Securepoint 10 - Downloads - Securepoint

Securepoint 10 


Securepoint 

Security Solutions 1

Inhalt 


1 Einleitung ...................................................................................................................10 

Teil 1 Das Administrator-Interface ........................................................................... 11 

2 Die Appliances ...........................................................................................................12 

3 Anschluss der Appliance ............................................................................................13 

3.1 Piranja und RC 100 ............................................................................................13 

3.2 RC 200 ...............................................................................................................14 

3.3 RC 300 ...............................................................................................................14 

3.4 RC 400 ...............................................................................................................15 

4 Administrator-Interface ...............................................................................................16 

4.1 Mit der Appliance verbinden................................................................................16 

4.2 Systemanforderung an den Client-Rechner ........................................................17 

5 Securepoint Cockpit ...................................................................................................17 

5.1 Navigationsleiste .................................................................................................18 

5.2 Lizenz .................................................................................................................18 

5.3 System ...............................................................................................................19 

5.4 Dienste Status ....................................................................................................20 

5.5 Appliance ............................................................................................................22 

5.6 Schnittstellen ......................................................................................................22 

5.7 IPSec ..................................................................................................................23 

5.8 Downloads ..........................................................................................................23 

5.9 Spuva Benutzer ..................................................................................................23 

5.10 Schnittstellen Auslastung ....................................................................................24 

5.10.1 Einstellungen ...............................................................................................24 

5.10.2 Details und Zoom.........................................................................................25 

5.11 SSH Benutzer .....................................................................................................26 

5.12 Web-Interface Benutzer ......................................................................................26 

5.13 DHCP Reservierungen .......................................................................................27 




5.14 Hilfe anzeigen lassen ..........................................................................................27 

6 Menü Konfiguration ....................................................................................................28 

6.1 Konfigurationen verwalten ..................................................................................29 

6.1.1 Konfiguration speichern ...............................................................................30 

6.1.2 Konfiguration importieren .............................................................................31 

6.2 Installationsassistent ...........................................................................................31 

6.3 Neu starten .........................................................................................................31 

6.4 Herunterfahren ...................................................................................................31 

6.5 Werkseinstellungen ............................................................................................32 

6.6 Logout ................................................................................................................32 

7 Menü Netzwerk ..........................................................................................................33 

7.1 Server Eigenschaften..........................................................................................34 

7.1.1 Server Einstellungen ....................................................................................34 

7.1.2 Administration ..............................................................................................35 

7.1.3 Syslog ..........................................................................................................36 

7.1.4 SNMP ..........................................................................................................37 

7.1.5 Cluster Einstellungen ...................................................................................38 

7.2 Netzwerk Konfiguration .......................................................................................39 

7.2.1 Schnittstellen ...............................................................................................39 

7.2.1.1 eth Interface hinzufügen ...........................................................................41 

7.2.1.2 VLAN Interface hinzufügen ......................................................................42 

7.2.1.3 PPTP Interface hinzufügen ......................................................................44 

7.2.1.4 PPPoE Interface hinzufügen ....................................................................45 

7.2.1.5 VDSL Interface hinzufügen ......................................................................46 

7.2.1.6 Cluster Interface hinzufügen ....................................................................47 

7.2.1.7 Interfaces bearbeiten oder löschen ..........................................................49 

7.2.2 Routing ........................................................................................................49 

7.2.2.1 Routen bearbeiten und löschen ...............................................................50 

7.2.2.2 Standardroute hinzufügen ........................................................................50 

7.2.2.3 Route hinzufügen .....................................................................................51 

7.2.3 DSL Provider ...............................................................................................52 

7.2.3.1 DSL Provider bearbeiten oder löschen .....................................................52 




7.2.3.2 DSL Provider anlegen ..............................................................................53 

7.2.4 DynDNS ......................................................................................................54 

7.2.4.1 DynDNS Eintrag anlegen oder bearbeiten ...............................................55 

7.2.4.2 DynDNS Eintrag löschen .........................................................................55 

7.2.5 DHCP ..........................................................................................................56 

7.3 DHCP Relay .......................................................................................................58 

7.4 Zonen .................................................................................................................59 

7.5 Netzwerk Werkzeuge ..........................................................................................60 

7.5.1 NS Lookup ...................................................................................................60 

7.5.2 Ping .............................................................................................................61 

7.5.3 Route Tabelle ..............................................................................................62 

8 Menü Firewall ............................................................................................................63 

8.1 Portfilter ..............................................................................................................64 

8.1.1 Regel anlegen .............................................................................................67 

8.1.1.1 Infobox Funktion ......................................................................................68 

8.1.1.2 Registerkarte Zeit .....................................................................................69 

8.1.1.3 Registerkarte Beschreibung .....................................................................69 

8.1.2 Regelgruppen anlegen ................................................................................70 

8.1.3 Regeln und Gruppen organisieren ...............................................................71 

8.2 Hide-NAT ............................................................................................................72 

8.3 Port Forwarding ..................................................................................................74 

8.3.1 Port Weiterleitung ........................................................................................75 

8.3.2 Port Translation ...........................................................................................76 

8.4 QoS (Quality of Service) .....................................................................................77 

8.5 Dienste ...............................................................................................................78 

8.5.1 Löschen und Bearbeiten ..............................................................................78 

8.5.2 Services Information ....................................................................................79 

8.5.3 Dienst hinzufügen ........................................................................................80 

8.6 Service Groups ...................................................................................................81 

8.6.1 Bestehende Dienstgruppen editieren ...........................................................82 

8.6.2 Neue Dienstgruppen anlegen ......................................................................83 

8.7 Netzwerkobjekte .................................................................................................84 




8.7.1 Netzwerkobjekt Information .........................................................................85 

8.7.2 Host/Netz hinzufügen ..................................................................................86 

8.7.3 VPN Host/Netz hinzufügen ..........................................................................87 

8.7.4 Benutzer hinzufügen ....................................................................................87 

8.7.5 Schnittstelle hinzufügen ...............................................................................88 

8.8 Netzwerkgruppen ................................................................................................89 

8.8.1 Network Objekt Information .........................................................................90 

8.8.2 Network Group Information ..........................................................................90 

9 Menü Anwendungen ..................................................................................................91 

9.1 HTTP Proxy ........................................................................................................92 

9.1.1 Allgemein .....................................................................................................92 

9.1.2 Virenscan ....................................................................................................94 

9.1.3 URL Filter ....................................................................................................95 

9.1.4 Anhang blocken ...........................................................................................97 

9.1.5 Anwendung blocken ....................................................................................98 

9.1.6 Content Filter ...............................................................................................99 

9.1.6.1 Blacklist Kategorien .................................................................................99 

9.1.6.2 Whitelist ................................................................................................. 100 

9.1.6.2.1 Benutzer .......................................................................................... 100 

9.1.6.2.2 IP Adressen ..................................................................................... 101 

9.1.6.2.3 Webseiten ....................................................................................... 102 

9.1.7 Bandbreite ................................................................................................. 103 

9.2 POP3 Proxy ...................................................................................................... 104 

9.3 Mail Relay ......................................................................................................... 105 

9.3.1 Allgemein ................................................................................................... 106 

9.3.2 Relaying .................................................................................................... 108 

9.3.3 Mail Routing............................................................................................... 110 

9.3.4 Greylisting ................................................................................................. 112 

9.3.4.1 Whitelist IP-Adressen ............................................................................. 113 

9.3.4.2 Whitelist Domains .................................................................................. 114 

9.3.4.3 Whitelist E-Mail Empfänger .................................................................... 115 

9.3.4.4 Whitelist E-Mail Absender ...................................................................... 115 

9.3.5 Domain Mapping ....................................................................................... 116 




9.3.6 Erweitert .................................................................................................... 118 

9.3.6.1 Greeting Pause ...................................................................................... 119 

9.3.6.2 Recipient Flooding ................................................................................. 119 

9.3.6.3 Limitierte Anzahl der Empfänger ............................................................ 119 

9.3.6.4 Limitierte Verbindungen ......................................................................... 119 

9.3.6.5 Rate Kontrolle ........................................................................................ 119 

9.4 Spamfilter ......................................................................................................... 120 

9.4.1 Allgemein ................................................................................................... 120 

9.4.2 Attachment Filter ....................................................................................... 122 

9.4.3 Virenscan .................................................................................................. 124 

9.4.4 SMTP Einstellungen .................................................................................. 125 

9.4.5 SMTP erweitert .......................................................................................... 126 

9.4.6 POP3 Einstellungen ................................................................................... 127 

9.5 VNC Repeater .................................................................................................. 128 

9.5.1 Allgemein ................................................................................................... 128 

9.5.2 VNC Server IP ........................................................................................... 129 

9.5.3 VNC Server ID ........................................................................................... 129 

9.6 VoIP Proxy ........................................................................................................ 130 

9.6.1 Allgemein ................................................................................................... 130 

9.6.2 Provider ..................................................................................................... 131 

9.7 IDS ................................................................................................................... 132 

9.8 Nameserver ...................................................................................................... 133 

9.9 Service Status .................................................................................................. 134 

10 Menü VPN ............................................................................................................ 135 

10.1 IPSec Assistent................................................................................................. 136 

10.1.1 Site-to-Site ................................................................................................. 136 

10.1.2 Site-to-End (Roadwarrior) .......................................................................... 141 

10.1.2.1 natives IPSec ....................................................................................... 142 

10.1.2.1.1 IKEv1 ............................................................................................. 144 

10.1.2.1.2 IKEv2 ............................................................................................. 145 

10.1.2.2 L2TP .................................................................................................... 146 

10.2 IPSec globale Einstellungen ............................................................................. 150 




10.2.1 Allgemein ................................................................................................... 150 

10.2.2 IKEv2 ......................................................................................................... 151 

10.3 IPSec ................................................................................................................ 152 

10.3.1 Verbindungen bearbeiten........................................................................... 152 

10.3.1.1 Phase 1 ................................................................................................ 152 

10.3.1.2 Phase 2 ................................................................................................ 154 

10.4 L2TP ................................................................................................................. 155 

10.5 PPTP ................................................................................................................ 157 

10.6 SSL VPN .......................................................................................................... 159 

11 Menü Authentifizierung ......................................................................................... 160 

11.1 Benutzer ........................................................................................................... 161 

11.1.1 Benutzer hinzufügen Register Allgemein ................................................... 162 

11.1.2 Benutzer hinzufügen Register VPN ........................................................... 163 

11.1.3 Benutzer hinzufügen Register VPN Client ................................................. 164 

11.1.4 Benutzer hinzufügen Register Spamfilter ................................................... 165 

11.1.5 Benutzer hinzufügen Register Extras ......................................................... 166 

11.2 Externe Authentifizierung .................................................................................. 167 

11.2.1 Radius ....................................................................................................... 167 

11.2.2 LDAP Server .............................................................................................. 168 

11.2.3 Kerberos .................................................................................................... 169 

11.3 RSA Schlüssel .................................................................................................. 170 

11.3.1 Auflistung der RSA Schlüssel .................................................................... 171 

11.3.2 RSA Schlüssel generieren ......................................................................... 171 

11.3.3 Öffentlichen RSA Schlüssel exportieren .................................................... 172 

11.3.4 RSA Schlüssel importieren ........................................................................ 173 

11.4 Zertifikate .......................................................................................................... 174 

11.4.1 CA erstellen ............................................................................................... 175 

11.4.2 Zertifikate erstellen .................................................................................... 176 

11.4.3 CA und Zertifikate importieren ................................................................... 177 

11.4.4 CA und Zertifikate exportieren ................................................................... 177 

11.4.5 SSL-VPN Client herunterladen .................................................................. 178 

11.4.6 CA und Zertifikate löschen ......................................................................... 179 




12 Menü Extras ......................................................................................................... 180 

12.1 CLI .................................................................................................................... 181 

12.1.1 CLI Log ...................................................................................................... 181 

12.1.2 Sende CLI Befehl ...................................................................................... 182 

12.2 Updates ............................................................................................................ 183 

12.2.1 Aktualisieren der Firewall ........................................................................... 183 

12.2.2 Aktualisieren der Virusdatenbank .............................................................. 184 

12.3 Registration ...................................................................................................... 184 

12.4 Cockpit verwalten ............................................................................................. 185 

12.5 Erweiterte Einstellungen ................................................................................... 186 

12.5.1 „Anwenden“ Buttons .................................................................................. 186 

12.5.2 IPSec Verbindungen .................................................................................. 187 

12.5.3 Portfilter ..................................................................................................... 188 

12.5.4 Dialup ........................................................................................................ 189 

12.5.5 Vorlagen .................................................................................................... 190 

12.5.6 Variablen ................................................................................................... 191 

12.5.7 Webserver ................................................................................................. 192 

12.6 Refresh All ........................................................................................................ 193 

12.7 Refresh Cockpit ................................................................................................ 193 

13 Menü Live Log ...................................................................................................... 194 

13.1 Live Log starten ................................................................................................ 195 

13.2 Suchfunktion ..................................................................................................... 195 

13.3 Registerkarte Einstellungen .............................................................................. 196 

13.4 Details der Log Meldungen ............................................................................... 197 

13.5 Rohdaten .......................................................................................................... 198 

13.6 Farbige Kennzeichnung der Dienste im Live Log .............................................. 199 

Teil 2 Das User-Interface ....................................................................................... 200 

14 User-Interface ...................................................................................................... 201 

14.1 Bereiche des User-Interfaces............................................................................ 202 

14.2 Kennwort ändern .............................................................................................. 203 




14.3 VPN-Client herunterladen ................................................................................. 204 

14.4 Spamfilter ......................................................................................................... 205 

14.4.1 Übersicht der Spamfilteranzeige ................................................................ 205 

14.4.2 Spalten der Tabelle .................................................................................... 207 

14.4.3 Details einer E-Mail anzeigen .................................................................... 208 

14.4.4 Aktionen auf der Registerkarte Ham .......................................................... 209 

14.4.5 Aktionen auf der Registerkarte Spam ........................................................ 210 

14.4.6 Aktionen auf der Registerkarte Gelöscht .................................................... 211 

14.4.7 Registerkarte Statistik ................................................................................ 212 

14.4.7.1 Filter ..................................................................................................... 212 

14.4.7.2 Registerkarte Allgemein ....................................................................... 213 

14.4.7.3 Registerkarte Viren .............................................................................. 214 

14.4.7.4 Registerkarte Top Level Domain .......................................................... 215 

14.5 SPUVA Anmeldung .......................................................................................... 216 

14.6 Download Bereich ............................................................................................. 217 

15 Zonenkonzept der Securepoint Firewall ............................................................... 218 



Einleitung Securepoint 10 

1 Einleitung 

Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag 

nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine 

Dauerverbindung des Computers oder des Netzwerkes zum Internet. 

Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals 

außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer- 

den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet 

werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust 

kommt; zum Beispiel hervorgerufen durch einen Computervirus. 

Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die 

Schadprogramme dann schon im lokalen Netz sind. 

Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz- 

werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt 

und die Kommunikation mit dem Internet überwacht. 

Das Securepoint Unified Threat Management (UTM) bietet eine Komplettlösung mit vie- 

len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet 

das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan- 

ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath – 

Routing-Funktionalität. 

Die Verbindung in einem System verringert den administrativen und integrativen Auf- 

wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen 

dient ein klar strukturiertes Administrator-Interface. 

Die Securepoint UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi- 

ell abgestimmten Appliances erhältlich. So deckt Securepoint verschiedenste Anforde- 

rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit 

mehreren hundert Rechnern ab. 


Security Solutions 10

Teil 1 

Das Administrator-Interface 




2 Die Appliances Securepoint 10 

2 Die Appliances 

Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz- 

werkschutzes konzipiert sind. Im Produktangebot von Securepoint sind 7 Appliances erhält- 

lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei- 

tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen 

der Geräte. 

Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz 

Piranja 

RC 100 

RC 200 

RC 300 

RC 310 

RC 400 

RC 410 

bis 5 100 Mbit/s 70 Mbit/s 

10 bis 25 100 Mbit/s 100 Mbit/s 

25 bis 50 400 Mbit/s 260 Mbit/s 

50 bis 100 1000 Mbit/s 700 Mbit/s 

50 bis 100 1000 Mbit/s 1000 Mbit/s 

100 bis 500 1000 Mbit/s 1000 Mbit/s 

100 bis 500 1000 Mbit/s 1000 Mbit/s 

Gerät CPU RAM HDD Interfaces USB Ports 

Piranja VIA C3 / Eden 533 

MHz 

1 GB Compact Flash 

512 MB 

3 x 10/100 

Ethernet Ports 

RC 100 VIA C7 1 GHz 1 GB 80 GB 3 x 10/100 


RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x 10/100/1000 

RC 300 Intel Core2 Duo 

E4500 2 x 2,2 GHz 

RC 310 Pentium D 

2 x 3,4 GHz 

RC 400 Xeon 5335 

1,8 GHz 


1 GB 80 GB 6 x 10/1000 


1 GB 2 x 80 GB 6 x 10/1000 


2 GB 2 x 73 GB 10 x 10/1000 


RC 410 Xeon 1,8 GHz 2 GB 2 x 73 GB 10 x 10/1000 



Security Solutions 12 

1 

1 

5 

4 

4 

4 

4

3 Anschluss der Appliance Securepoint 10 

3 Anschluss der Appliance 

Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der 

Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischengeschal- 

tet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit der 

Appliance verbunden werden. 

Internet 

Modem Securepoint 

Appliance 

Abb. 1 Position der Appliance im Netzwerk 

3.1 Piranja und RC 100 

Switch 

Computer 1 

Computer 2 

Computer n 

Die Piranja und die RC 100 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3), 

eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse. 

Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk- 

adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2 

spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port 

LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge- 

sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss 

benutzt werden. 

Abb. 2 Rückansicht der Piranja bzw. der RC 100 

Anschluss Interface Netz 

LAN 1 eth0 extern (Internet) 

LAN 2 eth1 intern 

LAN 3 eth2 DMZ 




3.2 RC 200 

Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch 

mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3 

gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter- 

nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden. 

Abb. 3 Rückansicht einer RC 200 





LAN 4 eth3 freie Verfügung 

3.3 RC 300 

Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen- 

sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports 

nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern. 

Abb. 4 Frontansicht der RC 300 (schematisch) 











3.4 RC 400 

Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken 

angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts. 

LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports 

am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung. 

LAN 1 LAN 3 

Abb. 5 Frontansicht der RC 400 (schematisch) 

LAN 5 LAN 7 

LAN 2 LAN 4 LAN 6 LAN 8 












4 Administrator-Interface Securepoint 10 

4 Administrator-Interface 

4.1 Mit der Appliance verbinden 

Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces 

auf den Port 11115 mit dem https (SSL) Protokoll. 

Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf 

192.168.175.1 eingestellt. Der Port 11115 wird nicht geändert und ist für die Administration 

reserviert. 

Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt. 

Benutzername: admin 

Kennwort: insecure 

Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein: 

https://192.168.175.1:11115/ 

Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die 

IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse. 

Es erscheint der Dialog LOGIN. 

Abb. 6 Login Dialog 

Geben Sie im Feld Benutzername admin ein. 

Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den 

Benutzer admin schon geändert haben das neue Kennwort. 

Klicken Sie anschließend auf Login. 

Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm. 

Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authentifi- 

zierung, Menüpunkt Benutzer. 

Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und 

Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein. 



5 Securepoint Cockpit Securepoint 10 

4.2 Systemanforderung an den Client-Rechner 

Betriebssystem: ab MS Windows XP und Linux 

Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend 

Speicher: 512 MB oder mehr 

Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3 

5 Securepoint Cockpit 

Der erste Bildschirm nach Betreten des gesicherten Bereichs, zeigt einen Überblick über den 

Status der Hardware und der Dienste. Zudem beinhaltet das Cockpit auch die Navigations- 

leiste. 

Diese Ansicht ist immer zu sehen. Alle weiteren Konfigurationsmöglichkeiten werden in Po- 

pup Fenstern vorgenommen. Nach der Bearbeitung werden diese wieder geschlossen und 

das im Hintergrund liegende Cockpit wird wieder aktiv. 

Die einzelnen Listen des Cockpits können geschlossen werden, um die Anzeige auf die per- 

sönlichen Bedürfnisse anzupassen. 

Abb. 7 Cockpit Übersicht 




5.1 Navigationsleiste 

Über die Navigationsleiste gelangen Sie zu den einzelnen Konfigurationsbereichen, die 

in den Kategorien Konfiguration, Netzwerk, Firewall, Applications, VPN, authenti- 

cation, extras, live log zusammengefasst sind. 

Beim Überfahren der Punkte mit der Maus öffnet sich das jeweilige Dropdownmenü. 

Abb. 8 Navigationsleiste des Cockpits 

5.2 Lizenz 

In diesem Bereich werden Angaben zu der Firewall Software, Updates und Lizenz gegeben. 

Bezeichnung Erklärung 

Firewall Typ Name der Firewall Software. 

Version Version der Firewall Software. 

Lizenziert für Name und ggf. Firma des Versionsinhabers. 

Lizenz gültig bis Gültigkeit der Lizenz. 

Letzte Virenpattern Aktua- 

lisierung 

Lizenz: X verbleibende 

Tage 

Abb. 9 Lizenzbereich 

Das Datum ist im US amerikanischen Format angegeben 

(MM/TT/JJJJ). 

Zeit, an dem das letzte Update der Virusdatenbank durchge- 

führt worden ist. 

Anzahl der Tage, die die Lizenz noch gültig ist. 




5.3 System 

Dieser Bereich zeigt die gegenwärtige Systemauslastung und die aktuellen TCP / UDP Ver- 

bindungen an. 


CPU Auslastung des Prozessors. 

Typ Angabe des Prozessortyps. 

RAM Auslastung des Arbeitsspeichers, 

grafisch und als Prozentangabe. 

SWAP Auslastung der Auslagerungsdatei, 

grafisch und als Prozentangabe. 

Uptime Zeigt, wie lange das System schon in Betrieb ist. 

Momentane TCP Verbin- 

dungen 

Momentane UDP Verbin- 

dungen 

Anzahl der aktuellen TCP Verbindungen. 

Anzahl der aktuellen UDP Verbindungen. 

Cluster Status Zeigt, ob die Appliance als Master oder Spare agiert, wenn 

eine Hochverfügbarkeitsumgebung betrieben wird. 

Start Konfiguration Name der Startkonfiguration. 

Laufende Konfiguration Name der aktuell verwendeten Konfiguration. 

Abb. 10 System Status 




5.4 Dienste Status 

Hier werden alle verfügbaren Dienste aufgelistet und deren Status angezeigt. Bei man- 

chen Diensten werden noch weitere Informationen angezeigt. 

Ist ein Dienst aktiv, wird dies durch einen grünen Kreis angezeigt. Ein grauer Kreis 

zeigt, dass der Dienst inaktiv ist. Wird ein Dienst gestartet oder gestoppt, muss die 

Seite aktualisiert werden, damit der richtige Status angezeigt wird. 

Dienst Erklärung 

SSH Server Secure Shell 

Bietet eine verschlüsselte Verbindung zur Appliance. 

Mail Relay Dienst zum Versenden von E-Mail über die Appliance. 

DNS Server Domain Name System Server 

Löst einen Hostnamen in eine IP-Adresse auf. 

POP3 Proxy Post Office Protocol Version 3 Proxy 

Verbindet mit einem POP3 Server und untersucht die abgehol- 

ten E-Mails auf Viren und Spam. 

HTTP Proxy Hypertext Transfer Protocol Proxy 

VoIP Proxy Voice over IP 

Der Proxy vermittelt zwischen den Clients im internen Netzwerk 

und den Servern im Internet. Er kann HTTP Aufrufe anhand 

des Inhalts sperren und Webseiten auf Viren untersuchen. 

Vermittelt Internet Telefonie über die Appliance. 

VNC Repeater Virtual Network Computing 

Ermöglicht die Steuerung eines entfernten Rechners. 

DynDNS Client Dynamic Domain Name Services Client 

Der Client aktualisiert über einem DynDNS Dienst die aktuelle 

IP der Firewall. 

NTP Server Network Time Protocol Server 

Ermöglicht die Synchronisierung der Systemuhren im Netz- 

werk. 

IDS Server Intrusion Detection System 

Protokolliert Angriffe mit bekannten Angriffsmustern. 

L2TP Server Layer 2 Tunneling Protocol Server 

Ermöglicht eine VPN Verbindung zur Firewall über das Netz- 

werkprotokoll L2TP. 




PPTP Server Point To Point Tunneling Protocol Server 

Ermöglicht eine VPN Verbindung zur Firewall über das Netz- 

werkprotokoll PPTP. 

SPUVA Server Securepoint Security User Verification Agent Server 

Zentrale Nutzer Authentifizierung. 

Web Server Zum Bereitstellen von Onlineinhalten wie z. B. Webseiten 

DHCP Server Dynamic Host Configuration Protocol Server 

Weist den Rechner im Netzwerk die Netzwerkkonfiguration zu 

(z. B. die IP-Adresse). 

IPSec Server Internet Protocol Security Server 

Ermöglicht eine VPN Verbindung zur Firewall über das IPSec 

Protokoll. 

SSL VPN Server Secure Socket Layer Virtual Private Network Server 

Ermöglicht eine SSL gesicherte VPN Verbindung zur Firewall. 

IGMP Proxy Internet Group Management Protocol 

Virusscanner Virenscanner 

Ermöglicht das Verteilen von Paketen an mehrere Empfänger. 

Dienst für POP3, HTTP und SMTP. 

CTASD Server Commtouch Anti Spam Daemon 

BAYESD Server Bayes Daemon 

Dienst zur Spamidentifizierung der Firma Commtouch. 

Dienst zur Spamidentifizierung nach dem Bayes-Verfahren. 

Kerberos Authentifizierungsdienst für den Zugriff auf den HTTP Proxy. 

Mailfilter Dienst zum Filtern der E-Mails nach Anhängen und Inhalt. und 

zum Archivieren der E-Mails. 

SNMP Server Simple Network Management Protocol 

Protokoll zur zentralen Überwachung von Netzwerkgeräten. 

Routing Server Unterstützt verschiedene, dynamische Routingprotokolle. 

Abb. 11 Liste der Dienste 




5.5 Appliance 

Zeigt die Ansicht der Appliance. 

Die angeschlossenen LAN Ports sind grün markiert. 

Abb. 12 Ansicht der Appliance (z. B. eine Piranja) 

5.6 Schnittstellen 

Hier werden die Interfaces mit den zugeordneten IP-Adressen und Zonen angezeigt. In Ab- 

hängigkeit der verwendeten Appliance werden hier weitere Netzwerkadapter (ethx) aufgelis- 

tet. 


eth0 Netzwerkadapter für die Verbindung zum Internet. 

An der Appliance als LAN 1 gekennzeichnet. 

eth1 Netzwerkadapter für die Verbindung zum internen Netzwerk. 

An der Appliance als LAN 2 gekennzeichnet. 

eth2 Netzwerkadapter zur Anbindung einer Demilitarisierten Zone 

(DMZ). An der Appliance mit LAN 3 gekennzeichnet. 

ppp0 Ein virtuelles Interface zur Verbindung der Firewall mit dem 

Internet über PPPOE oder PPTP. 

tun0 Virtuelles Interface für das SSL VPN. Die interne Adresse ist 

Abb. 13 Status der Schnittstellen 

standardmäßig auf 192.168.250.1 festgelegt. 




5.7 IPSec 

Hier werden die erstellten IPSec VPN Verbindungen und deren Benutzung aufgelistet. 

An erster Stelle steht der Name der Verbindung, gefolgt von der aktuellen Nutzung. 

Abb. 14 Auflistung und Status der IPSec Tunnel 

5.8 Downloads 

Hier können Sie sehen, welche Dateien in dem User-Interface zum Download zur Verfügung 

stehen. Außerdem werden die Version sowie eine Kurzbeschreibung angezeigt. 

Der Dateiname ist ein Link, über den Sie die Datei direkt herunterladen können. 

Abb. 15 Auflistung der vefügbaren Software und Dokumente 

5.9 Spuva Benutzer 

Diese Anzeige listet die Benutzer und deren IP-Adresse auf, die sich per SPUVA 

(Securepoint User Verification Agent) angemeldet haben. 

Der SPUVA hat die Aufgabe, Anwendern individuelle Rechte für Ihre Arbeitsplätze im DHCP 

Umfeld zu geben. Der Anwender authentisiert sich über den SPUVA und erhält an jedem 

beliebigen Arbeitsplatz seine individuelle Security Policy. Wechselt ein Anwender seinen 

Arbeitsplatz, erhält er am anderen Platz ebenfalls automatisch seine für ihn gültige Security 

Policy. 

Abb. 16 momentan am System angemeldet Benutzer 




5.10 Schnittstellen Auslastung 

Die Anzeige Interface Traffic zeigt den Datenverkehr der Interfaces graphisch an. Dabei wird 

der eingehende Verkehr als grüner und der ausgehende Verkehr als blauer Graph darge- 

stellt. Die dargestellte Zeitspanne beträgt 24 Stunden, wobei der neueste Zeitpunkt die aktu- 

elle Messung darstellt, die alle fünf Minuten durchgeführt wird. 

Abb. 17 graphische Darstellung des Datenverkehrs 

5.10.1 Einstellungen 

Wenn Sie in dem Bereich Interface Traffic im Cockpit auf den Button Einstellungen klicken, 

können Sie auswählen, welche Interfaces in dem Bereich dargestellt werden. 

Die linke Liste zeigt die verfügbaren Interfaces an und die rechte Liste die darzustellenden 

Interfaces. Markieren Sie ein Interface und klicken Sie auf den entsprechenden Pfeil Button, 

um ein Interface in die gewünschte Liste zu verschieben. 

Abb. 18 verfügbare und dargestellte Interfaces 




5.10.2 Details und Zoom 

Durch ein Klicken auf ein Diagramm wird dieses in einem neuen Fenster mit größerer Dar- 

stellung der Graphen sowie weiteren Details angezeigt. 

Abb. 19 Details des Datenverkehrs des Interface eth1 

Durch Aufziehen eines Auswahlvierecks im unteren Diagramm können Sie einen Bereich 

bestimmen der vergrößert dargestellt werden soll. Die Auswahl können Sie mit dem Button 

Zoom zurücksetzen wieder aufheben. 

Abb. 20 Ausschnittsvergrößerung 




5.11 SSH Benutzer 

In diesem Bereich wird angezeigt, welche Benutzer sich per SSH (Secure Shell z.B. Putty) 

mit der Appliance verbunden haben. Es werden der Login-Name und die IP-Adresse des 

Benutzers angezeigt. Außerdem wird noch gelistet, zu welchem Zeitpunkt sich der Benutzer 

verbunden hat. 

Abb. 21 Benutzer, die sich per SSH verbunden haben 

5.12 Web-Interface Benutzer 

Hier werden die Login-Namen und die IP-Adresse der Benutzer angezeigt, die sich am Web- 

Interface angemeldet haben. Dies kann das Administrator-Interface oder das User-Interface 

sein. Außerdem wird noch gelistet, zu welchem Zeitpunkt sich der Benutzer verbunden hat. 

Abb. 22 Benutzer, die am Web-Interface angemeldet sind 




5.13 DHCP Reservierungen 

Der DHCP Server vergibt für Benutzer dynamisch IP-Adressen im internen Netz, soweit der 

DHCP Server aktiviert ist. Diese IP-Adresse wird für den Benutzer für eine definierte Zeit 

reserviert. Diese reservierten Adressen werden hier angezeigt in Verbindung mit dem Benut- 

zer und der MAC-Adresse des Rechners. In der Letzten Spalte ist der Status angegeben. Ist 

der Kreis grau, so ist der Nutzer gerade nicht angemeldet. Ein grüner Kreis zeigt an, dass 

der Benutzer angemeldet ist. 

Die Anzeige ist immer zehnzeilig. Wenn mehr DHCP-Adressen gespeichert sind, können Sie 

mit den Pfeiltasten im unteren Bereich durch die Seiten blättern. 

Abb. 23 gespeicherte IP-Adressen des DHCP Dienstes 

5.14 Hilfe anzeigen lassen 

In der Titelleiste der Dialoge ist rechts in der Titelleiste, neben der „Schließen Schaltfläche“ 

ein Fragezeichen Symbol. Durch Drücken dieses Symbols rufen Sie die Hilfe auf. Die ange- 

zeigten Texte erläutern kurz die einzustellenden Werte des Dialogs. Diese Funktion ist kon- 

textabhängig. Es werden also nur die Erklärungen zum jeweiligen Dialog angezeigt. 

Abb. 24 Hilfe Symbol in der Titelleiste 



6 Menü Konfiguration Securepoint 10 

6 Menü Konfiguration 

Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di- 

rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi- 

guration zu finden. 

Abb. 25 Dropdownmenü des Menüpunktes Konfiguration 


Konfigurationen 

verwalten 

Installations- 

assistent 

Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfi- 

gurationsdateien auf. Hier hat man die Möglichkeit die Dateien zu 

exportieren, zu drucken und zu löschen. Außerdem kann man Konfi- 

gurationen laden, Startkonfigurationen setzen und Konfigurationen 

importieren oder aktuelle Einstellungen in einer neuen Datei spei- 

chern. 

Der Installationsassistent hilft Ihnen bei der Einrichtung der grundle- 

genden Einstellungen. 

Neu starten Fährt die Appliance runter und startet sie anschließend neu. 

Herunterfahren Das System wird gestoppt und heruntergefahren. 

Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück. 

Abmelden Abmeldung vom Administrator-Interface. 




6.1 Konfigurationen verwalten 

Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem 

Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer Liste 

aller gespeicherten Konfigurationsdateien. 

Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im 

Dropdownmenü auf den Eintrag Konfigurationen verwalten. 

Es öffnet sich der Dialog Konfigurationen. 

Abb. 26 Auflistung der gespeicherten Konfigurationen 

Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist 

die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem 

Reboot). 

Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration. 

Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die 

Konfigurationsdateien anwenden kann. 

Schaltfläche Bedeutung Beschreibung 

Export 

Exportiert die Konfiguration und speichert diese im DAT Format 

ab. 

Öffnet ein Browserfenster, in dem die Konfiguration in Tabel- 

Drucken lenformat dargestellt wird. Diese Darstellung kann gedruckt 

oder gespeichert werden. 

Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration. 

Laden Lädt die jeweilige Konfiguration. 

Löschen Löscht die jeweilige Konfiguration. 




Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen Spei- 

chern unter… und Importieren… . 

6.1.1 Konfiguration speichern 

Die Einstellungen werden automatisch in der benutzten, also aktuell geladenen Konfiguration 

gespeichert. Man kann neue Einstellungen aber auch unter einer anderen bestehenden Kon- 

figuration oder in einer neuen Konfiguration speichern. 

Klicken Sie auf den Button Speichern unter … . 

Es öffnet sich der Dialog Speichern unter … . 

Wählen Sie entweder eine bestehende Konfiguration aus der Dropdownbox oder geben 

Sie einen neuen Namen ein, unter der die Konfiguration gespeichert werden soll. 

Klicken Sie abschließend auf Speichern. 

Abb. 27 Konfiguration neu abspeichern 




6.1.2 Konfiguration importieren 

Sie können auch eine bestehende Konfiguration importieren. Einzige Bedingung dafür ist, 

dass die externe Datei im DAT Format vorliegen muss. 

Klicken Sie auf den Button Importieren … . 

Es öffnet sich der Dialog Importiere Konfiguration. 

Klicken Sie auf Durchsuchen und wählen Sie die gewünschte Datei aus. 

Geben Sie im Feld Importieren als eine Namen ein, unter der die Konfiguration gespeichert 

werden soll. 

Klicken Sie danach auf Import. 

Die Konfigurationsdatei wird auf der Appliance gespeichert. 

Abb. 28 externe Konfiguration importieren 

6.2 Installationsassistent 

Der Installationsassistent hilft Ihnen bei den grundlegenden Einstellungen der Appliance. Er 

wird nach der Neuinstallation automatisch gestartet. Wenn Sie den Assistenten abgebrochen 

haben oder die Grundeinstellungen mit dem Assistenten erneut durchführen möchten, haben 

Sie hier die Möglichkeit den Vorgang erneut zu starten. 

6.3 Neu starten 

Der zweite Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die 

Startkonfiguration geladen. Gegebenenfalls müssen Sie die Startkonfiguration vor dem Re- 

boot setzen. 

6.4 Herunterfahren 

Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet. 




6.5 Werkseinstellungen 

Setzt das System in den Auslieferungszustand zurück. 

Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht. 

6.6 Logout 

Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und 

die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei- 

chert. 



7 Menü Netzwerk Securepoint 10 

7 Menü Netzwerk 

Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, nützliche Netzwerk 

Programme und den Update-Bereich zum Aktualisieren der Virendatenbank und der Firewall 

Software. 

Abb. 29 Dropdownmenü des Menüpunktes Netzwerk 


Server Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorge- 

nommen: 

Administratoren IP-Adressen, Zeitzone und Log Server-IP- 

Adresse 

Netzwerk Konfiguration Einstellungen zum Netzwerk: 

IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Dyn- 

DNS Dienst, Routing und DHCP Server Einstellungen 

Zonen Einstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen an- 

legen. 

Netzwerk Werkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle 




7.1 Server Eigenschaften 

In diesem Bereich werden grundlegende Einstellungen für die Appliance gesetzt. Der Dialog 

beinhaltet die Registerkarten Server Einstellungen, Administration, Syslog, SNMP und 

Cluster Einstellungen. 

7.1.1 Server Einstellungen 

Auf dieser Registerkarte müssen der Appliance Name, die Domain Name Service Server und 

der Network Time Protocol Server gesetzt werden. 

Tragen Sie im Feld Servername den Domainnamen der Firewall ein. 

Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Service 

Servers ein. 

Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer 

Nameserver ein. 

Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Firewall 

eigene DNS Dienst verwendet. 

Geben Sie im Feld NTP Server die IP-Adresse oder den Hostnamen eines Zeitservers 

ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus. 

Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbindungen 

beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen. 

Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene 

Pakete. 

Abb. 30 Registerkarte Server Settings des Server Eigenschaften Dialogs 




7.1.2 Administration 

Der Zugriff auf die Appliance ist standardmäßig nur aus dem internen Netz erlaubt. 

Auf dieser Registerkarte können Sie definieren, von welcher IP-Adresse oder von welchem 

Subnetz aus die Appliance außerdem administriert werden darf. 

Für die Administration werden folgende Protokolle freigeschaltet: 

Dienst Protokoll Port 

SSH tcp 22 

Administrator-Interface tcp 11115 

Um eine IP-Adresse oder ein Netz hinzuzufügen, klicken Sie auf den Button 

Host/Netz hinzufügen. 

Es erscheint der Dialog Add Host/IP hinzufügen. 

Tragen Sie hier eine Hostnamen oder eine IP-Adresse ein. 

Möchten Sie einem Subnetz den Zugriff erlauben, müssen Sie die Subnetzmaske angeben. 

Bsp.: 192.168.176.0/24 

Klicken auf Hinzufügen. 

Sie können Einträge aus der Liste mit dem Abfalleimersymbol neben dem Eintrag 

löschen. 

Abb. 31 Registerkarte Administration des Server Eigenschaften Dialogs 




7.1.3 Syslog 

Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das 

Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen 

können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log- 

meldungen analysiert werden. 

Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden. 

Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Server 

hinzufügen. 

Es öffnet sich der Dialog Syslog Server hinzufügen. 

Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und 

klicken Sie auf Hinzufügen. 

Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen. 

Abb. 32 Registerkarte Syslog des Server Eigenschaften Dialogs 




7.1.4 SNMP 

Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen 

Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto- 

kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen. 

Es werden die Protokollversion 1 und 2c unterstützt. 

Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein. 

Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und 

der Community String bekannt sein. 

Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide 

Versionen gleichzeitig verwenden. 

Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Benutzer 

mitgeteilt werden. 

Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP an, von der 

Zugriff per SNMP erlaubt werden soll. 

Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hinzufügen. 

Die IP-Adresse wird in der Liste hinzugefügt. 

Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel 

angelegt werden. 

Abb. 33 Registerkarte SNMP des Server Eigenschaften Dialogs 




7.1.5 Cluster Einstellungen 

Die Securepoint Appliance bietet die Möglichkeit eine Hochverfügbarkeitsumgebung aufzu- 

bauen. Für diese Umgebung benötigen Sie mindestens zwei Appliances. Eine Firewall wird 

dabei als produktive Maschine (Master) eingesetzt und eine (oder mehrere) weitere wird als 

Ersatzmaschine (Spare) im Standby betrieben. Fallen erforderliche Dienste oder der gesam- 

te Master aus, übernimmt die Spare Maschine den Betrieb. 

Bestimmen Sie im Feld Verzögerung zwischen Advertisment Paketen das Intervall 

(in Sekunden) zwischen den Statusmeldung des Masters an den Spare. 

Legen Sie im zweiten Feld fest, wie viele Statusmeldungen ausbleiben dürfen, bevor 

der Master als ausgefallen erkannt wird. 

Im Feld Cluster ID geben Sie eine Zahl für den Clusterverbund an. Diese ist wichtig, 

wenn Sie mehrere Securepoint Cluster betreiben. 

Unter Cluster Secret geben Sie ein Kennwort zur Verschlüsselung der Statusmeldungen 

an. 

Die Option Schalte auf Master wenn möglich setzt die Appliance auch nach einen 

Neustart wieder als Master ein. 

Der Host Status kann die Werte offline, master oder spare annehmen. 

Ist der Status master, kann die Appliance durch den Button Herunterstufen zum 

Spare zum Spare gemacht werden. Eine Sparemaschine übernimmt dann den Master 

Status. 

Abb. 34 Registerkarte Cluster Einstellungen des Server Eigenschaften Dialogs 




7.2 Netzwerk Konfiguration 

In diesem Bereich werden Einstellungen zum Netzwerk vorgenommen. 

Dies umfasst die IP-Adressen der einzelnen Interfaces, Routingeinträge, Zugangsdaten 

des Internet Service Providers, eventuell Daten eines dynamischen Adressdienstes und 

Einstellungen für den DHCP Server. 

7.2.1 Schnittstellen 

Auf der Registerkarte Schnittstellen werden die Netzwerkkarten der Appliance mit deren IP- 

Adressen und Zonen angezeigt. 

Abb. 35 Liste der vorhandenen Interfaces 




Die Bezeichnung der Interfaces ist abhängig von deren Verwendung. Interfaces gleichen 

Namens werden von 1 bis n durchnummeriert. 

Verwendung Bezeichnung 

Ethernet eth0, eth1, eth2, eth3, eth4 ... ethn 

virtuelle Netzwerke (VLAN) eth0.0; eth0.1 … eth0.n .ethn.0; ethn.1… ethn.n 

ADSL, VDSL und PPTP ppp0, ppp1… pppn 

(virtuelle Adresse an reales Interface gebunden) 

Hochverfügbarkeitsumgebung cluster0, cluster1, cluster2… clustern 

(virtuelle Adresse an reales Interface gebunden) 

SSL VPN tun0, tun1, tun2… tunn (virtuelles Interface) 

Die minimal drei Schnittstellen sind als Ethernet-Interfaces mit dem Namen eth0, eth1 und 

eth2 voreingestellt. Außerdem ist schon ein tun Interface mit der Bezeichnung tun0 und der 

IP-Adresse 192.168.250.1 angelegt. 

Abb. 36 Wahl der Interface Art 




7.2.1.1 eth Interface hinzufügen 

Klicken Sie auf Schnittstelle hinzufügen. 

Es öffnet sich der Schnittstellen Assistent. 

Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall eth). 

Klicken Sie dann Weiter. 

Es öffnet sich das Konfigurationsfenster für ein eth Interface. 

Im Bereich Allgemein werden die Eigenschaften der Schnittstelle eingestellt. 

Der Name des Interface ist vorgegeben und kann nicht geändert werden. 

Tragen Sie im Feld IP die IP-Adresse des Netzwerkadapters ein. 

Im Feld Maske setzen Sie die Subnetzmaske bzw. den Bitcount. 

Entscheiden Sie, ob die Schnittstelle eine IP-Adresse vom DHCP Server zugewiesen 

bekommt und setzen Sie ggf. ein Häkchen in der Checkbox DHCP Client. 

Bestimmen Sie unter MTU (Maximum Transmission Unit) die maximale Paketgröße. 

Im Normalfall kann diese auf dem Standardwert (1500) belassen werden. 

Wenn das Interface auf Pings antworten soll, aktivieren Sie die Checkbox Ping erlauben. 

Wählen Sie die Geschwindigkeit des Interfaces aus dem Dropdownfeld Geschwindigkeit. 

Im rechten Bereich wählen Sie die Zone für das Interface und die zugehörige(n) Zone(n), 

indem Sie die betreffenden Zonen mit einem Häkchen aktivieren. 

Zum Fertigstellen klicken Sie auf Fertigstellen. 

Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen 

betätigt werden, damit das Interface auch benutzt werden kann. 

Abb. 37 eth Interface anlegen - Einstellungen vornehmen 




7.2.1.2 VLAN Interface hinzufügen 

VLAN steht für Virtual Local Area Network und wird verwendet, um ein physikalisches Netz 

in mehrere logische Netze aufzuteilen. Verschiedene Netze können genutzt werden, um das 

gesamte Intranet zu strukturieren, z.B. nach Organisation wie Abteilungen, Projektgruppen 

oder nach räumlichen Eigenschaften wie Stockwerke oder Gebäude. 

Für jedes Netz wäre eigentlich jeweils ein Interface nötig. Durch die Verwendung von VLAN 

Interfaces können diese Netze über ein physikalisches Interface betrieben werden, denn die 

virtuellen VLAN Interfaces werden an ein physikalisches Interface gebunden. Jedes VLAN 

verfügt über eine Kennung (ID), die an die jeweiligen Pakete als Kennzeichnung (Tag) ange- 

hängt werden. Durch diese Tags kann ein VLAN-fähiger Switch die Pakete dem jeweiligen 

VLAN zuweisen. 

Appliance 

Abb. 38 VLAN Aufstellung 

Switch 

VLAN1 

VLAN2 

VLAN3 






Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall VLAN). 


Es öffnet sich das Konfigurationsfenster für ein VLAN Interface. 

Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das VLAN 

Interface gebunden werden solI. 

Geben Sie dem Interface eine ID im Feld VLAN ID. 

Tragen Sie unter IP und Maske die IP-Adresse und Subnetzmaske für das VLAN 

Netz ein. 

Entscheiden Sie, ob die Schnittstelle eine IP-Adresse vom DHCP Server zugewiesen 

bekommt und setzen Sie ggf. ein Häkchen in der Checkbox DHCP Client. 

Bestimmen Sie unter MTU (Maximum Transmission Unit) die maximale Paketgröße. 

Im Normalfall kann diese auf dem Standardwert (1500) belassen werden. 

Wenn das Interface auf Pings antworten soll, aktivieren Sie die Checkbox Ping erlauben. 

Wählen Sie die Geschwindigkeit des Interfaces aus dem Dropdownfeld Geschwindigkeit. 

