Otaku19

einfach auf ipv6 umsteigen, da ist der ganze MTU Unfug vorbei :) DIe gibts natürlich noch, aber kein device am Weg darf fragmentieren, es wird immer eine path discovery gemacht. Performance von VPN/Firewall ist immer schwierig zu analysieren, wireshark ist schon mal super, wenn möglich, auf beiden Enden. Da knan man meist schon ableiten wenn nicht sogar genau sagen wo der Schuh drückt Ansonsten, CPU/RAM auf der Firewall soweit Ok ? Wie komplex ist die Encryption domain ?

Logo, mit PRTG oder dergleichen mitmessen und dadurch Erfahrungswerte sammeln,w as in Firma A passt, hat mit Firma B nichts mehr zu tun und auch oft nicht mit Firmenstandort B1 Ich würde hier eien Evaluierung von Palo Alto und Fortinet in Betracht ziehen, beide werden im Regefal von Partnern vertreten die recht gut einschätzen könne welches Modell/welche Lizenezne passen. Wenn man viele Features benötigt, dann ist Fortinet preislich immer gut unterwegs, deren Boxen können von Haus aus "alles", liegt beim User festzulegen wie viele Features benutzt werden. Lediglich Subscription Services (AV zB) kosten dann laufend. Nischenprodukt wäre dann Barracuda, die kann das auch alles.

Ist nur meine Beobachtung. Die letzte Cisco Live zb. Frauenanteil: 0,1%

von welchen Bandbreiten und Userzahlen reden wir ?

Tja, Netzwerk und Security ist nicht gerade beliebt bei den damen wie es scheint. Wobei ich immer wieder vereinzelte Kolleginen und auch schon eine Vorgesetzte hatte (die war auch technisch involviert, keine reine "administrative" Chefin). Aktuell sehe ich auch in anderen technischen Abteilungen eher wenig Frauen, grade Entwicklerinnen jedoch häufiger. Da spielts wenig Rolle um was es konkret geht, Java oder sharepointentwicklung...überall doch so ~30% Damen. Woran das liegt ? keine Ahnung und es ist mir gleich...solange ich nicht gezwngen bin wegen irgendwelche internen Vorgaben eine möglicherweise schlechter qualifizierte Frau einzustellen um irgendwelche Quoten zu erfüllen. Gibts zum Glück bei uns nicht, es kommt der/diejenige zum Zug welche die Aufgaben am besten zu erfüllen scheint, das Geschlecht spiel keine Rolle

am IIS https aufdrehen wäre doch auch eine Idee ? Klar overkill für eien vermutlich relativ statische Seite mit einigen Bildern, einem Kalender und so...aber der IIS wird das schon verkraften. Kannst ja dann eien startssl oder lets encrypt gratis Zertifikat draufgeben damit es bei den Usern auch "schön" aussieht

Anbieter aus dem rennen werfen und sich um was sinnvolles umsehen. MAC Adresse bietet NULL Schutz...außerdem spielt die zwischen 2 gerouteten Netzen (bzw. bei remote ZUgriff) keine Rolle mehr. Im regelfall ist das was klassische Haustechnik, CCTV oder Broadcastbuden anbieten leider kompletter Murks. Die sind eben noch nicht so IT/IP affin. Um solche Systeme dennoch integrieren zu können, muss man sie in eigene Netze mit definierten Zugängen sperren, remote Zugang gibts eben nur via VPN und anschließendem Zugriff auf das System.

