wznutzer

Hallo, zur besseren Planung der IT-Infrastruktur bin ich auf Live Optics gestoßen. Ist das seriös bzw. hat das schon mal jemand benutzt? Immer wenn mir jemand etwas kostenlos anbietet, bin ich etwas skeptisch. Grüße

Das stimmt natürlich nicht. Es sind 0,5 - 0,8 Millisekunden (Kleiner Denkfehler). Mit HRPing von cfos gemessen.

Lt. Doku kommunizieren die Meraki APs mit 4 Ports in die Cloud. Allerdings finde ich keine Aussage, dass über diese Verbindung kein Zugriff auf das Netzwerk erfolgen kann. Ich denke nicht, aber in der Doku steht das halt auch nicht.

Danke. Ich bin noch ganz am Anfang der Planung. 240 1GB Ports für Clients / WLAN / IP-Telefonie / Drucker. Das bezeichnet man wohl als Access- oder Campus Switche. Alle Ports sollen PoE+ (802.3at) fähig sein. Auch wenn von der Last die meisten Ports nur PoE (802.3af) verwenden werden. NAC kommt derzeit noch nicht zum Einsatz, da gibt es keine spez. Anforderungen. 48 10GB Ports für Server, Hosts, NAS, Backupsystem. Das sollte dann wohl der Core-Switch sein. Das sollte am liebsten ein Stack sein. D. h. ich will die Einzelswitche unter einer Oberfläche sehen. Verwaltung soll, soweit möglich, per WebGUI stattfinden. Für die Verbindung der Switche untereinander würde ich eine Ring-Topologie mit mindestens 10 GB wollen, eher mehr. Das sollte mit mehreren 10GB Ports möglich sein, wenn ich die Doku richtig verstehe. Grüße

Hallo, wie in dem anderen Thread zu den Access-Points würde mich interessieren mit welchen Switche ihr beste Erfahrungen habt. Auch hier geht es mir eher um eine Einschätzung was bei euch gut läuft, als um eine konkrete Empfehlung. Ich verwende derzeit Netgear. Im Gegensatz zu den AccessPoints bin ich da ziemlich zufrieden. Alles funktioniert und ich erreiche Pingzeiten von 5 - 8 Mikrosekunden. Ich spiele mit dem Gedanken wieder Netgear zu nehmen oder auf die Cisco 9200er Serie zu wechseln. Bei HP gefällt mir nicht, dass die eine Mischung aus zugekauften Platformen nutzen. Was haltet Ihr von Extremenetworks oder Zyxel? Es geht um die Größenordnung Firma mit 100 Leuten. Danke für eure Meinungen

Hallo, mich würde interessieren mit welchen Access-Points Ihr gute Erfahrung gemacht habt. Mir ist klar, dass ohne konkretes Anforderungsprofil nichts empfohlen werden kann. Mir geht es um keine Empfehlung sondern eher um Erfahrungsberichte was bei euch gut läuft. Ich verwende im Moment Netgear. Da bin ich nicht so sehr zufrieden. Ich spiele mit dem Gedanken auf die APs von Sophos oder Meraki (Cisco) zu wechseln, weil eine Kompletterneuerung ansteht. Da mir das Cloundmanagement von Meraki nicht so sehr gefällt, evtl. auch die von Cisco mit einem lokalen Management-Controller. Auch bin ich schon auf Ubiquiti aufmerksam geworden. Kennt die jemand? Danke und Grüße

Ja, ich habe schon mehrfach über Fortigate nachgedacht. SecurePoint stand damals auf der Liste und hat mir gefallen. Aber ab einen Punkt waren denen meine Fragen beim Presales-Support wohl lästig und ich wurde einfach ignoriert, bekam keine Antworten mehr. Sophos war da bemühter. Bei etwas elementarem wie Sicherheit oder Backup lese ich zuvor die komplette Doku und versuche meine Konfiguration "durchzudenken". Manchen ist das lästig.

