Reingucker 3 Geschrieben 8. Februar 2015 Melden Teilen Geschrieben 8. Februar 2015 (bearbeitet) Und nu? Pegida? Neee, schwacher Scherz :) Wenn man in so einem Weiterbildungskurs den MCSA 2012 nach den MOC-Büchern macht, und das dann noch innerhalb kürzester Zeitvorgaben, dann ist das nun mal nicht so schön. OK, für mich ist es nicht so schlimm weil ich ja eh immer alles durchteste und dann das im Kurs Fehlende selbst dazulerne. Mir tun die Anderen im Kurs irgendwie leid. bearbeitet 8. Februar 2015 von Reingucker Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. Februar 2015 Melden Teilen Geschrieben 8. Februar 2015 Ein moc Kurs ist meiner Meinung nach auch nichts, was man ohne Vorkenntnisse besucht. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 9. Februar 2015 Autor Melden Teilen Geschrieben 9. Februar 2015 (bearbeitet) Moin, so ich nutze ein Öffentliches Zertifikat für die VPN Verbindung, da auch "nicht" Mitarbeiter sich connecten können.somit wird der CDP und die CRL aus den öffentlichen Sperrlisten und Zert-Stores entnommen. Bis die TMG endgültig ausgelaufen ist, vergehen noch ca. 3 Jahre und bis dahin hoffe ich, dass es eine gute Alternative gibt. Solange muss die TMG aber noch durchhalten :). Was meinst du hiermit? Weiß Jemand wie man bei RAS-Radius-VPN splitt-tunneling machen kann? Ich konnte das leider noch nicht testet, wie sich die Anmeldung und Zugriffe verhalten. Ich stell mir aber grad vor, dass es hier zu Problemen kommt, wenn der RAS-VPN-AD User weniger zugriff hat als der Windows-AD User mit dem ich immer noch angemeldet bin. Also Fakt ist dass der RAS-VPN-RADIUS-AD-User für Zugriffe genommen wird, auch wenn man sich am VPN-Client selbst noch mit einem anderen AD-User angemeldet hat. Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen. Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D Danke für die intensive Diskussion :). bearbeitet 9. Februar 2015 von Beetlejuice Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 (bearbeitet) Bis die TMG endgültig ausgelaufen ist, vergehen noch ca. 3 Jahre Wie kommst du auf diese Zahl? http://support.microsoft.com/lifecycle/search?sort=PN&alpha=Threat+management&Filter=FilterNO Und fürs darunter liegende OS http://support.microsoft.com/lifecycle/search?sort=PN&qid=&alpha=Windows+Server+2008+R2&Filter=FilterNO Mußt du wissen, ob bei dir eine Sicherheitslösung die auf dem Abstellgleis steht wirklich bis zum Ende genutzt werden sollte. ;) Bye Norbert PS: Bei uns wird's heute Abend abgeschaltet. Mal schauen... ;) bearbeitet 9. Februar 2015 von NorbertFe Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 Moin, so ich nutze ein Öffentliches Zertifikat für die VPN Verbindung, da auch "nicht" Mitarbeiter sich connecten können.somit wird der CDP und die CRL aus den öffentlichen Sperrlisten und Zert-Stores entnommen. Ja, da spart man sich sicher einiges an Arbeit. Vielleicht. Wenn ich intern noch jede Menge mit Zertifikaten abdecke dann kann ich mir vorstellen dass es dann einiges an Mehraufwand wird als wenn man eine eigene Zert hat. Ich konnte das leider noch nicht testet, wie sich die Anmeldung und Zugriffe verhalten. Ich stell mir aber grad vor, dass es hier zu Problemen kommt, wenn der RAS-VPN-AD User weniger zugriff hat als der Windows-AD User mit dem ich immer noch angemeldet bin. Also bei splitt-tunnel gibt es eigentlich kein Problem wenn man die Firmennetze explizit per Route durch das VPN schickt. Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen. Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D Die Tickets der VPN-User wirst du nicht sehen, außer du schaust in die Kerberos-Datenbank. Das scheint aber nur mit Linux/Unix zu gehen. Für in die Datenbank des MS-Kerberos rein zu schauen hab ich noch nichts gefunden. PS: Bei uns wird's heute Abend abgeschaltet. Mal schauen... ;) Und was nehmt ihr statt dessen? Es müsste ja irgendwas sein womit all die Erleichterung durch einbinden ins MS-AD dann auch gehen. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 9. Februar 2015 Autor Melden Teilen Geschrieben 9. Februar 2015 (bearbeitet) Ja du hast recht und vorerst werden wir das so noch nutzen. Mit dem Extended Support gibt es noch 5 Jahre support und wir haben vor in Jahren eine neue Lösung einzuführen, wo jetzt auch schon gesucht und getestet wird. So ein System wechselt man leider nich von heut auf morgen und wir haben viele Spezielle Anforderungen die wir mit der TMG gut abbilden konnten. Dies auf andere Systeme umzustellen würde ein erheblichen mehraufwand und Wartung betragen. Ich wünsch euch viel Erfolg bei der Umstellung ;). Auf was geht ihr jetzt und wie sind eure Anforderungen? Mich würde schon interessieren welche Alternativen man nutzen könnte und wo die Einschränkungen sind. Gerne auch per PN. EDIT: Zitat Beetlejuice - 09 Feb 2015 - 10:31: Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen. Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D Die Tickets der VPN-User wirst du nicht sehen, außer du schaust in die Kerberos-Datenbank. Das scheint aber nur mit Linux/Unix zu gehen. Für in die Datenbank des MS-Kerberos rein zu schauen hab ich noch nichts gefunden. Ich schaue mir die Pakete im Networktrace an, dort sehe ich wer angefordert hat und zu welchem Ziel (SNAME). Wir haben auch eine interne Enterprise CA, welche aber bei diesem VPN nicht weiterhilft, da diese von außen nicht erreichbar ist (CRL, CDP). bearbeitet 9. Februar 2015 von Beetlejuice Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 Ich schaue mir die Pakete im Networktrace an, dort sehe ich wer angefordert hat und zu welchem Ziel (SNAME). Wir haben auch eine interne Enterprise CA, welche aber bei diesem VPN nicht weiterhilft, da diese von außen nicht erreichbar ist (CRL, CDP). Ja, schon, aber wo die VPN-User-Tickets abgelegt werden kann man nicht mit klist sehen. Zumindest ich nicht :) Hm, also intern eine Enterprise CA und die externen VPNs/WEB mit einem Zertifikat von irgendeiner Klitsche welche am besten auch standardmäßig in den Browsern eingetragen ist. Ok, da hat man zumindest das Problem mit dem durchreichen des CDP nicht. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 9. Februar 2015 Autor Melden Teilen Geschrieben 9. Februar 2015 Ja, der Aufwand und der mehrwert sind zu gering um seine eigene Zertifikate Öffentlich und Vertrauenswürdig, für die Globale Masse, zu machen. Jeder müsste deine Root/Sub Zertifikate runter laden und vertrauen. Das ist für die meisten Anwender zu viel Technik. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 So ein System wechselt man leider nich von heut auf morgen und wir haben viele Spezielle Anforderungen die wir mit der TMG gut abbilden konnten. Welche sind das denn? Eventuell kann ja hier jemand helfen. :) Dies auf andere Systeme umzustellen würde ein erheblichen mehraufwand und Wartung betragen. Kann sein. ;) Ich wünsch euch viel Erfolg bei der Umstellung ;). Auf was geht ihr jetzt und wie sind eure Anforderungen? Mich würde schon interessieren welche Alternativen man nutzen könnte und wo die Einschränkungen sind. Danke, wir wechseln auf Sophos UTM. Bisher hab ich erstmal nur den Nachteil, dass unsere Tokensoftware für OWA dann nicht mehr am Gateway läuft sondern dahinter am Exchange. Und ja, ein wenig trauere ich dem TMG auch hinterher, aber was solls. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 9. Februar 2015 Autor Melden Teilen Geschrieben 9. Februar 2015 Ist jetzt zwar was Off-Topic, aber ich hatte mir die SOPHOS UTM als abgespeckte Version angeschaut. sie wirkte auf mich sehr langsam und träge. Allzu viel kann ich gar nicht mehr dazu sagen, das war jetzt ein Jahr her. Der erste Eindruck war ganz gut, jedoch hat mich diese weiterhin nicht überzeugt. Wir haben und auch mal die FreeBSD variante "PFSense" angeschaut, ist aber auch keine alternative. Unsere Anforderungen sind z.B. - VPN mit integrierten Windows Client (IPsec/L2TP oder SSTP) - Routing/Firewalling von mehreren Subnetze (~25) - Regeln für unterschiedlichste Zugriffe IN und AUS diesen Netzen mit unterschiedlichsten Ports. - Zugriffe durch Benutzer (VPN-Benutzer) regeln Die meisten System haben Probleme so viele Netze mit einer schnelle Anbindung (mehrere 10 GB NICs) anzubinden und dann noch die Regeln effizient und Wartbar zu Pflegen. Das Regelwerk ist bei den meisten ein ... graus :( Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 Was ist denn mit ADFS 3.0 und Webanwendungsproxy? Laut den Büchern die ich hier habe soll das den TMG so ziemlich ersetzen. Oder im net: http://asichel.de/2014/01/03/server-2012-r2-webanwendungsproxy-mit-exchange-2013/ http://blogs.technet.com/b/jrosen/archive/2013/12/28/setting-up-windows-application-proxy-for-exchange-2013.aspx http://office365support.ca/configuring-windows-nlb-for-ad-fs-2-0/ http://blog.atwork.at/post/2014/09/03/ADFS-3-0-und-TLS-1-2.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 (bearbeitet) Ist jetzt zwar was Off-Topic, aber ich hatte mir die SOPHOS UTM als abgespeckte Version angeschaut. sie wirkte auf mich sehr langsam und träge. Sagt der der ein TMG einsetzt bei dem jede Konfigurationsänderung erstmal ein bis zwei Gedenkminuten erfordert (egal welche Hardware)? ;) Allzu viel kann ich gar nicht mehr dazu sagen, das war jetzt ein Jahr her. Der erste Eindruck war ganz gut, jedoch hat mich diese weiterhin nicht überzeugt. Dagegen kann man dann aber auch nicht viel sagen, wenn sie dich "weiterhin nicht überzeugt hat", weil sie "langsam und träge" wirkte. ;) - VPN mit integrierten Windows Client (IPsec/L2TP oder SSTP) - Routing/Firewalling von mehreren Subnetze (~25) - Regeln für unterschiedlichste Zugriffe IN und AUS diesen Netzen mit unterschiedlichsten Ports. Geht absolute problemfrei. - Zugriffe durch Benutzer (VPN-Benutzer) regeln Wie meinst du das? Die meisten System haben Probleme so viele Netze mit einer schnelle Anbindung (mehrere 10 GB NICs) anzubinden und dann noch die Regeln effizient und Wartbar zu Pflegen. Das Regelwerk ist bei den meisten ein ... graus :( Gerade da sieht die UTM 9.x doch von allen was ich mir angeschaut hab noch am besten aus. Inzwischen teilweise sogar sinnvoller als das TMG. Bye Norbert bearbeitet 9. Februar 2015 von NorbertFe Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 9. Februar 2015 Autor Melden Teilen Geschrieben 9. Februar 2015 Es ging nicht darum ob es geht oder nicht. Das man in vielen FW das abbilden kann ist mir klar. Es ist nur die Frage