CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

]

Browse Source
This commit is contained in:
Petar Cubela
2025-07-15 15:36:24 +02:00
parent f6398bf45c
commit 252a91dbcc
162 changed files with 4584 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

24
projects/sbx/20250530-Projekte_Aufgaben.md Normal file
View File

@@ -0,0 +1,24 @@
| Firma | Projekt/Aufgabe | Datum (wenn vorhanden) | Notiz |
| ------------------- | ------------------------------------------------ | ---------------------- | ------------------------------------ |
| SSR | M365 Migration | Sommer | Max das Meiste. |
| KWA | M365 Migration | Sommer | Nachwirkungen der Migration |
| SSR | Firewall Migration | 10.06-13.06 | |
| SSR + KWA | All Domaenen zu uns migrieren | Vor September 2025 | Alter Dienstleister geht in Rente. |
| BGSM | FW Migration SG -> XGS | Sommer | |
| Selbssthilfezentrum | FW Migration + neue Netzwerkgeraete | 30.06-04.07 | 3 Standorte |
| APSA | Nextcloud in Bluechip Cloud aufsetzen | Sommer | |
| BVV | ns2 und rproxy bereinigen | 2025 | DNS Server und Reeverse proxy in DMZ |
| BVV | ns2 zu public DNS migrieren | 2025 | |
| BVV | Veeam immutable Bakcup aufsetzen | 2025 | |
| Phytron | Nextcloud aufsetzen - fehlt nur noch SMTP Server | 2025 | Nextcloud fertig |
| TU | html Homepage fertig machen | Juni | Bevor Philipp geht |
| TU | Regelmaessig Vor Ort Termin | Jeden Donnerstag | Bevor Philipp geht |
| SBX | Patryk Abschluss Projekt lesen | HEUTE | 31.05 Deadline |
| CQSE | OPNsense CLuster | 2025? | |
| Blocherer SChule | AP geht nicht | Juni | Nach FW Migration |
| Alle | Zyklisch Nextclouds Updaten | Regelmaessig | |
| Alle | Ninja1 Warnungen/Fehler an Linux Srv beheben | Regelmaessig | |
| Alle | PowerShell Script - Clean Temp Folder Win11 | / | Ninja1 Automatisierung |
| SSR+KWA | Betreuung beider Kunden | / | |

27
projects/sbx/firewall-std/sbx-rule-std.md Normal file
View File

@@ -0,0 +1,27 @@
### **Firewall-Regelkonfigurations-Tabelle**
| **Regel-ID** | **Quellzone** | **Zielzone** | **Quell-VLAN** | **Ziel-VLAN** | **Dienst/Port** | **Aktion** | **Notizen** |
|--------------|------------------------|--------------------|------------------------|----------------------|-------------------------------------------|--------------|-----------------------------------------------------------------------------|
| **1** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | SMB (445), NTP (123), RPC (135) | Erlauben | Dynamische Ports (4915265535) für RPC [1] |
| **2** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | LDAP (389/636), Kerberos (88/464), DNS (53) | Erlauben | Kritisch für die Authentifizierung [1] |
| **3** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | RAW (9100) | Erlauben | Druckdienste (V60_LAN-Drucker → V10_LAN-Server) [1] |
| **4** | LAN | LAN | V10, V20, V30 | V10, V20, V30 | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Erlauben | Managementzugriff (V50_MGMT → V10_LAN-Server) [1] |
| **5** | LAN | WAN | V10, V20, V30 | V50_MGMT | HTTP (80), HTTPS (443), SSH (22), TFTP (69) | Entschlüsseln | Nutzen Sie den "Maximum Compatibility"-Verschlüsselungsprofil [1] |
| **6** | LAN | WAN | V20, V30 | V40_WLAN-Gast | Alle | Blockieren | Blockieren Sie alle Datenverkehr aus unvertrauenden Zonen [1] |
| **7** | DMZ (V40) | LAN | V40_WLAN-Gast | V10, V20, V30 | Alle | Blockieren | Zone-Isolationsregel [1] |
| **8** | DMZ (V40) | WAN | V40_WLAN-Gast | Alle | Alle | Blockieren | Verhindern Sie DMZ-Datenverkehr zu externen Netzwerken [1] |
| **9** | MGMT (V50) | LAN | V50_MGMT | V10, V20, V30 | Alle | Blockieren | Beschränken Sie den Management-Zugriff auf vertrauende LAN-Zonen [1] |
| **10** | MGMT (V50) | WAN | V50_MGMT | Alle | Alle | Entschlüsseln | Nutzen Sie das "Maximum Compatibility"-Verschlüsselungsprofil [1] |
| **11** | LAN | LAN | V60_LAN-Drucker | V10_LAN-Server | RAW (9100), SMB (445) | Erlauben | SMB optional für "Scan to Folder" [1] |
---
### **Wichtige Empfehlungen**
1. **Zone-Isolation**: Alle Datenverkehr zwischen **V40_WLAN-Gast** und anderen Zonen wird blockiert (Regel 6, 7, 8).
2. **Verschlüsselung**: Anwenden Sie "Maximum Compatibility" für verschlüsselten Datenverkehr (Regel 5, 10) [1].
3. **Dynamische Ports**: Nutzen Sie 4915265535 für RPC (Regel 1) [1].
4. **Management-Zugriff**: Beschränken Sie den MGMT-VLAN (V50) auf vertrauende LAN-Zonen (Regel 9) [1].
5. **Skalierbarkeit**: Nutzen Sie VLAN-spezifische IPs (z. B. 192.168.10.0/24 für V10), um Konflikte zu vermeiden [2].
Diese Tabelle gewährleistet **Sicherheit, Effizienz und Klarheit** und aligniert sich mit der VLAN-Struktur in `std-network.md` [2]. Lassen Sie mich wissen, wenn Sie weitere Anpassungen benötigen!

24
projects/sbx/it-glue/20250613-init.md Normal file
View File

@@ -0,0 +1,24 @@
## Einfuehrung
- Verena hat 7 Jahre in China gelebt und dort viele Bilder erstellt
- Erfahrung in IT- gearbeitet zum Thema "ARbeitslosengeld II"
## Ordnungssystem
**Softbox: "Ordnungsrahmen" des Unternehmens**
**Wertschoepfung**
- Marketing
- Vertrieb
- Dienstleistung
- Wissensmanagement & Unternehmenskommunikation
- Unternehmensfuehrung
- Back Office und Admin
- Recruiting
- Team-, Talen- & Karriereentichlung Fuehrung
- IT

45
projects/sbx/manuals/Sophos-SG_PPPoE_data-mod.md Normal file
View File

@@ -0,0 +1,45 @@
# SSH-Konfiguration auf Sophos SG Firewall zur Extraktion von PPPoE-Daten
## Einleitung
Diese Anleitung beschreibt, wie Sie SSH auf einem Sophos SG Firewall einrichten, um PPPoE-Daten zu extrahieren. Die Schritte sind für Systemadministratoren gedacht, die physischen Zugriff auf die Firewall haben und Sicherheitsrichtlinien beachten müssen [1].
## SSH-Konfiguration
1. **Anmeldung am Sophos SG Web-UI**
- Öffnen Sie den Web-Browser und melden Sie sich am Sophos SG Web-UI an.
2. **Systemeinstellungen anpassen**
- Navigieren Sie zu **Management -> System Settings -> Shell Access**.
1. Setzen Sie das Passwort für den `root`-User und den `loginuser`-Benutzer.
2. Fügen Sie Ihr Netzwerk zur Liste der „Erlaubten Netzwerke“ hinzu.
3. Aktivieren Sie die **Passwort-Authentifizierung** [1].
3. **SSH-Zugriff herstellen**
- Öffnen Sie Putty oder ein Terminal (PowerShell ab Version 2019).
- Melden Sie sich als `loginuser` an:
*`ssh loginuser@<lan-gw-ip>`*
- Wechseln Sie zum `root`-User:
*`sudo su`*
- Geben Sie das `root`-Passwort ein.
## PPPoE-Daten extrahieren
1. **Extrahieren der Internetzugangsdaten**
- Führen Sie den folgenden Befehl aus, um die PPPoE-Daten zu erhalten:
```bash
cat /var/sec/chroot-pppoe/etc/ppp/chap-secrets
```
- Die Ausgabe enthält die folgenden Informationen:
*`<symbole-und-zahlen>@<provider>` * "Passwort" *
- **Hinweis**: Diese Datei enthält die Authentifizierungsdaten für den PPPoE-Verbindungsaufbau [1].
## Sicherheitshinweise
- **Sicherheitsrichtlinien**: SSH-Zugriff sollte nur für vertrauenswürdige Netzwerke eingerichtet werden. Stellen Sie sicher, dass die Firewall-Regeln korrekt konfiguriert sind, um unbefugten Zugriff zu verhindern.
- **Passwort-Sicherheit**: Nutzen Sie komplexe Passwörter und ändern Sie sie regelmäßig, um Sicherheitsrisiken zu minimieren.
## Fazit
Mit dieser Anleitung können Sie den SSH-Zugriff auf der Sophos SG Firewall einrichten und die notwendigen PPPoE-Daten extrahieren. Beachten Sie immer Sicherheitsrichtlinien, um die Integrität Ihrer Netzwerkumgebung zu gewährleisten.
---
*Diese Anleitung wurde unter Berücksichtigung von Sicherheitsaspekten und technischer Präzision optimiert [1].*

1
projects/sbx/sbx-lab-network.md
View File

@@ -18,5 +18,6 @@
| pve-wazuh | | 10.11.12.40 | patryk test pve | true |
| wazuh-server | | 10.11.12.41 | patryk test wazuh server | true |
| wazuh-win-11 | | 10.11.12.42 | patryk test win11 client | true |
| wazuh-kali | | 10.11.12.50 | patryk test win11 client | true |
| pxe | BC:24:11:99:2D:8A | 10.11.12.69 | netbbot_xyz | true |
| metabase | | 10.11.12.99 | test for discopharma | false |