Ja, eine aktive Wartung habe ich, nur keinen Premium-Support. Der "normale" Support konnte nicht helfen. Konnte er aber noch nie . Man kann wohl irgendwie Partner und alles mögliche sein ohne sich wirklich auszukennen. Wobei ich den Presales-Support von Sophos direkt ausdrücklich loben muss. Ja, ich verwende ein Zertifikat einer public CA (Digicert). Danke für die Links. Das muss ich mir mal anschauen. Ich war drauf fixiert etwas zu finden bei dem ich mein eigenes Zertifikat (wie auf der Sophos) verwenden kann und sich transparent dazwischen schaltet. Aber wenn es so geht, ist das natürlich auch gut.

Guten Morgen, Ich suche nach einer Möglichkeit den Traffic einer RDP-App für iOS zu analysieren, also ähnlich wie das Fiddler unter Windows kann. Ich nutze eine Sophos UTM, aber deren Reverse-Proxy protokolliert nicht ausführlich genug. Verbindung: RDP-Verbindung App => Sophos => RDP-Gateway => RDSH Irgendwo zwischendrin würde ich mir gerne den unverschlüsselten Traffic anschauen. Ich habe ein Problem mit der Authentifizierung, das Sophos Log sagt aber lapidar Fehler: AH0195. Die MS-App geht, aber diverse andere aus dem App-Store gehen nicht. Somit muss es einen Unterschied zwischen funktioniert und funktioniert nicht geben. Die IIS-Logs helfen nicht weiter Burp Proxy, mitmproxy währen evtl. eine Lösung. Mich würde interessieren welche Tools Ihr da evtl. schon verwendet habt. Ich stelle mir das so vor: iOS App =>> Analyse Proxy (als SSL-Endpunkt, Zertifikat installiert) Traffic geht unverändert weiter =>> Sophos UTM =>> RDP-Gateway =>> RDSH Vielen Dank

Auch bei mir ist Datei mit einem Timestamp aus 2018 vorhanden. Bei mir ist das so aber in Ordnung. Allerdings würde ich bei einem verifizierten Fund (Datei mal bei Virustotal checken) sofort den Exchange neu installieren und nur die DB übernehmen. Auch mindestens die anderen Server dann auch offline scannen. Auch dann kannst Du Dir nicht sicher sein, was sonst noch alles passiert ist. Aber sollte etwas schlimmeres passieren und die Frage: "Ob man das nicht hätte besser machen können.", wird gestellt, würde ich diese in allen Fällen mit nein beantworten wollen. Wenn der Kunde das nicht will, gut, dann ist er aber auch selber schuld. Glück hat, wer da nur für den eigenen Laden verantwortlich ist. Für eine Neuinstallation mit den nachfolgenden Problemen braucht es schon einen Anhaltspunkt, aber ein verifizierter Fund wäre das. Für andere Systeme bräuchte es natürlich einen weiteren Anhaltspunkt. Panisch alles neu installieren ist natürlich auch kein Weg. Aber mit einem aktiven Fund, seltsame Konten usw., dann schon.

