ComputerBase Menü
Aktuelles

Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei

Um mich hier auch mal kurz vorzustellen:

Ich arbeite in der Krankenhaus IT in einem Team mit knapp 50-60 MAs und bin für den Bereich Netzwerk, Firewalls und ein paar kleinere Anwendungsserver zuständig. Dazu kommen dann noch "Feuerwehreinsätze" wenn man wieder etwas "brennt".
Netzwerkseitig kommt bei uns ausschließlich die Extreme Networks Summit Serie zum Einsatz und an Firewalls CheckPoint und leider noch eine Fortigate.
Momentan bin ich am Implementieren der Extreme NAC Lösung, auch um mir später die Segmentierung an einer zentralen Firewall zu automatisieren.

Was Windowsserver und die Standarddienste wie DNS, DHCP und das AD angeht, bin ich ziemlich fit, aktuell geht es für mich aber auch immer weiter in Richtung Linux, was definitiv auch Spaß macht.


PS: aktuell gehts MS ja richtig an den Kragen, was da alles hochkommt, puhh.
 
  • Gefällt mir
Reaktionen: holdes und evilhunter
Hmm wenn du gut in AD bist, kennst du dich ja sicherlich mit SSL Zertifikaten aus. Hab aktuell das Problem, das ich ne eigene CA verwalten, was soweit auch klappt, aber CRL hatte ich nicht konfiguriert und jetzt ist halt die Frage, ob ich das dennoch manuell verwalten kann.

Ich will gar keinen Automatismus haben aktuell, wenn ich aber ne crl verteile dann soll halt auch möglich sein, das einem Zertifikat nicht mehr vertraut wird. Ein revoken und dann unter dem gleichen CN ein neues Zertifikat ausstellen hat soweit geklappt, nur das CRL halt nicht...

Geht darum, das ein Zertifikat ausläuft und ich eben das vorher ersetzen will und gleich das alte revoke.

An sich ist das aktuell so alles nicht nötig, ich will meine Kenntnisse in der Handhabung ausbauen, für den Fall das ich doch mal den kompletten stack nutzen muss....
 
Skysnake schrieb:
Hmm wenn du gut in AD bist, kennst du dich ja sicherlich mit SSL Zertifikaten aus. Hab aktuell das Problem, das ich ne eigene CA verwalte
Zum Vergrößern anklicken....
Tut mir leid dich da enttäuschen zu müssen, aber mit Zertifikaten hatte ich bisher leider gar nichts zu tun.
Mit ziemlich fit waren auch ehr so die Grundlagen gemeint, wäre zwar gerne tiefer drin, aber da ich mich für die Richtung Netzwerk und Sicherheit entschieden hab ist das leider zeitlich nicht möglich.
 
Warum konfigurierst du nixht einfach die CRL, so wie es sich gehört? Sonst ist es doch nur Bastelei..
https://www.petenetlive.com/KB/Article/0000957

@Hannibal Smith Warum "Leider" Fortigate? Ich persönlich ziehe jede Forti einer Checkpoint vor. Reputationstechnisch geben die sich auch nix. Aber Hauptsache keine ASA😂
 
Zensai schrieb:
Warum "Leider" Fortigate? Ich persönlich ziehe jede Forti einer Checkpoint vor. Reputationstechnisch geben die sich auch nix. Aber Hauptsache keine ASA😂
Zum Vergrößern anklicken....
Ich denke das ist die Gewohnheit, aber ich finde das Webinterface der Fortis schrecklich. Das wirkt im Vergleich zur Smartconsole sehr unübersichtlich, überladen und wenn ich dann noch ein zweites Webinterface für die Logview brauche...
Klar, die Fortis sind definitiv nicht das schlechteste was es gibt und auch was die Funktionen angeht echt gut, aber ich kann mich nicht so wirklich damit anfreunden.
 
Gut in Sicherheit kann man sich austoben, aber Netzwerk? So viel an den Configs zu ändern? Bei uns ist das eigentlich nur vor bei der Installation mal nen Thema und dann ist für 5-7 Jahre Ruhe. Mal Updates von Switchen und kleinere Erweiterungen ausgenommen.

Wenn du dich aber mit Sicherheit beschäftigst finde ich das Zertifkatshändling schon sehr wichtig. Das ist ja ein zentraler Bestandteil von vielen Sicherheitsarchitekturen.
 
Aktuell tatsächlich ja ^^
Das hat damit zu tun, dass wir bisher tatsächlich in einem mehr oder weniger riesigen, flachen Netzwerk unterwegs sind und das erwähnte NAC einiges an Vorarbeit erfordert. Da sind dann auf den Switchen entsprechende vlans anzulegen, das NAC Regelwerk so gut es geht via AD Gruppen zu erweitern, für alles was nicht im AD hängt sich einen anderen Weg zu suchen, etc.
Dazu kommt der echt dringend anstehende Austausch unserer Core und Dist Komponenten sowie das Re-Design eben jener Bereiche.
Dann gibt es auch nich das Thema WLAN, das bisher zwar erfolgreich ignoriert wurde aber nun auch immer weiter in den Vordergrund rückt.

Das sind so die Dinge, die ich seit Ende meiner Ausbildung vor ca. eineinhalb Jahren Stück für Stück übernommen habe und mir so die Woche versüßen.
 