Im rechten Bereich wählen Sie die Zone für das Interface und die zugehörige(n) Zone(n), 

indem Sie die betreffenden Zonen mit einem Häkchen aktivieren. 

Zum Fertigstellen klicken Sie auf Fertigstellen. 



Abb. 39 VLAN Interface anlegen - Einstellungen vornehmen 




7.2.1.3 PPTP Interface hinzufügen 

Ein PPTP Interface wird für die Einwahl in das Internet über das Point to Point Tunneling 

Protocol benötigt. Dieses Verfahren wird z. B. in Österreich genutzt. 



Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall PPTP). 


Es öffnet sich das Konfigurationsfenster für ein PPTP Interface. 

Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das PPTP 

Interface gebunden werden solI. Dieses sollte das externe Interface sein. Es wird 

nach der Fertigstellung durch das PPTP Interface ersetzt. 

Geben Sie unter Lokale Ethernet IP Adresse und Maske die IP-Adresse und Subnetzmaske 

des Interface an. 

In Modem IP Adresse wird die IP-Adresse erwartet, die Sie vom DSL Provider zugewiesen 

bekommen haben. 

Wählen Sie aus der Liste den DSL-Provider, über den die Verbindung zum Internet 

hergestellt wird. Damit Anbieter in der Liste aufgeführt werden, müssen diese in der 

Registerkarte DSL-Provider angelegt sein. 

Oder Sie wählen den Eintrag neu aus und legen einen neuen Anbieter an. 

Tragen Sie die entsprechenden Daten in die Felder Provider Name, Benutzername 

und Kennwort ein. 

Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen. 



Abb. 40 PPTP Interface anlegen 




7.2.1.4 PPPoE Interface hinzufügen 

Ein PPPoE Interface wird für die Einwahl in das Internet über das Point to Point Protocol o- 

ver Ethernet benötigt. Dieses Verfahren ist in Deutschland üblich. 



Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall PPPoE). 


Es öffnet sich das Konfigurationsfenster für ein PPPoE Interface. 

Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das 

PPPoE Interface gebunden werden solI. Dieses sollte das externe Interface sein. Es 

wird nach der Fertigstellung durch das PPP Interface ersetzt. 

Im Feld PPP-Schnittstelle ist der Name des Interface vorgegeben. Dieser kann auch 

nicht geändert werden. 







Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen. 



Abb. 41 PPPoE Interface anlegen 




7.2.1.5 VDSL Interface hinzufügen 

VDSL steht für Very High Speed Digital Subscriber Line und stellt eine Internetanbindung mit 

wesentlich höheren Datenübertragungsraten dar. 



Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall VDSL). 


Es öffnet sich das Konfigurationsfenster für ein VDSL Schnittstelle. 

Entscheiden Sie im Feld ETH Schnittstelle, an welches physikalische Interface das 

VDSL Interface gebunden werden solI. Dieses sollte das externe Interface sein. 

Wählen Sie eine VLAN ID für das VDSL Interface. Es wird nach der Fertigstellung ein 

eth Interface mit dieser ID angelegt (z. B. eth0.7). 

Im Feld VDSL-Schnittstelle ist der Name des Interface vorgegeben. 







Klicken Sie auf Finish, um die Konfiguration abzuschließen. 



Abb. 42 VDSL Interface anlegen 




7.2.1.6 Cluster Interface hinzufügen 

Das Cluster Interface wird gebraucht, um eine Hochverfügbarkeitsumgebung einzurichten. 

Bei dieser Einrichtung werden zwei (oder mehr) Appliances betrieben, wobei eine als aktive 

Firewall (Master) fungiert und die zweite (oder mehrere) als Ausfallreserve (Spare) im 

Standby-Modus läuft. Fällt die aktive Appliance aus oder können wichtige Dienste nicht mehr 

ausgeführt werden, übernimmt die zweite Appliance den Masterzustand. 

Das Cluster-Interface bindet eine virtuelle Adresse an ein physikalisches Interface. Die Be- 

sonderheit dabei ist, dass in dem Hochverfügbarkeitsverbund alle Maschinen die gleiche 

virtuelle IP-Adresse bekommen. Es kommt allerdings zu keinem IP-Adresskonflikt, weil die 

redundanten Maschinen im Standby-Modus stehen und ihre Cluster-IP nicht aktiviert ist. 

Dem Cluster-Interface werden noch die „realen“ IP-Adressen (sog. Management IP) der re- 

dundanten Maschinen mitgeteilt, über die die Maschinen Nachrichtenpakete bezüglich ihres 

Status austauschen. 

eth0 

10.0.0.1/24 


Switch A 

Externes Netz 

Switch B 

Internes Netz 

DSL-Modem 

Master 

eth2 

192.168.13.1/24 

eth2 

192.168.13.3/24 

Spare 

192.168.13.2/24 

192.168.13.2/24 

Switch C 

DMZ 

eth1 

192.168.4.87/24 

192.168.4.88/24 

Internet 

lokales Netz 

Abb. 43 Aufbau einer Hochverfügbarkeitsumgebung 

eth0 



eth1 

192.168.4.86/24 

192.168.4.88/24 

rote IP-Adresse à Management IP (reale IP) 

blaue IP-Adresse à Cluster IP (virtuelle IP) 




Legen Sie im Feld Schnittstelle fest, an welches physikalische Interface das Cluster 

Interface gebunden wird. 

Das physikalische Interface bleibt bestehen, da dies die Management IP-Adresse 

trägt. 

Im Feld Cluster-Interface wird der vorgegebene Name des Interface angezeigt, dieser 

ist nicht änderbar. 

Im Feld Cluster-IP wird die virtuelle IP-Adresse der Appliance erwartet. 

Geben Sie im Feld Maske die Subnetzmaske an. 

Im Bereich Spare IPs geben Sie die Management IP-Adresse der zweiten Appliance 

an. 

Verwenden Sie mehr als eine Spare Maschine, geben Sie die IP-Adressen aller betriebenen 

Appliances an. 

Tragen Sie die IP-Adresse und die zugehörige Subnetzmaske in den Felder IP und 

Maske ein und betätigen den Button Hinzufügen. 

Die IP-Adresse wird in der Liste im Bereich Spare IPs angezeigt. 

Mit dem Abfalleimersymbol hinter den gelisteten IP-Adressen können Sie den jeweiligen 

Eintrag löschen. 

Im Bereich Zonen wählen Sie die Zonen des Cluster-Interfaces. Im Normalfall werden 

die Zonen des gebundenen physikalischen Interfaces übernommen. 

Klicken Sie auf Fertigstellen, um den Vorgang abzuschließen. 



Abb. 44 Cluster Interface anlegen 




7.2.1.7 Interfaces bearbeiten oder löschen 

In der Übersichtsliste auf der Registerkarte Interfaces sind hinter jedem Eintrag ein Werk- 

zeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge bear- 

beitet bzw. gelöscht werden. 

Zum Bearbeiten klicken Sie auf das Werkzeugschlüsselsymbol. 

Der Dialog Schnittstellen ändern öffnet sich. 

Ändern Sie die Einstellungen und speichern Sie die Änderungen mit Speichern ab. 

Zum Löschen klicken Sie auf das Abfalleimersymbol. 

Bestätigen Sie die Sicherheitsabfrage mit Löschen. 

Der Eintrag wird gelöscht. 

7.2.2 Routing 

Mit Routing-Einträgen können Sie festlegen, über welches Gateway ein Ziel erreicht werden 

soll. Der Standardeintrag (default route) ist, dass alle Ziele über das interne Gateway erreicht 

werden. 

Abb. 45 Anzeige der Routingeinträge auf der Registerkarte Routing 




7.2.2.1 Routen bearbeiten und löschen 

In der Übersichtsliste auf der Registerkarte Routing sind hinter jedem Routingeintrag ein 

Werkzeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge 

bearbeitet bzw. gelöscht werden. 


Der Dialog Route editieren öffnet sich. 



Bestätigen Sie die Sicherheitsabfrage mit Ja. 

Die Route wird gelöscht. 

7.2.2.2 Standardroute hinzufügen 

Klicken Sie auf Standard Route hinzufügen. 

Es öffnet sich der Dialog Standard Route hinzufügen. 

Geben Sie als Gateway die IP-Adresse des internen Interfaces an. 

Die Felder für Ziel und Netzwerkmaske sind vorbelegt. 

Im Feld Weighting wird die Priorität bestimmt, mit der die Route in das Routing eingeht. 

Die Angabe ist nur sinnvoll, wenn Sie mehrere Internetzugänge benutzen (Multipath 

Routing). Hat die erste Route die Gewichtung 1 und die zweite die Gewichtung 2 wird 

die zweite Route doppelt so häufig benutzt wie die erste. Gleicher Effekt bei Gewichtung 

5 und 10. 

Abb. 46 Standard Route anlegen 




7.2.2.3 Route hinzufügen 

Routen dienen dazu Netze, zu finden, die nicht direkt an der Appliance angeschlossen sind. 

Um zu ermöglichen, dass Datenpakete zu einem internen Netz gelangen können, das über 

ein Gateway (z. B. einen Router) angeschlossen ist, müssen dem System diese Informatio- 

nen mitgeteilt werden, da sonst diese Daten-Pakete zum Default Gateway geschickt werden. 

Klicken Sie auf der Registerkarte Routing den Button Route hinzufügen. 

Es öffnet sich der Dialog Route hinzufügen. 

Wählen Sie im Feld Type, ob die Route für alle Geräte gelten soll oder nur für bestimmte 

Netze oder Rechner. 

Für alle Geräte wählen Sie den Eintrag without Source. 

Andernfalls wählen Sie with Source und geben die IP-Adresse und die Netzwerkmaske 

des betreffenden Netzes bzw. Hosts in den Felder Source Network und 

Source Mask ein. 

Geben Sie dann das Gateway ein, über das das Zielnetzwerk bzw. der Zielhost erreicht 

werden soll. 

Unter Destination Network und Destination Mask geben Sie die IP-Adresse und 

die Subnetzmaske des Ziels ein. 

Auch hier können Sie im Feld Weighting eine Gewichtung der Route definieren. 

Abb. 47 allgemeine Route anlegen 

Abb. 48 Route für bestimmte Quelle anlegen 




7.2.3 DSL Provider 

Um sich über ein DSL-Modem mit dem Internet zu verbinden, müssen Sie für das externe 

Interface das Protokoll PPPoE oder PPTP nutzen. Dazu wird ein virtuelles DSL Interface 

angelegt, welches an das externe Interface gebunden wird. 

Abb. 49 Liste der DSL Provider auf der Registerkarte DSL Provider 

7.2.3.1 DSL Provider bearbeiten oder löschen 

In der Übersichtsliste auf der Registerkarte DSL Provider sind hinter jedem Eintrag ein 

Werkzeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge 

bearbeitet bzw. gelöscht werden. 


Der Dialog DSL Provider editieren öffnet sich. 




Der Eintrag wird gelöscht. 




7.2.3.2 DSL Provider anlegen 

Klicken Sie auf den Button DSL Provider hinzufügen. 

Es öffnet sich der Dialog DSL Provider hinzufügen. 

Unter Name tragen Sie einen Namen für die Verbindung ein. 

Im Feld Login geben Sie Ihre Logindaten bei dem Provider ein. 

Tragen Sie im Feld Kennwort Ihr Zugangskennwort ein und bestätigen Sie es im 

Feld Kennwort bestätigen. 

Wenn Sie die Checkbox Standard Route aktivieren, wird für diese Verbindung eine 

Standardroute automatisch gesetzt. 

Im Feld Zwangstrennung legen Sie eine Uhrzeit für die Zwangstrennung fest. Wenn 

Sie die Einstellung Aus auswählen wird keine Zwangstrennung von der Appliance 

durchgeführt. 

Abb. 50 DSL Provider anlegen 




7.2.4 DynDNS 

Wenn Sie über keine feste externe IP-Adresse, sondern über eine dynamische verfügen, die 

sich bei jeder Verbindung mit dem Internet ändert, können Sie einen DynDNS Dienst nutzen, 

damit Sie von außen immer mit dem gleichen Hostnamen erreichbar sind. Dies ist nur not- 

wendig, wenn Sie Dienste anbieten, die vom Internet aus erreichbar sein sollen (z. B. Web- 

Server, VPN-Einwahl) oder die Firewall von „außen“ administrieren wollen. 

Bei Nutzung eines DynDNS Dienst sendet ein Client bei der Einwahl den Dienstanbieter die 

aktuelle IP-Adresse zu, welche dann beim Anbieter hinterlegt wird. Somit wird sichergestellt, 

dass zu Ihrem Hostnamen immer die aktuelle IP beim DynDNS Anbieter hinterlegt ist. Das 

Übermitteln der aktuellen IP-Adresse sollte die Appliance übernehmen. 

Abb. 51 Liste der externen Dienste für DNS Aktualisierung für dynamische IP-Adressen 

Es sind bis zu sechs DynDNS Einträge möglich, die an unterschiedliche Interfaces gebunden 

werden können. Diese werden als Liste auf der Registerkarte DynDNS angezeigt. 




7.2.4.1 DynDNS Eintrag anlegen oder bearbeiten 

Um neue Einträge anzulegen oder bestehende Einträge zu bearbeiten, klicken Sie 

auf den Button mit dem Werkzeugschlüsselsymbol. 

Es öffnet sich der Dialog DynDNS ändern. 

Tragen Sie im Feld Hostname Ihren Domainnamen ein. 

Geben Sie in den Feldern Login und Kennwort Ihre Zugangsdaten bei dem Dienstanbieter 

an. 

Tragen Sie die Adresse des von Ihnen genutzten DynDNS Server im Feld Server ein. 

Im Feld MX ist die Domäne für E-Mail-Empfang einzusetzen (z.B. securepoint.de). 

Wählen Sie im Feld Schnittstelle das verwendete Interface für die Verbindung aus 

(meist ein ppp Interface). 

Abb. 52 DynDNS Dienst angeben 

7.2.4.2 DynDNS Eintrag löschen 

Um einen DynDNS Eintrag zu löschen, klicken Sie in der Liste der Einträge auf der 

Registerkarte DynDNS auf das Abfalleimersymbol neben dem zu löschenden Eintrag. 


Der DynDNS-Eintrag wird gelöscht. 




7.2.5 DHCP 

Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk 

automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei- 

nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser 

übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des 

Standardgateways. 

Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und 

deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen à Anwen- 

dungsstatus. 




Geben Sie unter Lokales Subnetz das interne Subnetz mit der passenden Netzmaske 

unter Netmaske an. 

Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll. 

Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste 

Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit 

nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen 

für besondere Rechner, die feste IP-Adressen benötigen, vorhalten. 

Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die obere 

Grenze des Bereichs unter DHCP Pool Ende. 

Tragen Sie im Bereich Lease Zeit die Zeit ein, die die IP-Adresse für einen Computer 

reserviert bleiben soll. Meldet sich der Computer innerhalb dieser Zeit wieder an, 

dann bekommt er dieselbe IP-Adresse zugewiesen wie bei der vorherigen Anmeldung. 

Das Feld Lease Zeit definiert die feste Reservierung. Wird die IP-Adresse 

dann nicht von anderen Rechnern benötigt, wird sie bis zur Maximalen Lease Zeit 

reserviert. Die Angabe erfolgt in Sekunden. 

Tragen Sie bei Standard Gateway das Standard Gateway ein. Dies ist die IP- 

Adresse des internen Interfaces. 

Geben Sie im Feld Nameserver #1 und Nameserver #2 die IP-Adressen der DNS 

Server an. 

Geben Sie ggf. im Feld WINS Server #1 und WINS Server #2 die IP-Adressen der 

WINS Server ein. 

Speichern Sie Ihre Eingaben mit Speichern. 

Um die Einstellungen anzuwenden klicken Sie auf Aktualisiere Schnittstellen. 

Abb. 53 Einstellungen für den DHCP Server vornehmen 




7.3 DHCP Relay 

Die Appliance kann auch als DHCP Relay benutzt werden. Dabei verteilt ein zentraler DHCP 

Server die DHCP Informationen. Die Appliance empfängt die DHCP Broadcast Anfragen und 

sendet diese an den zentralen DHCP Server weiter. Die Antworten des Servers werden dann 

vom DHCP Relay an die Clients zurückgeschickt. So können Clients IP-Adressen und Netz- 

werkinformationen dynamisch erhalten, obwohl der DHCP Server in einem anderen Subnetz 

steht. 

Wählen Sie bei Schnittstellen, aus welchem Netz DHCP-Anfragen weitergeleitet 

werden sollen und in welches Netz die Anfragen gesendet werden. 

Wählen Sie dazu eine Schnittstelle aus dem Dropdownfeld und klicken Sie auf 

Schnittstelle hinzufügen. 

Tragen Sie in der Liste IP-Adressen die IP-Adresse des zuständigen DHCP-Servers 

ein. 

Tippen Sie die IP-Adresse in das Feld ein und klicken Sie auf IP-Adresse hinzufügen. 

Klicken Sie anschließend auf Speichern. 

Hinweis: Für diesen Datenverkehr brauchen keine Regeln angelegt werden. 

Abb. 54 Einstellungen für das DHCP Relay 




7.4 Zonen 

Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter- 

faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von- 

einander abzugrenzen oder zu verbinden. 

Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen 

nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in 

der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone 

immer nur einem Interface zugeordnet werden kann. 

Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die neue 

Zone ein. 

Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone 

zugeordnet werden soll. 

Klicken Sie auf Speichern, um die Änderungen zu übernehmen. 

Hinweis: Um zugeordnete Interfaces zu wechseln, müssen Sie die Registerkarte Schnitt- 

stellen im Menü Netzwerk, Unterpunkt Netzwerk Einstellungen benutzen. 

Abb. 55 Dialog zum Hinzufügen und Entfernen von Zonen 

Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der betreffenden 

Zone. 

Bestätigen Sie die Sicherheitsabfrage mit Löschen. 

Die Zone wird entfernt. 




7.5 Netzwerk Werkzeuge 

Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der 

Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden. 

Schaltfläche Bedeutung Beschreibung 

7.5.1 NS Lookup 

NS Lookup Ermittlung der IP-Adresse(n) eines Hostnames. 

Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist. 

Route Tabelle Zeigt die Routing Einträge der Appliance an. 

Der Name leitet sich vom Befehl nslookup ab. Hier kann man den Nameserver abfragen, 

welche IP ein bestimmter Hostname hat. Es handelt sich nur um eine Hostnamenauflösung. 

Die Umkehrung, von der IP auf den Hostnamen zu schließen, wird nicht unterstützt. 

Geben Sie im Feld Bitte einen Host angeben einen Rechnernamen ein. 

Klicken Sie dann auf die Lupe. 

Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufgelistet. 

Abb. 56 Auffinden von IP-Adressen 




7.5.2 Ping 

Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die 

Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und 

wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in 

diesem Zusammenhang auch als Pong bezeichnet). 

Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber 

auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist, 

dass er Pings nicht beantwortet. 

Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Bitte einen Host 

angeben ein. 

Klicken Sie dann auf Ping. 

Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die 

durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Außerdem 

wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen 

(Received) worden sind. 

Antwortet der Rechner nicht, erscheint die Meldung undefined. 

Abb. 57 Ergebnis eines Pings 




7.5.3 Route Tabelle 

Der Befehl Route Tabelle zeigt die Routing Tabelle der Appliance an. Hierbei brauchen Sie 

keine Daten angeben. 

Klicken Sie auf den Button Route Tabelle. 

Es wird eine Liste der eingetragenen Routen ausgegeben. 

Abb. 58 Ausgabe der Routingeinträge 



8 Menü Firewall Securepoint 10 

8 Menü Firewall 

In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der 

Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech- 

nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet. 

Abb. 59 Dropdownmenü des Menüpunktes Firewall 


Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und 

zu Geräten angelegt. 

Hide-NAT Dynamische Network Address Translation. 

Port 

Weiterleitung 

Die internen Adressen werden durch das Hide-NAT auf die externe 

Adresse übersetzt. 

QoS Quality of Service 

Anfragen aus dem Internet auf bestimmte Ports werden von der Fire- 

wall an die entsprechenden internen Rechner oder DMZ weitergeleitet. 

Bandbreitenbeschränkung für ein- und ausgehende Verbindungen. 

Dienste Um die Aktionen im Portfilter genauer zu beschreiben, gibt es den Be- 

reich Services. Hier sind Dienste aufgelistet und die zugehörigen Ports 

und Protokolle. 

Dienstgruppen Hier werden Dienste, die ähnliche Funktionen bereitstellen zu Gruppen 

zusammengefasst. 

Netzwerkobjekte Netzwerkobjekte beschreiben Gruppen, einzelne Benutzer oder Geräte. 

Für diese können dann Regeln im Portfilter aufgestellt werden. 

Netzwerkgruppen Hier werden Netzwerkobjekte, zu Gerätegruppen zusammengefasst. 




8.1 Portfilter 

Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen 

der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut- 

zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der 

eine bestimmte Regel betrifft, protokolliert wird. 

Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die 

den Datenverkehr erlaubt. 

Abb. 60 Übersicht aller angelegten Regeln 




Eine Regel hat immer folgenden Aufbau: 

Von wo (von welcher Quelle) wird mit welchem Dienst auf ein bestimmtes Ziel zugegrif- 

fen. Dann wird definiert, ob diese Aktion zugelassen (Accept), verweigert (Drop) oder zu- 

rückgewiesen (Reject) wird. Der Unterschied zwischen Drop und Reject ist, dass bei Re- 

ject der Absender die Fehlermeldung „Destination unreachable“ zugesendet bekommt. 

Des Weiteren wird festgelegt, ob der Datenverkehr, der die Regel betrifft, protokolliert 

wird und in welcher Intensität. Hier gibt es drei Einstellungen: 

o None à Es wird nicht protokoliert. 

o Short à Die ersten drei Pakete einer neuen Verbindung werden geloggt. Nach einer 

Minute werden die nächsten drei Pakete der gleichen Verbindung geloggt. 

o Long à Alle Pakete werden protokolliert. 

Zusätzlich kann der Geltungsbereich der Regel noch zeitlich (nach Tagen und Uhrzeit) 

eingeschränkt werden. 

Und es kann eine kurze Beschreibung angegeben werden. 

Mit dem Werkzeugschlüsselsymbol vor der Regel können die Einstellungen bearbeitet wer- 

den. 

Mit dem Abfalleimersymbol vor der Regel kann die jeweilige Regel gelöscht werden. 

Regeln können auch per „Drag and Drop“ verschoben werden. Nutzen Sie dazu das Doppel- 

pfeilsymbol vor der Regel. Unter Umständen ist die Reihenfolge der Regeln im Regelwerk 

relevant, da diese nacheinander abgearbeitet werden. 

Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht 

noch auf den Button Aktualisiere Regeln klicken. 

Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän- 

dern. 




Sie können die Ansicht des Portfilters einschränken, indem Sie die Filterfunktion benutzen. 

So können Sie gesuchte Regeln schneller finden. 

Klicken Sie in der Portfilter Übersicht auf den Button Filter, um den Dialog Filter zu 

öffnen. 

Aktivieren Sie zunächst den Filter, indem Sie im Dropdownmenü Filter aktivieren 

den Eintrag An auswählen. 

Sie können die Einträge der Portfilterliste nach einem Kriterium filtern. 

Die Kriterien sind: 

o Gruppen: 

Quell Netzwerkgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als 

Quelle haben.) 

Ziel Netzwerkgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als 

Ziel haben.) 

Dienstgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als Dienst 

nutzen.) 

o Objekte und Service 

Quell Netzwerk Objekte (Zeigt alle Einträge, die das ausgewählte Objekt als 

Quelle haben.) 