da musst du wohl oder übel die wichtigen confiug Teile posten...wichtig wäre zb zu wissen ob die Ceints tunnel-all machen oder ob da nur bestimmte netze definiert worden sind. PSK,descirption und auch die echten IPs solltest du weglassen/ersetzen

das geht zu einem Großteil automatisiert. Allerdings benötigt man immer Menschen um über Fälle in gewissen Schwellwerten entscheiden zu können udn Reports auswerten zu können. Und natürlich jemanden der erboste Anrufe von Usern entgegennimmt warum Icon XY vom Desktop verschwunden ist oder warum irgeindeine Applikation nicht mehr funktioniert. Beijeder Lösung hat man die Möglichkeit Samples direkt manuell hochzuladen, fast immer git es auch dei Möglichkeit eine paralleln uploads bei virustotal, bei der Analyse werdne die aufgerufenen urls/IPs mit Reputationslisten abgeglichen etc Neben dem Phänomen das man sich damit doch einiges an Arbeit aufhalst darf man nicht vergesen das die Analyse (wenn man sie denn lokal macht), je nach Malwarevolumen schnell dazu führt das man selber eine schlechte Reputation bekommt :) Also die IP mit der die Analysekiste ständig raus in Internet geht und fragwürdige Ressourcen abruft. Auch hier können die Anbieter einspringen, entweder Analyse in der Cloud (hat auch mehr wumms) oder mit eienr Art Proxy für solche Dinge.

Der war ja auch nur hier um schnell seien messages zu checken :) Also, vlan 1 ist per default untagged auf den Switchen man kann natürlich auf jedem einzelnen trunk port das native vlan anders setzen. das macht man aber im Regefall nur zu Servern hin, eben in Absprache mit den Serveradmins. Im geswitchten Netzwerk würde ich mich da an einen Standard halten hin und her taggen ist nicht dafür gedacht eine Kommunikation zwischen verschiedenen LANs zu ermöglichen :) wenn du allowed vlan verwendest dann MUSST du auch das untagged vlan da reinschreiben, sosnt ist da keine Kommunikation möglich

Eben deswegen heißt es ja "Advanced Malware Protection" :) Das Ding arbeitet nicht mit Signaturen, die potentielle Malware landet in einer Sandbox und wird dort ausgeführt, es gibt dann diverse Tricks um dem Code zu verschleiern das es sich um eien VM handelt, ebenso um die Zeit zu beeinflussen denn oft aktiviert sich Malware erst nach einiger Zeit. Es wird dann überprüft welche verbindungen wohin aufgemacht werden, welche Prozesse kommen in Gang, was ändert sich in der registry usw usf. Aber...anscheiendn hat das wirklich noch niemand hier im Einsatz :) Produkte die ich mir mal ein wenig angeschaut habe waren von Cisco, McAfee und natürlich Fireeye. Barracuda hat da auch Möglichkeiten, das wirkt aber noch irgendwie eher unbeholfen, Cisco ist auch noch stark mit der Integration von Sourcefire beschäftigt, da sind wohl auch einige Details die es anderswo schon lange gibt auf der Strecke geblieben. Denke, da wirds wirklich mal auf einen Test/PoC ankommen

Wende dich an deienen "Vermieter". Der hat sicher was im Portfolio um dich ein wenig zu schützen, letzten Endes ist das ja auch seien Infrastruktur, der hat auch Eigeninteresse am Schutz eben dieser

Wie gesagt, proxy macht nur Sinn wenn man da auch SSL aufbricht (und schon gehen die Diskussionene los wo wir das nicht machen dürfen) und selbst dann ist das nur eines von vielen möglichen Einfaltsoren. Die Lösungen die am Markt sind, haben mit einer "Spielzeuglösung" als sandboxie auch nicht viel gemeinsam.Bzw zielt sandboxie ja auf etwas ganz anderes ab. Da gibts schon ausgefeilte Techniken. Die Lösungen sind auch auf einige tausend bis etliche tausend analysen pro tag ausgelegt und natürlich nach einiger Einarbeitungszeit darauf etrimmt möglichst wenig falls positive zu erzeugen, dei sind am anfang immer ein Prolem. insbesondere bei viel selbstgestricktem oder außergewöhnlicher Software. Was es bei uns gibt :) Zusätzlich zur Analyse in der Sandbox bietet McAfee zB auch eine statische Analyse an, das kann man sich als vollautomatisiertes Reverse Engineering/decompilen des Codes vorstellen. Sind da dann Teile vom Code als malicious bekannt (url die bösen payload laden, schlechte reputation der seiten, bekannte böse codeteile, es wird ja nicht jede Malware von grund auf neu geschrieben etc.).

