Otaku19

also ich verwende dafür immer: Microsoft network monitor: da sieht man die verbindungen direkt zu den Prozessen http://centralops.net/co/ check hier die IP, da sollte sich schon rausfinden lassen was das ist

wenn ich das richtig lesen, siehst du ja von dem NAT nichts ? Also du hast die SA: 172.10.0.0/16 -10.10.10.0/24 Tunnel alt 172.20.0.0/16-10.10.10.0/24 Tunnel neu ?

Ja, haben wir. Haufen ist Ansichtssache, aber mehr als eines :) Wenn man dann eien Router hat ist man froh weil man sich besser bewegen kann. Zum Thema an sich, ja, das mehrstufige Design hat schon Sinn, aber nur wenn man auf den Boxen auch untershiedliche Features benötigt, man flexibel sein muss was changes angeht und es gibt natürlich auch das alte (aber nicht von der Hand zu weisende) Rezept: Wenn mir jemand Firewall A hackt, dann ist es unwahrscheinlich das auch Firewall B (da anderer Hersteller) direkt danach fällt. Klar, kaum jemand hackt "die Firewall",aber es könnten ja unterschiedliche Inspections, IPS Features etc darauf laufen. Zb ganz vorne einen einfachen (aber flotten) Paketfilter, vor den haarigen Geschichten stellt man sich etwas hin das Application Inspection macht, dahinter dann vielleicht noch spezielle reverse proxys usw usf...der alte defense in depth Hut eben

Wir bauen eignetlich bei jedem Firewall Interface einen Router dahinter, dann lässt sich die Zone bequem erweitern. Erschwerend hinzu kommt bei einer ASA das eher bescheidene Handling von DHCP forwarding. Hat man mehrere DHCP Server ist das nicht besonders gut gemacht auf der ASA. Hat man einen Router davor, macht der schon den forward als unicast. Ergo, Firewall - Router (logisch,L3) und in den acls mit möglichst sinnvollen Objekten als Source arbeiten, kommt was dazu, muss man nur die entsprechenden Objekte ändern und fertig

bei tunneln sind immer beide Parteien gefordert :)

Also ich sehe das komplett anders :) es spricht nichts gegen NAT. Aber auch nur wenn: man weiß was man da macht Protokolle verwendet werden die auch über NAT funktionieren, es gibt zb durchaus Probleme wenn vielleicht die Source IP im Paket nicht mit einer Information im Applikationspayload übereinstimmt Wir aktzeptieren zb keine privaten IP Adressen in der Encryption Domain, das liegt daran weil wir die selber fast alle benötigen und wir zig Partner haben, das würde schnell nicht mehr funktionieren weil wir die immer gleichne IPs zigfach präsent hätten. und wir haben auch Partner, die machen das ebenso. und dahier auf beiden Enden anscheiend dummerweise gleiche Ranges verwendet werden, geht es nun mal nicht anders als auf beiden Seiten NAT zu nutzen, zu verwenden ist dann auf deiner Seite ein statisches NAT für den FTP Server

nur muss man dazu nicht kreativ sondern auch risikobereit sein. Möglicherweise schnell reich zu werden auf die Gefahr hin das mal die Herren in Schutzmontur die Wohnung stürmen (statt einen Grüß Gott gits da erst mal die Ramme durch die Tür) finde ich persönlich nicht so prickelnd. Und Cybercrime wird auch ziemlich hart bestraft, ich denke, ich kann meine Zeit besser investieren

Netzwerkermode: "multihomed Server sind immer schlecht, weg damit" Hat sich in zig Jahren Erfahrung stark herauskristallisiert, ein Server hat daher bei uns auch nur ein Frontend auf dem alle Services und Management laufen plus eine dezidierte Backupanbindung (aus Performancegründen) wo auch nur die notwendigen Verbindungen zum sichern freigeschaltet sind. Sämtliche "Experimente" die anders konfiguriert sind,machen immer nur Probleme.

es gibt auch andere asymmetrische verfahren, die beruhen nicht auf Primfaktoren. Aber egal, die meisten Algorithmen die bei asymmetrischen Verfahren eingesetzt werden sind relativ einfach, wären die Schlüssel kurz, könnte man durch ausprobieren relativ schnell den private key bekommen, so mein WIssensstand. Bin allerdings auch kein Methematiker, ich kann DH gut nachvollziehen (ich meine jetzt den Schlüsselaustausch den man zB bei IPSEC verwendet, nicht das ich einem der beiden Herren bei einer Vorlesung folgen kann), bei den etlichen Operationene die AES vollführt steige ich aus Was nicht bedeutet das bei symmetrischen verfahren die Schlüssellänge egal ist, auch hier gibt es minimumlängen wie Gültigkeitsdauer die man einhalten sollte, sonst ist die Verschlüsselung nicht sicher (zum Zeitpunkt der Übertragung und eine gewisse Zeit eben, die Entwicklung steht ja nicht still). Aber ja zwischen den Schlüssellängen von sagen wie AES zu RSA liegen WELTEN

Marketing "Buzz" :) bzw halt dann die üblichen Trendwörter: M2M, Web *.0, social media,...Artikel die exzessiv Begrifflichkeiten dieser Art verwenden sonst aber eher mit Inhaltslosigkeit glänzen kann man getrost ignorieren. Mag schon sein das es Branchen/teile gibt die noch immer keinen Nutzen aus der IT ziehen....aber dann ist es a. deren Schuld oder b.eventuell sogar gar keine schlechte Idee :) Aber darum jetzt großartig Sommer/Weihnachtslückenfüller zu produzieren, naja. Und ja, die HR Abteilungen haben leider oft keine Ahnung was die Firma für die sie tätig sind eigentlich macht und was von neuen MItarbeitern gefordert wird, aber da sehe ich dann auch eher die Manager, Teamleiter etc gefordert hier entsprechend zu unterstützen. Sei es bei der Gestaltung von Jobprofilen, Ausschreibungen und nicht zuletzt bei Gesprächen und dem AUswahlprozess. Jegliche Verantwortung bei HR oder auch den bösen ahnungslosen Headhuntern abzuladen halte ich für falsch.

immer wieder befremdlich wie hinterher gehinkt wird...und ich glaube fast, das Problem liegt bei den Schreiberlingen....2017 und mal redet noch von der "digitalen transformation ?

Nicht falsch verstehen, aber du hast ja von dem Ding wenig Ahnung und dann willst du es in Betrieb lassen wenn dir auch niemand weiterhelfen kann ? Wir haben für allerhand uralt HW Ersatzteile in OVP rumliegen, trotzdem läuft der Kram nicht mehr, das ist einfach fahrlässig. Speziell mit 4003er HW kann ich schon Burgen bauen, so viel neue Cisco Hardware kann ich garnicht kaufen als das ich das alles jemals in trade-in unterbringe Ist das Netz so unwichtig, dann kann man es einfach auf billigster Switching Hardware laufen lassen, benötigt man hier "exklusivere" Features, dann muss eben Geld her. Ich kann wirklich nur raten hier jede Neukonfiguration zu verweigern. Auf den Hybrid 65er sehe ich das unter den Modulen trunks gesetzt wurden, ich vermute da wird gesteurt welche VLANs an die die SUP gehen: #module 1 : 2-port 1000BaseX Supervisor clear trunk 1/1 78-79,1006-1023 set trunk 1/1 on dot1q 1-77,80-1005,1024-4094 clear trunk 1/2 78,1006-1023 set trunk 1/2 on dot1q 1-77,79-1005,1024-4094 nur weiß ich nicht wie man auf der Ebene etwas konfiguriert, CATOS ist ja nicht so hierarchisch organisiert wie IOS oder NXOS

aso, das ist eine "hybrid kiste". Hm...hab noch einen 65er mit MSFC...müsste ich erst mal nachschauen wie das geht, aber solche Kisten sollte man schleunigst entsorgen, da hast du 0 Support, Selbst in Foren wird es schwierig. Gibt zwar etliche Leute die damit umgegangen sind, aber man merkt sich auch nicht alles. Ich würde daher dort überhaupt nichts neues mehr konfigurieren, direkt sagen das solche Gurken einfach nur mehr Schrott sind, da gehört was neues her

hier wird nix gedropt. hier wird erlaubt.

nimm trotzdem das vpn, das funktioniert dann nämlich mit allen Diensten7Applikatioenne, egal ob sie einen Proxy akzeptieren oder nicht.

und exakt das ist proxy arp

denke da gibts diverse Blickpunkte, da gibts den von blubb, der passt mal würde ich sagen, könnte man höchsten noch reinreklamieren das es sicher auch gesetzliche oder firmeninterne Richtlinien gibt die das finazielle Thema toppen. Wenn etwas nicht zulässig ist, dann kann es noch so billig sein, es muss leider weichen. Außer man geht so weit und nimmt eine Risikoanalyse: "Strafzahlung vs Kostenersparnis beim Betrieb der Lösung" vor. Kaufmännisch nachvollziehbar, aber ich persönlich lehne es ab vorsetzlich gegen Gesetze zu verstossen. Privat mag ich es ja auch nicht wenn jemand weil es eben grade praktisch ist gegen die Einbahn vor dem Haus fährt Andere Blickpunkte sind dann eben Performance oder der operative Aspekt, is ja gut und schön das jemand aus dem Bauch raus gerne ein eigenes Datacenter hätte, wenn es dann keiner im Griff hat bringt das aber nichts. Da Azure ja doch noch recht jung ist, vermute ich mal das die meisten dieser und anderer Punkte schon beleuchtet worden sind (was nicht daran hindert diese nochmal zu hinterfragen) und neue Projekte müssen eben sorgfältig geplant werden.

wird die leitung überhaupt synchron ?

Kann ich cniht direkt beantworten da das nicht mein Fachgebiet ist, ich gehe aber mal davon aus das es ähnlich ist wie bei meiner Domäne: Egal ob Entry, "Medium" oder Gurulevel Zertifikate, mit jedem davon bekommt man, wenn sie denn auch zur Position passen, einen Vorteil bzw den Fuß in die Tür. Sie können durchaus das Zünglein an der Waage sein Mit vielen Herstellerzertifikaten sind bei Systemhäusern, Vertriebspartnern und Co Partnerstati verbunden, zB Cisco Platinpartner benötigen immer x zertifiierte Supporter, Consulter und Verkäufer. Die bestehen darauf das der Bewerber die Zertifikate schon hat oder zumindest willens ist sie schleunigst zu erledigen, dabei wird dann meist gegen eine Art Weiterbildungsvereinbarung (du musst x Jahre bei der Firma bleiben oder eben zumindest anteilig die Kosten der Weiterbildung tragen) der neue Mitarbeiter schnellstmöglich zertifiziert. So gut wie alles was ich gemacht habe (und das ist schon eine ganze Reihe mittlerweile) lässt sich nicht 1:1 im Job umsetzen, war teilweise langweilig oder spielt in meinem Beruf keien Rolle....aber der Großteil hat mir weitergehofen, beim bewerben und natürlich beim Arbeiten. Und selbst wenn ich nur eine Ahnugn hatte wo ich suchen muss, das allein ist schon viel wert. Ich musste sogar schon mal das ein oder andere Mal in den Guides, CBK etc. etwas nachschlagen das ich beim lernen für die Prüfung an sich für völlig uninteressant empfunden habe. Also Fazit: Die Zertifizierungen sind kein Garant einen Job zu bekommen oder umgekehrt den richtigen Kandidaten zu bekommen, mir wäre es aber noch nie untergekommen das sie zu meinem Schaden beigetragen hätten. Nachweisbare Bildung jeglicher Art kann sich nur positiv auswirken

abgesehen davon gibts doch schon haufenweise Leute die rein vom B/Vlogging leben, also da ist schon massig Geld dahinter.

Zertifikate haben ja im Regelfall ein Gültigkeitsdatum, ist das überschritten, zählt es auch nicht mehr. Klar gibts so "Freakzertifikate" die keine Rezertifizierung oder Weiterbildung vorsehen, die sind aber in meinen Augen auch völliger Blödsinn, gerade in so dynamischen Bereichen wie der IT. Hier muss man ständig am Ball bleiben, sicher gibts gewisse Grundlagen, die sind je nach Gebiet bereits seit Jahrzehnten, gar Jahrhunderten unverändert, aber ein Großteil ist es eben nicht. Allerdings führe ich zb im xing Profil abgelaufene Zertifikate an, eben mit dem Hinweis das sie ungültig sind, man löscht ja schließlich auch keine Positionen die man inne hatte oder ein Studium das man auf einem völlig fremden Gebiet vor 30 Jahren abgeschlossen hat aus dem Lebenslauf :)

Nur wenn das gateway proxy ARP enabled hat

Bei den meisten größeren Umgebungen wird das thema " Standardserver aufsetzen" ohnehin so ziemlich obsolet werden, das wird alles autoamtisiert :) Ohne zu wissen was du die nächsten Jahre arbeiten willst, würde ich keine Ausbildung beginnen. Es ist nicht viel verlroen wenn man nach 3-5 Jahren merkt das einem das Feld dann doch nicht so recht gefällt, man kann dann immer noch auf etwas anders umsatteln

ne zahni, das ist falsch. Die Maske legt fest für welche IP Adressen ein ARP gesendet wird um sie direkt erreichen zu können, für alles andere wird ein ARP für das default gateway gemacht (sofern nicht ohnehin schon im cache) und das Paket wird an das default gateway gesendet. Und eben dieses Gateway sollte tunlichst im gleichen Netz sein, auch wenn proxyARP klappt. Ich wüsste nicht welchen Sinn es haben soll innerhalb eines LANs munter die Netzmasken zu setzen wie man es grade für angenehm hält, da gehört eine konsistente Konfiguration rein und dann funktioniert das alles auch zuverlässig.

Wobei von "einem" nicht die Rede sein kann, da gibt es ausgefuchste Geldwaschmaschinen dahinter. Wäre ja b***d wenn man direkt beim wandeln der virtuellen Kohle in physische Ware (oder andere Währung) direkt erwischt werden würde. Also die Infrastruktur um bequem und ohne viel Reibungsverluste den Gewinn einsacken zu können wird meistens als erstes und sehr professionell aufgebaut. Den Code kann man sich dann auch schon recht einfach zusammenklicken, angeblich haben die Malwarekits einen besseren Support (ja auch 24/7 , telefonisch) als vdie meiste gebräuchliche Software. Für Technikmuffel stehen aber auch versierte Coder direkt als "XaaS" Produkt zur Verfügung. Ich behaupte, es wird dann auch nicht mehr lange dauern bis die attachments dann auch verschlüsselt übermittelt werden, den Key liefert man einfach direkt mit, irgendwer wird schon brav der anleitung folgen...aber die Verteidungsmaßnahmen am Weg stören dann wenigstens nicht mehr, ist ja nervig wenn da einfach so jemand die Mails erst in einer Sandvox öffnet, wäre ja die ganze Arbeit für die Katz ;)