Ziel Netzwerk Objekt (Zeigt alle Einträge, die das ausgewählte Objekt als Ziel 

haben.) 

Dienste (Zeigt alle Einträge, die den ausgewählten Dienst nutzen.) 

Aktivieren Sie das gewünschte Filterkriterium und wählen den Filter in der entsprechenden 

Dropdownbox aus. 

Klicken Sie Schließen. 

Der gesetzte Filter wird auf die Firewallregeln angewendet. 

Abb. 61 Firewallregeln filtern 




8.1.1 Regel anlegen 

Klicken Sie im Dialog Portfilter auf den Button Regel hinzufügen, um eine Regel 

hinzuzufügen. 

Es erscheint der Dialog Regel hinzufügen. 

Auf der Registerkarte Allgemein legen Sie die Regel an. 

Wählen Sie unter Quelle eine Datenquelle aus der Liste. 

Wählen Sie unter Ziel das Ziel des Zugriffs aus der Liste aus. 

Definieren Sie unter Dienst, welcher Dienst benutzt wird. 

Unter Aktion wählen Sie aus, ob der Zugriff zugelassen oder geblockt wird. 

Die Checkbox Aktiv entscheidet, ob die Regel verwendet wird. 

Wählen Sie unter Logging aus, ob und in welcher Stärke protokolliert werden soll. 

Unter QoS (Quality of service) können Sie Bandbreiten begrenzen. 

Mit Rule routing können Sie bestimmen, über welches Gateway die Pakete der Regel 

geleitet werden sollen. IPSec Verbindung müssen z. B. immer über die gleiche 

Schnittstelle kommunizieren. Nur wichtig, wenn Sie mehrere Internetverbindungen 

benutzen. 

Beachten Sie: Für die Quelle und das Ziel müssen eventuell neue Netzwerkobjekte angelegt 

werden, die die Quelle und das Ziel genau definieren. 

Wenn der benutzte Dienst nicht aufgeführt sein sollte, dann muss noch ein 

entsprechender Dienst angelegt werden. 

Abb. 62 neue Regel anlegen - Registerkarte Allgemein 




8.1.1.1 Infobox Funktion 

Wenn Sie mit dem Mauszeiger über die Einträge in den Listen fahren, werden Ihnen Eigen- 

schaften der Elemente angezeigt. Da es sich bei den Einträgen immer um Gruppen handelt, 

wird in der Infobox angezeigt, welche Netzwerkobjekte bzw. Dienste sich in der jeweiligen 

Gruppe befinden. 

Sie können diese Funktion aktivieren, indem Sie das Häkchen in der Checkbox Infobox de- 

aktivieren entfernen. 

Abb. 63 Infobox zeigt alle Objekte einer Gruppe an und deren IP-Adresse sowie deren Zonenzugehörigkeit 




8.1.1.2 Registerkarte Zeit 

Auf der Registerkarte Zeit können sie den Geltungszeitraum der Regel beschränken. 

Wenn Sie hier keine Angaben machen, dann gilt die Regel grundsätzlich. 

Klicken Sie auf die Registerkarte Zeit. 

Wählen Sie für jeden Tag, an dem die Regel beschränkt werden soll, einen Anfang- 

und einen Endzeitpunkt. 

Das obere Dropdownfeld bezieht sich dabei immer auf die Startzeit und das untere 

Dropdownfeld auf die Endzeit. 

Abb. 64 neue Regel anlegen - Registerkarte Zeit 

8.1.1.3 Registerkarte Beschreibung 

Auf der Registerkarte Beschreibung können Sie eine Beschreibung für die Regel angeben. 

Klicken Sie auf die Registerkarte Beschreibung. 

Klicken Sie in das Textfeld und tragen eine Beschreibung für die Regel ein. 

Klicken Sie abschließend auf Speichern, um die Regel zu speichern. 

Abb. 65 neue Regel anlegen - Registerkarte Beschreibung 




8.1.2 Regelgruppen anlegen 

Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln 

eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher 

zu gestalten. 

Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen. 

Es öffnet sich der Dialog Anhängen Gruppe. 

Tragen Sie im Feld Gruppenname einen Namen für die neue Gruppe ein. 

Klicken Sie auf Hinzufügen. 

Die neue Gruppe wird im Portfilter an unterster Position angefügt. 

Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben. 

Abb. 66 Regelgruppe hinzufügen 




8.1.3 Regeln und Gruppen organisieren 

Die Reihenfolge der Regeln im Portfilter kann die Performance der Appliance stark beein- 

flussen, da die Regeln der Reihe nach abgearbeitet werden. Durchläuft ein Paket z. B. alle 

Regeln im Portfilter und wird mit der letzten Regel abgewiesen, wäre es sinnvoller die blo- 

ckierende Regel an den Anfang des Portfilters zu setzen. Dies trifft besonders dann zu, wenn 

Pakete dieser Art oft eintreffen. 

Sie können nicht nur einzelne Regeln sondern auch Regelgruppen und Regeln innerhalb der 

Gruppen verschieben. Auch ist es möglich Regeln, aus einer Gruppe in eine andere Gruppe 

zu verschieben. 

Benutzen Sie zum Organisieren der Regeln das „Drag & Drop“ Verfahren. 

Abb. 67 Kontextmenü des Portfilters 

Mit Hilfe des Kontextmenüs können Sie auch Regeln 

und Gruppen an bestimmten Positionen einfügen. So 

entfällt das Verschieben nach der Erstellung. 

Mit der Option Aktiv umschalten können Sie die mar- 

kierte Regel von den aktiven Status in den passiven 

setzen oder umgekehrt. Mit der Option Aktiv in Gruppe 

umschalten können Sie den Status aller Regeln in ei- 

ner Gruppe wechseln. 

Außerdem finden Sie hier auch die Befehle Edit (Bearbeiten) und Delete (Löschen). 

Wenn Sie eine Gruppe löschen, dann wird nur dir Gruppe gelöscht. Die Regeln bleiben er- 

halten. 

In der zweiten Spalte jeder Zeile finden Sie Schaltflächen mit einem Werkzeugschlüsselsym- 

bol für die Bearbeiten-Funktion und ein Abfalleimersymbol für die Lösch-Funktion. 

Hilfreich bei der Bearbeitung der Gruppen sind die Schaltflächen Open Groups und Close 

Groups im Portfilter, die alle Gruppen öffnen bzw. schließen. Mit Hilfe der Symbole vor den 

Gruppen können Sie auch einzelne Gruppen öffnen oder schließen. 

Das grüne Symbol mit den beiden Pfeilen zeigt eine geschlossene 

Gruppe. Ein Klick darauf öffnet die Gruppe. 

Das rote Symbol zeigt eine geöffnete Gruppe. Ein Klick darauf 

schließt die Gruppe. 




8.2 Hide-NAT 

Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete 

die externe IP der Firewall bekommen. Dieses geschieht unter dem Punkt Hide-NAT. 

Das NAT Objekt (Quelle) ist das Netzwerk oder der Rechner, dessen IP von ausgehenden 

Paketen durch das Hide-NAT ersetzt wird. 

Die NAT-Beziehung (hinter IP/Schnittstelle) bestimmt, welche IP-Adresse die Pakete aus 

dem internen Netz bekommen. Es kann entweder eine IP oder ein Interface angegeben wer- 

den. Bei einer dynamischen IP wird das entsprechende DSL-Interface angegeben. 

Das Ziel muss bestimmt werden, um anzuzeigen, zu welchen Zielen das Hide-NAT ange- 

wendet wird. 

Als Quelle oder Ziel werden Netzwerkobjekte verwendet. Um eine Hide-NAT Regel anzule- 

gen, müssen sie evtl. zuerst passende Netzwerkobjekte anlegen (siehe Kapitel 8.6.2). 

Die Option Include bedeutet, dass das Hide-NAT angewendet wird. Ein Exclude bedeutet, 

dass das Hide-NAT explizit nicht angewendet wird und somit Pakete mit der originalen IP 

versendet werden (z. B. in einem Tunnel – IPSec, Site-to-Site Verbindung). 

Abb. 68 Übersicht der Hide-NAT Regeln 




Um eine neue Hide-NAT Regel anzulegen, klicken Sie auf Hinzufügen. 

Es öffnet sich der Dialog Hide-NAT hinzufügen. 

Im Feld Typ können Sie zwischen Include und Exclude wählen. 

Unter Quelle stellen Sie ein, welche Objekte „genatet“ werden sollen. 

Im Beispiel das interne Netzwerk. 

Die Schnittstelle entscheidet über die externe IP. 

Verfügen Sie über eine feste IP-Adresse, wählen Sie die IP-Adresse aus. Benutzen 

Sie eine dynamische zugewiesene IP-Adresse, wählen Sie das Interface aus (z. B. 

eth0 oder ppp0). 

Da die Regel für das Internet gelten soll, wählen Sie unter Ziel den Eintrag any aus. 

Position entscheidet über die Position in der Hide-NAT Tabelle, die der Reihe nach 

abgearbeitet wird. Mit Ausnahme der Exclude Regeln, die unabhängig ihrer Position 

als erstes angewendet werden. 

Abb. 69 Hide-NAT Regel anlegen 




8.3 Port Forwarding 

Im Punkt Port Forwarding sind die Funktionen Port Forwarding (Port Weiterleitung) und Port 

Translation (Port Übersetzung) zusammengefasst. Beide Methoden bestimmen das Ziel von 

Datenpaketen, die die Firewall auf einen bestimmten Port erreichen. 

Beim Port Forwarding werden Pakete mit einem definierten Port zu einem bestimmten Com- 

puter weitergeleitet. 

Port Translation ersetzt den Port von eingehenden Paketen auf einen selbstdefinierten Port. 

Abb. 70 Liste der angelegten Port Forwarding und Port Translation Regeln 




8.3.1 Port Weiterleitung 

Mittels Port Weiterleitung (Port Forwarding) können Anfragen, die an einen bestimmten Port 

gerichtet sind, an einen bestimmten Rechner weitergeleitet werden. Zum Beispiel können 

HTTP Anfragen auf Port 80 direkt zum Webserver geleitet werden. Für diese Weiterleitung 

ist für den Webserver ein Netzwerkobjekt anzulegen. 

Klicken Sie auf Port Weiterleitung im Dropdownmenü des Navigationspunktes Firewall. 

Es öffnet sich das Fenster Port Weiterleitung, in dem alle Weiterleitungsregeln aufgelistet 

sind. 

Klicken Sie auf Hinzufügen, um eine neue Weiterleitung anzulegen. 

Es erscheint der Dialog Port Weiterleitung hinzufügen. 

Als Typ wählen Sie Port Weiterleitung. 

Wählen Sie bei Quelle aus, von welchem Netzwerkobjekt die Anfrage kommt. 

Im Feld Schnittstelle bestimmen Sie, über welches Interface die Anfrage kommt. 

Als Ziel wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten. 

Als Externen Port wählen Sie den Dienst und damit den Port, der benutzt werden 

soll. 

Speichern Sie Ihre Angaben mit Speichern. 

Aktualisieren Sie anschließend die Regeln. 

Beachten Sie: Damit diese Portweiterleitung ausgeführt wird, muss eine entsprechende 

Abb. 71 Port Forwarding Regel anlegen 

Regel im Portfilter angelegt werden. 




8.3.2 Port Translation 

Durch Portübersetzung können Standardports auf selbstdefinierte Ports umgesetzt werden. 

Beispiel: Sie möchten zwei Webserver in der DMZ betreiben 

Der Standardport 80 für Webserver kann aber nicht doppelt belegt werden. Daher 

lenken Sie den Port auf einen anderen um z. B. Port 2080. 

Erstellen Sie zuerst einen Dienst mit dem Namen http_webserver und dem Port 2080 

(siehe Kapitel 8.5.3). 

Klicken Sie auf Port Weiterleitung im Dropdownmenü des Navigationspunktes Firewall. 

Es öffnet sich das Fenster Port Weiterleitung, in dem alle Weiterleitungsregeln aufgelistet 

sind. 

Klicken Sie auf Hinzufügen, um eine Port Translation anzulegen. 

Es erscheint der Dialog Port Weiterleitung hinzufügen. 

Als Typ wählen Sie Port Translation. 

Wählen Sie bei Quelle aus, von welchem Netzwerkobjekt die Anfrage kommt. 

Im Feld Schnittstelle bestimmen Sie, über welches Interface die Anfrage kommt. 

Als Ziel wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten. 

Als Externen Port wählen Sie den Dienst und damit den Port, der benutzt werden 

soll. 

Unter Original Port geben Sie den Port ein, auf den Sie den Dienstport umleiten wollen. 


Aktualisieren Sie anschließend die Regeln. 

Beachten Sie: Damit diese Portübersetzung ausgeführt wird, muss eine entsprechende 

Regel im Portfilter angelegt werden. 

Abb. 72 Port Translation Regel anlegen 




8.4 QoS (Quality of Service) 

Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra- 

tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden 

und eingehenden Datenverkehr möglich. 

Klicken Sie auf QoS im Dropdownmenü des Navigationspunktes Firewall. 

Es öffnet sich das Fenster QoS, in dem alle vordefinierten Limitierungen und Zusicherungen 

aufgelistet sind. 

Legen Sie im Bereich QoS hinzufügen eine neue Limitierung oder Zusicherung an. 

Geben Sie im Feld Name eine Bezeichnung des neuen Eintrags an. 

Tragen Sie in der Feldern Min-In Kbit/s und Max-In Kbit/s die minimale und maximale 

Datenrate des Downloads an (Werte müssen nicht gleich sein). 

Tragen Sie in den Feldern Min-Out Kbit/s und Max-Out Kbit/s die minimale und maximale 

Datenrate für den Upload an (Werte müssen nicht gleich sein). 

Fügen Sie durch Speichern den neuen Eintrag hinzu. 

Abb. 73 QoS Eintrag hinzufügen 

Mit dem Werkzeugschlüsselsymbol können die Einträge bearbeitet werden und mit dem Ab- 

falleimersymbol können die Einträge gelöscht werden. Die Informationssymbol öffnet eine 

Infobox, in der aufgelistet ist, in welcher Regel der betreffende QoS Eintrag benutzt wird. 

Abb. 74 Verwendung in einer Regel 




8.5 Dienste 

Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der 

Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste 

benutzen. 

Die Auflistung ist schon sehr umfassend, Sie können aber auch eigene Dienste hinzufügen, 

Dienste löschen oder bearbeiten. 

8.5.1 Löschen und Bearbeiten 

Zum Löschen eines Dienstes klicken Sie auf das Abfalleimersymbol rechts neben 

dem entsprechenden Dienst. 

Beantworten Sie die Sicherheitsabfrage mit Löschen. 

Zum Bearbeiten eines Dienstes klicken Sie auf das Werkzeugschlüsselsymbol 

rechts neben dem entsprechenden Dienst. 

Nehmen Sie im öffnenden Dialog die gewünschten Änderungen vor. 

klicken Sie auf Speichern. 

Abb. 75 Liste der verfügbaren Dienste 




8.5.2 Services Information 

Die Funktion Infobox zeigt Ihnen Informationen über einen Dienst an, wenn Sie mit den 

Mauszeiger auf diesen zeigen. 

Sie können diese Funktion aktivieren, indem Sie in der Checkbox Infobox deaktivieren im 

Übersichtsfenster das Häkchen entfernen. 

Die Infobox zeigt Ihnen neben dem Namen und der Servicegruppenzugehörigkeit des Diens- 

tes auch an, ob der Dienst in einer Regel der Firewall verwendet wird. Ist dies der Fall, wer- 

den die Nummern der Regeln sowie eine Zusammenfassung der Regeln angezeigt. 

Abb. 76 Infobox-Anzeige beim Überfahren eines Dienstes mit dem Mauszeiger 




8.5.3 Dienst hinzufügen 

Klicken Sie auf Dienste im Dropdownmenü des Navigationspunktes Firewall. 

Es öffnet sich das Fenster Dienste, in dem alle verzeichneten Dienste aufgelistet 

sind. 

Klicken Sie auf die Schaltfläche Neuen Dienst hinzufügen. 

Es erscheint der Dialog Dienst hizufügen. 

Geben sie im Feld Bezeichnung einen Namen für den neuen Dienst ein. 

Wählen Sie bei Protokoll ein Protokoll aus der Liste, welches von dem Dienst benutzt 

wird. 

Wenn Sie das icmp Protokoll gewählt haben, dann müssen Sie noch eine ICMP 

Control Messages aus dem Dropdownfeld wählen. Ports müssen dann nicht mehr 

definiert werden. 

Wenn der Dienst einen genau definierten Port benutzt, geben Sie diesen im Feld Ziel 

Port an. 

Handelt es sich nicht nur um einen Port, sondern um einen Portbereich, dann wählen 

Sie beim Feld Typ den Eintrag Port Range. Geben Sie dann den Anfang- und Endport 

des Bereichs unter Port Bereich Start und Port Bereich End an. 

Wenn die Quelle für den Dienst einen anderen Port bzw. andere Ports benutzt, aktivieren 

Sie die Checkbox Quell Bereich ändern und geben Sie die den Quellport 

bzw. den Quellportbereich entsprechend an. 

Speichern Sie den neuen Dienst mit Save. 

Abb. 77 Dienst hinzufügen – Single Port 

Abb. 78 Dienst hinzufügen - Port Range 




8.6 Service Groups 

In dem Bereich Service Groups können sie mehrere Dienste zu einer Gruppe zusammenfas- 

sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin- 

zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden. 

Beim Überfahren der Dienste mit der Maus kann eine Infobox eingeblendet werden, die die 

Eigenschaften des jeweiligen Dienstes anzeigt. Mit der Deaktivierung der Checkbox Infobox 

deaktivieren kann die Einblendung eingeschaltet werden. 

Abb. 79 Infobox zeigt Eigenschaften des Dienstes an 

Sie können sich auch Informationen zu den Servicegruppen anzeigen lassen. 

Wählen Sie in der Dropdownliste eine Servicegruppe. 

Klicken Sie auf das Informationssymbol hinter dem Dropdownfeld. 

Eine Infobox wird angezeigt. 

Die Infobox zeigt Ihnen den Namen der Servicegruppe an und ob die Gruppe in einer Regel 

der Firewall verwendet wird. Ist dies der Fall, werden die Nummern der Regeln sowie eine 

Zusammenfassung der Regeln angezeigt. 

Abb. 80 Anzeige in welcher Regel die Dienstgruppe verwendet wird 




8.6.1 Bestehende Dienstgruppen editieren 

Wählen Sie aus dem Dropdownfeld im Bereich Dienstgruppen die zu bearbeitende 

Gruppe aus. 

Die Dienste, die der gewählten Gruppe angehören werden in der rechten Tabelle angezeigt. 

Sie können nun Dienste hinzufügen, indem Sie Dienste aus der linken Tabelle markieren. 

Klicken Sie dann auf den Button zwischen den Tabellen mit dem Pfeil nach rechts 

Symbol. 

Die Dienste werden aus der linken Tabelle in die rechte Tabelle verschoben. 

Um Dienste aus der Gruppe zu entfernen, markieren Sie die zu entfernenden Dienste 

in der rechten Tabelle. 

Klicken Sie anschließend auf den Button zwischen den Tabellen mit dem Pfeil nach 

links Symbol. 

Die markierten Dienste werden von der rechten Tabelle in die linke Tabelle verschoben. 

Sie können die gesamte Gruppe mit einem Klick auf das Abfalleimersymbol rechts 

neben dem Dropdownfeld löschen. 

Bestätigen Sie dazu die Sicherheitsabfrage mit Ja. 

Hinweis: Nachdem Sie Änderungen in den Dienstgruppen vorgenommen haben, müssen 

Sie den Button Aktualisiere Regeln betätigen, damit die Änderungen in den Re- 

gel des Portfilters übernommen werden. 

Abb. 81 Dialog Dienstgruppen 




8.6.2 Neue Dienstgruppen anlegen 

Sie können auch Dienste in neuen Dienstgruppen vereinen. 

Klicken Sie dazu auf das Plussymbol im Bereich Dienstgruppen. 

Es öffnet sich der Dialog Dienstgruppen hinzufügen. 

Tragen Sie einen Namen für die neue Dienstgruppe ein und klicken Sie auf Hinzufügen. 

Wählen Sie im Dropdownmenü die eben angelegte Dienstgruppe. 

Da die Gruppe noch keine Dienste beinhaltet, erscheint in der rechten Tabelle die 

Meldung Kein Mitglied in der Dienstgruppe. 

Fügen Sie Dienste in die Dienstgruppe ein, wie im vorherigen Abschnitt beschrieben. 

Abb. 82 Namen für die neue Dienstgruppe anlegen 




8.7 Netzwerkobjekte 

Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces, 

VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil- 

ter genau bestimmt werden. 

Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Eintrag 

Netzwerkobjekte. 

Es erscheint das Fenster Network-Objects. 

Hier sind alle bestehenden Netzwerkobjekte aufgelistet. Die Tabelle kann nach den 

Werten der verschiedenen Spalten geordnet werden. 

Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen 

Objektes positioniert. 

Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkobjekte 

angelegt werden. 

Abb. 83 Liste der angelegten Netzwerkobjekte 




8.7.1 Netzwerkobjekt Information 

Die Funktion Infobox zeigt Ihnen Informationen über ein Netzwerkobjekt an, wenn Sie mit 

den Mauszeiger auf dieses zeigen. 

Sie können diese Funktion aktivieren, indem Sie in der Checkbox Infobox deaktivieren im 

Übersichtsfenster das Häkchen entfernen. 

Die Infobox zeigt Ihnen neben dem Namen und der Objektgruppenzugehörigkeit des Objek- 

tes auch an, ob das Objekt in einer Regel der Firewall verwendet wird. Ist dies der Fall, wer- 

den die Nummern der Regeln sowie eine Zusammenfassung der Regeln angezeigt. 

Abb. 84 Objektinformationen 




8.7.2 Host/Netz hinzufügen 

Um ein Netzwerkobjekt für ein Netz oder einen einzelnen Computer festzulegen, gehen Sie 

wie folgt vor. 

Klicken Sie auf Host/Netz hinzufügen. 

Es öffnet sich der Dialog Host/Netz hinzufügen. 

Geben Sie einen Namen für das neue Objekt im Feld Name ein. 

Wählen Sie unter Typ, ob Sie ein Netzwerk oder einen einzelnen Host anlegen möchten. 

Host: Geben Sie die IP-Adresse des betreffenden Rechners unter IP Adresse 

ein. 

Wählen Sie die Zone, die der Rechner angehört aus dem Dropdownfeld 

Zone. 

Netzwerk: Geben Sie unter IP Adresse die IP-Adresse des Netzwerkes ein. 

Wählen Sie aus dem Dropdownmenü Netzmaske die passende 

Netzwerkmaske. 

Geben Sie danach bei Zone die Zone des Netzwerkes an. 

Wählen Sie, welche NAT IP verwendet werden soll. 


Abb. 85 Netzwerkobjekt für einen Rechner anlegen 

Abb. 86 Netzwerkobjekt für ein Netzwerk anlegen 




8.7.3 VPN Host/Netz hinzufügen 

Das Anlegen von VPN Objekten unterscheidet sich kaum vom Hinzufügen von Netzwerken 

oder Rechnern. Sie haben hier nur andere Zonen zur Verfügung. 

Ganz nachdem zu welchem VPN Verfahren die Objekte gehören, wählen Sie als Zone 

vpn-ipsec, vpn-ppp oder vpn-openvpn aus. 