Mail wird bald an den Start gehen, deckt aber nur einen Teil ab. Proxy haben wir nicht im Einsatz,ein weiterer grund warum ich ein Fand von Clients bin die sich hashes von dateien ansehen, an eine zentrale Stelle schicken und bei Bedarf dann eben das file ebenfalls zentral (cloudbasiert kommt für uns nicht in frage) analysieren lässt. So sollte man alles was auf allen möglichen Wegen zum Rechner kommt erwischen. Abgedecken will ich eben Malware die nicht durch Virenscanner,Antispam und Co erkannt wird, bzw auch nie rechtzeitig erkannt/eingedeämmt werden kann weil das eben rein signaturbasierte Systeme sind.

Mal ganz ungewohnt...der Netzwerkfuzzi macht einen Thread bie Windows auf :) Aber dieses Thema hat auch einen sehr starken Windows/Applikationsfokus. Nachdem traditionelle Sicherheitsmechanismen und Produkte nicht adäquat auf den Angriffsvektor Zero Day, Advanced Malware oder gar gezielte Angriffe reagieren können, bieten viele Hersteller allerhand zusätzliche Schutzmechanismen an. Einer davon kreist immer um den Ansatz Code den man nicht kennt erst mal in einer Sandbox laufen und analysieren zu lassen. Je nach anbieter gibts da rein netzwerkbasierte Lösungen und auch welche die cleint basiert sind (+ einer starken Sandbox im hintergrund natürlich, Cloud oder lokal) Wir haben uns mal am Markt umgesehen, je nach Hersteller wirken dei Lösungen schon recht erwachsen, andere eher nach Betastadium. Bevor ich mir da jetzt viele, langwierige PoC antue, mal ein paar Fragen in die Runde: Wer hat solche Lösungen am laufen ? Welche Lösungen wurden getestet und warum hat man sich für genau die entschieden die jetzt läuft ? Gabs katastrophale Griffe ins Klo ? Sogar lösungen die bereits wieder abgebaut oder abgelöst worden sind ? Wie zufrieden ist man jetzt nach dem das ganze läuft ? Wie lang war die Lernphase ? Wer betreibt die Lösung dann eigentlich bei euch ? Unsere Recherchen haben bislang ergeben das eine reine Netzwerkbasierte Lösung für uns keinen Sinn macht, Schließlich ist es bei unsnicht so einfach mal eben jede SSL verbindung nach draussen "aufzubrechen", datenschutztechnisch wie auch von der Umsetzung her. Und keine Lösung kann passwoortgeschützte Archive oder dergleichen öffnen. nur am Client "sieht" man die Malware wirklich,daher kommt (zB auch mal via USB,oder fremden Netzen) für uns auch nur eine Lösung in Frage die ihre "Sensoren/Enforcer am client haben. Mal angesehen haben wir uns natürlich fireeye, Cisco AMP und Mcafee ATD

in Textform gehört meiner Meinung nach nur ein "betriebshandbuch", nich aber all diese Details. man tut sich einen gefallen layer 2 und layer 3 in getrennte Visios zu pacen, wichtige Details vielleicht auch noch mal als einzelne Zeichnung. Bei den IP Adressen kommt es halt darauf an von welcher Menge und Dynamik wir da reden. Excel ist eine einfache Möglichkeit, IPPLAN auch noch recht easy,hat aber keinen support mehr (denke es gibt auch keinen v6 Support) .Richtige IPAMs zahlen sich erst aber vielen Einträgen aus, wir verwenden das IPAM Modul von Solarwinds, ganz einfach weil das auch sonst unser Management ist. Ich hab mir aber auch mal den IPAM Teil von Infoblox angesehen,war auch sehr brauchbar. Die Infobloxkisten sollte man dann aber auch gleich direkt als DHCP und/oder DNS verwenden, können recht viel. Die ausgewachsenen IPAM Lösungen haben halt viele Vorteile gegenüber dem Excelsheet, automatische scan,Abgleich mit DHCP server, reservierungen, usw usf aber auch den Nachteil das sie einiges kosten und man sich ein wenig länger einarbeiten muss