Zuletzt bearbeitet:
Zensai schrieb:
Warum konfigurierst du nixht einfach die CRL, so wie es sich gehört? Sonst ist es doch nur Bastelei..
https://www.petenetlive.com/KB/Article/0000957
Zum Vergrößern anklicken....
1. Linux und nicht Windows
2. Weil ich das Root CA halt ohne konfiguriert habe
3. Weil unsere Configs im Allgemeinen sehr sehr statisch sind. Dafür den Aufwand treiben mit nem Apache etcpp ist halt fragwürdig
4. Ist das ne eigene Containerlösung, die ich dann aufsplitten würde weil es zu viel wird in einem Ding

Also verdammt viel Aufwand für ein maximal zwei Zertifikate...
 
Zertifikate mit eigener CA sind für mich besonders dann wichtig wenn man damit die IPSec Verbindungen absichert statt Pre-Shared Keys und gleiches auch für WLAN. WPA2-PSK kann man in größeren Umgebungen natürlich voll vergessen, da macht einem eine CA und ein Server mit der NPS Rolle (als RADIUS Server) das Leben deutlich leichter :). Switche die über 802.1X Authentifizieren können sind dann auch super, steckt sich da ein Nicht-AD Computer dran kommt er in ein Gast-VLAN und kann nichts mehr anstellen.
 
Hier stand Mist ;-)
 
Zuletzt bearbeitet:
holdes schrieb:
Switche die über 802.1X Authentifizieren können sind dann auch super, steckt sich da ein Nicht-AD Computer dran kommt er in ein Gast-VLAN und kann nichts mehr anstellen.
Zum Vergrößern anklicken....
Gut, kann man auch über MAC basiertes VLAN erreichen und halt allgemein Portsperre
 
Da hast du natürlich recht aber es gibt ja viele Wege nach Rom :). Ich fand das darüber meist bequemer weil man so nicht viel konfigurieren muss, lediglich Geräte welche auf Linux basieren muss man zwangsweise per MAC autorisieren wenn man deren Port auch absichern will.
 
Zuletzt bearbeitet:
Ja, deswegen muss man auch immer erst nachdenken und nicht einfach die 0815 Lösung drauf werfen ;)

Bei bei mir sind es 100% Linux Systeme. Wobei im Rechenzentrum verzichten wir auf Portsperre, wobei ich trotzdem schon mal darüber nachgedacht habe es nicht doch zu nutzen. In den heutigen Zeiten mit Hackern und Sabotage stellt man sich schon mal die Frage ob man es nicht doch machen sollte...
 
Wir haben aufgrund der Firma und dem was wir tun in für jedermann betretbaren Bereichen Touch PCs an der ein oder anderen Wand, da wäre man ohne aufgeschmissen. Der andere Vorteil ist natürlich unabhängig von Hackern dass kein MA auf die grandiose Idee kommt eigene APs dran zu hängen um sich selbst WLAN zu verschaffen.

Die "eine" Lösung gibt es sowieso für nichts in der IT denke ich :D.
 
Zum Thema Zertifikate eine crl kann auch im LDAP liegen. Meine das ist die Default Einstellung.
Dann haben nur Mitglieder der Domäne Zugriff. Auch sollte an den Clients das Zertifikat für RDP per gpo getauscht werden. Google nach RDP eigenes Zertifikat
 
Danke, ich werde es mal versuchen, denn die mit opensssl erstellte crl zeigt mir zwar das zurückgezogen Zertifikat und die ldap.conf sollte inzwischen auch ok sein, aber sobald ich den Check aktiviere ist der Zugriff egal ob beim alten oder neuen Zertifikat nicht mehr möglich

Edit:

Ich habe jetzt mal nach rdp gegoogelt, aber das dreht sich ja mal wieder nur um Windows.

Das hilft mir nicht.
 
Zuletzt bearbeitet:
Moin,

weil es gerade gut zum Thema passt....
Was nutzt ihr so um eure PKI zu verwalten? Ich habe das Problem, dass ich eine Vielzahl von Self Signed Certificates und gleichzeitig natürlich noch einen Haufen public CAs verwalten muss. Die Self Signed dienen dabei überwiegend zur Authentisierung von VPN-Diensten (ca. 3000 an der Zahl) und werden aktuell auf der pfSense direkt verwaltet, was mir überhaupt nicht passt und die pfSense auch ziemlich lahm macht.

Jetzt hab ich mir mal mal XCA angeschaut, aber da ist soweit ich das sehe, nur Single User fähig, was im Unternehmensumfeld blöd ist. Darf natürlich auch Geld kosten ;)

Dankeschön und Grüße
 
Hallo in die Runde,

ich habe gestern hier begonnen einen ewig langen Text mit der Formulierung eines NTFS Berechtigungsproblems auf Windows Server 2019 zu schreiben, wofür ich kein neues Thema eröffnen wollte. Und wenn man sich mal selbst mit seinem Problem auseinandersetzt kommt man manchmal von alleine auf die Lösung. Vielen Dank :-D

Viele Grüße
 
  • Gefällt mir
Reaktionen: holdes, evilhunter, Towatai und 2 andere
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz