Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing/Redundanz bei Cisco Secure ACS?

Mitglied: 11554

11554 (Level 1)

04.04.2005, aktualisiert 18:04 Uhr, 4933 Aufrufe, 9 Kommentare

Ich hab die Vorgabe das mehrere Netzwerkkomponenten mit TACACS+ abgesichert werden sollen, da TAC+ wesentlich sicherer als RADIUS sein soll. Nun soll der TAC+Server natürlich hochverfügbar sein und redundant ausgelegt werden. Wenn eine Maschine ausfällt soll die andere sofort übernehmen. Außerdem soll Syslogging auf eine externe Maschine möglich sein.

Cisco Secure ACS scheint auf den ersten Blick geeignet. Aber ich find weder bei Cisco noch bei Google geeignete Whitepaper die etwas über die Redundanz bei diesen Kisten aussagen.

Bleiben also einige Fragen:

Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?

Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)

Gruß Thomas
Mitglied: meinereiner
04.04.2005 um 12:02 Uhr
guckst du hier:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...

da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:16 Uhr
Ah, danke für den Link - muss ich mir mal genauer anschauen.
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 12:28 Uhr
rechne ich mit ~ 12k/Stk. ;)
War mir nicht mehr so sicher..aber das wird passen.
Ich weiss nur noch meinen Kommentar dazu genau.. Vergiss es!

Ich weiss ja nicht was du da wie genau absichern willst, aber ob es Sinn macht soviel Geld in eine TACAS Lösung zu stecken möchte ich doch bezweifeln.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:39 Uhr
TACACS+ ist Forderung des Auftraggebers und schon einiges sicherer als Radius. Da sollen die Eingaben der User genauer erfasst werden als es mit RADIUS möglich wäre. Abgesehen davon steht TCP gegen UDP und da ist dann noch die Verschlüsselung der kompletten Datenpakete. Insgesamt ist die Forderung schon begründet

Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 15:57 Uhr
die Eingaben der User genauer erfasst werden
als es mit RADIUS möglich wäre.

Eingaben der User??
TACAS macht doch nur die Authentifizierung?!


Abgesehen davon steht TCP gegen UDP und da
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet

Na, so genau hab ich mich damit noch nicht auseinander gesetzt, aber man kann da auch mit Hausmitteln und Radius ne Menge machen.

Dazu kommt noch, dass ich dann meine Userverwaltung an noch einer Ecke habe. Sowas versuche ich immer zu vermeiden


Jetzt erinner ich mich. Dir hatte man doch
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?

ja, genau..
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:22 Uhr
TACACS+ loggt unter anderem jeden Befehl mit, der eingegeben wird. Ist notwendig um Fehleingaben oder Manipulationen nachvollziehbar machen zu können. Deswegen auch das (zusätzliche )Logging auf eine externe Maschine. Das ganze ist ja auch nicht für "normale" User gedacht., die sich irgendwo einwählen. Hier gehts ausschließlich darum, dass Netzwerkkomponenten fernkonfiguriert werden.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 17:40 Uhr
TACACS+ loggt unter anderem jeden Befehl mit,
Bist du da sicher??????


Deswegen auch das (zusätzliche )Logging
Das wird ja über Syslog gehen und nicht Tacacs+
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:52 Uhr
Ja, da bin ich mir sicher ;)

Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...

Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 18:04 Uhr
Das gelernte nehmen wir mit nach Hause..


Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
Bitte warten ..
Ähnliche Inhalte
Router & Routing

CISCO Loadbalancing mit zwei Interfaces im gleichen Subnet

gelöst Frage von ArmedSnailRouter & Routing6 Kommentare

Moin! Ich habe folgende Problemstellung: Ein WAN ist über zwei Firewalls bereitgestellt, und soll mit einem Router ins interne ...

Netzwerke

Core-Switch redundanz erreichen

gelöst Frage von hash2k2Netzwerke7 Kommentare

Hallo zusammen, wir haben folgende Situation bei uns im Büro. Aktuell haben wir 7x HP 1810er Switches. Eins davon ...

Exchange Server

Exchange 2013 Loadbalancing

gelöst Frage von BirdyBExchange Server5 Kommentare

Hallo zusammen, ich habe heute zur Evaluierung mal PRTG als Monitoring-Lösung installiert und ein bisschen damit herumgespielt. Dabei ist ...

DNS

Loadbalancing für IIS-Webserver

Frage von CoreknabeDNS5 Kommentare

Moin, wir betreiben einen IIS-Webserver, der per Internet erreichbar ist. Nun soll aus Gründen der Lastverteilung mindestens ein zweiter ...

Neue Wissensbeiträge
Linux Netzwerk

Installation eines Logservers mit Loganalyzer als Debian-VM auf Hyper-V

Anleitung von lcer00 vor 6 StundenLinux Netzwerk

Zuerst sei auf den schönen Beitrag von aqui hier im Forum verwiesen, in dem die loganalyzer-installation bereits beschrieben ist: ...

Humor (lol)
Antennagate 2018
Information von magicteddy vor 6 StundenHumor (lol)2 Kommentare

Da haut der angekaute Elektronikhersteller die teuersten Geräte auf den Markt und bekommt anscheinend die Basics mal wieder nicht ...

Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 1 TagDatenschutz3 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

Heiß diskutierte Inhalte
E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail24 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Firewall
Wesyb Offline
Frage von DkuehlbornFirewall14 Kommentare

Hallo Kollegen, ein Kunde hat von Wesyb die Sicherheitslösung im Einsatz. Seit August scheint deren Internetseite nicht mehr verfügbar ...

Video & Streaming
DVD auf Festplatte sichern
Frage von Thor01Video & Streaming13 Kommentare

Hallo, mittlerweile hat meine DVD Sammlung ein alter erreicht wo die eine oder andere DVD schon das Zeitliche gesegnet ...