wznutzer

Bedeutet das, dass andere Hersteller die Limits nicht ausreizen oder Ubiquiti das einfach nicht beachtet? Bundesnetzagentur: Im Frequenzbereich 2,400 GHz - 2,4835 GHz darf die maximale Strahlungsleistung 100 mW (EIRP*) nicht übersteigen. Im Frequenzbereich 5,150 GHz - 5,350 GHz sind maximal 200 mW (EIRP*) zulässig, während im Bereich 5,470 GHz - 5,725 GHz maximal 1 W (EIRP*) abgestrahlt werden darf.

Dass der MFA-Server nicht mehr installiert werden kann von hier: https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfaserver-nps-rdg Bestandskunden des MFA-Servers können diesen weiterverwenden. Die Lizenzierung von hier: https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-mfa-licensing

Vielen Dank. Ubiquiti ist vergleichsweise so günstig (im Vergleich zu Ruckus), dass ich das auf einem Stockwerk testen kann. Ich werde berichten wie es geklappt hat.

Hallo, ich würde einen RD-Gateway gerne per MFA absichern. Das Problem ist nicht so sehr wie das geht oder welche Anbieter es gibt. Es ist vielmehr unter den vielen Möglichkeiten eine möglichst gute Lösung zu finden. Die Anforderungen sind: grob 50 User, der 2. Faktor sollte eine App auf dem Smartphone sein (Push-Nachricht oder Eingabe eines OTP), kompatibel mit RDG. Ich liste mal auf was ich mir schon angesehen habe (Homepage gelesen). Evtl. gibt es von euch ein paar Meinungen was Ihr erfolgreich einsetzt. Azure MFA. Die Variante mit dem MFA-Server gibt es nicht mehr und die NPS-Erweiterung ist nur mit einen Azure AD P1/P2 Abo kompatibel. Selbst vorhandene E3-Abos sollen nicht reichen. Duo (www.duo.com) Rohos (www.rohos.com) SecureMFA (www.securemfa.com) OpenOTP (www.rcdevs.com) 40 User kostenlos UserLock (www.isdecisions.com) AuthPoint (www.watchguard.com) www.wikidsystems.com So wie es ausschaut, macht man mit Duo nicht so viel verkehrt. Aber wie immer geht es natürlich auch um die Kosten. Wenn es etwas günstiger gehen würde, warum nicht. Vielen Dank

Vielen Dank für eure Einschätzungen. Ich werde mich jetzt erst mal genauer mit Ubiquiti und Aruba beschäftigen. Bei Ubiquiti braucht man ja eine Controller. Entweder so ein Cloud-Key oder (es ist ja gar nicht so teuer) diese UDM Pro. Diese UDM Pro will ja ein kompletter Security Gateway sein. Macht das Ärger wenn das nur der WLAN-Controller sein soll oder reicht dann auch der Cloud-Key V2 aus? Das Ubiquiti-Universum ist mir noch nicht so geläufig. Vielen Dank

Ich habe Sophos an einem anderen Standort im Einsatz. Funktioniert problemlos, aber ich habe den Eindruck die Funkqualität ist nicht so gut. Es sind allerdings noch keine "APX". In Verbindung mit der UTM findet z. B. kein aktives Band-Steering oder Roaming statt. Das geht nur mit Sophos Central. Aber wenn das jetzt kostenlos ist (nur in der Cloud?) schaue ich mir das noch mal an, ist an mir vorbeigegangen. Außerdem hätte ich gerne WiFi 6 (ax), auch wenn die meisten Geräte es noch nicht können. Aber die bisherigen WLAN-Komponenten habe ich >10 Jahre in Betrieb. Die Sache mit dem Ruckus BeamFlex oder den Smart-Antennen von Zyxel klingt plausibel (die Antennen-Pattern), ob es wirklich so ein Speedbringer ist, weiß ich nicht. Aber die Sophos APs sind nicht so viel billiger wie Zyxel oder Ruckus, dann könnte ich das Feature mitnehmen. Wobei Ruckus die obere Kante markiert. Die hier erwähnten Aruba muss ich noch anschauen. Es hat nicht zufällig jemand Ruckus APs im Einsatz? Deren APs werden anscheinend sogar als Referenz zur Zertifizierung der APs anderer Hersteller verwendet. Aber bei Ubiquiti gibt es 5 APs zum Preis von einem Ruckus .

So groß wird es nicht. Sehr viel mehr als 12 APs werden es wohl nicht, maximal vielleicht 15. Ich denke das ist bei euch klein . Mit Aruba muss ich mich mal beschäftigen. Eine kurze Frage zu Ubiquiti. Kann ich da Gastnetze nicht mit einem VLAN machen? Die UDM Pro ist ja eine komplette Firewall, das macht bei mir schone eine Sophos UTM.

