nerd

so sind wir ;) Vielleicht noch zur Vereinfachung. Bei einer Einfürung von 802.1x wird quasi der phyische Zugang zum Netzwerk (um genauer zu sein zu den Switchports) geregelt. Nur mit einem gültigen cert kommt man in das gewünschte Netzsegment. Beim Einsatz von IPSec kann sich weiterhin jeder mit dem Netz verbinden und bekommt ggf. z. B. auch eine IP aber die Verbindung zu den Resourcen (z. B. File oder Anwendungsserver) erfordert eine Verschlüsselung mit einem cert der eigenen CA - remde clients bekommen also auch hier keinen Zugang zu Resourcen. viele Grüße

Hi, ja die von Daniel aufgezeignete Möglichkeit ist nicht schlecht. Zusätzlich könntest du auch noch mit IPSec arbeiten also z. B. Client Zertifikate via GPO verteilen und danach IPSEC auf den Servern scharf schalten. (Gute Planung und viel Testen!!!). Viele Grüße

... hab die Fehlermeldung zufällig auch bekommen, daher :D

Hi, port 80 für HTTP und Port 443 für HTTPS. Gruß

Hi, was meinst du mit "domänennamen anwählen"? ... mal ins blaue geraten: ist die VM vielleicht in einem privaten Netz (pinge mal ne andere IP im Netzwerk um das zu prüfen) Viele Grüße

Hi, sollte jemand o. g. Fehlermeldung in der Wsus Konsole erhalten kann er sich ganz ruhig zurück lehnen ;) Microsoft hat den Fehler gemacht und wird ihn mit dem nächsten Sync auch wieder selber fixen... WSUS Product Team Blog : Unexpected UI errors in WSUS heise online - Nach Fehler bei Microsoft scheitert Konfiguration der Windows Server Update Services Viele Grüße

Hi, was hast du schon alles gemacht und vor allem wie sind die Antworten auf die ganzen Fragen oben. Gruß

Full Ack. Daten sichern und Maschine vollständig neu installieren.

Danke, genau das habe ich gesucht. docusnap ist für meine Zwecke etwas overkill - es soll nur für einzelne Systeme sein...

Hi, ich habe heute etwas bei einem Kursteilnehmer gesehen (der wills leider nicht verkaufen...) was ich auch gerne hätte. Er hat ein vbs script geschrieben welches remote auf seine Server zugreift und dort Informationen wie Servername, Netzwerksettings, Patchlevel, Lokale Accounts und deren Gruppen, Mitglieder der lokalen Gruppen, laufende Dienste, Installierte Programme etc. einsammelt und in einem schön formatierten Word Dokument wieder ausgiebt. DAS WILL ICH AUCH HABEN :cool: Problem: Ich kann nur php und sql und damit geht das nicht Kennt zufällig jemand ein frei verfügbares script welches ganz oder teilweise die o. g. Funktionen zur Verfügung stellen kann? ... da ich befürchte, dass das niemand einfach so ins Netz gestellt hat - gibt es ein paar gute (am besten online) quellen bei denen ich mich schnell in das Thema vbs einlesen kann? Wenn ich es schaffe sowas zu schreiben, stelle ich es natürlich hier zur Verfügung ;) Vielen Dank

Jaein... Die DMZ Ports an den meisten FW's die ich (aus dem Hausgebrauch) kenne bedeutet der DMZ Port, dass alle nicht explizit umgeleiteten Ports auf diesen weitergeleitet werden. Die Arme Maschine die dort steht bekommt also alle Angriffe aus dem Internet ab. Im Gegensatz dazu wird bei einer richtigen DMZ nur der Verkehr auf die Server weitergeleitet der dort auch hin soll... Ob man das bei einem DMZ Port einer Fortigate oder einer Astaro weiter konfigurieren kann, kann ich so aus dem Kopf nicht sagen... Gruß

Hi, Sicherheitstechnisch spricht man nur dann von einer richtigen DMZ wenn diese zwischen zwei Firewalls steht. Also: Internet :: Firewall 1 :: DMZ(1-x) :: Firewall 2 :: LAN Alles andere ist in meinem Augen keine DMZ. Gruß

Hi, also wenn DSL nicht verfügbar ist und du noch nicht mal über eine Handyverbindung & GPRS oder UMTS online gehen kannst dann bleibt dir wohl nur noch umziehen. Ich hätte zwischenzeitlich erwartet, dass man in jedem Teil deutschlands zumindest via Handy online sein kann - du wohnst scheinbar im letzten Strahlungsfreien Raum Deutschlands! :jau: freu dich! :jau:

wir haben offensichtlich unterschiedliche Ansätze - ich schieb das jetzt einfach mal auf das Umfeld in dem wir arbeiten. Über Details können wir uns ja mal bei nem Bier unterhalten ;) Hab ich schon oft genug - wie gesagt für die innere Firewall finde ich das Produkt recht gut.

Ich würd wie gesagt auch zwei switche einsetzen um den extnen und internen verkehr zu trennen. VLans sind dafür nur eingeschränkt geeignet (weil umgehbar). Vlans würde ich nur innerhalb der DMZen einsetzen um diese gegeneinander abzuschotten. @Velius: Wie gesagt, ich sehe da auch nur potentielle Sicherheitsprobleme - bekannt sind mir keine. Durch die Tatsache, dass so viel auf der Maschine läuft würde ich das Risiko aber nicht eingehen und in meinem Umfeld auch nicht einsetzen. Die stärken vom ISA liegen da meiner Meinung nach an der inneren FW - dort kann man die zusätzlichen Funktionen gebrauchen und das Risiko ist deutlich geringer. ... wenn der ISA mal auf nem 2008 core läuft, dann schaue ich mir das ganze noch mal an ;) Gruß

Hi, ich würde folgendes ändern (wenn du es richtig gut machen möchtest!): - die Server in der DMZ sollten Dual Homed sein sprich eine NIC an die Externe FW und eine an die Interne (ohen aktives routing ;)) - Es sollte ein Switch für die externen NICs und eines für die internen NICs vorhanden sein. Am besten mit einer VLAN Trennung der DMZ Maschinen um eine Kommunikation unter den DMZ Maschinen zu verhindern. ... das ist mir mal auf den schnelle aufgefallen.

Ich würde das Schutzbedürfniss nicht an der Anzahl Server fest machen. Wenn auf der Maschine wirklich unternehmenskritische Daten liegen, deren Verlust oder Veröffentlichung z. B. den Untergang der Firma zur Folge haben, dann kann ein richtiger FW Komplex schon sinnvoll oder angemessen sein. Die Abwägung sollte also immer sein: Kosten - Nutzen - Schutzbedürfniss

Es kommt immer auf das Einsatzgebiet an. In einem richtigen großen high secure Environment würde ich nie und nimmer auf die Idee kommen einen SPAM Filter oder MailProxy (etc) direkt auf der äußeren FW zu betreiben. Für kleine Netze kann das jedoch durchaus Sinnvoll sein. Unabhängig davon kann ein Dienst wie ein MailProxy zu den Diensten gehören, die da unbedingt sein müssen :wink2: Ein Window Manager z. B. gehört da aber nicht hin... Wie gesagt es kommt auf den Einsatz und das Schutzbedürfnis an. In meinem privaten Netz zuhause setze ich z. B. eine normale Firewall box ein um das I-Net von meiner DMZ zu trennen. In der DMZ stehen dann die Mail-, Web- und Proxyserver und die Verbindung von DMZ zu lan wird durch eine astaro gesichert. Für mich privat reicht das (finde ich). In meinem Arbeitsumfeld sieht das ganz anderst aus :)

Nur weil es ein Produkt dazu gibt, heißt das noch lange nicht, dass es auch gut bzw. sicher ist. Allerdings muß man dazu sagen, dass ich Auditor im Finanzsektor bin und daher mit etwas anderen Maßstäben messe. Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben... just my 2 cents

Hi, schau dir mal den Link zu Serverhowto.de an den ich oben gepostet habe - dort wird genau erklärt was eine DMZ ist und welche Maschinen wo hin gehören. Gruß

