markber
-
Gesamte Inhalte
11 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von markber
-
-
Hallo Zusammen,
Ich würde gerne mal Eure Meinung zum Thema Cisco PIX und Cisco ASA hören.
Als Security-Officer werde ich ständig mit dem Thema „was ist die Beste Firewall im Business Bereich?“ konfrontiert.
Ich beschäftige mich schon seit Jahren mit der PIX und neuerdings auch mit der ASA .
Eigentlich komme ich mit den Produkten sehr gut zurecht und hatte bisher auch noch keine unlösbare Aufgabe.
Auf diversen Veranstaltungen wird sehr oft die CheckPoint als das NON + ULTRA bezeichnet .
Jetzt würde ich gerne Eure Meinung zum Thema „was ist die Beste Firewall?“ hören.
-
Hi,
Noch mal zum Verständnis, ein Kunde kommt vom Internet auf einen Host in der DM.. von dort soll eine Telent-Session ins interne LAN gestartet werden...?
Wenn ja... brauchst du einen static Eintrag...
static (inside,dmz) ip ip netmask 255.255.255.255 0 0
von einem Interface, das einen höheren Sicherheitslevel hat (outside), muss ein static Eintrag zum interne Host gesetzt werden.... man sollte auch NAT beachten...
Das Routing auf dem Host im internen LAN muss natürlich auch stimmen...Weiter muss eine Access-liste konfiguriert werden...
-
Hallo,
laut Cisco gibt es ein Konflikt zwischen ISDN-caller und Dialer-caller....
Restrictions
The ISDN caller ID callback feature conflicts with the dialer callback security feature for the Dialer Profiles feature for DDR. If dialer callback security is configured, it takes precedence; ISDN caller ID callback is ignored.
more
markber
-
Hallo,
was soll das bringen, wenn ein Port KEINE oder eine FALSCHE Information anzeigt. Eine PIX hat zwar ein kleines IDS-System, das hat aber nichts mit offenen oder geschlossenen Ports zu tun, ein IDS zeigt anomalyen im Netzwerk an.
Wenn du z.B. SMTP (TCP Port 25) geöffnet hast, muss ein anderes Sytem, damit ein Verbindungsaufbau stattfindet kann, sich auch damit verbinden können und zwr richtig. Ein besseren Weg, finde ich, wenn du einen Service im internen Netz nutzen möchtest nutze einen VPN Tunnel, durch den Tunnel dann den internen Service du brauchst nur einen Port zu öffnen UDP 500.... oder setzte eine Access-Liste die auch die Source-IP prüft.
was möchtest du damit erreichen??
jeder halbwegs gute Netzwerscanner kann offene Ports finden..z.B nmap. Man kann TCP-Header ändern, damit z.B ein IIS nicht erkannt wird, hat aber auch nichts mit Ports zu tun.
gruß, Bernd
-
Hallo an alle Cisco-Freaks,
ich suche eine Möglichkeit, einen ISDN-Dialer nur für ausgehenden Verkehr zu konfigurieren?
Zur Zeit habe ich auf dem Dialer/ BRI Interface folgendes konfiguriert.
************************************************************
interface BRI0/0
no ip address
ip nat outside
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn caller xxxxxxxxx
ppp authentication chap
ppp chap hostname xxxxxx
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer remote-name xxxxxxxxxxx
dialer pool 1
dialer string xxxxxxxxxxxx
dialer-group 1
ppp chap hostname xxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxx
***************************************************************
Ich möchte den Router so konfigurieren, das er eine Verbindung aufbauen kann, aber keine Verbindung annimmt. Dem Parameter ++ISDN Caller++ habe ich die eigene Nummer vom NTBA eingetragen. Der Router blockt nun alle eingehenden Verbindungen, da er ja nur von der ISDN Caller Nummer Anrufe annimmt. Ich suche nun eine andere Lösung...
grüße
MarkBer
-
Hi,
hast du schon mal ins Log der Pix geschaut?
Wenn du über Konsole auf der FW bist, konfiguriere dir mal das interne Interface mit einer private IP (security 100 ASA Algorithmus der PIX beachten!!). Nun kannst du über ein CrossOver Kabel vom PC auf die PIX (Ping testen) per ssh oder Telnet Connecten. Dies muss aber vorher auf der PIX-Konfiguriert werden.
ssh [deine IP vom Notebook/PC] [interfacename der FW oder IP]
telnet [deine IP vom Notebook/PC] [interfacename der FW oder IP]
Jetzt würde ich den PDM für mein Notebook/PC freigeben.
im Konfiguration-Modus -> http [deine IP vom Notebook] [interfacename der FW oder IP]
Vom PC // IExplorer https://[ip der FW] // geht nur über SSL(HTTPS)
sollte funktioniern, wenn nicht ins FW-Log schauen ob die Verbindung mit einem Deny verboten wird.
gruss
markber
-
Hallo,
habe einen Artikel gefunden der zum Problem passt. Ich habe den Tipp getestet bei mir am ist das flackern weg.
Gruß
markber
-
du musst es schon genauer formulieren "konfigurieren".
Was ist das Ziel...
gruss markber
-
hallo,
würde an deiner Stellen den PDM Manager nicht benutzen. Eine Firewall sollte man über die Konsole Konfigurieren
Gute Dokus bekommst du auf cisco.com
aber nur in Englisch :-))
was willst du überhaupt Konfigurieren??
gruss
markber
-
Hallo,
lese dir mal die Seite von Cisco.com durch, sollte dein Problem lösen.
gruss markber
Netzwerkprobleme oder so ....
in Cisco Forum — Allgemein
Geschrieben
Stoff für eine Diskussion....
Das es in der Praxis manchmal anders läuft als in der Theorie, ist nicht verwunderlich. Das was ich aber jetzt als Grundlage für eine Diskussion liefere, stellt manches auf den Kopf....
Ein Kollege kommt mit seinem Notebook ins Büro und verwendet den Netzwerkanschluss den er immer nutzt, wenn er im Haus ist. Nach mehrmaligen runter und hoch fahren des Notebooks ist immer noch kein Netzwerk Zugriff möglich. In der zwischen Zeit hat er sich in der IT Abteilung gemeldet und sich darüber beklagt, das er nicht Arbeiten könne...
Als erfahrener Netzwerk-Administrator habe ich mir das Notebook angeschaut und auf den ersten Blick keinen Fehler feststellen können. Im zweiten Schritt habe ich den Switch Port auf einem Cisco Catalyst auf Fehler untersucht. Auch hier keine nennenswerte Fehler. Die dritte Idee war die CAM (Mac-Address Table) auf dem Switch und siehe da über 3000 Mac Adressen auf dem Interface wo das Notebook verbunden war/ist... So in der Theorie wäre jetzt wieder das Notebook ins Visier gerückt (vielleicht eine Hacker Software z. B. MAC Poisoning). Leider Fehlanzeige auch keine Hacker Software... und wenn das Netzwerkkabel am Notebook entfernt wurde, verschwanden auch die MAC Adressen am Switch... Damit es nicht so einfach wird, kein Muster oder Hersteller der MAC Adressen war zu verzeichnen...
Zusammenfassung:
Notebook keine Hardwarefehler bzw. Softwarefehler (WINXP SP 2)
Cisco Catalyst Switch keine Hardwarefehler bzw. Softwarefehler (IOS 12xx)
Und nun....wo lag das Problem??