Hallo, ich will bei mir hier im Firmengebäude das WLAN erneuern. Der Plan ist mit den Tools von Metageek zu ermitteln wo die besten Standorte für Access-Points sind. Da es ja schon ein funktionierendes WLAN gibt und die Schwachstellen auch bekannt sind, sollte das funktionieren. Mich würde interessieren welche Geräte ihr einsetzt und auch gut findet. Ich selber nutze derzeit Netgear (>10 Jahre). Bisher sind Ruckus und Zyxel in der Auswahl, weil die ein Antennenkonzept haben bei dem der AP das Signal auf unterschiedliche Weise zum Client schicken kann. So soll die Qualität verbessert werden. Bei Ruckus heißt das BeamFlex und bei Zyxel "Smart Antennen". Ruckus ist zwar etwas teuer, man braucht aber nicht zwingend einen Controller, weil das ein AP übernehmen kann (unleashed). Ubiquiti scheint recht preisgünstig, aber taugt das auch was? Vielen Dank und Grüße

Hallo, zur besseren Planung der IT-Infrastruktur bin ich auf Live Optics gestoßen. Ist das seriös bzw. hat das schon mal jemand benutzt? Immer wenn mir jemand etwas kostenlos anbietet, bin ich etwas skeptisch. Grüße

Das stimmt natürlich nicht. Es sind 0,5 - 0,8 Millisekunden (Kleiner Denkfehler). Mit HRPing von cfos gemessen.

Lt. Doku kommunizieren die Meraki APs mit 4 Ports in die Cloud. Allerdings finde ich keine Aussage, dass über diese Verbindung kein Zugriff auf das Netzwerk erfolgen kann. Ich denke nicht, aber in der Doku steht das halt auch nicht.

Danke. Ich bin noch ganz am Anfang der Planung. 240 1GB Ports für Clients / WLAN / IP-Telefonie / Drucker. Das bezeichnet man wohl als Access- oder Campus Switche. Alle Ports sollen PoE+ (802.3at) fähig sein. Auch wenn von der Last die meisten Ports nur PoE (802.3af) verwenden werden. NAC kommt derzeit noch nicht zum Einsatz, da gibt es keine spez. Anforderungen. 48 10GB Ports für Server, Hosts, NAS, Backupsystem. Das sollte dann wohl der Core-Switch sein. Das sollte am liebsten ein Stack sein. D. h. ich will die Einzelswitche unter einer Oberfläche sehen. Verwaltung soll, soweit möglich, per WebGUI stattfinden. Für die Verbindung der Switche untereinander würde ich eine Ring-Topologie mit mindestens 10 GB wollen, eher mehr. Das sollte mit mehreren 10GB Ports möglich sein, wenn ich die Doku richtig verstehe. Grüße

Hallo, wie in dem anderen Thread zu den Access-Points würde mich interessieren mit welchen Switche ihr beste Erfahrungen habt. Auch hier geht es mir eher um eine Einschätzung was bei euch gut läuft, als um eine konkrete Empfehlung. Ich verwende derzeit Netgear. Im Gegensatz zu den AccessPoints bin ich da ziemlich zufrieden. Alles funktioniert und ich erreiche Pingzeiten von 5 - 8 Mikrosekunden. Ich spiele mit dem Gedanken wieder Netgear zu nehmen oder auf die Cisco 9200er Serie zu wechseln. Bei HP gefällt mir nicht, dass die eine Mischung aus zugekauften Platformen nutzen. Was haltet Ihr von Extremenetworks oder Zyxel? Es geht um die Größenordnung Firma mit 100 Leuten. Danke für eure Meinungen

Hallo, mich würde interessieren mit welchen Access-Points Ihr gute Erfahrung gemacht habt. Mir ist klar, dass ohne konkretes Anforderungsprofil nichts empfohlen werden kann. Mir geht es um keine Empfehlung sondern eher um Erfahrungsberichte was bei euch gut läuft. Ich verwende im Moment Netgear. Da bin ich nicht so sehr zufrieden. Ich spiele mit dem Gedanken auf die APs von Sophos oder Meraki (Cisco) zu wechseln, weil eine Kompletterneuerung ansteht. Da mir das Cloundmanagement von Meraki nicht so sehr gefällt, evtl. auch die von Cisco mit einem lokalen Management-Controller. Auch bin ich schon auf Ubiquiti aufmerksam geworden. Kennt die jemand? Danke und Grüße

Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig.

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss. Ja, ich verwende ein Zertifikat einer public CA (Digicert). Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut.

Guten Morgen, Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug. Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen. Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt. Ich stelle mir das so vor: iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH Vielen Dank

Auch bei mir ist Datei mit einem Timestamp aus 2018 vorhanden. Bei mir ist das so aber in Ordnung. Allerdings würde ich bei einem verifizierten Fund (Datei mal bei Virustotal checken) sofort den Exchange neu installieren und nur die DB übernehmen. Auch mindestens die anderen Server dann auch offline scannen. Auch dann kannst Du Dir nicht sicher sein, was sonst noch alles passiert ist. Aber sollte etwas schlimmeres passieren und die Frage: "Ob man das nicht hätte besser machen können.", wird gestellt, würde ich diese in allen Fällen mit nein beantworten wollen. Wenn der Kunde das nicht will, gut, dann ist er aber auch selber schuld. Glück hat, wer da nur für den eigenen Laden verantwortlich ist. Für eine Neuinstallation mit den nachfolgenden Problemen braucht es schon einen Anhaltspunkt, aber ein verifizierter Fund wäre das. Für andere Systeme bräuchte es natürlich einen weiteren Anhaltspunkt. Panisch alles neu installieren ist natürlich auch kein Weg. Aber mit einem aktiven Fund, seltsame Konten usw., dann schon.

