Cisco Secure 2014

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
lbromirs
CCIE
CCIE
Posty: 3949
Rejestracja: 30 lis 2006, 08:44

#16

#16 Post autor: lbromirs » 14 paź 2014, 19:33

bart pisze:
lbromirs pisze:No dobrze, ale co ma PPTP do konferencji security - MSCHAPv1/v2 i MPPE, który jest używany w PPTP do "szyfrowania" ruchu nie ma nic wspólnego z bezpieczeństwem? VPNy IPsec działały bez problemu.
Ok Łukasz ja wiem, że PPTP nie jest szczytem bezpieczeństwa etc ale chyba przyznasz, że lepsze to niż nic. Poza tym ja akurat mam kilka vpn w różnych krajach, bo czasami muszę z tego skorzystać i na telefonie PPTP jak dla mnie jest najlepszym rozwiązaniem/kompromisem i tyle. Poza tym jak wspomniałem, raz włączyłem konferencyjny WLAN i mój K9 mail zaczął zgłaszać błędy certów z gmail i 2 x outlook.com, więc sam rozumiesz. Ja wiem, że to pewnie chwilowy błąd czy tam być może jakiś problem stricte z moim telefonem ale w moim przypadku wpłynęło to po prostu negatywnie i tyle. Oczywiście nie róbmy z tego jakiegoś zagadnienia, bo nie ma sensu - chcieliście uwagi od uczestników to je zgłaszam :)
..i dziękuje Ci za to bardzo! Nie wiedziałem nawet, że ktoś jeszcze PPTP używa. A co do certyfikatów - nie byłem na miejscu cały czas, myślę, że Seba, Gaph lub Longin, czyli osoby które potencjalnie mogłby dotykać się do naszego rozwiązania na miejscu mogą skomentować to szerzej.

bart
wannabe
wannabe
Posty: 383
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#17

#17 Post autor: bart » 15 paź 2014, 22:54

lbromirs pisze: ..i dziękuje Ci za to bardzo! Nie wiedziałem nawet, że ktoś jeszcze PPTP używa. A co do certyfikatów - nie byłem na miejscu cały czas, myślę, że Seba, Gaph lub Longin, czyli osoby które potencjalnie mogłby dotykać się do naszego rozwiązania na miejscu mogą skomentować to szerzej.
Nie ma co drążyć tych certów, bo szkoda czasu marnować, no chyba że ktoś wie to się wypowie tak stricte z ciekawości jeżeli to rzeczywiście jest warte uwagi i pisania.
Na pewno miło by było jakby prelekcje były nagrywane tak jak na cForum ale rozumiem, że to są jakieś tam dodatkowe koszta etc. i się nie dało (zresztą z tegorocznego CF też tylko kilka wisi a to już październik w połowie).
Ogólnie moje wrażenie po CS bardzo pozytywne, jak to zwykle u Was i tylko polecać i starać się być za rok. Fajnym pomysłem mogłoby też być, jakby dało się poklikać 'read only' po "Nasza konferencyjna ASA 5585-X z FirePOWER Services wykryła co nieco infekcji malware i sporo ataków z sieci WLAN."

Awatar użytkownika
gaph
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 419
Rejestracja: 23 lip 2004, 21:16
Lokalizacja: Kraków, Polska
Kontakt:

#18

#18 Post autor: gaph » 15 paź 2014, 23:24

bart pisze: Ogólnie moje wrażenie po CS bardzo pozytywne, jak to zwykle u Was i tylko polecać i starać się być za rok. Fajnym pomysłem mogłoby też być, jakby dało się poklikać 'read only' po "Nasza konferencyjna ASA 5585-X z FirePOWER Services wykryła co nieco infekcji malware i sporo ataków z sieci WLAN."
Cieszymy się bardzo i prosimy o więcej wrażeń.