Hi, also wenn die Astaro eine Option für dich ist, dann schaue dir mal die VM an die man sich downloaden kann. Gerade für kleine Netze gefällt mir an der Astaro besonders, dass man direkt einen Web-, Mail-, und FTP-Proxy mit bekommt. Die FW übernimmt zudem direkt das content scanning mit zwei Virenscannern für die Mail- und Webdienste. Desweiteren bietet der Mailproxy sehr gute SPAM Filter die selbigen erst garnicht zum Exchange durchkommen lassen. ... es gibt noch viel mehr, schau einfach mal auf die Webseite. @firefox80: Wenn ich wirklich was dafür bekommen würde hätte ich ein schlechtes Gewissen das Produkt zu empfehlen - deshalb bin ich kein Verkäufer geworden sondern Security Experte ;)

Hi, auch wenn ich langsam Provision bekommen sollte :D ich finde die Produkte von Astaro recht solide und die gebotene Leistung ist genial. (Bei Verwendung als SMTP Proxy würde ich auf jeden Fall den Spam Schutz der Astaros einschalten, der ist richtig gut!) @Bewegliche Teile: Die Aussage würde ich gleich wieder vergessen. Auch wenn du eine reine Hardwarefirewall (so ne zyxel box z. B.) kaufst schützt dich das nicht mehr vor einem Ausfall - auch hier können Teile kaputt gehen. Dedizierte Firewalls (wovon die meisten auf Standardhardware laufen) bieten dagegen einen deutlich höheren Leistungsumfang. Wenn für dein Netz z. B. die Internetanbindung so kritisch ist, dass diese auf keinen Fall ausfallen darf kannst du die astaros im cluster betreiben... (du solltest denn BTW natürlich auch zwei Internetleitungen etc haben ;-)). Um sich die Leistung der Astaro Firwalls anzusehen gibts unter Astaro Internet Security - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam. auch die Möglichkeit fertig installierte VM's runter zu laden. Nach ein paar Stunden testen war für mich die Sache dann klar... Versuchs einfach mal - ich denke nicht, dass eine reine Firewall Box da mithalten kann! Viele Grüße

Hi, also zuerst mal solltet ihr euch, falls noch nicht geschehen, überlegen wie euer Firewallkomplex aussehen soll und was dieser alles leisten muß. Verschiedene Szenarien findest du z. B. hier: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de Empfehlungen gibts auf Startseite Bundesamt für Sicherheit in der Informationstechnik Danach geht es an die Auswahl der Produkte. Ich persöhnlich würde (Microsoft möge mir verzeihen) würde mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. Eine Firewall auf der noch so viel anderes läuft gehört da meiner Meinung nicht hin. Für die interne Firewall (hin zur DMZ und zum CN) ist die ISA FW aber ein geniales Produkt, da man hier diverse Einstellungen z. B. mit Hilfe von AD Gruppen regeln kann. Ich habe in letzter Zeit etwas mit Astaro Firewalls (Astaro Internet Security - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam.) "gespielt" und muß zugeben, dass diese bei sehr einfacher Handhabung und genialem Leistungsumfang (Stichwort: SMTP-, Web-, FTP-Proxy, Mailbenachrichtungen...) einen sehr guten Eindruck hinterlassen haben. Gruß

Hi, die WebAdresse muß ja nicht gleich dem Servernamen sein. Du kannst ja durchaus deine fünf Server im AD haben: FFMWEB1.ad.local, FFMWEB2.ad.local, FFMWEB3.ad.local, FFMWEB4.ad.local, FFMWEB5.ad.local und diesen dann, von den AD Namen losgelöste DNS Namen oder Aliase verpassen. Viele Grüß [edit] mist viel zu langsam ;)

Danke schon mal für die vielen Hinweise. Jetzt habe ich noch ein kleines Problem. Ich fahre meine Tests gerade auf mein Testlab mit ca. 16.000 Benutzerobjekten und erhalte nach einiger Zeit die Meldung "dsget failed:The server is not operational." Das gleiche habe ich auch wenn ich mit Hyena auf den Server gehe - dort muß ich dann aber einfach nur ein paar min warten und OK klicken und dann läuft das ganze wieder für ein paar tausend User. Ich vermute also ein Zeit- oder Abfragelimit auf den DC's. Gibt es eine Möglichkeit hier eine Art Verzögerung in den Befehl einzubauen um das zu umgehen? Viele Grüße