Guten Morgen, ihr erinnert euch noch, dass es vor ca. 2 Jahren einen Zero-Day-Exploit gab bei dem MS empfohlen hat den RegKey: DisableLoopbackCheck zu löschen. Der Key wurde vom Setup automatisch angelegt und war somit immer vorhanden. Das Löschen hatte zur Folge, dass diverse Drittanbieter-Plugins für den Exchange nicht mehr funktionierten. Soweit ich weiß wurde dann z. B. mit dem CU12 für Exchange 2016 der Key auch von MS standardmäßig gelöscht. 1) Habt Ihr den RegKey: DisableLoopbackCheck gesetzt? Ist das aktive Setzen noch immer ein Sicherheitsrisiko? Zwischenzeitlich gibt es ja einen Patch von MS. 2) Ich habe immer mal wieder Probleme mit autodiscover, z. B. funktioniert es erst nach mehreren Anläufen, das Passwort muss immer mal wieder eingegeben werden, es wird dann ein Fehler 401 protokolliert. Mit DisableLoopbackCheck habe ich das bisher nie in Verbindung gebracht, aber nach erneuter Recherche funktioniert autodiscover wieder problemlos wenn der Key mit 1 gesetzt ist. 3) Den Zweck vom RegKey: BackConnectionHostNames ist mir noch nicht klar, ist aber irgendwie in Verbindung damit. Hat das damit zu tun, was muss da eingetragen sein? Ich verwende Split-DNS und da sind bei mir die externen Adressen eingetragen. Viele Fragezeichen, evtl. könnt Ihr mich in die richtige Richtung schubsen. Danke

Guten Morgen, soweit mir bekannt ist, gibt es zwei verschiedene Arten QoS zu betreiben. Layer2 nach 802.1p: Hier wird das Tag im IP-Header (VLAN-Tag nach 802.1q, PCP) gesetzt. Die Stufen gehen von 0 bis 7. Layer3: Hier wird das Tag im IPv4 Paket (TOS) gesetzt. Dieses DSCP-Tag geht von 0-63. Soweit so gut, während ich das Layer3 Tag bequem per Gruppenrichtlinie mit allerlei Optionen setzen kann, finde ich keine Möglichkeit das in Windows (2012R2 oder auch Windows 10 (2004)) nach Layer2 zu setzen. Windows bietet noch Optionen in den Gruppenrichtlinien um Layer2 zu beeinflussen. Das Mapping ist da aber unklar. Da gibt es die Werte: Beste Leistung Lastensteuerungs-Diensttyp Garantierter Diensttyp Netzwerksteuerungs-Diensttyp Nicht übereinstimmende Pakete Qualitativer Diensttyp Nur was ist was? Diese Optionen bedeuten ja nur, dass ein getaggtes Paket nach diesen Regeln umgetaggt wird. Zwei Frage: 1) Kann Windows aktiv nach 802.1p (Layer2) taggen? 2) Kennt jemand eine Mapping-Tabelle damit ich erkennen kann was Windows z. B. unter Lastensteuerungs-Diensttyp versteht? Ich kann zwar schätzen, dass das so ungefähr Klasse 3/4 nach Layer2 und ca. DSCP 24-29 sein könnte, aber Microsoft muss da ja ein festes Mapping haben. Danke und Grüße

Danke, zum Glück habe ich ein IX-Abo , auch wenn ich mich nicht mehr an den Artikel erinnern konnte.

Guten Morgen, mich würde interessieren welche Software Ihr so für die Verwaltung von Passwörter verwendet? Ich meine jetzt nicht so Dinge wie LAPS oder so. Man hat ja jede Menge unterschiedlicher Passwörter und Konten die auch außerhalb des AD verwendet werden. Aber natürlich auch Passwörter des AD für Memberserver, RDP-Verwaltung, separater Exchange, SQL-Server, ERP und so weiter und so fort. Derzeit verwende ich KeePass mit einem komplexen Passwort, aber sobald mehrere Personen ins Spiel kommen, die dann auch nicht alle Passwörter haben dürfen, wird das kompliziert. So für das Bauchgefühl würde ich gut finden, wenn ich jemandem Zugriff auf ein Passwort per AD geben könnte, aber der eigentliche Zugriff nochmals durch einen zweiten persönlichen Faktor außerhalb des AD abgesichert wäre. Vielen Dank für eure Meinungen

Hallo, folgende Baselines fehlen noch im Script CompareExchangeHashes: 15.1.1466.12 15.1.1591.12 15.1.1713.6 15.1.225.45 15.1.225.49 15.1.466.37 So ein bisschen wundern tut mich das. Bin ich einer der wenigen die immer alle Patches installieren, oder löscht ihr die Verzeichnisse? Grüße

Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht. Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen. Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr?

Guten Tag, das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt. Grüße