Otaku19

das erklärt warum ausserhalb von reinene MS Umgebungen eigentlich nur von ************ die Rede ist...auf meinem MAc ist das einzige MS Produkt Silverlight...welches am Mac auch nicht alles so erledigt wie es das auf den Windowssystemen macht

so, zu aller erst wirst du mal versuchen dich weiter vom ASDm zu entfernen, öffne dazu mal Tools-Preferences und aktiviere "Preview commands beefore sending them to the device" So wird dir alles was der ASDm macht zuerst mal als CLI Befehl angezeigt, jetzt weiß ich auch was du mit filter gemeint hast, das sind Möglichkeiten um activeX und Java destination/source bezogen direkt auf der ASA zu filtern, ebenso kann man Url filter darüber machen, dazu brauchts aber einen externen Server auf dem diese Listen lagern

was würde denn eine gebrauchte FW bringen ? Du benötigst imho so und so was mit nem Servicevertrag, denn kostenlose Updates gibts bei Appliances eher selten.

also, eine ASA/PIX mit aktiven nat-control (oder uraltem image) MUSS für jede Verbindung ein nat statement vorfinden, und wenn es auch ein nat 0 ist, sonst geht da einfach nix. ACL an sich heisst einfach nur access-list, es gibt standard und extended acls, standard acl können nur ne Source angeben, erweiterte acl source,destination und protokoll/port. Auf einer ASA gibts dann noch spezielle acl die man zb auf einer transparenten FW nutzt->ethertype acls. dyn NAT heisst das hier eine sourceadresse dynamisch auf eine Adresse aus einem Pool zugewiesen wird. Verwendet man imho eher selten, geläufiger wäre dynamic PAT und static NAT, nciht zu vergessen polic NATs für spezielel (nicht-)Übersetzungen. Was meisnt du mit filter ?

du kannst das alleien nur schwer umbauen, dein ISP müsste dir noch mindestens ein /30 Netz routen, dieses netz wird dann n zwischen Router und Firewall gefahren. Die ASA sollte grade als VPN Endpunkt mit einer öffentlichen IP betrieben werden, abgesehen davon hat sie einfach mehr Dampf als der 876er iirc

da wurde garnix genannt was bei der Anschaffung der Firewall eine Rolle spielt :) Ja...das die alte Gurke dann umsonst bei dir steht kann dann gut möglich sein.... Steht eh schon da, ohne Vertrag spielts auch nix mit Support. Und für End of alles Kisten wie die 501 darfst du dich eben mit 6.3 rumärgern, wenn du Probleme hast ist das dann dein Problem Anleitungen wie diese Upgrading Software for the Cisco Secure PIX Firewall and PIX Device Manager - Cisco Systems gibts natürlich auch ohne login Wie gut das mit dem "Anleitung lesen und durchwuschteln" funktioniert sieht man eh hier im Forum ;)

üben üben üben :) vor allem via CLI aber vielleicht nicht an der FW die du da im Betrieb hast sondern im GNS3, das was du da alles machst schafft man auch mit einem pix image.

es kommt nicht auf heutige Sicherheitsanforderungen, sondern auf DEINE Anforderungen an. Je nachdem auf welche Art den Account gekapert wurde bringen dir Firewalls genau nichts :) Ein 501 würde ich mir so und so nicht mehr hinstellen, die würde ich vielleicht noch einstzen wenn sie zufälligerweise rumliegt und ich sie als Tunnelendpunkt verwende. und so ganz ohne Ahnung von Cisco tut man sich mit dem eheunkomfortablen CLI vom alten OS eher schwer, via ASDM kann man wiederrum einiges nicht konfigurieren bzw ist es dort auch irgendwie dämlich versteckt. Würde ohne Erfahrung erst mal fürn Anfang die Finger davon lassen und mir das mal von nem Profi zeigen lassen, der sollte ich auch beraten können welche Firewall sinnvoll ist.

glaub da wurde signieren und verschlüsseln durcheinander gebracht ;)

solange kein splittunneling verwendet wird, wird mal alles an die Firewall geschickt solange die VPN verbindung aufrecht ist. Und die FW kennt die Route zu deinen netzen klarerweise und für jeden VPN Client gibts ne Hostroute. Ich vermute "sysopt connection permit-ipsec" ist aktiv, daher können deine VPN Clients überall hin. Wobei ich jetzt nicht weiß welche Regeln du da jetzt genau meinst, acl am Interface oder Regeln die via ACS pro User zugewiesen werden ? Warum du doppelt nattest ist mir ein Rätsel, die Grafik ist zwar noch nicht freigeschaltet, aber wenn das so läuft wie ich das hier rauslese ist es höchste Eisenbahn ein offizielles Linknetz zwischen Router und ASA zu fahren um diesen Unsinn ein Ende zu bereiten. Der Router sollte dann nur mehr routen/modem spielen,alles andere passiert auf der ASA.