Abb. 87 Objekt für einen VPN Rechner anlegen 

8.7.4 Benutzer hinzufügen 

Abb. 88 Objekt für ein VPN Netzwerk anlegen 

Sie können auch Netzwerkobjekte für Benutzer anlegen. So können für einzelne Benutzer 

Regeln angelegt werden. Einzige Bedingung dafür ist, dass die Benutzer SPUVA 

(Securepoint User Verification Agent) Nutzer sind und sich mit dem Agenten am System an- 

melden. Die Benutzer müssen auch in dem Menü Authentication unter dem Punkt Users 

aufgeführt sein. 

Klicken Sie auf Benutzer hinzufügen. 

Es öffnet sich der Dialog Benutzer hinzufügen. 

Tragen Sie im Feld Name einen Namen für das Objekt ein. 

Wählen Sie unter Login einen SPUVA User. 

Wählen Sie unter Zone eine Zone. 

Wählen Sie, welche NAT IP verwendet werden soll. 

Sichern Sie Ihre Eingaben mit Speichern. 

Abb. 89 Objekt für einen Nutzer anlegen 




8.7.5 Schnittstelle hinzufügen 

Außerdem können Sie Interfaces als Netzwerkobjekte hinzufügen. Als Interface werden die 

Schnittstellen der Firewall bezeichnet. 

Hier können Sie unterscheiden zwischen Interface mit fester oder dynamischer IP-Adresse. 


Es erscheint der Dialog Schnittstelle hinzufügen. 

Geben Sie dem neuen Objekt einen Namen im Feld Name. 

Wählen Sie unter Typ Statische Adresse oder Dynamische Adresse. 

Wenn Sie Statische Adresse gewählt haben, dann tragen Sie im Feld IP Adresse 

noch die feste IP des Interfaces ein. 

Wählen Sie dann im Feld Zone die Interface Zone aus. 


Abb. 90 Objekt für ein Interface mit dynamischer 

Adresse 

Abb. 91 Objekt für ein Interface mit statischer 

Adresse 




8.8 Netzwerkgruppen 

In diesem Bereich können Sie verschiedene Netzwerkobjekte zu Gruppen zusammenfassen. 

Sie können neue Gruppe anlegen, bestehende bearbeiten oder löschen. 

Im Bereich Netzwerkgruppen können Sie eine bestehende Gruppe aus dem 

Dropdownfeld auswählen. 

Mit dem Abfalleimersymbol können Sie die gewählte Gruppe löschen. Dabei werden 

alle beinhaltenden Netzwerkobjekte ebenfalls gelöscht. 

Mit dem Plussymbol können Sie eine neue Gruppe anlegen. 

Geben Sie dazu einen Namen an und wählen Sie ein Symbol für die Gruppe. 

Im Bereich Netzwerkobjekte sind alle angelegten Netzwerkobjekte aufgelistet. 

Im Bereich Netzwerkgruppen Mitglieder sind alle Netzwerkobjekte aufgelistet, die 

Bestandteile der ausgewählten Gruppe sind. 

Sie können Netzwerkobjekte zur gewählten Gruppe hinzufügen, indem Sie Objekte in 

der Liste Netzwerkobjekte markieren und dann auf den Button mit dem Pfeil nach 

rechts klicken. Die Netzwerkobjekte werden in die rechte Liste verschoben. 

Zum Entfernen von Netzwerkobjekten aus der Gruppe markieren Sie die jeweiligen 

Objekte in der Liste Netzwerkgruppen Mitglieder und klicken dann auf den Button 

mit dem Pfeil nach links. Die Netzwerkobjekte werden aus der rechten Liste entfernt. 

Hinweis: Wenn Sie Änderungen an einer Gruppe vorgenommen haben, müssen Sie den 

Button Aktualisiere Regeln betätigen, damit die Änderungen in den Regel des 

Portfilters übernommen werden. 

Abb. 92 Dialog Netzwerkgruppen 




8.8.1 Network Objekt Information 

Die Funktion Infobox zeigt Ihnen Informationen über ein Netzwerkobjekt an, wenn Sie mit 

dem Mauszeiger auf dieses zeigen. 

Sie können diese Funktion aktivieren, indem Sie in der Checkbox Disable Infobox im Über- 

sichtsfenster das Häkchen entfernen. 

Die Infobox zeigt Ihnen den Namen, IP-Adresse, Subnetzmaske, Zone und NAT IP an. 

Abb. 93 Objektinformationen 

8.8.2 Network Group Information 

Sie können sich auch Informationen zu den Netzwerkgruppen anzeigen lassen. 

Wählen Sie in der Dropdownliste eine Netzwerkgruppe. 

Klicken Sie auf das Informationssymbol hinter dem Dropdownfeld. 

Eine Infobox wird angezeigt. 

Die Infobox zeigt Ihnen den Namen der Netzwerkgruppe an und ob die Gruppe in einer Re- 

gel der Firewall verwendet wird. Ist dies der Fall, werden die Nummern der Regeln sowie 

eine Zusammenfassung der Regeln angezeigt. 

Abb. 94 Verwendung der Gruppe in Regeln 



9 Menü Anwendungen Securepoint 10 

9 Menü Anwendungen 

Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und VoIP sowie die Einstellungen 

für den Fernwartungsdienst VNC Repeater, für das Mail Relay und den SPAM-Filter zusam- 

mengefasst. Außerdem kann der Status der Dienste gewechselt werden. 

Abb. 95 Dropdown des Menüpunktes Anwendungen 


HTTP Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und 

Filterung von Internetadressen und Webseiteninhalten. 

POP3 Proxy Spamfilterung und Virenscanning von E-Mails. 

Mail Relay Einstellungen für den Mail Server. 

Spamfilter Einstellungen des Spamfilters. 

VNC Repeater Weiterleitung von Fernwartungsprogrammen. 

VoIP Proxy Einstellungen für den Voice over IP Proxy. 

IDS Auswahl der Signaturregeln des Intrusion Detection Systems. 

Anwendungsstatus Aktivieren und Deaktivieren von Diensten. 




9.1 HTTP Proxy 

Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er 

filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei- 

en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus 

dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als 

eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen- 

über als Client. 

9.1.1 Allgemein 

Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht. 

Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080. 

Wenn Sie eine Ausgangsadresse bestimmen möchten, aktivieren Sie die Checkbox 

und tragen die gewünschte IP-Adresse ein. 

Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei Kaskadieren. 

Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy ein 

und dessen Port unter Übergeordneter Proxy Port. 

Entscheiden Sie, welchen Netzen gegenüber der transparente Proxy aktiviert werden 

soll. 

Transparent bedeutet, dass Sie im Browser nicht unbedingt einen Proxy eintragen 

müssen. Die Firewall leitet die Pakete automatisch zum Proxy. Wenn Sie im Browser 

keinen Proxy eintragen, funktioniert die User Authentifizierung nicht und Protokolle 

wie HTTPS und FTP müssen Sie explizit über das Regelwerk freischalten. 

Wählen Sie eine Authentifizierungsart. 

Keine à keine Authentifizierung erforderlich 

Lokal à Authentifizierung gegen die lokale Nutzerdatenbank 

Radius à Authentifizierung gegen einen Radius Server 

Active Directory à Authentifizierung über das AD des Netzwerkes 

NTLM à Authentifizierung gegen den NT LAN Manager 

(Active Directory) 

Über den Button Einstellungen können Sie einstellen, ob sich 

nur eine festgelegte Gruppe oder alle Nutzer authentifizieren 

dürfen. 

Aktivieren Sie ggf. die Beschränkung für Up- und Downloads durch Setzen des Häkchens 

Größenlimit aktivieren. 

Möchten Sie einen Bereich nicht beschränken, dann wählen Sie die Option Unlimitiert. 

Durch Aktivieren der Checkbox Logging anonymisieren wird die Protokollierung ohne 

Nutzerkennung und IP-Adressen durchgeführt. 




Abb. 96 Registerkarte Allgemein des HTTP Proxy Dialogs 




9.1.2 Virenscan 

Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos- 

sen werden sollen. 

Sie können die Virensuche auch ganz deaktivieren, indem Sie beim Feld Virusscan 

aktivieren das Häkchen aus der Checkbox entfernen. 

Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden. 

Sie können durch den Button mit dem Werkzeugschlüssel den jeweiligen Eintrag 

bearbeiten oder durch den Button mit dem Abfalleimer den Eintrag löschen. 

Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Dateiendung 

mit einem führenden Punkt eingeben und dann auf die Schaltfläche hinzufügen betätigen. 

Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden. 



Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite eingeben 

und dann auf die Schaltfläche hizufügen betätigen. 

Webseiten werden nur mit Top- und Second-Level-Domains angegeben. Hostnamen 

wie „www“ entfallen. 

Abb. 97 Registerkarte Virenscan des HTTP Proxy Dialogs 




9.1.3 URL Filter 

Mit dem URL Filter können Sie Internetseiten explizit blocken oder zulassen. 

In die Blacklist werden Domains und URLs eingetragen, die geblockt werden sollen. 

Die Whitelist enthält Adressen, die angezeigt werden. 

Sie können auch mit der Option Alles blocken alle URL blockieren und mit der Whitelist be- 

stimmen, auf welche Webseite zugegriffen werden darf. 

Wenn Sie auf der Registerkarte General eine Authentifizierungsmethode gewählt haben, 

haben Benutzer, die sich ordnungsgemäß authentifizieren die Möglichkeit, auch auf Internet- 

seiten zuzugreifen, die auf der Blacklist stehen. Um dieses Verhalten zu unterdrücken und 

Seiten der Blacklist für alle Nutzer gesperrt bleiben, müssen Sie die Option URL Filter auch 

für authentifizierte Nutzer anwenden nutzen. 

Wechseln Sie auf die Registerkarte URL Filter. 

Schalten Sie den Filter an, indem Sie die Checkbox beim Eintrag URL Filter aktivieren. 

Aktivieren Sie URL Filter auch für authentifizierte Nutzer anwenden, um Seiten 

der Blacklist allgemeingültig zu sperren. 



Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Adresse der 

Webseite eingeben und dann auf die Schaltflächen hinzufügen betätigen. 

Sie können ganze Domains sperren bzw. freigeben. Das heißt auch alle Unterseiten 

der Domain. 

Zum Sperren oder Freigeben von bestimmten Unterseiten geben Sie die entsprechenden 

URLs an. 

Außerdem können Sie Domains blocken und durch die Whitelist bestimmte Unterseiten 

der Domain zulassen. 

Bsp.: 

Blacklist: spiegel.de 

Whitelist: spiegel.de/wirtschaft/ 

Auch hier werden nur Top- und Second-Level-Domains verwendet. 

Bsp.: 

Aus www.beispiel.de wird beispiel de 

Aus www.beispiel.de/wetten wird beispiel.de/wetten 




Abb. 98 Registerkarte URL Filter des HTTP Proxy Dialogs 




9.1.4 Anhang blocken 

Mit dieser Option können Sie Dateiendungen blockieren. Dabei handelt es sich nicht nur um 

Endungen mit drei Buchstaben. Sie können somit auch Endungen wie jpeg oder mpeg sper- 

ren. 

Endungen müssen mit einem führenden Punkt angegeben werden. 

Geben Sie eine Endung in das Feld im unteren Bereich ein. 

Dabei den führenden Punkt nicht vergessen. Bsp.: .mp3 

Klicken Sie auf hinzufügen. 

Die Endung wird in die Liste aufgenommen. 

Mit dem Abfalleimersymbol am Ende der Zeile können Sie den Eintrag löschen. 

Abb. 99 Dateiendungen sperren 




9.1.5 Anwendung blocken 

Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro- 

gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden. 

Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die 

Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter- 

net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom- 

munikation zu unterbinden. 

Im Bereich Fernwartung können die Anwendungen Teamviewer und Netviewer gesperrt 

werden. 

Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit 

dem letzten Eintrag Andere IMs blocken werden andere Messaging Programme, die nicht 

in der Liste aufgeführt sind, gesperrt. 

Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die 

jeweilige Checkbox. 

Klicken Sie dann auf Speichern. 

Abb. 100 Fernwartungs und Chat Programme sperren 




9.1.6 Content Filter 

9.1.6.1 Blacklist Kategorien 

Mit dem Content Filter können Sie den Zugang zu Internetseiten mit definierten Inhalten 

sperren. Es stehen verschiedene Inhaltskategorien zur Auswahl. Die Kategorien enthalten 

Schlagwörter, die auf den jeweiligen Inhalt hinweisen. Diese Schlagwörter sind in ihrer Ein- 

deutigkeit gewichtet. Wenn die Summe der Gewichtungen einer Internetseite einen Schwel- 

lenwert (Empfindlichkeit) überschreitet, wird diese Internetseite gesperrt. Je höher die Emp- 

findlichkeit, desto unwahrscheinlicher wird eine Seite gesperrt. 

Klicken Sie auf die Registerkarte Blacklist Kategorien. 

Wählen Sie die Kategorien aus, die Sie Sperren möchten. Setzen Sie vor diesen ein 

Häkchen. 

Sie können noch die Empfindlichkeit bestimmen. 

Bedenken Sie, dass ein zu niedriger Schwellenwert, viele Seiten blocken könnte, die 

nicht in die Kategorien fallen. 

Speichern Sie Ihre Einstellungen mit Speichern. 

Abb. 101 Regsiterkarte Content Filter des HTTP Proxy Dialogs - Blacklist Kategorien 




9.1.6.2 Whitelist 

Über die Whitelist können Benutzer, IP-Adressen und Internetseiten von der Prüfung ausge- 

nommen werden. 

9.1.6.2.1 Benutzer 

Wenn die eingetragenen Benutzer Internetseiten aufrufen, wird die Filterung über den Con- 

tent Filter nicht ausgeführt. 

Wechseln Sie auf der Registerkarte Whitelist in die Registerkarte Benutzer. 

Um einen Nutzer hinzuzufügen, geben Sie den Login Namen des Nutzers in das Eingabefeld 

am unteren Dialog Rand ein und klicken Sie auf den Button Benutzer hinzufügen. 

Um einen Nutzer zu entfernen, klicken Sie auf den Button mit dem Abfalleimersymbol 

neben dem jeweiligen Nutzer. 

Abb. 102 Unterregister Whitelist – Benutzer der Registerkarte Content Filter des HTTP Proxy Dialogs 


Security Solutions 100


9.1.6.2.2 IP Adressen 

Hier eingetragene IP-Adressen werden ebenfalls vom Content Filtering ausgenommen. Die- 

se Einstellung ist nur sinnvoll, wenn die IP-Adressen fest vergeben sind. 

Wechseln Sie auf die Registerkarte IP-Adressen. 

Geben Sie in das Eingabefeld die gewünschte IP-Adresse ein, bei der das Content 

Filtering nicht angewendet werden soll. 

Klicken Sie auf den Button IP hinzufügen. 

Um einen Eintrag zu bearbeiten, klicken Sie auf den Button mit dem Werkzeugschlüsselsymbol 

neben der jeweiligen IP. 

Um einen Eintrag zu löschen, klicken Sie auf den Button mit dem Abfalleimersymbol 

neben der jeweiligen IP. 

Abb. 103 Unterregister Whitelist - IP Adressen der Registerkarte Content Filter des HTTP Proxy Dialogs 




9.1.6.2.3 Webseiten 

Hier können Internetseiten eingegeben werden, die beim Aufrufen nicht durch den Content 

Filter geprüft werden. Tragen Sie hier nur absolut vertrauenswürdige Seiten ein. 

Wechseln Sie in die Registerkarte Webseiten. 

Zum Hinzufügen von Webseiten tragen Sie die Adresse in das Eingabefeld ein und 

klicken Sie auf den Button hinzufügen. 

Um einen Eintrag zu bearbeiten, klicken Sie auf den Button mit dem Werkzeugschlüsselsymbol 

neben der jeweiligen Webseite. 

Um einen Eintrag zu löschen, klicken Sie auf den Button mit dem Abfalleimersymbol 

neben der jeweiligen Webseite. 

Abb. 104 Unterregister Whitelist - Webseiten der Registerkarte Content Filter des HTTP Proxy Dialogs 




9.1.7 Bandbreite 

Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer 

beschränken. 

Um die Bandbreitenbeschränkung zu aktivieren, setzen Sie ein Häkchen in die 

Checkbox Bandbreiten Kontrolle aktivieren. 

Wählen Sie entweder Globale Einstellungen (allgemeine Beschränkung) oder Host 

Einstellungen (Benutzer Beschränkung). Wählen Sie den jeweiligen Radiobutton. 

Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global Bandbreite. 

Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Maximale Bandbreite 

pro Host. 

Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der globale 

Wert noch nicht ausgeschöpft ist. 

Abb. 105 Bandbreite beschränken 




9.2 POP3 Proxy 

Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber 

die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter- 

sucht und an den E-Mail-Client weitergegeben. 

Wählen Sie im Dropdownfeld Virusscanning den Wert An, um die Virensuche zu aktivieren. 

Wählen Sie im Dropdownfeld Spamfilter den Wert An, um die Spamfilter zu aktivieren. 

Wählen Sie unter Transparenter Proxy, in welchem Netz der transparente Proxy aktiviert 

werden soll. 

Sichern Sie Ihre Einstellungen mit Speichern. 

Abb. 106 Einstellungen für den POP3 Proxy vornehmen 




9.3 Mail Relay 

Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt. 

Abb. 107 Registerkarten des Dialogs Mail Relay 


Allgemein Grundeinstellungen zu Spam Filter, Virenscanner, E-Mail-Administrator 

und maximale E-Mail-Größe. 

Relaying Angabe der erlaubten Relaying Hosts bzw. Domains. 

Mail Routing Das Mail Routing bestimmt, welcher Mailserver für eine Domain zu- 

ständig ist. 

Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden 

E-Mails mit einer unbekannten Kombination von Mailserver, Absender- 

und Empfängeradresse mit einer Fehlermeldung abgewiesen. Der ent- 

fernte Mailserver wird im Gegensatz zu einem „Spamserver“ versuchen, 

die E-Mail ein weiteres Mal zuzustellen. Diesmal wird die E-Mail ange- 

nommen, da die Kombination der Kommunikationsdaten schon bekannt 

ist. 

Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf 

eine andere umgeschrieben wird. 

Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den 

Server vor Spammails und Angriffen schützen. 





Nehmen Sie hier grundlegende Einstellungen für das Mail Relay und einen Smarthost vor. 

Ein Smarthost muss nur angegeben werden, wenn der Server die E-Mails nicht direkt ver- 

senden soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails 

weitergeleitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem 

Mailserver. 

Entscheiden Sie im Dropdownfeld Virenscan, ob E-Mails nach Viren überprüft werden. 

Entscheiden Sie im Dropdownfeld Spamfilter, ob E-Mails auf Spam geprüft werden. 

Geben Sie im Feld Postmaster E-Mail-Adresse die E-Mail-Adresse des E-Mail Administrators 

an. 

Im Feld Maximale E-Mailgröße in KByte können Sie die Größe der E-Mails begrenzen 

(maximal 10.000.000 KByte). 

Möchten Sie keine Beschränkung vornehmen, geben Sie hier 0 an. 

Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost aktivieren. 

Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld 

Smarthost ein. 

Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox 

Smarthost Authentifizierung aktivieren. 

Tragen Sie in den Feldern Login und Kennwort Ihren Nutzernamen und Ihr Kennwort 

ein und bestätigen Sie das Kennwort im Feld Kennwort bestätigen. 




Abb. 108 grundlegende und Smarthost Einstellungen des Mail Relays 




9.3.2 Relaying 

Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder 

Domains verfahren wird. 

Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht 

werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E- 

Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden. 

Weiterhin haben Sie die Möglichkeit Relay Blocking Lists zu nutzen. In diesen werden IP- 

Adressen von Rechnern gelistet, die in der Vergangenheit durch das Versenden von Spam- 

E-Mails aufgefallen sind. Allerdings können durch Blocking-Listen auch Mailserver gesperrt 

werden, die fälschlicherweise auf diesen Listen geführt werden oder deren Missbrauch 

schon länger zurückliegt. 

Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die 

angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt. 

Abb. 109 Einstellungen zum Relaying 




Um eine Domain hinzuzufügen, klicken Sie auf den Button Domain hinzufügen. 

Es öffnet sich der Dialog Relay Domain hinzufügen. 

Im Feld Domain geben Sie den Domainnamen an. 

Wählen Sie unter Option zwischen None, To, From und Connect. 

Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK (E- 

Mail annehmen). 


Um einen Host hinzuzufügen, klicken Sie auf Host hinzufügen. 

Es öffnet sich der Dialog Relay Host oder IP Adresse hinzufügen. 

Geben Sie unter Host oder IP Adresse den Hostnamen oder die IP-Adresse des 

gewünschten Rechners an. 

Wählen Sie unter Action zwischen Relay, Reject und OK. 


Abb. 110 Domain hinzufügen 

Abb. 111 IP-Adresse hinzufügen 




9.3.3 Mail Routing 

Das Mail Routing bestimmt, welcher Mailserver für eine Domain zuständig ist. 

Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger 

nicht existiert, ablehnt. 

Um eine Adressprüfung festzulegen, müssen Sie die Option Validiere E-Mail- 

Adressen mit Mailserver aktivieren. 

Sie haben hierbei die Möglichkeit, die Adressen des LDAP Verzeichnisses zu verwenden. 

Oder der SMTP Server prüft die Existenz der Adresse. 

Zusätzlich kann noch eine Datei mit E-Mail-Adressen hochgeladen werden. Dann 

kann die Prüfung gegen diese Liste geführt werden. 

Diese Liste kann auch von hier aus bearbeitet und auch wieder heruntergeladen werden. 

Abb. 112 Routing Einstellung im Dialog Mail Relay 


Security Solutions 110


Um E-Mails einer Domain einen bestimmten Mailserver zuzuweisen, klicken Sie auf 

den Button SMTP Routing hinzufügen. 

Es öffnet sich der Dialog SMTP Route hinzufügen. 

Tragen Sie im Feld Domain die gewünschte Domain ein. 

Tragen Sie im Feld Mailserver den Hostnamen oder die IP-Adresse des Mailservers 

ein. 


Abb. 113 SMTP Route hinzufügen 




9.3.4 Greylisting 

Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver- 

sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht 

versuchen die E-Mail ein weiteres Mal zuzustellen. 

Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse 

des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell- 

versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent- 

fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden. 

Diesmal wird die E-Mail angenommen. 

Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen. 

Stellen Sie in Automatisches Whitelisting ein, wie lange die Kombination der Versanddaten 

gespeichert werden, wenn eine E-Mail durch den zweiten Versand zugestellt 

wurde. 

Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversuchen 

liegen müssen. 

Abb. 114 Greylisting-Einstellungen 




9.3.4.1 Whitelist IP-Adressen 

In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen 

und schon beim ersten Zustellversuch weitergeleitet werden. 

Im Bereich IP Adressen / Netz können Sie E-Mails von bestimmten IP-Adressen und Netz- 

werken vom Greylisting ausnehmen. 

Tragen Sie im unteren Feld die gewünschte IP-Adresse ein. 

Wählen Sie aus dem Dropdown Feld die passende Subnetzmaske. 

Klicken Sei auf den Button IP Adressen / Netz hinzufügen. 

Die IP-Adresse wird in der Whitelist gespeichert. 

Abb. 115 Whitelist - IP-Adressen / Netzwerke 




9.3.4.2 Whitelist Domains 

Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen. 

Angaben werden nur in Second- und Top-Level-Domain vorgenommen. 

Tragen Sie im unteren Feld eine Domain ein. 

Klicken Sie auf den Button Domain hinzufügen. 

Die Domain wird in der Whitelist hinterlegt. 

Abb. 116 Whitelist – Domain 

Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die 

Domain des Hosts, der die E-Mail versenden möchte. 




9.3.4.3 Whitelist E-Mail Empfänger 

E-Mail an bestimmte Empfänger vom Greylisting ausnehmen. 

