Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing/Redundanz bei Cisco Secure ACS?

Frage Sicherheit Firewall

Mitglied: 11554

11554 (Level 1)

04.04.2005, aktualisiert 18:04 Uhr, 4895 Aufrufe, 9 Kommentare

Ich hab die Vorgabe das mehrere Netzwerkkomponenten mit TACACS+ abgesichert werden sollen, da TAC+ wesentlich sicherer als RADIUS sein soll. Nun soll der TAC+Server natürlich hochverfügbar sein und redundant ausgelegt werden. Wenn eine Maschine ausfällt soll die andere sofort übernehmen. Außerdem soll Syslogging auf eine externe Maschine möglich sein.

Cisco Secure ACS scheint auf den ersten Blick geeignet. Aber ich find weder bei Cisco noch bei Google geeignete Whitepaper die etwas über die Redundanz bei diesen Kisten aussagen.

Bleiben also einige Fragen:

Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?

Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)

Gruß Thomas
Mitglied: meinereiner
04.04.2005 um 12:02 Uhr
guckst du hier:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...

da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:16 Uhr
Ah, danke für den Link - muss ich mir mal genauer anschauen.
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 12:28 Uhr
rechne ich mit ~ 12k/Stk. ;)
War mir nicht mehr so sicher..aber das wird passen.
Ich weiss nur noch meinen Kommentar dazu genau.. Vergiss es!

Ich weiss ja nicht was du da wie genau absichern willst, aber ob es Sinn macht soviel Geld in eine TACAS Lösung zu stecken möchte ich doch bezweifeln.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:39 Uhr
TACACS+ ist Forderung des Auftraggebers und schon einiges sicherer als Radius. Da sollen die Eingaben der User genauer erfasst werden als es mit RADIUS möglich wäre. Abgesehen davon steht TCP gegen UDP und da ist dann noch die Verschlüsselung der kompletten Datenpakete. Insgesamt ist die Forderung schon begründet

Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 15:57 Uhr
die Eingaben der User genauer erfasst werden
als es mit RADIUS möglich wäre.

Eingaben der User??
TACAS macht doch nur die Authentifizierung?!


Abgesehen davon steht TCP gegen UDP und da
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet

Na, so genau hab ich mich damit noch nicht auseinander gesetzt, aber man kann da auch mit Hausmitteln und Radius ne Menge machen.

Dazu kommt noch, dass ich dann meine Userverwaltung an noch einer Ecke habe. Sowas versuche ich immer zu vermeiden


Jetzt erinner ich mich. Dir hatte man doch
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?

ja, genau..
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:22 Uhr
TACACS+ loggt unter anderem jeden Befehl mit, der eingegeben wird. Ist notwendig um Fehleingaben oder Manipulationen nachvollziehbar machen zu können. Deswegen auch das (zusätzliche )Logging auf eine externe Maschine. Das ganze ist ja auch nicht für "normale" User gedacht., die sich irgendwo einwählen. Hier gehts ausschließlich darum, dass Netzwerkkomponenten fernkonfiguriert werden.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 17:40 Uhr
TACACS+ loggt unter anderem jeden Befehl mit,
Bist du da sicher??????


Deswegen auch das (zusätzliche )Logging
Das wird ja über Syslog gehen und nicht Tacacs+
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:52 Uhr
Ja, da bin ich mir sicher ;)

Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...

Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 18:04 Uhr
Das gelernte nehmen wir mit nach Hause..


Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Voice over IP
Cisco 2600xm SIP Trunk autentifizieren

Frage von Herbrich19 zum Thema Voice over IP ...

Windows Server
Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich (2)

Link von Penny.Cilin zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Cisco Aironet Radio-Settings (6)

Frage von swisstom zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...