Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing/Redundanz bei Cisco Secure ACS?

Frage Sicherheit Firewall

Mitglied: 11554

11554 (Level 1)

04.04.2005, aktualisiert 18:04 Uhr, 4912 Aufrufe, 9 Kommentare

Ich hab die Vorgabe das mehrere Netzwerkkomponenten mit TACACS+ abgesichert werden sollen, da TAC+ wesentlich sicherer als RADIUS sein soll. Nun soll der TAC+Server natürlich hochverfügbar sein und redundant ausgelegt werden. Wenn eine Maschine ausfällt soll die andere sofort übernehmen. Außerdem soll Syslogging auf eine externe Maschine möglich sein.

Cisco Secure ACS scheint auf den ersten Blick geeignet. Aber ich find weder bei Cisco noch bei Google geeignete Whitepaper die etwas über die Redundanz bei diesen Kisten aussagen.

Bleiben also einige Fragen:

Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?

Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)

Gruß Thomas
Mitglied: meinereiner
04.04.2005 um 12:02 Uhr
guckst du hier:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...

da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:16 Uhr
Ah, danke für den Link - muss ich mir mal genauer anschauen.
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 12:28 Uhr
rechne ich mit ~ 12k/Stk. ;)
War mir nicht mehr so sicher..aber das wird passen.
Ich weiss nur noch meinen Kommentar dazu genau.. Vergiss es!

Ich weiss ja nicht was du da wie genau absichern willst, aber ob es Sinn macht soviel Geld in eine TACAS Lösung zu stecken möchte ich doch bezweifeln.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:39 Uhr
TACACS+ ist Forderung des Auftraggebers und schon einiges sicherer als Radius. Da sollen die Eingaben der User genauer erfasst werden als es mit RADIUS möglich wäre. Abgesehen davon steht TCP gegen UDP und da ist dann noch die Verschlüsselung der kompletten Datenpakete. Insgesamt ist die Forderung schon begründet

Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 15:57 Uhr
die Eingaben der User genauer erfasst werden
als es mit RADIUS möglich wäre.

Eingaben der User??
TACAS macht doch nur die Authentifizierung?!


Abgesehen davon steht TCP gegen UDP und da
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet

Na, so genau hab ich mich damit noch nicht auseinander gesetzt, aber man kann da auch mit Hausmitteln und Radius ne Menge machen.

Dazu kommt noch, dass ich dann meine Userverwaltung an noch einer Ecke habe. Sowas versuche ich immer zu vermeiden


Jetzt erinner ich mich. Dir hatte man doch
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?

ja, genau..
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:22 Uhr
TACACS+ loggt unter anderem jeden Befehl mit, der eingegeben wird. Ist notwendig um Fehleingaben oder Manipulationen nachvollziehbar machen zu können. Deswegen auch das (zusätzliche )Logging auf eine externe Maschine. Das ganze ist ja auch nicht für "normale" User gedacht., die sich irgendwo einwählen. Hier gehts ausschließlich darum, dass Netzwerkkomponenten fernkonfiguriert werden.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 17:40 Uhr
TACACS+ loggt unter anderem jeden Befehl mit,
Bist du da sicher??????


Deswegen auch das (zusätzliche )Logging
Das wird ja über Syslog gehen und nicht Tacacs+
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:52 Uhr
Ja, da bin ich mir sicher ;)

Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...

Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 18:04 Uhr
Das gelernte nehmen wir mit nach Hause..


Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
Bitte warten ..
Ähnliche Inhalte
Netzwerke
gelöst Core-Switch redundanz erreichen (7)

Frage von hash2k2 zum Thema Netzwerke ...

Netzwerkmanagement
Best-Practice Loadbalancing WebServer (10)

Frage von Lorderich zum Thema Netzwerkmanagement ...

Sicherheits-Tools
gelöst F-Secure DeepGuard bremst System aus (2)

Frage von Schroedi zum Thema Sicherheits-Tools ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Server
Bilder aus dem Web mit CSV runterladen (30)

Frage von Yannosch zum Thema Server ...

Server-Hardware
Bestehendes Raid erweitern um 4 gleiche Platten! (Verständnis Fragen) (12)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Windows Update
WSUS 4 (Server 2012 R2) - Windows 10 Updates nicht möglich (12)

Frage von c0d3.r3d zum Thema Windows Update ...