ASA FirePOWER była dostępna "do wglądu" przez całe dwa dni, zachęcałem do spotkania 1:1 po mojej sesji. Oczywiście w ramach prywatnej sesji demo, nie planowaliśmy wystawienia FireSIGHT dla wszystkich, z powodów raczej oczywistych.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |

marcinpsk
member
member
Posty: 39
Rejestracja: 14 mar 2008, 20:22

#19

#19 Post autor: marcinpsk » 16 paź 2014, 09:31

bart pisze:Poza tym jak wspomniałem, raz włączyłem konferencyjny WLAN i mój K9 mail zaczął zgłaszać błędy certów z gmail i 2 x outlook.com, więc sam rozumiesz. Ja wiem, że to pewnie chwilowy błąd czy tam być może jakiś problem stricte z moim telefonem ale w moim przypadku wpłynęło to po prostu negatywnie i tyle.
Zawsze mi sie wydawalo, ze to zwykle z powodu inspekcji SSL sa takie bledy - bo FW podstawia swoj certyfikat w strone klienta. (Inna sprawa, ze nie korzystam wtedy z zadnych uslug uzywajacych SSL, jezeli tzw. "free" wifi ma takie ficzery wlaczone, juz wole zostac na 3g, jak juz uzywam SSL to nie po to, zeby mi cos w to zagladalo ;-) )

Awatar użytkownika
gaph
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 419
Rejestracja: 23 lip 2004, 21:16
Lokalizacja: Kraków, Polska
Kontakt:

#20

#20 Post autor: gaph » 16 paź 2014, 14:12

Nie robiliśmy inspekcji SSL z deszyfrowaniem w żadnym miejscu infrastruktury. Obecnie ASA z FirePOWER v5.3.1 nie wspiera zresztą natywnie SSL on-box decryption.

Jeżeli macie screenshoty z tych błędów, a najlepiej cały certyfikat który był prezentowany przez portal z którym był problem, to udostępnijcie proszę.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |

bart
wannabe
wannabe
Posty: 383
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#21

#21 Post autor: bart » 16 paź 2014, 18:30

gaph pisze: ASA FirePOWER była dostępna "do wglądu" przez całe dwa dni, zachęcałem do spotkania 1:1 po mojej sesji. Oczywiście w ramach prywatnej sesji demo, nie planowaliśmy wystawienia FireSIGHT dla wszystkich, z powodów raczej oczywistych.
Ja właśnie wtedy poszedł zobaczyć to ASA cluster aby dowiedzieć się trochę więcej jak to w ogóle działa tak bardziej od podszewki (oczywiście na ile się da na takiej konferencji i w takiej konwencji dowiedzieć) i przegapiłem Twoją sesję Gaweł (jak już wspomniałem nie było opisu w skróconej rozpisce kto prowadzi daną sesję) a tak to na pewno bym był, bo jak dla mnie masz dobry flow i u Ciebie nudzić/przysypiać się nie da ;)
To wystawienie 'read only' to bardziej myślałem żeby było takie jakieś a la stoisko, gdzie można sobie popatrzeć jak FireSIGHT jak na bieżąco pracuje i ewentualnie pod okiem opiekuna 'poklikać'.

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#22

#22 Post autor: mihu » 22 paź 2014, 17:41

ja tez z chęcią bym zobaczył video z konferencji, szczególnie z ASA z SourceFire, bo doszły mnie suchy, że "coś się dzieje / będzie działo z firmware", a że jestem na urlopie na razie nie miałem czasu poszukać co w sieci piszczy...
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
gaph
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 419
Rejestracja: 23 lip 2004, 21:16
Lokalizacja: Kraków, Polska
Kontakt:

#23

#23 Post autor: gaph » 25 paź 2014, 23:16

mihu pisze:ja tez z chęcią bym zobaczył video z konferencji, szczególnie z ASA z SourceFire, bo doszły mnie suchy, że "coś się dzieje / będzie działo z firmware", a że jestem na urlopie na razie nie miałem czasu poszukać co w sieci piszczy...
Sesje nie były nagrywane.