Ich gebe offen zu, der OpenSSL Syntax st mir ein Graus und ich muss ständig nachschauen welchen Befehl ich denn jetzt benötige. Ich verwende daher für sämtliche "Operationen" die mit CSR oder Zertifikaten zu haben XCA: http://sourceforge.net/projects/xca/ Alles klickibunti und bislang konnte ich noch alles importieren/exportieren was und in welcher Form ich wollte. Aus sicherheitstechnischen Gründen erstelle ich dort aber niemals einen CSR ,das hat meiner Meinung nach nur auf dem betroffenen Endsystem zu geschehen. Bzw gehts mir nich tum den CSR, sondern um den private key.

nach Rücksprache mit der Boardleitung kannst du auch hier direkt einen Post mit der Ausschreibung abgeben. Denke hier, in einem Fachforum, kann man dann auch etwas mehr Details schreiben als sonst in Jobanzeigen üblich....und auch in einem anderen Ton als in HR Sprech :) Das völlig ungeeignete Kandidaten auftauchen ist allerdings wirklich ärgerlich, es kostet alle Beteiligten nur unnötig Zeit. ich selber hatte bislang nur wenig Bedarf an neuen Mitarbeitern, der konnte allerdings auch relativ zügig durch Personalvermittler gedeckt werden. Mag aber natürlich an unserer Lage, der Branche oder dem Aufgagebengebiet liegen das es nach einem ziemlichen desaster mit dem ersten Kandidaten dann doch sehr gut geklappt hat.

ist halt auch immer eine Frage wie genau die Anzeigen formuliert sind und nicht zuletzt...wie viel bezahlt wird. Mich persönlich schrecken zB Anzeigen die nur auf den Mindestlohn oder irgendwelche wirren Gehaltstabellen verweisen sofort ab. Von mir verlangt man ja auch das ich konkrete Antworten liefere, sei es beim Bewerbungsprozess oder im Job. Besser finde ich da schon Anzeigen die das Gehalt mit einem Spektrum angeben

letztes Jahr hab ich mir 8h lang Malware Deep Dive (oder so ähnlich) gegeben, die Session wurde von den Talos Jungs geschmissen. Die war sehr unterhaltsam, lehrreich und am Ende des Tages auch ein wenig furchtinflößend...so sehr das sich dadurch mein Verhalten Updates, Patches etc gegenüber grundlegend und nachhaltig bis heute verändert hat :) klar, der Montag ist nicht gerade billig, aber nur hier ist genug Zeit um die Materie sehr genau erklärt zu bekommen. Ich kann nur jedem empfehlen auch den Montag zu buchen.MIttwoch Vormittag hab ich auch wieder ein Lab gebucht, Network Forensics. Letztes Jahr hab ich mir Firepower angesehen, die Labs finde ich auch immer sehr gut. Ist was anderes selbst Hand anlegen zu können statt sich nur berieseln zu lassen oder vor Verkaufspersonal in Deckung zu gehen :D...das gibt wieder eine Mailflut nach dem Event ;)

Wollte mal in die Runde fragen wer vielleicht anwesend sein wird ? ich war letztes Jahr in Mailand und bin froh das man hier schon nach 2 Jahren die Zelte abgebrochen hat :) http://www.ciscolive.com/emea/ Ich werde mir direkt am Montag mal die 8h ASA Session reinziehen um mal wieder auf aktuellen Stand zu kommen, die restliche Woche wird ebenfalls durch Securitysessions dominiert werden. ich werde bereits am Sonntag (relativ früh) anreisen...also wer den ein oder anderen Tipp hat was ich denn am Sonntag so anstellen kann in Berlin, immer her damit. Insbesondere insiderwissen was die beste Currywurst betrifft ;) Abendveranstaltungen ala Dinner, "Sideevents" werde ich aber auslassen, es wird schon unter Tags recht anstrengend werden.