Guten Morgen, ihr erinnert euch noch, dass es vor ca. 2 Jahren einen Zero-Day-Exploit gab bei dem MS empfohlen hat den RegKey: DisableLoopbackCheck zu löschen. Der Key wurde vom Setup automatisch angelegt und war somit immer vorhanden. Das Löschen hatte zur Folge, dass diverse Drittanbieter-Plugins für den Exchange nicht mehr funktionierten. Soweit ich weiß wurde dann z. B. mit dem CU12 für Exchange 2016 der Key auch von MS standardmäßig gelöscht. 1) Habt Ihr den RegKey: DisableLoopbackCheck gesetzt? Ist das aktive Setzen noch immer ein Sicherheitsrisiko? Zwischenzeitlich gibt es ja einen Patch von MS. 2) Ich habe immer mal wieder Probleme mit autodiscover, z. B. funktioniert es erst nach mehreren Anläufen, das Passwort muss immer mal wieder eingegeben werden, es wird dann ein Fehler 401 protokolliert. Mit DisableLoopbackCheck habe ich das bisher nie in Verbindung gebracht, aber nach erneuter Recherche funktioniert autodiscover wieder problemlos wenn der Key mit 1 gesetzt ist. 3) Den Zweck vom RegKey: BackConnectionHostNames ist mir noch nicht klar, ist aber irgendwie in Verbindung damit. Hat das damit zu tun, was muss da eingetragen sein? Ich verwende Split-DNS und da sind bei mir die externen Adressen eingetragen. Viele Fragezeichen, evtl. könnt Ihr mich in die richtige Richtung schubsen. Danke

Guten Morgen, soweit mir bekannt ist, gibt es zwei verschiedene Arten QoS zu betreiben. Layer2 nach 802.1p: Hier wird das Tag im IP-Header (VLAN-Tag nach 802.1q, PCP) gesetzt. Die Stufen gehen von 0 bis 7. Layer3: Hier wird das Tag im IPv4 Paket (TOS) gesetzt. Dieses DSCP-Tag geht von 0-63. Soweit so gut, während ich das Layer3 Tag bequem per Gruppenrichtlinie mit allerlei Optionen setzen kann, finde ich keine Möglichkeit das in Windows (2012R2 oder auch Windows 10 (2004)) nach Layer2 zu setzen. Windows bietet noch Optionen in den Gruppenrichtlinien um Layer2 zu beeinflussen. Das Mapping ist da aber unklar. Da gibt es die Werte: Beste Leistung Lastensteuerungs-Diensttyp Garantierter Diensttyp Netzwerksteuerungs-Diensttyp Nicht übereinstimmende Pakete Qualitativer Diensttyp Nur was ist was? Diese Optionen bedeuten ja nur, dass ein getaggtes Paket nach diesen Regeln umgetaggt wird. Zwei Frage: 1) Kann Windows aktiv nach 802.1p (Layer2) taggen? 2) Kennt jemand eine Mapping-Tabelle damit ich erkennen kann was Windows z. B. unter Lastensteuerungs-Diensttyp versteht? Ich kann zwar schätzen, dass das so ungefähr Klasse 3/4 nach Layer2 und ca. DSCP 24-29 sein könnte, aber Microsoft muss da ja ein festes Mapping haben. Danke und Grüße

Danke, zum Glück habe ich ein IX-Abo , auch wenn ich mich nicht mehr an den Artikel erinnern konnte.

Guten Morgen, mich würde interessieren welche Software Ihr so für die Verwaltung von Passwörter verwendet? Ich meine jetzt nicht so Dinge wie LAPS oder so. Man hat ja jede Menge unterschiedlicher Passwörter und Konten die auch außerhalb des AD verwendet werden. Aber natürlich auch Passwörter des AD für Memberserver, RDP-Verwaltung, separater Exchange, SQL-Server, ERP und so weiter und so fort. Derzeit verwende ich KeePass mit einem komplexen Passwort, aber sobald mehrere Personen ins Spiel kommen, die dann auch nicht alle Passwörter haben dürfen, wird das kompliziert. So für das Bauchgefühl würde ich gut finden, wenn ich jemandem Zugriff auf ein Passwort per AD geben könnte, aber der eigentliche Zugriff nochmals durch einen zweiten persönlichen Faktor außerhalb des AD abgesichert wäre. Vielen Dank für eure Meinungen

Hallo, folgende Baselines fehlen noch im Script CompareExchangeHashes: 15.1.1466.12 15.1.1591.12 15.1.1713.6 15.1.225.45 15.1.225.49 15.1.466.37 So ein bisschen wundern tut mich das. Bin ich einer der wenigen die immer alle Patches installieren, oder löscht ihr die Verzeichnisse? Grüße

Ja, zu Anfangs hat es gar nicht funktioniert. Es wurde aber fast im 2-Stunden Abstand aktualisiert. Jetzt läuft es ohne Fehler, findet aber jede Menge Dateien, von denen ich sicher weiß, dass diese schon seit Jahren da sind. Ich habe nämlich schon zig mal darüber nachgedacht diese zu löschen und dann doch nicht gelöscht. Ich habe nun auch alle Dokumente von Microsoft mehrfach durchgesehen. ActiveSync ist nicht genannt. Das BSI nennt aber auch ActiveSync. Wenn ich die Lücken richtig verstanden habe, müsste mindestens CVE-2021-26855 auch bei ActiveSync möglich sein. Bei den anderen finde ich keine genaueren Informationen. Derzeit sieht es für mich so aus, als ob das Anklopfen per Autodiscover stattgefunden hat. War das nicht veröffentlicht, ist der Angreifer wohl weitergezogen. Sicher ist das aber nicht. Weiß da jemand mehr?

Guten Tag, das Prüfskript scheint nicht alle regulär vorhandenen Verzeichnisse zu kennen. Wenn der Exchange schon etwas älter ist, sammeln sich ja da die verschiedenen Verzeichnisse mit den Versionsnummern. Ihr kennt das, es wird immer mal wieder diskutiert ob das gelöscht werden kann. Das Prüfskript scheint nur die CUs zu kennen. Aber kleinere Updates zwischendrin bringen da manchmal auch andere Versionen mit. Das wird dann als "One or more potentially malicious files found" gemeldet und kann bei MS hochgeladen werden. Das sind z. B. die Verzeichnisse 15.1.1261.36, 15.1.1261.39, 15.1.1713.1, 15.1.1713.6, 15.1.1713.7, 15.1.1713.8. Nur als Info. Falls jemand andere Informationen / andere Einschätzung hat, bitte hier notieren. Der Upload der Ergebnisdatei hat ebenfalls "no malware detected" angezeigt. Grüße

Nun dann fasse ich das mal zusammen. Wie so oft bei Performance und SQL-Server muss man sagen: Es kommt darauf an, es sollte schon außer man hat ein Szenario das halt anders ist. Und sowieso ist das Abfragedesign das A und O. DiskSPD sagt mir ja klar, dass WriteThrough schneller schreibt, aber ob das meinen Workload simuliert weiß ich halt nicht. Ich dachte ich komme um den Akt mit dem SQL Distributed Replay herum, aber das wird wohl nichts werden. Der Controller ist da ein LSI 9361-i8.

Guten Morgen, routinemäßig stellte ich auf allen meinen Server im Raid-Controller immer WriteBack als Policy ein. Nun sagte mir ein Mitarbeiter von Lenovo, dass wäre falsch, für maximale Performance solle man die Policy auf WriteThrough stellen. Mich würde eure Erfahrung interessieren, was bei euch mehrheitlich eher besser war? Wohlwissend, dass das auf den Workload ankommt und bei SSDs nicht mehr so den Boost als noch vor vielen Jahren bringt. Vorrangig geht es um den Betrieb von SQL-Server. Im Live-Betrieb stelle ich keine Veränderung fest. Bei Tests mit DiskSPD werden tatsächlich bessere Ergebnisse mit WriteThrough ermittelt. Das aber nur wenn ich dem Controller so viel zu tun gebe, dass dessen Cache nicht mehr ausreicht und so wieder auf das Storage gewartet werden muss. Es sieht so aus, als ob WriteBack (auch mit SSDs) etwas bringt so lange so wenig geschrieben wird, dass der Cache des Controller nicht überläuft. Ist das aber der Fall, scheint der Cache, oder der Mechanismus dahinter, den Vorgang mehr zu bremsen als wenn gleich direkt auf das Storage geschrieben wird. Vielen Dank für eure Meinungen.