wie aufwändig ist das ganz. Als Beispiel, bei IPTables definiere ich meistens source/destiniation und port. Wenn ich aber mehrere Ports erlauben möchte, kann ich entweder mehrere Regeln machen oder muss eine Gruppe mit den Ports definieren und diese dann zuweisen. Ich finde gegenüber der TMG ist das sehr aufwändig und Wartungsintensiv. Als weiteres Feature, was bei vielen FW's nicht so schön ist, ist das Logging und auswerten. Es geht aber in der TMG geht es wesentlich einfacher und besser. Ich mag die Sophos ja nicht schlecht reden, dazu habe ich mir diese zu wenig angeschaut. Jedoch hat mich diese im Gesamteindruck aufs erste nicht überzeugt. Viellicht sollte ich mir diese nochmal in ruhe anschauen um dann besser zu beurteilen können. Wir setzten als weitere FW ebene noch eine SonicWALL (DELL) ein. Die macht einen guten Eindruck, wobei auch hier die Wartung der Regeln viel mehr Zeit verlangt. AD FS ist eine interessante Alternative, welche wir uns auch demnächst anschauen, zumal viele weitere Produkte von MS darauf bauen bzw. profitieren können. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. Februar 2015 Melden Teilen Geschrieben 9. Februar 2015 Es ging nicht darum ob es geht oder nicht. Das man in vielen FW das abbilden kann ist mir klar. Es ist nur die Frage wie aufwändig ist das ganz. Als Beispiel, bei IPTables definiere ich meistens source/destiniation und port. Wenn ich aber mehrere Ports erlauben möchte, kann ich entweder mehrere Regeln machen oder muss eine Gruppe mit den Ports definieren und diese dann zuweisen. Ich finde gegenüber der TMG ist das sehr aufwändig und Wartungsintensiv. Beim TMG mußt du das doch aber genauso definieren. Entweder ein Protokoll mit von-bis Ports oder mehrere Protokolle (pro Port eins) und dann eine Protokollgruppe. Als weiteres Feature, was bei vielen FW's nicht so schön ist, ist das Logging und auswerten. Es geht aber in der TMG geht es wesentlich einfacher und besser. Hmm, das kann die Sophos UTM um Längen besser als das TMG. Oder du mußtest noch nie wirklich darin suchen. ;) Ich mag die Sophos ja nicht schlecht reden, dazu habe ich mir diese zu wenig angeschaut. Jedoch hat mich diese im Gesamteindruck aufs erste nicht überzeugt. Viellicht sollte ich mir diese nochmal in ruhe anschauen um dann besser zu beurteilen können. Naja ist zumindest eine Option. ;) Wir setzten als weitere FW ebene noch eine SonicWALL (DELL) ein. Die macht einen guten Eindruck, wobei auch hier die Wartung der Regeln viel mehr Zeit verlangt. Die finde ich wiederum deutlich komplizierter, aber da gebe ich zu, dass ich nur "relativ" oberflächlich reingeschaut habe. Bye Norbert Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 10. Februar 2015 Autor Melden Teilen Geschrieben 10. Februar 2015 Hi, @Norbert, wie verlief die umstellung? Ich habe nun die TMG mit Radius eingerichtet um die Nutzer gegen das AD zu prüfen. @ Reingucker Ich kann dir aber nicht sagen wo dieser VPN-AD-User sein tgt abspeichert. Ich hab bei allen beteiligten Rechnern mit klist nachgeschaut. Aber da sind natürlich immer nur die tgt von dem angemeldeten User weil ja das klist in dessen Umgebung ausgeführt wird. Ich hab dann auch ne cmd unter system auf allen laufen lassen, aber da sind dann entsprechend nur die Tickets der Rechner -- klar, ist ja klist in deren Umgebung ausgeführt. Der RADIUS VPN-AD-USER wurde für die Anmeldung an der Domäne verwendet, auch wenn sich bereits ein AD Benutzer authentifiziert hat.Ich habe dann