Otaku19

Zum Fussballergebnisse hochladen/gucken ist das gar nicht gedacht. Eher zum Angucken/Hochladen von Informationen, die "möglicherweise" unbequem sind - man denke da nur an die Bombardierung von Zivilpersonen... etc.

Jo, und Leute die das machen informieren sich natürlich bei Computerbild.

Hier wird einfach nur die Werbetrommel gerührt. Es ist wirklich nicht schlecht Otto Normaluser an solche Themen heranzuführen, dann aber bitte mit der nötigen Aufklärung und ohne Marketing von Marktschreierqualität.

Bildniveau halt.

Da gibts zb:

Es gibt keine absolute Sicherheit auf Knopfdruck

So ist der Satz korrekt. Man kann natürlich immer mit einem frischen OS beginnen und ausschließlich mit absolut vertrauenswürdigen Partnern mittels starker Encryption und guten Schlüssel kommunizieren..nur hat das mit der Internetnutzung wie sie ein Normalsterblicher betreibt rein gar nichts zu tun. Man hinterlässt ständig Spuren in irgendeiner Form die ausgewertet werden können

wie sieht denn die config aktuell aus ?

eh, nein ? Das ist lediglich eien pauschalierte Aussage über HP. Netzwerk ist nicht deren Kompetenz, und wer sich wundert warum man im Cisco Forum doch glatt Cisco Fans trifft dem ist eh nicht mehr zu helfen

ja, solange Speed/Duplex gleich sind

vielleicht wäre auch externe Mitarbeiter von einem der mannigfaltigen Persoanlvermittlungsbuden eine Option ? Wir kaufen regelmässig und auch über lange Zeiträume hinweg Personal auf diesem Weg ein.

Da sieht man wieder das man bei HP keine Ahnung hat. Spanning tree bleibt am Switch natürlich aktiv

Das glaub ich weniger, wie soll denn dei ASA einen VPN zum reboot zwingen können ? Weg mit dem RV Zeug und was gscheites hinstellen, es ict nicht normal das das Ding rebootet nur weil ein Tunnel nicht mehr funktioniert. Was ich mir vorstellen köntne wäre eien zu komplexe Encryptiondomain und damit verbunden zu viele SAs.

also dann verstehe ich auch nicht warum der RA VPN Zugriff auf die 10er IPs nicht klappt, da hats wohl was mit deiner splittunnel Konfiguration. Schließlich geht dieser traffic verschlüsselt an dem Router vorbei der die Route in das andere 10er Netz hat

ist die statische route für 10.10.0.0/16 denn auf jedem Client konfiguriert ?

anbindung ist auch stark genug ? Also falls es sich um eien WAN Anbidnung handelt könnte das schon eine Herausforderung werden

das sind doch auch nur Best Practices :)

hmmmm...dann wäre das doch die Geschäftsidee :D

um es klar zu stellen...ich will den Sharepointmüll nimmer :) der Aufwand die gewünschten Funktionene da einzubauen ist viel zu hoch.

Für Checkpoint gibts keine API, da kann man sich quasi config Files holen und die "dechiffrieren", wie es auf Juniper, Fortinet oder sonstwo aussieht weiß ich nicht, ebenso nicht was beim nächsten Upgrade wieder rauskommt. Daher wäre es sicher besser sich spezialisierte Software zu nehmen. Das einpflegen aller anderen Daten ist ohnehin schon komplex genug

ja ist es prinzipiell, aber sharepoint nachsehen zu lassen ob die verbidnung schon geht wäre im Fall einer ASA im Weg noch halbwegs realisierbar...bei anderen Systemen "unmöglich".

MIch würde interessieren wie bei euch benötigte Firewallfreischaltungen bestellt werden. Wir benutzen dafür spezielle Sharepointforms, allerdings lässt die Funktionalität zu wünschen übrig.

Es gibt zwar einige Tools die sich damit auseianndersetzen, aber meist könen sie mir einfach zu wenig oder zu viel :)

Mein "Wunschtool" würde folgendes bieten:

der Requester müsste bestmöglich unterstützt werden, sprich netzwerkobjekte der Firewalls sollten auswählbar sein, Subnetze sollten nur korrekt eingetragen werden können,etc. Nicht jeder Requester im Haus kennt sich damit aus

für Hosts/Netze und Objekte sollten Owner definiert werden können, diese sollten zumindest notifiziert werden wenn eine Verbindung von/zu ihren Systemen requestet wird.

Das System sollten schon vorab klären können ob die gewünschte Verbidnung nicht ohnehin schon funktioniert. Es sollte das aber aus Firewallkonfigurationen rauslesen können, nicht anhand von Requests die bereits im System sind

der gesamte Workflow sollte übersichtlich, einfach zu konfigurieren und flexibel sein.

Ich will die Möglichkeit eines 4 Augen Prinzips bei Approvals haben

Was ich nicht will:

autoamtisierte Konfiguration der Firewall durch das Tool

Compliancechecks zu Standards wie PCI etc die ich teuer bezahle und eh nie benötige

wktools wären eine kostenlose möglichkeit. ansonsten gibts mehrere wege für ein skript oder tool: snmp (was in deinem fall grade schwer möglich ist :) ) oder eben per login

Der Client weiß von garnix, das musst du via 802.1X steuern, bzw machen das wir so. Eine SSID mit ca 20 VLANs, der Client macht eien 802.1X Authentifizierung, der Controller bekommt vom ACS mitgeteilt welches VLAN er zuweisen soll, DHCP Request wird weitergeleitet

zu frage 1:

der Controlelr bekommt in jedem deiner vlans ein Interface, anhand dessen erkenn der DHCP Server in welchem vlan der client ist. So wie es im wired LAN und dem DHCP Relay auf einem Router auch funktioniert.

Riecht es hier nach Marktforschung oder bin ich das ? ;)

für administrative Dinge eben das was du jetzt schon siehst, viel mehr wird kein Cisco Device an den Radius/TACACS zurückschicken wenn jemand sich anmeldet oder etwas konfiguriert. Aber vielleicht kann dein AAA Server ja mit der IP per Skript den Computernamen zum zeitpunkt der Übermittelung herausbekommen ? Am ACS wäre mior aber nichts dazu bekannt, da bin ich allerdings auch kein Profi.

Es gibt keinen Grund ein uralt Release zu fahren außer das man es noch nicht geschafft hat die Config auf 8.x zu ändern. Wenn du die Meinung anderer nicht hören willst, solltest du nicht in einem Forum sondern beim Hersteller fragen. Der wird dir aber bei fast jedem Problem oder Anfrage raten ein Upgrade zu machen, EoS erreicht oder nicht

die ASA kann zwar ans AD gekoppelt werden für identity based rules, aber ich glaube für deinen Zweck ist da nichts vorgesehen. Würde eher mal schauen das ihr auf eien ordentliche Release kommt statt darüber nachzugrübeln ob der Rechnername mitgeschickt wird

War schon mal dank Vista eine ganze Weile MS abstinent, hätte kein Problem es wieder zu sein wenn man solchen Unfug dem Kunden aufzwingt

welche kommandos sind denn fraglich ? Zu jedem schon die Cisco Doku gelesen ?

geht afaik nicht, liegt aber an der aaa implementation auf der ASA