Guten Abend, Azure ist im Microsoft-Universum sehr gut dokumentiert. Man bekommt nahezu alles zum Laufen was Microsoft hergibt wenn man sich durch die Doku wühlt. Allerdings habe ich es noch nie geschafft die Preise einer On Premises Lösung zu erreichen. Es ist immer alles mindestens um den Faktor zwei zu teuer. Informationen hat auch der vor kurzem veranstaltete Partner-Summit für ISVs keine gebracht, wertloses Werbeblabla. Aber nun konkret. Wenn ich mir einen Wald und Wiesen PC für 600 Euro besorge, schaffe ich es nicht eine VM zu konfigurieren, die von der Performance her diesen PC schlagen kann, selbst wenn ich 600 - 800 Euro pro Monat bei Azure dafür ausgebe. Um auch nur annährend an die Leistung einer 150 Euro SSD zu kommen, müsste ich ein P70 / P80 Storage für 1800 bzw. 3600 Euro konfigurieren, muss dann aber nicht benötigte 16TB bis 32 TB zahlen. Selbstverständlich ist Redundanz, Strom und Skalierbarkeit auch was wert. Ich meine auch nicht, dass "cloud" immer billig sein muss, aber ein vielfaches einer Kauflösung sollte es halt auch nicht sein. Bei der Performance meine ich konkret jene wenn ein SQL-Server in der VM installiert ist. Das lässt sich recht reproduzierbar mit DiskSpd oder in meinem Fall mit einem selbst erstellen Benchmark testen. Unwissenheit ist natürlich immer möglich, aber selbst ein Gespräch mit einem "Berater" hat nur "abschalten was nicht gebraucht wird" ergeben. Hat jemand von euch performante VMs bei Azure laufen deren Preis nicht völlig abgehoben ist? Mit performant meine ich nicht "geht" sondern "gleich gut" wie wenn eine ähnliche Summe für eine On Premises Installation verwendet würde. Vielen Dank für eure Erfahrungen

Guten Abend, mich würde interessieren ob jemand von euch Wireguard produktiv einsetzt? Der lange auf der Homepage sichtbare Hinweis, dass es noch nicht für den Produktiveinsatz geeignet ist, ist seit einiger Zeit entfernt. Alle meine Tests waren durchaus erfolgreich, Performance und Latenzen gegenüber IPSec / OpenVPN ist sehr gut. Was mir noch nicht so gefällt, ist die fehlende Authentifizierung mit einem Passwort oder einem OTP. Wer das Configfile eines Clients hat kann sich auch verbinden, weil da alles drinsteht. Wenn ich das richtig verstehe ist der Autor auch der Meinung das ist nicht das Problem von Wireguard. Wireguard ist nur für einen schnellen, sicheren und stabilen Tunnel verantwortlich. Wenn ich alle Geräte unter meiner Kontrolle habe, stimme ich dem zu. Aber wenn ein paar Dutzend Geräte mit Endanwendern unterwegs sind, kann ich mich noch nicht wirklich damit anfreunden. Die Sorge ist, dass das Configfile in falsche Hände fällt. Sozusagen eine kleine Meinungsumfrage. Danke und Grüße

