server in der DMZ.

Man braucht nur irgendein NAT/static für den Quellrechner hinter dem inside-Interface.

Wichtig ist nur, dass die Verbindung nicht in die PAT-Konfig für das Internetsurfen (PAT auf die pupIP der Firewall) fällt.

Also am besten ein nonat (also nat 0) machen, oder einen static (aber eben nicht am dmz-interface).

so long

martin

Hallo!

Ich habe da einen kleinen Denk- bzw. Vetständnisfehler.

Die statics sind mir an und für sich klar (Zugriff von einer niedrigeren Priorität auf einen Server in einer höheren Priorität).

Wenn ich jetzt vom LAN hinter dem INSIDE-Interface auf einen Server in der DMZ zugreifen will, brauche ich dann für den Server in der DMZ trotzdem einen static-eintrag, oder nicht?

Vielen Dank für Eure Hilfe!

lg

Martin

hallo,

ich kenne da nur den cisco-config-maker. die software ist bei vielen cisco-büchern dabei.

lg

martin

Hallo!

Den Cisco Config Maker kann ich auch noch empfehlen. Damit kann man auch sehr viel virtuell nachbasteln.

lg

Martin

hallo,

ja das stimmt, und der admin-user muss eben zugriff auf die mailboxen haben.

soweit ich das gesehen habe, werden diese ja aber auch auf den zweiten domino-server repliziert, oder?

lg

martin

Hallo!

Also eine Blackberry-Installation auf Lotus Domino schaut so aus:

1) Domino-Server 1: Beinhaltet alle Mailboxen, etc.

2) Blackberry empfiehlt (sonst gibts keinen Support) einen ZWEITEN Domino-Server.

Die zwei Domino-Server müssen replizieren können. Weiters muss es eine Admin Gruppe geben "BlackBerryAdmins" (die muss GENAU SO LAUTEN).

Diese Gruppe muss Adminrechte auf die zwei Domino-Server haben und muss die Mailboxen der User lesen/schreiben können.

Auf diesem zweiten Domino-Server wird dann der Blackberry-Server installiert.

WICHTIG bei Domino:

Von Blackberry wird KEINE Partitionierung unterstützt. Das OS/Notes/Blackberry sollte unbedingt am zweiten Domino Server auf dem Laufwerk C installiert werden.

Wenn Du noch was brauchst, melde Dich einfach.

lg

martin

hallo,

mein ccsa ist zwar schon ein wenig her, aber folgende tipps kann ich dir geben:

checkpoint fragt teilweise SEHR genau die diversen menüpunkte in den guis ab. teilweise wollen die sogar wissen, was zb. das rote rufzeichen im logviewer bedeutet.

sehr intensiv werden auch diverserste nat fragen kommen. da musst du wirklich fit sein, denn die fragen sind teilweise sehr verwirrend (mit doppelten verneinungen, etc.). wichtig zu wissen ist auch was genau die stateful inspection von checkpoint alles kann und eben unterschiede zu paketfiltern, etc.

die verschiedenen authentifizierungsarten (client-auth, etc.) werden auch sehr genau gefragt.

lg

martin

hello,

stimmt schon, ich habe aber bereits situationen bei kunden gehabt, da hat die fw ziemlich gesponnen (vor allem bei vpns), erst nachdem im objekt selbst das interface gelöscht wurde, oder via get-top. die interfaces neu eingelesen wurden (und damit auch das gelöschte im objekt weg war), hat wieder alles funktioniert.

lg

martin

hallo,

trotzdem solltest du das interface im gui für das fw-objekt löschen.

lg

martin

hallo,

um eine verbindung SOFORT zu löschen (zb. hackattacke) nimmt man auf der pix den SHUN befehl.

im enable-mode einfach shun <ip-adresse> eingeben. die pix dropped dann alle verbindungen von dieser ip.

das shunning (sorry habe deinen beitrag erst jetzt genau gelesen) ist aber nur dafür da, wenn man schnell jemanden blockieren muss. sonst macht man das wie meine vorredner beschrieben haben.

lg

martin

hello,

grundsätzlich hast du recht.

man kann diese gesamte nat-antispoofing-verhalten auf der checkpoint aber auch komplett umdrehen. und dann greifen meine ausführungen. bzw. macht es einen unterschied ob du von fw-1 4.1 auf ng upgegraded hast, oder ob es eine neuinstallation war.

wie gesagt, probiere es aus (es wird wahrscheinlich alles so passen, wie es bei dir eingestellt ist), und wenn es probleme gibt, gibt die nat-ips in die antispoofing-gruppe.

lg

martin

hello,

:)

da hat mein browser nicht den gesamten text geladen. :)

sorry,

beim nat ist es so: unter bestimmten umständen kann es vorkommen, dass am internen interface die genattet-pup-ips aufscheinen. wenn das dann im antispoofing nicht berücksichtigt wird, funktioniert dies nicht. bei der checkpoint ist es ja möglich, dass die genattet pup-ip zu erst geroutet und erst dann genatten wird. wie gesagt, dabei kann eben die pub-ip am internen interface aufscheinen. aus diesem grund, muss man die pup-ip, die fürs natten gebraucht wird, auch in die antispoofing gruppe geben.

das betrifft aber nur solche nats, wo eben user auf einen webserver (beispiel) von euch zugreifen. nats ins internet (fürs surfen, zb.) ist das egal.

lg

martin

hallo,

fürs externe interface passt das so.

fürs interne im prinzip auch, so lange da nicht andere netze drübergehen.