Tragen Sie im unteren Feld eine E-Mail-Adresse eines Empfängers ein. 

Klicken Sie auf E-Mail Empfänger hinzufügen. 

E-Mails an diesen Empfänger werden vom Greylisting ausgenommen. 

Abb. 117 E-Mail Empfänger vom Greylisting ausnehmen 

9.3.4.4 Whitelist E-Mail Absender 

E-Mails von definierten Absendern werden vom Greylisting ausgenommen. 

Tragen Sie im unteren Feld eine E-Mail-Adresse eines Absenders ein. 

Klicken Sie auf den Button E-Mail Sender hinzufügen. 

E-Mails von diesem Absender werden vom Greylisting ausgenommen. 

Abb. 118 E-Mail Absender vom Greylisting ausnehmen 




9.3.5 Domain Mapping 

Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge- 

schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse 

geändert wird. 

Zum Beispiel lautet die einkommende E-Mail-Adresse info@securepoint.de und soll umge- 

wandelt werden in info@securepoint.cc. 

Abb. 119 Domain Mapping Einstellungen 




Um eine Domain Mapping Regel hinzuzufügen, klicken Sie auf den Button Domain 

Mapping hinzufügen. 

Es erscheint der Dialog Domain Mapping hinzufügen. 

Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein. 

Geben Sie im Feld Ziel Domain die neue Domain ein. 


Abb. 120 Domain Mapping hizufügen 




9.3.6 Erweitert 

Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha- 

nismen vor Spam schützt. 

Abb. 121 Einstellungen auf der Registerkarte Erweitert 




9.3.6.1 Greeting Pause 

Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf 

eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle. 

Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese 

werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö- 

hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser- 

vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld 

abgewehrt. 

Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen 

Sie dafür den Button Editieren und tragen die IP-Adresse oder den Hostnamen des Mailser- 

vers ein. 

9.3.6.2 Recipient Flooding 

So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs- 

daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier- 

ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt. 

Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen- 

sammler. 

9.3.6.3 Limitierte Anzahl der Empfänger 

Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail. 

9.3.6.4 Limitierte Verbindungen 

Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli- 

ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell 

zur Appliance aufgebaut werden. 

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung 

nicht gilt. 

9.3.6.5 Rate Kontrolle 

Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines 

Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra- 

gen. 

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung 

nicht gilt. 




9.4 Spamfilter 

Die integrierte Securepoint Anti-Spam-Lösung filtert unerwünschte E-Mails (Spam) aus und 

setzt eine Kombination aus verschiedenen Verfahren ein, um eine möglichst hohe Erken- 

nungsrate zu erzielen. Der Securepoint Spamfilter untersucht jede E-Mail anhand von ver- 

schiedenen Kriterien und klassifiziert sie ab einer bestimmten Bewertung als Spam. 

Hierbei sind z. B. offensichtlich ungültige Absender, bekannte Spam-Textpassagen, HTML- 

Inhalt, in die Zukunft datierte Versanddaten nur einige Bewertungskriterien. Zusätzlich wird 

ein Spam-Pattern-File automatisch erstellt, das von dem selbstlernenden Spamfilter genutzt 

wird. 


Hier entscheiden Sie, welche Spamfilter Mechanismen Sie nutzen möchten. 

Die automatische Filterung benutzt ein Spamfilter Modul der Firma Commtouch. Diese hält 

eine ständig aktualisierte Spamdatenbank vor, gegen die die eingehenden E-Mails geprüft 

werden. 

Der Bayes Filter prüft anhand von klassifizierten/bewerteten Wörtern, ob die E-Mail eine 

Spammail ist. Damit dieser Filter möglichst viel Spam identifiziert, muss der Filter über das 

User-Interface trainiert werden, indem E-Mails als erwünscht (Ham) oder unerwünscht 

(Spam) klassifiziert werden. Durch dieses Klassifizieren lernt der Filter, welche Worte eine 

Spam- oder Ham-E-Mail signalisieren. 




Aktivieren Sie automatisch Spam filtern, wenn Sie das Commtouch Modul zur 

Spamfilterung einsetzen möchten. 

Aktivieren Sie die Checkbox Bayes Filter, um diesen Filtermechanismus zu aktivieren. 

Setzen Sie Werte für die folgenden Einstellungen: 

o Schwellenwert für Spam E-Mail: Aus den untersuchten Wörtern wird ein Wert 

berechnet, der zwischen 1-99 liegt. Eine 1 bedeutet eine hohe Ham- 

Wahrscheinlichkeit. Eine 99 eine hohe Spam-Wahrscheinlichkeit. 

o Abweichung bis zur Spam Definition: Wert zwischen 1und 99, der über die 

Klassifizierung von E-Mails entscheidet, deren Wörter noch nicht klassifiziert 

wurden. Ein mittlerer Wert besagt, dass eine E-Mail zu gleichen Teilen Ham oder 

Spam sein kann. Bekommen Sie sehr viel mehr Spam als Ham sollte ein höherer 

Wert eingestellt werden. 

Der Button Standardwerte setzt automatisch Werte für den Bayes Filter. 

Mit der Option E-Mail Inhalt für den Spam-Administrator nicht sichtbar kann der 

Spam-Administrator nur den Header einer E-Mail einsehen. 

Beachten Sie die Datenschutzbestimmungen, wenn Sie die Option abwählen. 

Die E-Mail Vorhaltezeit ist die Zeit in Tagen, die die E-Mails auf der Appliance gespeichert 

werden. 

Abb. 122 Angaben zu den Filtermechanismen 




9.4.2 Attachment Filter 

Sie können Anhänge von ausgehenden und eingehenden E-Mails blocken. Untersucht wer- 

den die Anhänge anhand ihrer Endung (z. B. .jpeg) oder anhand des MIME (Multipurpose 

Internet Mail Extensions) Typs, der in E-Mail Header angegeben ist. 

Sie können entweder die Option Alle Anhänge blocken wählen und per Whitelist 

Anlagen von der Filterung ausnehmen 

oder Sie wählen die Option Bestimmte Anhänge blocken und definieren per Blacklist 

die zu filternden Anlagen. 

Bei dieser Filterung werden nicht die E-Mails geblockt, sondern deren Anhänge von 

der E-Mail entfernt. Zur Kennzeichnung wird ein Nachrichtentext in die E-Mail eingefügt. 

Die Standardnachricht Attachments removed by Securepoint Firewall kann im 

Feld Nachricht editieren geändert werden. 

Abb. 123 Anhänge aus E-Mails löschen 




MIME Types können selbst eingeschrieben werden mit Typ und Subtyp (z. B. audio/mp3) 

oder Sie wählen einen vordefinierten Typ. 

Wenn Sie in der Whitelist oder Blacklist die Registerkarte MIME Types wählen, erscheint 

der Button Vordefiniert. Dieser öffnet den Dialog MIME Typ hinzufügen. 

Wählen Sie per Radiobutton einen Typ. 

Entscheiden Sie sich dann für einen Subtyp von der entsprechenden Dropdown Liste. 

Klicken Sie dann Hinzufügen. 

Der MIME Typ wird in der Whitelist oder Blacklist eingetragen. 

Abb. 124 vordefinierte MIME Typen 




9.4.3 Virenscan 

Sie können eingehende und ausgehende E-Mails auf Viren überprüfen. Wenn ein Virus ge- 

funden wird, wird dieser gelöscht. In der E-Mail wird die Entfernung eines Virus mit einer 

Nachricht in der E-Mail angezeigt. 

Aktivieren Sie die Option Anhänge in der Whitelist nicht scannen, um ausgewählte 

Anhänge von der Virussuche auszuschließen. 

Benutzen Sie die Whitelist zum Definieren der auszunehmenden Anhänge. 

Auch hier können Sie Dateiendungen der Anhänge und MIME Types angeben. Setzen 

Sie die MIME Types manuell oder wählen Sie den gewünschten Typ aus der Liste 

der vordefinierten Typen. 

Abb. 125 Ausnahmen von der Virensuche 




9.4.4 SMTP Einstellungen 

Auf der Registerkarte SMTP Einstellungen können Sie entscheiden, wie mit E-Mails verfah- 

ren wird, die als Spam erkannt wurden, einen Virus oder unerwünschten Anhang beinhalten. 

Wenn Sie Spam nicht blocken wollen, sondern nur markieren, aktivieren Sie die entsprechende 

Checkbox. 

Bearbeiten Sie bei Bedarf die Nachricht, die der Spammail in den Betreff zugefügt 

wird. 

Entscheiden Sie, ob ein- und ausgehende E-Mails mit einen Virus abgelehnt oder der 

Virus gelöscht und die E-Mails weitergeleitet werden sollen. 

Wählen Sie, ob ein- und ausgehende E-Mails mit einem unerwünschten Anhang abgewiesen 

oder der Anhang gelöscht und die E-Mails weitergeleitet werden sollen. 

Abb. 126 Aktionen füt betroffene E-Mails einstellen 




9.4.5 SMTP erweitert 

In den erweiterten Einstellungen für SMTP werden eine globale Whitelist und eine globale 

Blacklist angelegt. 

Die Einträge in den Listen können als einzelne IP-Adresse, als Domain oder als Host IP- 

Adressen bzw. Hostname angelegt werden. 

E-Mails von Whitelist-Einträgen werden ohne Prüfung auf Spam weitergeleitet. E-Mails von 

Blacklist-Einträgen werden ohne Prüfung abgewiesen. 

Tragen Sie auf den Registerkarten E-Mail vollständige E-Mail-Adressen ein. 

Auf den Registerkarten Domain tragen Sie Domains ein, die Sie weiterleiten bzw. 

blocken möchten. 

Auf der Registerkarte Host, tragen Sie Host IP-Adresse oder Hostnamen ein, von 

denen die E-Mails keiner Prüfung unterzogen werden. 

Abb. 127 allgemeine Whitelist und Blacklist 




9.4.6 POP3 Einstellungen 

Einstellungen für den POP3 E-Mail Abrufdienst. Hier können Sie einstellen, ob alle Postfä- 

cher auf Viren und unerwünschte Anhänge gescannt werden oder nur bestimmte Postfächer. 

Spammails werden mit einem Zusatz in der Betreffzeile markiert. Diesen Zusatz können 

Sie unter Editiere Betreff, wenn Spam, bearbeiten. 

Entscheiden Sie auf der linken Seite, ob alle oder nur bestimmet Postfächer auf Viren 

geprüft werden. 

Sollen nur bestimmte Postfächer gescannt werden, tragen Sie die Benutzer ein, deren 

Postfächer geprüft werden sollen. 

Entscheiden Sie auf der rechten Seite, ob alle oder nur bestimmte Postfächer auf unerwünschte 

Anhänge geprüft werden. 

Sollen nur bestimmte Postfächer gescannt werden, tragen Sie die Benutzer ein, deren 

Postfächer geprüft werden sollen. 

Abb. 128 Einstellungen für den POP3 Dienst 




9.5 VNC Repeater 

Virtual Networking Computing (VNC) Software kann den Bildschirminhalt eines entfernten 

Computers auf einem lokalen Rechner anzeigen. Die Tastatureingaben und Mausbewegun- 

gen des lokalen Computers werden an den entfernten Computer gesendet. Man kann also 

auf dem entfernten Computer arbeiten, als säße man direkt an diesen. Die Software arbeitet 

als Client-Server-Anwendung, wobei der entfernte Rechner den Server darstellt und der lo- 

kale Rechner den Client. Um diesen Verkehr durch die Firewall freizugeben, muss der Host- 

name oder die IP des entfernten Rechners angegeben werden und der Port, auf dem der 

Repeater arbeitet. 


Hier werden die vom Client (Viewer) und Server benutzten Ports hinterlegt. 

Geben Sie unter VNC Viewer Port den Port an, den der lokale VNC Repeater benutzt. 

Normalerweise ist dies der voreingestellte Port 5900. 

Tragen Sie in der Liste VNC Server Port den Port ein, den der entfernte VNC 

Repeater benutzt. 

Abb. 129 Angabe der verwendeten Ports 




9.5.2 VNC Server IP 

Wird die Verbindung vom Client initiiert, dann leitet der VNC-Proxy die Anfrage an die IP- 

Adresse des Servers weiter. 

Um eine Server IP hinzuzufügen, 

tragen Sie diese im Eingabefeld 

unterhalb der Liste ein. 

Klicken Sie anschließend auf Hinzufügen. 

Zum Löschen einer IP klicken Sie 

auf das Abfalleimersymbol neben 

der jeweiligen IP. 

9.5.3 VNC Server ID 

Abb. 130 Registerkarte VNC Server IP 

Baut der Server eine Verbindung zum VNC-Proxy auf, bekommt der Server eine ID zugewie- 

sen. Der Client verbindet sich über den Repeater mit dem Server und benutzt zur Identifizie- 

rung die Server ID. 

Um eine Server ID hinzuzufügen, 

tragen Sie diese im Eingabefeld 

unterhalb der Liste ein. 

Klicken Sie anschließend auf Hinzufügen. 

Zum Löschen einer ID klicken Sie 

auf das Abfalleimersymbol neben 

der jeweiligen ID. 

Abb. 131 Registerkarte VNC Server ID 




9.6 VoIP Proxy 

Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen. 

Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung 

und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten. 


Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client 

den Proxy erreicht. 

Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die 

Daten ins Internet übertragen soll. 

Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Regel 

5060). 

Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an. 

Geben Sie den Timeout zum SIP Servers des Providers an. 

Abb. 132 Registerkarte Allgemein des VoIP Proxy Dialogs 




9.6.2 Provider 

Stellen Sie hier die providerseitigen Daten ein. 

Unter Domain geben Sie die Domain des Providers ein. 

Unter Proxy geben Sie den SIP Proxy des Providers ein. 

Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel 

5060). 

Abb. 133 Registerkarte Provider des VoIP Proxy Dialogs 




9.7 IDS 

Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das 

Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver- 

dächtige Aktivitäten. 

Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten- 

bank verglichen, um Angriffe auf das Netzwerk zu erkennen. 

Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli- 

che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig. 

Wählen Sie im Dialog IDS die Regelsätze aus, gegen die das IDS die Signaturen 

vergleichen soll. 

Speichern Sie Ihre Auswahl mit Save. 

Der IDS Dienst wird danach neu gestartet. 

Abb. 134 Auswählen der Signaturklassen 




9.8 Nameserver 

Sie haben die Möglichkeit Anfragen an den lokalen Nameserver an andere Nameserver wei- 

terzuleiten. Von den externen Nameservern zurückgelieferte IP-Adressen werden dann an 

die anfragende Anwendung oder den anfragenden Dienst übermittelt. 

Wählen Sie in der Navigationsleiste Anwendungen und hier den Eintrag Nameserver. 

Es öffnet sich der Dialog Nameserver. 

Tragen Sie in das Textfeld im unteren Bereich des Dialogs die IP-Adresse eines externen 

Nameservers ein. 

Klicken Sie IP Adresse hinzufügen. 

Die IP-Adresse wird in die Liste aufgenommen. 

Sie können mehrere Nameserver eintragen und eingetragene Nameserver über das 

Abfalleimersymbol löschen. 

Klicken Sie Speichern, um die Änderungen zu speichern und den Dialog zu verlassen. 

Abb. 135 Nameserveranfragen weiterleiten 




9.9 Service Status 

Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von 

hieraus kann ein Dienst gestartet, gestoppt oder neu gestartet werden. 

Außerdem wird hier festgelegt, welche Dienste in einer Hochverfügbarkeitsumgebung beim 

Ausfall einen Wechsel auf die Sparemaschine auslöst. 

Bei einem aktiven Dienst ist die Schaltfläche An grün beschriftet. 

Bei einem inaktiven Dienst ist die Schaltfläche Aus rot beschriftet. 

Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf 

den Button An. 

Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes 

auf den Button Aus. 

Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes 

auf den Button Neu starten. 

Wenn Sie eine Hochverfügbarkeitsumgebung betreiben, setzen Sie für Dienste, die 

immer verfügbar sein sollen, die Option Cluster Protection auf An. 

Abb. 136 Übersicht der Dienste, deren Status und die Einstufung in kritische Anwendungen 



10 Menü VPN Securepoint 10 

10 Menü VPN 

Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei- 

genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut- 

zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN 

stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung 

übertragenen Datenpakete werden am Client verschlüsselt und von der Securepoint Firewall 

wieder entschlüsselt und umgekehrt. 

Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits- 

grad und Komplexität unterscheiden. 

Abb. 137 Dropdownmenü des Menüpunktes VPN 


IPSec Assistent Assistent zum Erstellen einer IPSec VPN Verbindung. 

IPSec Globale 

Einstellungen 

IPSec 

Verbindungen 

Allgemeine Einstellungen für alle IPSec Verbindungen. 

Editieren und Löschen von IPSec Verbindungen. 

L2TP Kombination und Weiterentwicklung von PPTP und L2F. 

Wird von Windows unterstützt. 

PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Ver- 

schlüsselung. Wird direkt von Windows unterstützt. 

SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll. 




10.1 IPSec Assistent 

Der Assistent zur Erstellung von IPSec VPN Verbindungen führt Sie Schritt für Schritt durch 

die einzelnen Konfigurationspunkte. 

Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site- 

oder eine Roadwarrior-Verbindung. 

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz- 

werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle. 

Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem 

lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem 

Netzwerk der Zentrale. 

10.1.1 Site-to-Site 

Klicken Sie in der Navigationsleiste auf VPN und im erscheinenden Dropdownmenü 

auf den Eintrag IPSec Assistent. 

Es öffnet sich der Dialog IPSec Assistent à IPSec Verbindung erstellen. 

Wählen Sie den VPN Typ 

Site-to-Site à Verbindet Ihr lokales Netzwerk mit einem entfernten Netzwerk. 

Klicken Sie auf Weiter. 

Abb. 138 Art der VPN Verbindung wählen 




Geben Sie im Feld Verbindungsname einen Namen für die VPN Verbindung ein. 

Im Feld Gateway tragen Sie die IP-Adresse oder den Hostnamen des entfernten 

Netzwerkes ein. 

Aktivieren Sie die Checkbox Hostname per DynDNS auflösen, wenn die Gegenstelle 

einen DynDNS Dienst benutzt. 

Klicken Sie dann auf Weiter. 

Abb. 139 Namen der Verbindung und Gateway eintragen 

Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen 

Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin- 

dungspartnern bekannt ist. 

Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA 

Schlüssel. 

Preshared Key Verfahren 

Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key 

(PSK) ein. 

Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten 

und markieren den entsprechenden Radiobutton. 


Abb. 140 Authentifizierung per PSK und IKEv1 




Zertifikat Authentifizierung 

Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem 

Dropdownfeld ein Serverzertifikat aus. 

Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten 

und markieren den entsprechenden Radiobutton. 


Abb. 141 Authentifizierung per Zertifikat und IKEv2 

RSA Authentifizierung 

Markieren Sie den Radiobutton Local RSA Schlüssel und wählen Sie aus dem 

Dropdownfeld einen RSA Schlüssel für die Firewall aus. 

Wählen Sie aus dem Dropdownfeld Remote RSA Schlüssel den öffentlichen 

Schlüssel der Gegenstelle aus. Diesen müssen Sie vorher importiert haben (siehe 

Kapitel 11.3). 

Als IKE (Internet Key Exchange) Version ist nur Version 1 nutzbar. 


Abb. 142 Authentifizierung per RSA Schlüssel und IKEv1 




Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, 

daher müssen Sie diese hier auswählen. 

Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga- 

teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem 

Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec Verbindungen edi- 

tiert werden (siehe Howto IPSec Gateway to Gateway Zertifikate - Version 10 Kapitel 2.7). 

Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die 

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0). 

Durch den Button mit dem Werkzeugschlüssel können Sie auch Werte eingeben, 

die nicht in der Auswahlliste eingetragen sind. 

Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Hostnamen 

der Gegenstelle. 

Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den 

vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf 

jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec Verbindungen eintragen. 

Editieren Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden 

Zertifikatsdaten aus dem Dropdownfeld Remote Gateway ID. 

Klicken Sie Weiter. 

Abb. 143 Wahl der lokalen und entfernten Gateway ID 




Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei- 

nander verbinden möchten. 

In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein 

und wählen unter Lokale Maske die passende Subnetzmaske aus. 

In dem Feld Ziel Netzwerk wählen Sie das zu verbindende entfernte Netzwerk und 

wählen im Feld Ziel Maske die passende Subnetzmaske aus. 

Wenn Sie die Checkbox Firewall Regeln automatisch erstellen aktivieren, werden 

Firewallregeln für diese Verbindung automatisch angelegt. 

Klicken Sie auf Fertigstellen, um die Erstellung der Site-to-Site Verbindung abzuschließen. 

Abb. 144 zu verbindende Subnetze angeben 




10.1.2 Site-to-End (Roadwarrior) 

Klicken Sie in der Navigationsleiste auf VPN und im erscheinenden Dropdownmenü 

auf den Eintrag IPSec Assistent. 

Es öffnet sich der Dialog IPSec Assistent à IPSec Verbindung erstellen. 

Wählen Sie den VPN Typ 

Roadwarrior à Ein oder mehrere entfernte Computer können sich mit dem 

lokalem Netzwerk verbinden. 


Abb. 145 Verbindungstyp auswählen 

Geben Sie im Feld Verbindungsname einen Namen für die VPN Verbindung ein. 

Klicken Sie dann auf Weiter. 

Abb. 146 Namen für die Verbindung vergeben 




Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit 

L2TP (Layer 2 Tunneling Protocol) zu erstellen. 

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs- 

system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec. 

10.1.2.1 natives IPSec 

Aktivieren Sie den Radiobutton Native IPSec. 


Abb. 147 natives IPSec auswählen 




Entscheiden Sie als nächstes, ob Sie zur Authentifizierung einen Preshared Key, ein Zertifi- 

kat oder ein RSA Schlüssel und welche IKE Version Sie benutzen möchten. 

Für einen Preshared Key aktivieren Sie den Radiobutton Preshared Key und tragen 

den Schlüssel in das dahinter liegende Feld ein. 

Für ein Zertifikat aktivieren Sie den Radiobutton x.509 Zertifikat und wählen aus dem 

Dropdownfeld ein Serverzertifikat. 

Für einen RSA Schlüssel aktivieren Sie den Radiobutton Local RSA Schlüssel und 

wählen aus dem Dropdownfeld den lokalen RSA Schlüssel aus. 

Im Dropdownfeld Remote RSA Schlüssel wählen Sie den Schlüssel der Gegenstelle 

aus. Diesen müssen Sie vorher importieren (siehe Kapitel 11.3). 

Entscheiden Sie sich für IKEv1 oder IKEv2 und aktivieren Sie den entsprechenden 

Radiobutton. 

Wenn Sie eine Authentifizierung über RSA Schlüssel aktiviert haben, ist nur IKEv1 

verfügbar. 


Abb. 148 Authentifizierung per Zertifikat und IKEv2 




10.1.2.1.1 IKEv1 

Wenn Sie IKEv1 gewählt haben, müssen Sie das lokale Netzwerk und eine IP-Adresse für 

den Roadwarrior angeben. 

Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior 

verbindet. 

Im Feld Lokale Maske wählen Sie eine entsprechende Subnetzmaske aus. 

Vergeben Sie aus dem Subnetz eine IP-Adresse für den Roadwarrior in dem Feld 

Roadwarrior IP Adresse. 

Aktivieren Sie die Checkbox Firewall Regeln automatisch erstellen, um für diese 

Verbindung automatisch Firewallregeln anlegen zu lassen. 

Klicken Sie Fertigstellen, um den Wizard zu beenden. 