Das ist nach meinem Verständnis nicht so. Der Angriff läuft in fünf Schritten ab. Erstens werden die Anmeldeinformationen ermittelt. Wobei ermitteln hier nicht stimmt, weil diese nicht ermittelt werden. Man täuscht (spooft) vor die Anmeldeinformationen zu haben. So kann man sich dann wie ein Computer anmelden. Zweitens wird dann die Transportverschlüsselung der aufzubauenden Verbindung einfach abgeschaltet. Das ist kein Hack, weil Windows das schlicht erlaubt. Das ist notwendig, ohne den immer noch unbekannten Sessionkey könnte man keine verschlüsselte Verbindung aufbauen, deswegen abschalten. Die restlichen Schritte sparen wir uns hier, die sind für das Verstehen des Patch nicht relevant. Der Patch erzwingt nun Secure NRPC für alle Windows Server und Clients. Da der Sessionkey unbekannt ist, kann in Schritt zwei keine Verbindung aufgebaut werden. Außerdem wird auch Schritt eins des Hack unterbunden. Der Entdecker der Schwachstelle schreibt, dass Schritt eins mit Bruteforcing evtl. irgendwie noch funktionieren könnte, geschafft hat er es nicht. Daraus ergeben sich nun zwei Szenarien. 1) Für Windows Systeme die einen Patch erhalten haben ist die Gefahr gebannt. Domäne übernehmen geht nicht mehr. 2) Legacy Systeme und Drittanbieter-Geräte (NAS etc.) können noch immer unverschlüsselte Verbindungen aufbauen. Für diese Geräte wird Secure NRPC nicht durchgesetzt. Wenn es jetzt jemand schafft Schritt eins des Hacks wieder erfolgreich umzusetzen, können diese Geräte z. B. aus der Domäne ausgesperrt werden, weil das Computerkontopasswort im AD geändert werden könnte. Außerdem ist durch evtl. erfolgreiches Anwenden von CVE-2019-1424 per man-in-the-middle Zugriff auf das Legacy / Drittanbieter-Gerät möglich. Das ist noch immer uncool, aber lange nicht mehr so cool wie eine Domäne zu übernehmen und würde wohl auch keinen Score von 10 erhalten. Das in den KB-Artikeln beschriebene Enforcement, das ab Februar zwingend gilt, zielt auf diese Systeme. Um dieses Enforcement schon jetzt für diese Geräte zu aktivieren gibt es diesen Registrykey. Grüße

Ein paar NAT Regeln haben das Problem gelöst. Wie ihr aber eine Verbindung zu den IT Kosten als Ursache herstellt will mir nicht einleuchten. Bei Netzen mit 10.x und 172.x ist es ja gleich. Es ist ja hin wie her nur das Reduzieren einer evtl. eintretenden Wahrscheinlichkeit von gleichen IP-Bereichen. Aber egal, der Schubs Richtung NAT war die Lösung. Danke und Grüße

Guten Tag, ich verbinde iPads mit dem integrierten Cisco Client per IPSec mit einem Zielnetzwerk. Das funktioniert soweit problemlos. Aber nur dann wenn das Netzwerk in das das iPad eingebucht ist einen anderen IP-Bereich verwendet als ich im Zielnetzwerk verwende. iPad 192.168.178.0x/24 VPN 10.0.200.x/24 Zielnetzwerk 192.168.0.x/24 ==> alles geht iPad 192.168.0.0x/24 VPN 10.0.200.x/24 Zielnetzwerk 192.168.0.x/24 ==> kein Zugriff möglich Das ist mir soweit auch klar, woher soll das iPad auch wissen, dass 192.168.0.50 im lokalen Netzwerk ist und 192.168.0.51 über das VPN gehen soll. Da ich aber die Netze in denen sich die iPads einbuchen nicht unter Kontrolle habe, bleibt die Frage wie mit so etwas umgangen werden kann. Auch wenn ich einen möglichst selten benutzten Bereich verwende, kann es ja trotzdem zu Kollisionen kommen. Danke und Grüße

Entschuldige die verspätete Antwort, das Laptop war nicht zu Hand. Es ist eine LENSE30512GMSP34MEAT3TA 512 GB Firmware: 2.5.0412 Diese Marke war mir bisher unbekannt. Leider ist der Lenovo-Support, wenn man nicht gerade bei den Server-Jungs in Bayern landet, ich sage es nett, verbesserungsbedürftig. Deswegen habe ich da auch noch nicht nachgefragt. Danke und Grüße