hm, so ist das Pfusch. Besorg dir mal n paar Unterlagen und lerne grundlegend mit dem Gerät umzugehen. Und CLI Wissen ist einfach Pflicht, es gibt einige Dinge die man besser nur via ASDm macht, aber das sind ganz sicher nicht die Dinge die du jetzt benötigst

Nö das geht nicht, da sind nurSVIs möglich, aber immerhin, besser als nichts

elegant meine frage umschifft...aber ich vermute jetzt mal du aus dem Netz 192.168.0.0/24 kommend auf die IP 192.168.4.2 zugreifen willst ? 1.du hast acl definiert, sie aber nirgends via access-group gebunden 2.du hast "same-security-traffic permit inter-interface" konfiguriert, die beiden interfaces vlan 1 und vlan 4 haben das gleiche level. somit ist traffic möglich (solange du nicht irgendwo anfängst acls zu binden ohne zu überlegen) 3. deine applikation ist anscheiend eh schon verbunden, somit kann es eigentlich nix mehr acl sachen zu tun haben. keine Ahnung was ccp->uc tut oder was du damit meinst, aber bei sowas würde ich mal auf die schnelle "no service-policy global_policy global" verscuehn, du hast da relativ umfangreiche inspections drin 4.wozu wird die mtu fix hinterlegt ? 5. hier sollte nat-control per default aus sein, das ist in den ASA Release default, taucht daher nicht in der config auf. Mit sh run all oder sh run nat-control müsstest das verifizieren können. Somit nat statements hinfällig und so wie du das da konfiguriert hast, also in beide Richtungen statisch das gesamte Netz hab ich das überhaupt noch nicht gesehen, das schaut mir suspekt aus. Afaik teilt da die ASA "dynamisch" das nat zu, also sagen wir aus 192.168.0.25 wird 192.168.4.128, nur hab ich keine Ahnugn ob die ASA vorher irgendwie überprüft ob diese Adresse nicht schon irgendwie benutzt wird, das könnte zu groben Problem in beiden Netzen führen.

ohen zumidenst die wichtigen configteile wird das nix. Und von WO willst du zugreifen ?

Kommt drauf an :) von niedrigeren security-level auf ein Interface mit höherem Level brauchts in jedem Fall ne ACL. NAT ist nur notwendig wenn nat-control an ist. Also rein ASA seitig, bei nicht gerouteten Adressen bleibt einem eh nix anderes über als zu natten

uh, das ist natürlich mist: The ASA 5505 adaptive security appliance does not support Spanning Tree Protocol for loop detection in the network. Therefore you must ensure that any connection with the adaptive security appliance does not end up in a network loop. tjo, aber ne 5505 ist auch eher eine Aussenstellen FW und bei Redundanzfragen wird man eher 2 FW im failover betreiben als 2 Verbinudngen zu einer Box schalten.

5505 hat ja switchports, denke mal das wird bei 2 links einfach via STP geregelt ?

wirklich nur eines ? da würds ein feines NM-16ESW geben, das ist dann allerdings ein kleiner Switch

da musst auf der ASA redundant interfaces konfigurieren

der ist mittlerweile dieser thread hier und hat die ciscopage auf platz 6 verweisen,hehe

"The Page You Have Requested Is Not Available" ?

heisst also all die Storys die ich immer über den Geschwindigkeitsvorteil von AES gehört und gelesen habe haben sich auf das abwickeln in Software gedreht ?

glaub ich nicht tim: NSEC .security excellence: 3DES vs AES "By design AES is faster in software and works efficiently in hardware. It works fast even on small devices such as smart phones, smart cards etc. AES provides more security due to larger block size and longer keys." oder auch besonders geil: Moserware: A Stick Figure Guide to the Advanced Encryption Standard (AES) als das akutell war, war ich netzwerk/securitytechnisch noch in den Windeln, aber es klingt logisch das einmal Rijndael flotter ist als 3x feistelbla wie auch immer 3DES könnte evtl flotter sein wenn es in HW gemacht wird, AES jedoch nur in Software...aber zu solchen alten Gurken hab ich keine Erfahrung :)

da hast du glaub ich was missverstanden...AES wurde entwickelt weil 3DES zu lahm war iirc

das hat aber nichts mit Bandbreite sondern der flotteren Verarbeitung in der Crypto HW zu tun. Denn 3DES ist das was der Name sagt: 3x DES ausführen, AES ist nicht minder sicher und macht das in einem Schritt. Abgesehen davon gibts bei AES grössere Schlüssel wenn man das wünscht. SHA1 ist afaik nicht perfomanter als MD5, jedoch kollisionssicherer.