based on topology heisst ja nur, dass eben das netzt an dem die fw angeschlossen ist, erlaubt wird. hast du ein grösseres netz, wo eben andere netzte drüber geroutet werden, kann es ein problem geben. wenn dem so ist, mach besser eine gruppe. in diese gruppe gibst du alle möglichen netzte rein. dann sagst du bei anti-spoofing eben, dass diese gruppe verwendet werden soll (statt der topology).

beim nat musst auch aufpassen. aber das merkst du e gleich. :) im schlimmsten fall, musst du alle nat-ips (die pub-ips) auch in diese gruppe geben (das kommt darauf an, wie du das nat auf der fw konfiguriert hast. es geht ja folgendes: zu erst nat, dann routing, oder zu erst routing und dann natting)....probiere es einfach aus....

lg

martin

ps: ach ja, das betrifft nur die static-inbound nats (static-destination nat heisst das bei checkpoint, wenn ich mich nicht irre).

hallo,

also mit checkpoint kenne ich mich aus. :)

was antispoofing grundsätzlich tut, weisst du, oder?

du kannst antispoofing für jedes interface extra einrichten, du musst nicht alles komplett einrichten. wichtig ist, dass du bei den internen interfaces wirklich alle netze, die du hast bzw. die aufscheinen können, angibts. fehlt da ein netzt, wird der traffic blockiert und im log siehst du das dann eben als anti-spoofing alarm.

ACHTUNG: Du kannst dich so wunderbar aus der firewall aussperren.

ACHTUNG2: Bei bestimmten NAT-Konfigurationen erscheinen am internen interface ebenfalls die externen, genatteten ip-adressen. diese müssen dann in die antispoofing konfig miteingebaut werden, sonst passt das nat nicht.

von den rules her musst du nix beachten. wichtig ist eben nur, dass nicht falsche ip-netze/adressen auf den falschen interfaces "aufscheinen"....

lg

martin

hallo,

bevor ich dir lange und breit das erkläre, genau so habe ich es gemacht:

LINK: HIER

lg

martin

hallo,

damit du durch die pix von "aussen" auf einen server kommst, musst du einen static einrichten + einer access-list (min).

und zwar so: :) :D

static (inside,outside) global-ip local-ip

inside: dort hängt der interne server dran

outside: von dort wird auf die global-ip auf diesen server zugegriffen und auf die local-ip "genattet".

bei einem static ist die transaltion in beide richtungen offen, das muss man machen, damit man eben von aussen nach innen zugreifen kann (dabei kommt es auf den security-level der interfaces an) --> zugriff von einem niedrigeren auf einen höheren level --> benötigt einen static.

+

einer access-list, damit man auf die externe ip mit den nötigen ports zugreifen darf.

lg

martin

hello,

ein möglicher weg wäre:

zugang von aussen auf das cisco-gerät entweder mit dem cisco-vpn-client oder mit dem windows-client (dem integrierten).

zu klären für dich wäre dann folgendes:

1) wie erfolgt die anmeldung (user + pwd, user + zertifikat).

2) sind die user wie du gesagt hast, am cisco-gerät hinterlegt, oder fragt dieser einen tacacs-server, etc.

3) wie erfolgt die verschlüsselung des/3des/aes/etc.

wie schon gesagt, checke mal die cisco seiten, dort gibt es zahlreiche howtos.

wenn du aber noch nie was mit vpns zu tun hattest, würde ich mal ganz von vorne anfangen (lesen, lesen, lesen) und dann das ganze mal im kleinen rahmen testen. sonst kommst du in 100ter probleme.

lg

martin

lg

martin

hello,

dann müsstest du unter umständen, eine andere software verwenden zb. dameware, remotley-anywhere, vnc, etc.

lg

martin

ps: bedenke dabei aber, dass es dabei schon auch um eine originalversion handeln sollte. :)

hello,

welcher user gerade wo sich connectet, kannst du nur via syslog sehen, oder wenn du direkt mit debugst...debug geht aber nur diret via cli (und bitte mach kein debug packet all...dann steht die pix)...

in beiden fällen siehst du aber "nur" die quell- ziel-ip und die ports....

mehr leider nicht...das geht leider nicht besser bei der pix....

traffic-shaping geht mit 6.x nicht....das kannst du nur vielleicht auf einem csico-switch vorher machen....

lg

martin

hallo,

na die interne ip, ist jene des pcs im lokalen lans und die externe ip-adresse ist, eben die externe die du verwenden willst.

du musst also von der externen ip adresse die gewünschten ports nach hinten, ins lokale lan weiterleiten.

lg

martin

hallo,

sorry, den pdm nutze ich nicht, ich kann dir nur via cli helfen.

lg

martin

hallo,

ob ein proxy (es kommt darauf an, was der proxy macht, nur reiner proxy, proxy+http-scan, proxy+policy, etc.) in der dmz wirklich einen enormen sicherheitsvorteil bringt ist zu diskutieren, vom traffic her wird es der firewall egal sein, ob jetzt die clients den traffic über die firewall verursachen, oder nur der proxy.

es kommt auf die struktur deiner dmz an. wenn die dmz an einer firewall hängt, dann muss der gesamte datenverkehr über dieses eine interface rein und wieder raus. das würde dann, wenn der proxy in der dmz steht, sogar noch mehr traffic, als vorher, erzeugen.

denn,

der traffic vom client geht über die firewall zum proxy,

der proxy geht über die firewall ins internet,

und die rückantwortpakte gehen vom internet zum proxy wieder über die firewall zum client (und nochmal über die firewall), also vier mal....

lg

martin