mit KLIST nachgeschaut und habe auch Tickets beider User (VPN-AD-USER + AD-USER) gesehen. Wenn ich auf die Domäne zugreife (GPO's / Netlogon) wird dieser VPN-AD-USER verwendet, da sehe ich TGT's für KRB und einige der DC's für den CIFS Dienst.Wenn ich nun auf Fileserver oder andere Dienste (Printserver, Freigaben vom DC usw.) zugreife wird ein TGT für den Angemeldeten AD-USER verwendet bzw. angefordert. #0> Client: ad-user @ DEV.DOMAIN.DE Server: krbtgt/DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x60a00000 -> forwardable forwarded renewable pre_authent Startzeit: 2/10/2015 11:00:01 (lokal) Endzeit: 2/10/2015 20:58:01 (lokal) Erneuerungszeit: 2/17/2015 10:58:01 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #1> Client: ad-user @ DEV.DOMAIN.DE Server: cifs/storage2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a00000 -> forwardable renewable pre_authent Startzeit: 2/10/2015 11:05:09 (lokal) Endzeit: 2/10/2015 20:58:01 (lokal) Erneuerungszeit: 2/17/2015 10:58:01 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #2> Client: ad-user @ DEV.DOMAIN.DE Server: cifs/DC1.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate Startzeit: 2/10/2015 11:00:01 (lokal) Endzeit: 2/10/2015 20:58:01 (lokal) Erneuerungszeit: 2/17/2015 10:58:01 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #3> Client: ad-user @ DEV.DOMAIN.DE Server: cifs/DC2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate Startzeit: 2/10/2015 11:00:01 (lokal) Endzeit: 2/10/2015 20:58:01 (lokal) Erneuerungszeit: 2/17/2015 10:58:01 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #4> Client: ad-user @ DEV.DOMAIN.DE Server: cifs/fileserver.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a00000 -> forwardable renewable pre_authent Startzeit: 2/10/2015 10:58:01 (lokal) Endzeit: 2/10/2015 20:58:01 (lokal) Erneuerungszeit: 2/17/2015 10:58:01 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #5> Client: vpn-ad-user @ DEV.DOMAIN.DE Server: krbtgt/DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x60a00000 -> forwardable forwarded renewable pre_authent Startzeit: 2/10/2015 11:04:25 (lokal) Endzeit: 2/10/2015 21:04:24 (lokal) Erneuerungszeit: 2/17/2015 11:04:24 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #6> Client: vpn-ad-user @ DEV.DOMAIN.DE Server: cifs/DC1.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate Startzeit: 2/10/2015 11:04:25 (lokal) Endzeit: 2/10/2015 21:04:24 (lokal) Erneuerungszeit: 2/17/2015 11:04:24 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 #7> Client: vpn-ad-user @ DEV.DOMAIN.DE Server: cifs/DC2.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96 Ticketkennzeichen 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate Startzeit: 2/10/2015 11:04:25 (lokal) Endzeit: 2/10/2015 21:04:24 (lokal) Erneuerungszeit: 2/17/2015 11:04:24 (lokal) Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96 Wir vertrauen der ganze sache noch nicht, haben Befürchtungen dass es zu Problemen mit den beiden AD Sitzungen geben könnte und prüfen gerade ob das VPN mit dem eigentlichen AD User authentifiziert werden kann. Hierzu muss jedoch gewährleistet sein, dass sich Benutzer nur von bestimmten PCs aus anmelden können. Dies sollte sich mit NAP auf dem NPS einrichten lassen aber leider wird das VPN immer als "non-NAP capable" aufgebaut. @ Reingucker, hattest Du den test mit NAP gemacht oder einfach nur über NPS ohne NAP Regeln wie SHV usw? Danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.