Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing/Redundanz bei Cisco Secure ACS?

Frage Sicherheit Firewall

Mitglied: 11554

11554 (Level 1)

04.04.2005, aktualisiert 18:04 Uhr, 4902 Aufrufe, 9 Kommentare

Ich hab die Vorgabe das mehrere Netzwerkkomponenten mit TACACS+ abgesichert werden sollen, da TAC+ wesentlich sicherer als RADIUS sein soll. Nun soll der TAC+Server natürlich hochverfügbar sein und redundant ausgelegt werden. Wenn eine Maschine ausfällt soll die andere sofort übernehmen. Außerdem soll Syslogging auf eine externe Maschine möglich sein.

Cisco Secure ACS scheint auf den ersten Blick geeignet. Aber ich find weder bei Cisco noch bei Google geeignete Whitepaper die etwas über die Redundanz bei diesen Kisten aussagen.

Bleiben also einige Fragen:

Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?

Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)

Gruß Thomas
Mitglied: meinereiner
04.04.2005 um 12:02 Uhr
guckst du hier:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...

da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:16 Uhr
Ah, danke für den Link - muss ich mir mal genauer anschauen.
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 12:28 Uhr
rechne ich mit ~ 12k/Stk. ;)
War mir nicht mehr so sicher..aber das wird passen.
Ich weiss nur noch meinen Kommentar dazu genau.. Vergiss es!

Ich weiss ja nicht was du da wie genau absichern willst, aber ob es Sinn macht soviel Geld in eine TACAS Lösung zu stecken möchte ich doch bezweifeln.
Bitte warten ..
Mitglied: 11554
04.04.2005 um 12:39 Uhr
TACACS+ ist Forderung des Auftraggebers und schon einiges sicherer als Radius. Da sollen die Eingaben der User genauer erfasst werden als es mit RADIUS möglich wäre. Abgesehen davon steht TCP gegen UDP und da ist dann noch die Verschlüsselung der kompletten Datenpakete. Insgesamt ist die Forderung schon begründet

Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 15:57 Uhr
die Eingaben der User genauer erfasst werden
als es mit RADIUS möglich wäre.

Eingaben der User??
TACAS macht doch nur die Authentifizierung?!


Abgesehen davon steht TCP gegen UDP und da
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet

Na, so genau hab ich mich damit noch nicht auseinander gesetzt, aber man kann da auch mit Hausmitteln und Radius ne Menge machen.

Dazu kommt noch, dass ich dann meine Userverwaltung an noch einer Ecke habe. Sowas versuche ich immer zu vermeiden


Jetzt erinner ich mich. Dir hatte man doch
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?

ja, genau..
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:22 Uhr
TACACS+ loggt unter anderem jeden Befehl mit, der eingegeben wird. Ist notwendig um Fehleingaben oder Manipulationen nachvollziehbar machen zu können. Deswegen auch das (zusätzliche )Logging auf eine externe Maschine. Das ganze ist ja auch nicht für "normale" User gedacht., die sich irgendwo einwählen. Hier gehts ausschließlich darum, dass Netzwerkkomponenten fernkonfiguriert werden.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 17:40 Uhr
TACACS+ loggt unter anderem jeden Befehl mit,
Bist du da sicher??????


Deswegen auch das (zusätzliche )Logging
Das wird ja über Syslog gehen und nicht Tacacs+
Bitte warten ..
Mitglied: 11554
04.04.2005 um 17:52 Uhr
Ja, da bin ich mir sicher ;)

Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...

Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Bitte warten ..
Mitglied: meinereiner
04.04.2005 um 18:04 Uhr
Das gelernte nehmen wir mit nach Hause..


Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco SG 200-08 firmware boot code language upgrade Was ist zu beachten ?

Frage von dxellas zum Thema Switche und Hubs ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (16)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Router & Routing
Gravierende Telnet-Lücke bedroht zahlreiche Cisco-Switches (4)

Link von pattern zum Thema Router & Routing ...

Router & Routing
Cisco SVTI - Tunnel (5)

Frage von Serial90 zum Thema Router & Routing ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(2)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (16)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Cloud-Dienste
gelöst Bitcoins minen über Nacht? (16)

Frage von 1410640014 zum Thema Cloud-Dienste ...