Ja leider, da muss man sich dann leider mit einer schnöden Laptoptastatur zufrieden geben :) Aber da bin ich persönlich eben von den Lenovo tastaturen ziemlich angetan. Auf einem Zwerg wie dem X1 bekommen die das Layout auch recht gut hin. Und beleuchtet ist sie auch (sogar in 2 Helligkeitsstufen) was auch oft praktisch ist

mit der Einschränkung wenn es sich nur um Notebooks und da auch nur in der gleichen Größe handelt :) An meinem Arbeitsplatz und zu hause verwende ich zB ausschließlich eine MS 4000 Tastatur, auch am notebook angeschlossen. ich kann zwar auch auf normalen Laypouts tippen, das Natural Keyboard ist aber einfach bequemer. Allein die verzweifelten Gesichter von "Gasttippern" sind die Umstellung wert :D Lasst die mal auf so einer Tastatur ein komplexes Passwort eingeben Aktuell verwende ich ein Lenovo X1 Carbon und finde die Klaviatur ziemlich gut, auch wenn da ein ziemlicher Abstand zwischen den Tasten ist, sie sind ja auch spürbar kleiner als auf einem normalen Keyboard, Hub/Anschlag passt für mich auch.

das wäre selbst mit entsprechendem vertrag schwierig, denn der AP wurde ja als AP für ein Controllerbasiertes Netz gekauft und lizensiert. Wobei man da über den Parnter sicher was machen könnte, hat man dann eben keinen Support und nur noch reine Hardware Wartung oder so. Ganz ohne Partner/Wartung/Smart Care hat man allerdings keinen Zugriff auf Firmewaredownloads bei Cisco. Wenn der AP für eine controllerlösung gedacht ist, dann müsstest du auch im LAN sehen das er verzweifelt versucht den Controller zu erreichen bzw zuerst mal einige Anfragen an deinen DNS anch einem passenden Controller für den Image download. Sieht also eher schlecht aus. Ein Cisco AP konfiguriert sich auch nicht gerade super bequem wenn man keinen Controller im Einsatz hat, es geht schon...aber komfortabel ist anders. Ich mag schon die integrierten WLANs bei ISR Routern nicht, würde ich mir zu Hause auch niemals aufbauen, außer als Lab versteht sich.

Obwohl ich mir damit selber quasi auf den Schlips trete...ich halte diese Selbstbeweihräucherungsartikel aus der Securitybranche für großteils Marketingschmäh. Und zwar exakt solche Artikel, möglichst nebülös gehalten, aber ganz wichtig: Prozentwerte die keiner überprüfen kann, gepaart mit paar $ oder €. Man sieht auch selten so viel Schindluder wie im Securitybereich, was da viele Leute behaupten was sie denn nicht alles können -.- Ja, Infrastruktur ist wichtig, EU weit gibts dafür auch ein Gremium: https://www.enisa.europa.eu/media/enisa-auf-deutsch Wir (Mobilfunkbetreiber) hatten bereits damit zu tun, aber außer einiges an Papierkram ausfüllen ist da nicht zu tun. Ich habe eher das Gefühl, es handelt sich leider großteils noch um zahnlose "Cover your ass" Aktionen. Es müsste besser definiert werden was denn jetzt kritische Infrastruktur ist und was denn jetzt wichtiger ist, Strom, Wasser, SMS schreiben, Radio/TV oder Internet. Und ich finde, bei hochkritischen Systemen, gibts einfach keinen Netzzugang, fertig, aus. Das sind dann eben in sich geschlossene Systeme die so sicher wie möglich designed werden, wo man nur Leute hinlässt die wisen was sie tun.