Tymczasem pojawiła się niewielka Galeria Cisco Secure 2014.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#24

#24 Post autor: mihu » 27 paź 2014, 12:51

Gaph,

dzięki za zdjęcia ale mnie bardziej interesuje co się dzieje z rodziną ASA-X i integracją SourceFire. Czy SF będzie jako moduł do ASA OS czy wyprze ASA OS i obecne ASA-X?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#25

#25 Post autor: Seba » 27 paź 2014, 17:45

mihu pisze:Gaph,

dzięki za zdjęcia ale mnie bardziej interesuje co się dzieje z rodziną ASA-X i integracją SourceFire. Czy SF będzie jako moduł do ASA OS czy wyprze ASA OS i obecne ASA-X?
Nie będzie, tylko już jest i nazywa się to ASA with FirePOWER Services (LINKA), i było dość dogłębnie omawianym tematem w ramach Cisco Secure.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#26

#26 Post autor: mihu » 28 paź 2014, 13:45

Seba pisze: Nie będzie, tylko już jest i nazywa się to ASA with FirePOWER Services (LINKA), i było dość dogłębnie omawianym tematem w ramach Cisco Secure.
dzieki Seba, nie jest tak zle jak myslalem. jesli dobrze doczytalem do obecnych ASA-X jest to dodatkowa licencja i jest to jako modul softwareowy (ASA-X 5500) do ASY a nie nowy firmware. A NAT,routing, VPN, HA jest ciagle robiony z poziomu firmware-u ASY.

Bedzie trzeba troche poszerzyc wiedze w tej kwestii ale materialow jeszcze malo (nic na CiscoLive).

Jakies informacje co sie bedzie dzialo ze "starym-dobrym" IPSem i CXem? Myslalem ze CX wyprze IPSa, a wyglada na to ze SF wyprze i jedno i drugie rozwiazanie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
wookasch
wannabe
wannabe
Posty: 164
Rejestracja: 03 cze 2009, 16:23
Lokalizacja: Berlin

#27

#27 Post autor: wookasch » 28 paź 2014, 14:09

mihu pisze:Jakies informacje co sie bedzie dzialo ze "starym-dobrym" IPSem i CXem? Myslalem ze CX wyprze IPSa, a wyglada na to ze SF wyprze i jedno i drugie rozwiazanie.
Jest program Investment Protection (IPP) i Technology Migration (TMP) wspierajacy migracje z IPS i CX na jedynie sluszny SF ;)

PS. Na dCloud jest demo

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#28

#28 Post autor: mihu » 28 paź 2014, 14:27

wookasch pisze:
mihu pisze:Jakies informacje co sie bedzie dzialo ze "starym-dobrym" IPSem i CXem? Myslalem ze CX wyprze IPSa, a wyglada na to ze SF wyprze i jedno i drugie rozwiazanie.
Jest program Investment Protection (IPP) i Technology Migration (TMP) wspierajacy migracje z IPS i CX na jedynie sluszny SF ;)

PS. Na dCloud jest demo
zanim zaczne kombinowac. da sie zainstalowac SF jako triala (tak jak obecnie CX) na ASA-X ?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2345
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#29

#29 Post autor: gangrena » 28 paź 2014, 16:15

mihu pisze:zanim zaczne kombinowac. da sie zainstalowac SF jako triala (tak jak obecnie CX) na ASA-X ?
Możesz zainstalować trial 45-dniowy na ASA, możesz na serwerze w opcji standalone. Dostępne są wszystkie licencje IPS, URL, AMP. Tryb monitor-only pozwoli Ci zebrać dane o sieci i sprawdzić, jak działają poszczególne moduły funkcjonalne. Dostępna jest też wirtualka Cisco FireSIGHT Management Center do zarządzania Firepower.

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#30

#30 Post autor: mihu » 28 paź 2014, 16:43

gangrena pisze:
mihu pisze:zanim zaczne kombinowac. da sie zainstalowac SF jako triala (tak jak obecnie CX) na ASA-X ?
Możesz zainstalować trial 45-dniowy na ASA, możesz na serwerze w opcji standalone. Dostępne są wszystkie licencje IPS, URL, AMP. Tryb monitor-only pozwoli Ci zebrać dane o sieci i sprawdzić, jak działają poszczególne moduły funkcjonalne. Dostępna jest też wirtualka Cisco FireSIGHT Management Center do zarządzania Firepower.
Dzieki Piotrek. Probowalem sciagnac wirtualki SF i management platform ale wyglada na to ze nie mamy (firma) do tego uprawnien, wlasnie jestem na etapie wyjasniania tego w firmie. Na razie bede musial sie zadowolic trialem na ASA.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