Abb. 149 definieren des lokalen Netzwerks und setzen der Roadwarrior IP 




10.1.2.1.2 IKEv2 

Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den 

Roadwarrior oder einen VPN Adresspool angeben. 

Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior 

verbindet. 

Im Feld Lokale Maske wählen Sie eine entsprechende Subnetzmaske aus. 

Möchten Sie nur einen Roadwarrior den Zugriff gestatten, aktivieren Sie den Radiobutton 

Einzelne Roadwarrior IP-Adresse und tragen eine IP-Adresse in das Feld 

ein. 

Möchten Sie mehreren Roadwarrior den Zugriff gestatten, aktivieren Sie den Radiobutton 

Adressen- Pool und tragen eine IP-Adresse für den Adresspool und eine zugehörige 

Subnetzmaske ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl 

eine IP-Adresse zugewiesen. 

Aktivieren Sie die Checkbox Firewall Regeln automatisch erstellen, um für diese 

Verbindung automatisch Firewallregeln anlegen zu lassen. 

Klicken Sie Fertigstellen, um den Wizard zu beenden. 

Abb. 150 Eingaben für IKEv2 




10.1.2.2 L2TP 

L2TP ist die Kombination aus PPT Protokoll und L2F Protokoll. Da L2TP über keine Authen- 

tifizierungs-, Integritäts- und Verschlüsselungsmechanismen verfügt, wird es in Kombination 

mit IPSec angewendet. 

Aktivieren Sie den Radiobutton IPSec Verbindung mit L2TP. 


Abb. 151 L2TP Verfahren ausgewählt 




Wählen Sie im nächsten Schritt aus, welches Authentifizierungsverfahren angewendet wer- 

den soll. 

Aktivieren Sie für einen gemeinsam genutzten Schlüssel den Radiobutton Preshared 

Key und tragen diesen in das zugehörige Feld ein. 

Für eine Authentifizierung per Zertifikate, aktivieren Sie den Radiobutton x.509 Zertifikat 

und wählen aus dem Dropdownfeld ein Serverzertifikat. 

Für einen RSA Schlüssel aktivieren Sie den Radiobutton Local RSA Schlüssel und 

wählen aus dem Dropdownfeld den lokalen RSA Schlüssel aus. 

Im Dropdownfeld Remote RSA Schlüssel wählen Sie den Schlüssel der Gegenstelle 

aus. Diesen müssen Sie vorher importieren (siehe Kapitel 11.3). 


Abb. 152 Auswahl des Authentifizierungsverfahrens 




Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, 

daher müssen Sie diese hier auswählen. 

Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die 

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0). 

Durch den Button mit dem Werkzeugschlüssel können Sie auch Werte eingeben, 

die nicht in der Auswahlliste eingetragen sind. 

Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich 

bei Roadwarrior immer um eine dynamische IP-Adresse handelt. 

Klicken Sie Weiter. 




Danach wird ein Adresspool für die Roadwarrior definiert und die IP-Adressen der DNS Ser- 

ver angegeben. 

Geben Sie die lokale IP-Adresse im Feld Lokale L2TP IP Adresse an. 

Unter L2TP Adressen-Pool geben Sie den Adressbereich für die Roadwarrior an. 

Tragen Sie die IP-Adressen des ersten und zweiten DNS Servers in die Felder Primärer 

und Sekundärer Nameserver ein. 


Abb. 153 Definieren des Adressbereichs und Angabe der DNS Server 

Im letzten Schritt haben Sie die Möglichkeit einen L2TP Benutzer anzulegen. 

Wenn Sie dies nicht nutzen wollen, lassen Sie die Felder leer und klicken Sie auf Finish, um 

die IPSec Verbindung anzulegen. 

Tragen Sie unter Login Name den Namen ein, mit dem sich der Benutzer anmeldet. 

Den vollständigen Namen des Benutzers geben Sie im Feld Name an. 

Vergeben Sie ein Kennwort für den Benutzer im Feld Kennwort und bestätigen Sie 

dieses durch wiederholte Eingabe im Feld Kennwort bestätigen. 

Klicken Sie auf Fertigstellen, um die IPSec Verbindung und den Benutzer anzulegen. 

Abb. 154 L2TP Benutzer anlegen 




10.2 IPSec globale Einstellungen 

Im Abschnitt IPSec globale Einstellungen können Einstellungen für alle IPSec VPN Ver- 

bindungen festgelegt werden. 

10.2.1 Allgemein 

Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese 

Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden, 

so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut- 

zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten. 

Abb. 155 globale Einstellungen für IPSec Verbindungen 




10.2.2 IKEv2 

Das Internet Key Exchange (IKE) Protokoll wird zum Verwalten und Austauschen von IPSec 

Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung 

der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der 

Generierung der Schlüssel. Die Komplexität dieses Protokolls erschwert die Konfiguration 

einer IPSec Verbindung gerade mit verschiedenen Endgeräten. 

Die neue Version des IKE Protokolls (IKEv2) entschärft diese Komplexität, ermöglicht einen 

schnelleren Verbindungsaufbau und eine stabilere Verbindung. Mittlerweile wird diese Versi- 

on von vielen Programmen unterstützt und ist auch in Microsoft Windows 7 implementiert. 

In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der 

Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt 

werden. 

Abb. 156 globale IKEv2 Einstellungen 




10.3 IPSec 

Im Dialog IPSec sind alle nativen IPSec und L2TP VPN Verbindungen aufgelistet. 

Von dieser Liste aus können die Verbindungen bearbeitet, gelöscht, geladen, gestartet und 

gestoppt werden. Außerdem können Sie den Status der Verbindungen ablesen. 

Für L2TP werden mit der Erstellung durch den IPSec Wizard jeweils zwei Verbindungen an- 

gelegt. Eine trägt den von Ihnen vergebenen Namen und die zweite den Zusatz _2 . 

Bsp: Außendienst_Meyer 

Außendienst_Meyer_2 

Die zweite Verbindung ist für Clients, die Microsoft Windows Vista benutzen. Das Betriebs- 

system erfordert als weiteren Parameter ein Subnetz. 

Die Appliance entscheidet beim Verbindungsaufbau des Clients, welche der Verbindungen 

zu nutzen ist. 

10.3.1 Verbindungen bearbeiten 

Eine IPSec Verbindung ist in zwei Phasen aufgeteilt. 

In der ersten Phase handeln die beiden Verbindungspartner die Verschlüsselungsvereinba- 

rung und Authentifizierung aus. Das Internet Key Exchange (IKE) Protokoll definiert dabei, 

wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden. 

In der zweiten Phase wird neues Schlüsselmaterial ohne Einbezug von vorherigen Schlüs- 

seln erzeugt. So kann von vorherigen Schlüsseln nicht auf die neuen Schlüssel geschlossen 

werden. 

10.3.1.1 Phase 1 

In den Einstellungen für die erste Phase sind die grundlegenden Verbindungsdaten gespei- 

chert. 


Registerkarte Allgemein 

Lokales Gateway Wählen Sie hier das lokale Gateway aus oder benutzen Sie die 

Standardroute. 

Route over Hier können Sie die Verbindung über ein bestimmtes Interface 

routen 




Lokale Gateway ID ID der Appliance. 

Bei ppp0/eth0 wird als Firewall ID die IP-Adresse des Interface 

gesendet.Sie können dort auch einen Hostnamen hinterlegen (z. 

B. den DynDNS Namen). 

Remote Host/Gateway entferntes VPN Gateway oder Host (Name oder IP- Adresse) 

DynDNS Name Abfrage, ob die Gegenstelle einen DynDNS Namen benutzt. 

Remote Host/Gateway 

ID 

entferntes VPN Gateway oder Host (Name oder IP- Adresse) 

Bei einer Site-to-Side Verbindung mit Authentifizierung über Zerti- 

fikat und IKEv2 müssen hier die Zertifikatsparameter des entfern- 

ten Gateways ausgewählt werden. 

Authentifizierung Gibt an, welches Authentifizierungsverfahren genutzt wird. 

Lokaler Schlüssel/ 

Lokales Zertifikat 

Key (PSK/Schlüssel) oder Certificate (Zertifikat). 

In Abhängigkeit vom Authentifizierungsverfahren ist hier der loka- 

le Schlüssel (PSK) oder der Name des Zertifikats anzugeben. 

initiiere Verbindung Nur bei einer Site-to-Site Verbindung aktivieren. 

Dead peer detection Durch Verwendung dieser Option wird erkannt, wenn die Verbin- 

dung zur Gegenstelle unvorhergesehen abgebrochen wurde. Wird 

ein Abbruch bemerkt, wird der Tunnel vollständig beendet, um 

einen Wiederaufbau der Verbindung zu gewährleisten. 

Registerkarte IKE 

Verschlüsselung Verschlüsselungsverfahren 

Authentifizierung Hashverfahren 

Strict Wenn aktiviert, dann muss die Gegenstelle genau die gleichen 

Schlüssel und Hash Einstellungen benutzen (betrifft Phase 1 und 

Phase 2). 

DH Group Angabe der Schlüssellänge des Diffie Hellmann Schlüssels. 

IKE life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8 

Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheits- 

gründen nötig. Dies wird automatisch initiiert. 

Schlüsselversuche Gibt an, wie oft versucht werden soll, eine Verbindung aufzubau- 

en (im Abstand von 20 Sekunden). 

unlimited à Es wird fortlaufend versucht eine Verbindung aufzu- 

bauen. 

three times à Es wird dreimal versucht eine Verbindung aufzu- 

bauen. 




10.3.1.2 Phase 2 


Registerkarte Allgemein 

Verschlüsselung Verschlüsselungsverfahren 

Authentifizierung Hashverfahren 

PFS Perfect Forward Secrecy 

Neue Schlüssel müssen völlig unabhängig von den Vorgänger- 

schlüsseln generiert werden, damit von alten Schlüsseln nicht auf 

neue geschlossen werden kann. 

Key life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8 

Lokales Netz/ 

Lokale Maske 

Remote Netz/ 

Remote Maske 

Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheits- 

gründen nötig. Dies wird automatisch initiiert. 

Registerkarte Native IPSec 

Angabe des lokalen Netzes, welches per VPN mit dem entfernten 

Netzt verbunden wird. 

Angabe des entfernten Netzes, welches per VPN mit dem lokalen 


Registerkarte L2TP 

L2TP Subnet Lokales Subnetz für L2TP Verbindungen angeben. 

Lokales Netz/ 

Lokale Maske 

Adressen-Pool/ 

AP Maske 

Nur bei L2TP Verbindungen mit Windows Vista oder MacOSX, 

wenn der Client hinter einem Router steht. 

Registerkarte Adressen-Pool 

Angabe des lokalen Netzes, welches per VPN mit dem entfernten 


Angabe des Adressbereichs und der Adressen-Pool Maske aus 

dem der Roadwarrior eine Adresse bezieht. 




10.4 L2TP 

In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt 

werden. 

Klicken Sie im VPN Dropdownmenü auf den Eintrag L2TP. 

Es öffnet sich der Dialog VPN L2TP. 

Auf der Registerkarte Allgemein finden Sie allgemeine Einstellungen. 

Bei Lokale L2TP IP geben Sie eine IP an, die vom L2TP Interface benutzt werden 

soll. 

Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuelle 

Adresse an das externe Interface gebunden. 

Unter L2TP Adressen-Pool können Sie den L2TP Adressbereich einstellen. 

Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen. 

Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs. 

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert 

haben, überprüfen Sie vor dem Abspeichern den Endwert. 

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten. 

Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu authentifizieren 

haben. Möglich ist eine Authentifizierung an der lokalen Datenbank der 

Appliance, an einem Radius Server oder beim Active Directory. 

Unter An Schnittstelle binden können Sie festlegen, über welches Interface die Pakete 

dieser Verbindung geroutet werden sollen. 

Abb. 157 IP-Adresse, Adresspool und Authentifizierungsmechanismus festlegen 




Um dem L2TP Netzwerk mitzuteilen, wo die Nameserver zu finden sind, tragen Sie auf der 

zweiten Registerkarte bitte die zugehörigen IP-Adressen ein. 

Wechseln Sie auf die Registerkarte DNS/WINS. 

Tragen Sie Im Feld Primärer Nameserver die IP-Adresse des lokalen DNS-Servers 

ein und im Feld Sekundärer Nameserver die IP-Adresse des zweiten DNS-Servers, 

wenn ein solcher verwendet wird. 

Wenn Sie über einen WINS (Windows Internet Name Service) Server verfügen, tragen 

Sie die entsprechende IP-Adresse im Feld Primärer WINS-Server und ggf. im 

Feld Sekundärer WINS-Server ein. 

Speichern Sie die Werte mit Speichern. 

Abb. 158 IP-Adressen der DNS und WINS Server hinterlegen 




10.5 PPTP 

In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt 

werden. 

Klicken Sie im VPN Dropdownmenü auf den Eintrag PPTP. 

Es öffnet sich der Dialog VPN PPTP. 

Auf der Registerkarte Allgemein finden Sie allgemeine Einstellungen. 

Bei Lokale PPTP IP geben Sie eine IP an, die vom PPTP Interface benutzt werden 

soll. 

Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuelle 

Adresse an das externe Interface gebunden. 

Unter PPTP Adressen-Pool können Sie den PPTP Adressbereich einstellen. 

Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen. 

Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs. 

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert 

haben, überprüfen Sie vor dem Abspeichern den Endwert. 

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten. 

Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen eine Radius Datenbank 

oder gegen die lokale Datenbank authentifiziert werden sollen. 

Abb. 159 IP-Adresse, Adresspool und Aktivierung der Radius-Datenbank bzw. lokalen Datenbank 




Um dem PPTP Netzwerk mitzuteilen, wo die Nameserver zu finden sind, tragen Sie auf der 

zweiten Registerkarte bitte die zugehörigen IP-Adressen ein. 

Wechseln Sie auf die Registerkarte DNS/WINS. 

Tragen Sie Im Feld Primärer Nameserver die IP-Adresse des lokalen DNS-Servers 

ein und im Feld Sekundärer Nameserver die IP-Adresse des zweiten DNS-Servers, 

wenn ein solcher verwendet wird. 

Wenn Sie über einen WINS (Windows Internet Name Service) Server verfügen, tragen 

Sie die entsprechende IP-Adresse im Feld Primärer WINS-Server und ggf. im 

Feld Sekundärer WINS-Server ein. 

Speichern Sie die Werte mit Speichern. 

Abb. 160 IP-Adressen der DNS und WINS Server 




10.6 SSL VPN 

In diesem Dialog werden die globalen Einstellungen für SSL VPN Verbindungen gesetzt. 

Tragen Sie im Feld SSL VPN IP die gewünschte IP-Adresse des virtuellen Interface 

ein. 

Da diese VPN Verbindung über ein eigenes virtuelles Interface hergestellt wird, ist 

der Adresspool von der IP-Adresse des tun Interface abhängig. Ändern Sie hier die 

IP-Adresse wird auch die IP-Adresse des tun Interface geändert. 

Tragen Sie außerdem im Feld Netzmaske die passende Subnetzmaske ein. 

Wenn Sie Multipath Routing benutzen, binden Sie den Dienst an ein Interface im Feld 

An Schnittstelle binden. 

Im Feld SSL VPN Port wird der Port angegeben, den das VPN benutzen soll. 

Der Standardport 1194 ist schon gesetzt. 

SSL VPN benutzt standardmäßig als Protokoll udp. Sie können im Feld SSL VPN 

Protokoll auch auf das Protokoll tcp wechseln, dies wird aber nicht empfohlen, weil 

dadurch ein großer Overhead produziert wird. (Um die gleiche Menge Daten zu übertragen, 

müssen mehr Pakete übermittelt werden). 

Im Feld SSL-VPN Zertifikate müssen Sie ein Serverzertifikat auswählen, mit dem 

sich die Appliance als SSL VPN Server autorisiert. Dieses Zertifikat muss mit der Option 

Server Authentifizierung erstellt worden sein. 

Im Feld Authentifizierung wählen Sie aus der Dropdownbox, gegen welche Datenbank 

sich die Benutzer authentifizieren sollen (lokal oder Radius). 

Auf der Registerkarte DNS tragen Sie den ersten (Primären DNS) und zweiten (Sekundären 

DNS) Domain Name Service Server ein. 

Abb. 161 allgemeine Einstellungen für das SSL VPN 

Abb. 162 Mitteilung der DNS Server IP-Adressen 



11 Menü Authentifizierung Securepoint 10 

11 Menü Authentifizierung 

In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer- 

dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen. 

Abb. 163 Dropdownmenü des Menüpunktes Authentifizierung 


Benutzer Benutzerverwaltung 

Externe 

Authentifizierung 

Einstellung für externe Authentifizierungsmechanismen. 

RSA Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung. 

Zertifikate Zertifikatsverwaltung 




11.1 Benutzer 

Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei- 

genschaften von bestehenden Benutzern ändern oder Nutzer löschen. 

Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen, real Namen 

und die Benutzerrechte in Binärformat. 

Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der 

Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer. 

Abb. 164 Auflistung der angelegten Benutzer 

Wenn Sie den Mauszeiger über einen Benutzer in der Liste führen, werden die gesetzten 

Benutzerrechte und eventuell zugewiesene VPN IP-Adressen in einer Infobox angezeigt. 

Diese Funktion können Sie durch Aktivierung der Checkbox Infobox deaktivieren abschal- 

ten. 

Abb. 165 Infobox mit den gesetzten Attributen des Benutzers dagobert 





Register Allgemein 

Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den 

Button Hinzufügen. 

Es öffnet sich der Dialog Benutzer hizufügen. 

Tragen Sie unter Login den Loginnamen des Nutzers ein. 

Im Feld Name tragen Sie den realen Namen des Benutzers ein. 

Vergeben Sie im Feld Kennwort ein Kennwort und bestätigen Sie dieses durch 

nochmalige Eingabe im Feld Kennword bestätigen. 

Im Bereich Gruppen vergeben Sie durch Aktivieren der jeweiligen Checkboxes 

Gruppenmitgliedschaften für den neuen Benutzer. 

Abb. 166 Grundeinstellung für einen neuen Nutzer 

Bezeichnung Binär Erklärung 

Firewall Admin 000000001 Administrator der Firewall 

VPN PPTP 000000010 Benutzer einer PPTP VPN Verbindung 

VPN L2TP 000000100 Benutzer einer L2TP VPN Verbindung 

Spamfilter User 000001000 Administrator des Spamfilters 

SPUVA User 000010000 Benutzer authentifiziert sich per Securepoint User Verifi- 

cation Agent 

HTTP Proxy 000100000 Benutzer des HTTP Proxy 

User-Interface 001000000 Benutzer des Firewall User Interfaces 

SSL VPN 010000000 Benutzer einer SSL VPN Verbindung 

SMTP Relay User 100000000 Benutzer des SMTP Mail Relays 





Register VPN 

Wenn der Benutzer sich per L2TP oder PPTP VPN mit der Appliance verbindet, haben Sie 

hier die Möglichkeit dem Benutzer eine IP-Adresse für diese Verbindung zuzuweisen. Beach- 

ten Sie dabei, dass die Adresse aus dem VPN Adresspool stammen sollte. 

Ist der Benutzer SSL VPN Benutzer, muss für den Benutzer eine VPN Adresse angelegt 

werden. 

Geben Sie eine IP-Adresse für L2TP und PPTP VPN Nutzer an, die diese im Tunnel 

nutzen. 

Diese Angabe ist optional. 

Handelt es sich um einen SSL VPN Nutzer, muss eine Tunnel IP-Adresse angegeben 

werden. 

Diese müssen im gleichen Netz wie das tun0 Interface liegen (standardmäßig 

192.168.250.xxx). 

Der letzte Teil der IP-Adresse muss nach folgender Vorschrift gewählt werden: 

Ein Vielfaches von 4 minus 2. 

Formel: x = ( 4 * y ) – 2 

Somit darf der letzte Teil der IP-Adresse folgende Werte annehmen: 

{6; 10; 14; …; 246; 250; 254} 

Abb. 167 Angabe einer festen VPN IP-Adresse 





Register VPN Client 

Diese Registerkarte wird aktiviert, wenn der Benutzer in der Gruppe SSL-VPN-Nutzer ist. 

Über diese Einstellungen können Sie dem Nutzer ermöglichen, einen vorkonfigurierten SSL- 

VPN-Client mit dem zugehörigen Zertifikat im User-Interface herunterzuladen. Bedingung 

hierfür ist, dass der Benutzer auch Mitglied in der Gruppe User-Interface ist. 

Wenn der Benutzer dieses Gruppenrecht nicht besitzt, können Sie trotzdem den Client vor- 

konfigurieren lassen, herunterladen und an den SSL VPN Nutzer weiterreichen. 

Aktivieren Sie die Checkbox VPN Client aktivieren, um die Vorkonfiguration zu aktivieren. 

Wählen Sie im Bereich SSL VPN Zertifikat aus dem Dropdownfeld Zertifikat ein 

Nutzerzertifikat. Wenn hier noch kein Zertifikat angezeigt wird, müssen Sie zuerst eines 

erstellen (siehe Kapitel 11.4.2). 

Wählen Sie im Bereich SSL VPN Gateway eine IP-Adresse oder einen Hostnamen 

für den Zugang des SSL VPN Dienstes der Appliance. 

Wählen Sie entweder aus der oberen Dropdownbox einen dynamischen DNS Eintrag 

oder geben Sie eine IP-Adresse bzw. einen Hostnamen in dem Feld Alternative 

ein. 

Die Option Standardgateway für das Remotenetzwerkverwenden leitet den gesamten 

Internetverkehr des VPN Nutzers über die Appliance. 

Über den Button Client herunterladen können Sie den vorkonfigurierten VPN Client 

als Zip-Archiv herunterladen. 

Abb. 168 Angaben für den SSL VPN Client 





Register Spamfilter 

Ist der Benutzer in der Gruppe Spamfilter User, dann können Sie noch auf der Registerkar- 

te Spamfilter, die Zugriffsrechte beschränken. Sie können Beschränkungen für einzelne E- 

E-Mail-Adressen oder Domains anlegen. Es können bis zu drei Eintragungen vorgenommen 

werden. Wenn keine Beschränkung eingetragen wird, kann der Benutzer auf alle E-Mails 

zugreifen. 

Geblockte Anhänge werden in den Standardeinstellungen nicht angezeigt. Möchte Sie diese 

anzeigen, müssen Sie dies hier aktivieren. 

Beschränkungen auf einzelne E-Mail-Adressen werden mit der gesamten E-Mail-Adresse 

vorgenommen. z.B. max.mustermann@beispiel.de 

Beschränkungen auf eine Domain werden mit führenden „at“ Zeichen angegeben. 

z.B. @beispiel.de 

Wechseln Sie auf die Registerkarte Spamfilter und beschränken Sie die Ansicht des 

Spamfilter-Interface auf einzelne E-Mail-Adressen oder Domains. 

Wenn Sie möchten, dass geblockte Anhänge angezeigt werden, aktivieren Sie die 

Checkbox Geblockte Dateianhänge im Spamfilter anzeigen. 

Diese Einstellungen sind nur für einen Benutzer der Gruppe Spamfilter User relevant. 

Abb. 169 Einschränkung der Ansicht des Spamfilter Interfaces 





Register Extras 

Auf dieser Registerkarte können Sie Angaben zum Kennwort machen. Ob der Benutzer sel- 

ber das Kennwort ändern darf, die minimale Länge des Kennworts, ob Ziffern, Sonderzei- 

chen und Groß- und Kleinbuchstaben verwendet werden müssen. 

Das Passwort kann der Benutzer nur im User-Interface ändern. 

Diese Einstellungen gelten nur für das User-Interface nicht für die Benutzerverwaltung des 

Administrator-Interface. 

Entscheiden Sie im Feld Benutzer darf Kennwort ändern, ob der Benutzer sein 

Kennwort im User-Interface selber ändern darf. 

Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge. 

Entscheiden Sie welche Zeichen das Kennwort enthalten muss: 

Ziffern 

Sonderzeichen 

Groß- und Kleinbuchstaben 

Speichern Sie alle Einstellungen mit Speichern. 

Abb. 170 Anlegen der Kennworteigenschaften 




11.2 Externe Authentifizierung 

Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch- 

führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die 

Anmeldung an einen Radius- oder einen LDAP-Server. 

Für den HTTP-Proxy kann außerdem eine Authentifizierung über den Kerberos-Dienst ge- 

wählt werden. 

11.2.1 Radius 

Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius Server ein. 

Tragen Sie unter IP Adresse oder Hostname die IP-Adresse oder den Hostnamen 

des Radiusservers ein. 

Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den 

Radius Server ein. 

Bestätigen Sie dieses durch wiederholte Eingabe im Feld Gemeinsamen Schlüssel 

bestätigen. 


Abb. 171 Eingaben für die Authentifizierung gegen einen Radius-Server 




11.2.2 LDAP Server 

Wechseln Sie auf die Registerkarte LDAP. 

Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP Adresse 

oder Hostname ein. 

Tragen Sie die Server Domäne im Feld Domain ein. 

Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein. 

Geben Sie unter Benutzer Kennwort Ihr Kennwort ein und bestätigen Sie dieses 

durch wiederholte Eingabe im Feld Benutzer Kennwort bestätigen. 

Abb. 172 Eingaben für die Authentifizierung gegen einen LDAP-Server 

Wenn Sie LDAP Authentifizierung bei HTTP-Proxy oder L2TP verwenden, müssen Sie im 

Active Directory (AD) neue Gruppen erzeugen und Benutzer, denen Sie den Zugriff erlauben 

wollen, müssen Mitglieder der Gruppe sein. 

HTTP-Proxy à Gruppe im AD SecurepointHttp 

L2TP à Gruppe im AD SecurepointL2tp 




11.2.3 Kerberos 

Der Kerberos Authentifizierungsdienst autorisiert den Zugriff auf den HTTP Proxy. Dabei 

authentifiziert er nicht nur den Client gegenüber dem Server sondern auch den Server ge- 

genüber dem Client. 

Wechseln Sie auf die Registerkarte Kerberos. 

Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie 

den Zugriff erlauben möchten. 

Unter Domain tragen Sie den Domainnamen ein. 

Im Feld AD Server geben Sie die IP-Adresse des Rechners an, auf dem der Kerberos-Dienst 

läuft. 

Die IP-Adresse des verwendeten DNS Servers geben Sie im Feld Primärer Nameserver 

an. 

Unter Administrator Konto und Kennwort tragen Sie den Administrator des Kerberos-Dienstes 

ein und das zugehörige Kennwort. 

Wiederholen Sie die Eingabe des Kennwortes im Feld Kennwort bestätigen. 

Sichern Sie die Eingaben mit Speichern. 

Abb. 173 Eingaben für die Authentifizierung durch den Kerberos-Dienst 




11.3 RSA Schlüssel 

Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs- 

verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be- 

nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten 

Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender 

herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte 

Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer- 

den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen 

Auslesen des Schlüssels codiert. 

Abb. 174 schematische Darstellung einer RSA Verschlüsselung 

Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur 

zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich. 

Die RSA Schlüssel werden von der Securepoint Appliance erzeugt. Sie könnten aber auch 

das Programm OpenSSL benutzen. 




11.3.1 Auflistung der RSA Schlüssel 

Gehen Sie in der Navigationsleiste auf den Punkt Authentifizierung und klicken Sie 

im Dropdownmenü auf den Eintrag RSA Schlüssel. 

Es öffnet sich der Dialog RSA Schlüssel, der alle gespeicherten RSA Schlüssel auflistet. 

Neben dem Namen und dem Hashwert ist auch die Schlüssellänge in Bit angegeben. 

Außerdem ist gekennzeichnet, ob der Schlüssel privat ist. Ist in der Spalte Privat ein 

P eingetragen, handelt es sich um einen Privaten Schlüssel. Ist kein Zeichen in der 

Spalte eingetragen, ist es ein öffentlicher Schlüssel. 

Abb. 175 Liste der gespeicherten RSA Schlüssel 

11.3.2 RSA Schlüssel generieren 

Um eine Authentifizierung per RSA vorzunehmen, müssen Sie ein Schlüsselpaar generieren. 

Wählen Sie im Dropdownfeld RSA Schlüssellänge die gewünschte Schlüssellänge 

und klicken Sie dann auf den Button RSA generieren. 

Geben Sie im Dialog RSA generieren einen Namen für den Schlüssel ein und klicken 

Sie auf OK. 

Das Schlüsselpaar wird erstellt und im vorherigen Dialog aufgelistet. 

Abb. 176 RSA Schlüssel erstellen 




11.3.3 Öffentlichen RSA Schlüssel exportieren 

Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel 

des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex- 

portieren. 

Klicken Sie im Dialog RSA Schlüssel auf das Diskettensymbol in der entsprechenden 

Zeile. 

Es öffnet sich der Dialog RSA exportieren. 

Hier werden Ihnen drei Varianten des zugehörigen öffentlichen Schlüssels angezeigt. 

Markieren Sie die gewünschte Codierung. Beachten Sie bei der IPSec Hex und bei 

der IPSec bBase64 Codierung, dass Sie die gesamte Zeile markieren. Nutzen Sie 

zum Kopieren des markierten Texts die Tastenkombination ctrl c bzw. Strg c oder 

benutzen Sie den Eintrag kopieren des Kontextmenüs, welches Sie über die rechte 

Maustaste erreichen. 

Den kopierten Schlüssel speichern Sie jetzt als Textdatei auf Ihrem Computer ab. 

Achten Sie darauf, keine weiteren Zeichen, Zeilen oder Leerzeichen einzugeben. 

Diese Datei geben Sie an die Gegenstelle weiter. 

Schließen Sie den Dialog mit dem Button Schließen. 

Abb. 177 verfügbare Codierungen des öffentlichen Schlüssels 




11.3.4 RSA Schlüssel importieren 

Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel- 

le importieren. 

Dazu öffnen Sie die erhaltene Textdatei in einem einfachen Editor (z. B. MS Editor) 

und markieren den gesamten Inhalt und kopieren diesen in die Zwischenablage. 

Klicken Sie im Dialog RSA Schlüssel auf den Button RSA importieren. Es öffnet 

sich der Dialog RSA importieren. 

Geben Sie im Textfeld Name einen Namen für den öffentlichen Schlüssel ein. 

Fügen Sie den Inhalt der Zwischenablage in das große Textfeld ein. 

Klicken Sie dazu in das Feld und benutzen Sie die Tastenkombination ctrl v bzw. 

Strg v oder den Eintrag einfügen des Kontextmenüs, welches Sie über die rechte 

Maustaste öffnen. 

Klicken Sie auf Importieren. 

Der importierte Schlüssel wird im Dialog RSA Schlüssel gelistet. In der Spalte Status 

darf kein Wert stehen. 

Abb. 178 importieren eines öffentlichen RSA Schlüssels 




11.4 Zertifikate 

Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden- 

titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi- 

kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu 

garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz. 

Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um 

selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der 

Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt 

sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und 

nicht von dritten ausgestellt worden sind. 

Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son- 

dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und 

jeweils eins für jeden externen Benutzer. 

Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti- 

fikate im PEM Format oder im PKCS #12 zu exportieren. 

Die Registerkarte CA zeigt alle bestehenden Certification Authorities an. 

Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet. 

Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet. 

Abb. 179 Liste der verfügbaren CAs 




11.4.1 CA erstellen 

Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten 

Zertifikate signieren zu können. 

Klicken Sie in der Registerkarte CA auf Hinzufügen. 

Es öffnet sich der Dialog Zertifikat hinzufügen. 

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA. 

Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld klicken, 

dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Felder 

sind für die Uhrzeit. 

Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA signiert 

wurden ungültig. 

Geben Sie im Feld Name eine Bezeichnung für die CA ein. 

Wählen Sie Ihre Landeskennung im Feld Land. 

Geben Sie Ihr Bundesland im Feld Staat an. 

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein. 

Geben Sie im Feld Organisation den Namen Ihrer Firma ein. 

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen. 

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein. 

Klicken Sie auf Speichern, um die CA zu erstellen. 

Abb. 180 CA anlegen 




11.4.2 Zertifikate erstellen 

Klicken Sie in der Registerkarte Zertifikate auf Hinzufügen. 

Es öffnet sich der Dialog Zertifikat hinzufügen. 

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zertifikats. 

Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld 

klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei 

Felder sind für die Uhrzeit. 

Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein. 

Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie 

ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstellung 

ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt worden 

ist. 

Wählen Sie Ihre Landeskennung im Feld Land. 

Geben Sie Ihr Bundesland im Feld Staat an. 

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein. 

Geben Sie im Feld Organisation den Namen Ihrer Firma ein. 

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen. 

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein. 

Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten. 

Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter 

MacOS benötigt). 

Aktivieren Sie die Checkbox Server Authentifizierung, wenn Sie ein Zertifikat für einen 

Server erstellen möchten (SSL VPN oder IKEv2 mit Windows7). 

Klicken Sie auf Speichern, um das Zertifikat zu erstellen. 

Abb. 181 Zertifikaterstellung für einen Client 

Abb. 182 Zertifikaterstellung für einen Server 




11.4.3 CA und Zertifikate importieren 

Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie- 

gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie 

die Appliance verwalten, vorliegen. 

Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate). 

Klicken Sie auf den Button Importieren und anschließend auf die Durchsuchen 

Schaltfläche im öffnenden Dialog. 

Wählen Sie die zu importierende Datei von Ihrem Rechner aus. 

Klicken Sie dann auf Importieren. 

Abb. 183 Importdialog 

11.4.4 CA und Zertifikate exportieren 

Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im 

PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die 

Appliance nur PEM Formate wieder importiert. 


In jeder Zeile der Listen finden sie folgende Icons. 

 

Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Export 

im PKCS #12 (*.p12) Format. 

Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öffnenden 

Dialog. 




11.4.5 SSL-VPN Client herunterladen 

Auf der Registerkarte Certs können Sie auch den Client für SSL- VPN herunterladen. Icons 

hinter jedem Zertifikat ermöglichen das Herunterladen eines ZIP Archives, welches den por- 

tablen VPN Client enthält sowie eine angepasste Konfiguration, die CA und das jeweilige 

Zertifikat. 

Wechseln Sie auf die Registerkarte Zertifikate. 

Suchen Sie sich das gewünschte Zertifikat heraus und klicken Sie in der Zeile des 

Zertifikats auf folgendes Icon. 

Es öffnet sich der Dialog OpenVPN-Client. Hier wird abgefragt, über welches Gateway 

sich der externe Nutzer mit der Appliance verbinden soll. 

Wählen Sie entweder aus der Dropdownliste ein DynDNS Eintrag oder geben Sie 

eine IP-Adresse als alternatives Gateway an. 

Die Option Standardgateway für das Remotenetzwerk verwenden führt den gesamten 

Internetverkehr des Roadwarriors über die Appliance. 

Klicken Sie Speichern, um das Herunterladen des Zip Archives zu starten. 

Abb. 184 Angaben für den SSL Client 




11.4.6 CA und Zertifikate löschen 

Direktes Löschen von Zertifikaten ist nicht möglich. Man kann diese nur widerrufen, also als 

ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig gespeichert, damit sich nie- 

mand mit diesen Zertifikaten authentifizieren kann. 

Eine CA dagegen kann gelöscht werden. Wenn Sie eine CA löschen, werden auch alle Zerti- 

fikate, die mit dieser CA signiert wurden, gelöscht. 


Klicken Sie am Ende der Zeile auf das Abfalleimersymbol. 

Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen. 

Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, welche 

auf der Registerkarte Widerrufen angezeigt wird. 

Abb. 185 Registerkarte Widerrufen des Dialogs Zertifikate 



12 Menü Extras Securepoint 10 

12 Menü Extras 

Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff 

auf die Appliance haben. Hier können Sie die Kommandos protokollieren lassen, direkte 

Kommandos ausführen oder Templates der Dienste bearbeiten. 

Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten- 

bank zu aktualisieren. 

Unter dem Punkt Registration können Sie Ihre Lizenz einspielen. 

Abb. 186 Dropdownmenü des Menüpunktes Extras 


CLI Command Line Interface 

Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befeh- 

le an die Firewall und Bearbeitung von Templates. 

Firewall Updates Aktualisierung der Firewall Software und der Virusdatenbank. 

Registrierung Einspielen der Lizenzdatei. 

Cockpit verwalten Auswahl der anzuzeigenden Listenfenster und deren Positionierung 

Erweiterte Einstel- 

lungen 

Alle Daten neu 

laden 

im Cockpit. 

Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für 

erfahrene Benutzer. 

Konfigurationsdaten der Firewall werden neu eingelesen und das Ad- 

ministrator-Interface wird neu geladen. 

Cockpit neu laden Lädt die im Cockpit dargestellten Werte neu. 

Auch über den Button in der Navigationsleiste ausführbar. 




12.1 CLI 

Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den 

meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos 

zu Grunde. 

Hier haben Sie die Möglichkeit, die Befehle und die Ausgaben der Firewall protokollieren zu 

lassen. Sie können auch Befehle direkt an die Firewall senden. 

12.1.1 CLI Log 

Auf dieser Registerkarte können Sie das Protokollieren der CLI aktivieren. Standardmäßig ist 

die Protokollierung deaktiviert. 

An die Firewall gesendete Befehle werden blau hinterlegt angezeigt. 

Antworten von der Firewall sind grün hinterlegt. 

Um das Protokollieren zu aktivieren, setzen Sie einen Haken in die Checkbox CLI 

Log aktivieren. 

Wenn Sie möchten, dass immer die aktuellen Einträge angezeigt werden, dann setzen 

Sie einen Haken in die Checkbox Autoscroll aktivieren. 

Abb. 187 Protokollierung der Ein- und Ausgabe 




12.1.2 Sende CLI Befehl 

In dieser Registerkarte können Sie Befehle direkt an die Firewall schicken. Hierfür sind spe- 

zielle CLI Kommandos nötig. Nähere Informationen zu den Befehlen entnehmen Sie bitte der 

CLI Reference, welche auf der Securepoint Homepage zur Verfügung steht. 

Tippen Sie den gewünschten CLI Befehl in das Textfeld CLI. 

Bestätigen Sie das Senden des Befehls mit dem Button SendeBefehl. 

Die Antwort der Firewall erscheint im Textfenster. 

Abb. 188 CLI Befehlseingabe 




12.2 Updates 

Aktualisierungen der Firewall Software und der Virusdatenbank können Sie unter diesem 

Punkt vornehmen. Dabei verbindet sich die Firewall mit dem Securepoint Server und sucht 

nach neuen Versionen. 

Aktualisierungen sind nur mit einer gültigen Lizenz möglich. 

Abb. 189 Dialog für die Aktualisierung der Firewall Software und des Virusscanners 

12.2.1 Aktualisieren der Firewall 

Die Version der Firewall ist als Build Nummer angegeben. Prüfen Sie erst, ob Updates vor- 

liegen, denn ein sofortiges Update überprüft nicht die Versionsnummer, sondern aktualisiert 

die Firewall auch bei gleicher Versionsnummer. Dabei werden alle Dienste gestoppt und 

nach dem Update wird die Firewall neu gestartet. Deshalb sollten Sie ein Update nur durch- 

führen, wenn eine neue Version vorliegt. 

Klicken Sie zunächst im Bereich Firewall auf den Button Auf Updates überprüfen. 

Die Firewall überprüft, ob eine neue Version der Software auf dem Server vorliegt. 

Wenn die Firewall meldet, dass eine neue Version zur Verfügung steht, klicken Sie 

auf Aktualisiere. 

Abb. 190 Firewall aktualisieren 




12.2.2 Aktualisieren der Virusdatenbank 

Der Virenscanner kann sofort aktualisiert werden. Wenn keine neue Virendatenbank vorliegt, 

wird der Scanner nicht aktualisiert. Ansonsten wird der Scanner nach dem Update mit der 

neuen Datenbank gestartet. 

Der Virenscanner überprüft automatisch stündlich, ob ein Update vorliegt. 

Klicken Sie auf den Button Aktualisiere. 

Abb. 191 Datenbank des Virenscanners aktualisieren 

12.3 Registration 

In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch 

nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der Securepoint 

Homepage gelangen und dort Ihre Appliance registrieren lassen. 

Zum Einspielen der Lizenzdatei gehen Sie wie folgt vor: 

Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisystem 

aus. 

Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen. 

Abb. 192 Lizenzdatei einspielen 




12.4 Cockpit verwalten 

Hier haben Sie die Möglichkeit, das Cockpit Ihren Bedürfnissen anzupassen. Listen, die für 

Sie uninteressant sind, können ganz ausgeblendet werden. 

Außerdem können Sie die verbleibenden Listen nach Belieben ordnen. 

Der Dialog Verwalte Cockpit für Benutzer x ist in drei Abschnitte aufgeteilt. 

Links die Spalte Nicht angezeigte Dialoge. Hier werden die Listen positioniert, die 

nicht mehr angezeigt werden sollen. 

In der Mitte die Spalte Im Cockpit links angezeigt. Hier werden die Listen angezeigt, 

die auf der linken Seite des Cockpits angelegt werden sollen. 

Auf der rechten Seite Im Cockpit rechts angezeigt. Hier werden die Listen abgelegt, 

die auf der rechten Seite des Cockpits angezeigt werden sollen. 

Sie können die Listen per Drag and Drop verschieben. 

Sie können die Listen dabei nicht nur horizontal sondern auch vertikal ordnen. 

Speichern Sie ihre Einstellungen mit Speichern. 

Abb. 193 Positionen der Listen im Cockpit den persölichen Bedürfnissen anpassen 




12.5 Erweiterte Einstellungen 

Dieser Abschnitt öffnet ein neues Browserfenster, in dem Sie Konfigurationseinstellungen für 

erfahrene Benutzer vornehmen können. 

Es können zum Beispiel Templates aller Dienste und Applikationen bearbeitet werden und 

Variable von diesen eingesehen werden. 

Hinweis: Nehmen Sie nur Einstellungen in diesem Bereich vor, wenn Sie sicher sind, was 

Sie tun. 

Eine unsachgemäße Anwendung dieser Optionen kann die einwandfreie Funktion 

der Appliance einschränken oder die Konfiguration sogar ganz zerstören. 

Aus diesen Gründen wird bei Öffnung des Browser folgende Meldung gezeigt. 

Abb. 194 Warnmeldung im Bereich Erweiterte Einstellungen 

12.5.1 „Anwenden“ Buttons 

Wenn Sie Änderungen in diesem Bereich vorgenommen haben, werden diese erst wirksam, 

wenn Sie die Applikation, Schnittstelle oder Regel aktualisiert haben. 

Beschriftung Beschreibung 

Anwendungen aktualisieren Aktualisiert alle Applikationen und wendet die Änderungen an. 

Schnittstellen aktualisieren Aktualisiert alle Interfaces und wendet die Änderungen an. 

Aktualisiere Regeln Aktualisiert die Regeln und wendet die Änderungen an. 

Konfiguration speichern Speichern die Änderungen in der aktuellen Konfiguration. 

Schließen Schließt das Fenster Advanced Settings. 

Abb. 195 Buttons im Fenster Advanced Settings 




12.5.2 IPSec Verbindungen 

Sie können die Unterstützung von IKEv1 oder IKEv2 für IPSec Verbindungen deaktivieren. 

Wenn Sie beide Server deaktivieren, sind keine IPSec Verbindungen mehr möglich. 

Um einen Dienst zu deaktivieren, drücken Sie auf die Schaltfläche Aus. 

Um einen Dienst zu aktivieren, drücken Sie auf die Schaltfläche An. 

Abb. 196 Status von IKEv1 und IKEv2 wechseln 




12.5.3 Portfilter 

Unter der Registerkarte Portfilter können Einstellungen über die Zulassungen von IPSec 

Verbindungen gemacht werden. 

Die Option Nur verschlüsselte L2TP Verbindugen zulassen nimmt nur verschlüsselte 

L2TP Verbindungen an. 

Die Checkbox Related Connections erlauben veranlasst iptables per connection 

tracking Pakete von bestehenden Verbindungen immer zuzulassen. 

Speichern Sie die Einstellungen mit Speichern. 

Damit die Regeln sofort übernommen werden, klicken Sie auf den Button Aktualisiere 

Regeln. 

Abb. 197 Portfilter Einstellungen vornehmen 




12.5.4 Dialup 

LCP (Link Control Protocol) Echo Requests werden verwendet, um das Bestehen einer Ver- 

bindung zu prüfen. Einige Internet Service Provider unterstützen diese Prüfung nicht. Dann 

sollten Sie die Prüfung abschalten. 

Um die Prüfung abzuschalten, deaktivieren Sie die Checkbox LCP Echo für PPPoE 

unterstützen. 

Klicken Sie Speichern, um die Einstellung zu speichern. 

Damit die Änderung sofort angewendet wird, klicken Sie auf den Button Schnittstellen 

aktualisieren. 

Abb. 198 LCP Echo aktivieren 




12.5.5 Vorlagen 

In der Registerkarte Vorlagen können Sie auf alle auf der Firewall befindlichen Templates 

zugreifen und diese verändern. 

Suchen Sie aus dem Dropdownmenü Anwendungen die Anwendung heraus, deren 

Template Sie bearbeiten möchten. 

Die Firewall sucht nach den zugehörigen Templates und blendet das Dropdownfeld 

Vorlagen ein. 

Wählen Sie in dem Feld Vorlagen das Template aus, welches Sie bearbeiten möchten. 

Das Template wird in dem Feld Vorlagen Inhalt angezeigt. 

Verändern Sie das Template nach Ihren Wünschen. 

Speichern Sie die Änderungen mit Vorlage speichern ab. 

Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestartet 

werden. Klicken Sie hierfür auf den Button Anwendungen aktualisieren. 

Abb. 199 Vorlage zum Bearbeiten laden 




12.5.6 Variablen 

In der Registerkarte Variablen können Sie die Variablen und deren Werte einsehen. Sie kön- 

nen auch neue Variable hinzufügen. Die hinzugefügten Variablen bleiben nur bis zum Neu- 

start der Appliance erhalten. 

Suchen Sie im Dropdownmenü Anwendungen die Anwendung, deren Variablen Sie 

einsehen möchten. 

Die Variablen werden im Fenster Variablen angezeigt. 

Um den Wert einer Variablen anzeigen zu lassen, klicken Sie auf die Lupe in der Zeile 

der jeweiligen Variablen. 

Der Wert wird im Fenster Variablenwert angezeigt. 

Hier können Sie den Wert löschen, indem Sie auf das Abfalleimersymbol in der Zeile 

des Wertes klicken. 

Neben dem Dropdownfeld Anwendungen befindet sich ein Eingabefeld. 

Hier können Sie einen Namen für eine neue Variable eingeben. Klicken Sie auf Variable 

hinzufügen, um die Variable hinzuzufügen. 

Die Änderungen werden sofort gespeichert und bestehen bis zum nächsten Neustart 

der Appliance. 

Um die Änderungen anzuwenden, muss die Application neu gestartet werden. Klicken 

Sie dazu auf den Button Anwendungen aktualisieren. 

Abb. 200 Variablen und deren Werte anzeigen 




12.5.7 Webserver 

Auf dieser Registerkarte können Sie den Port des Webservers für SSL verschlüsselte Ver- 

bindungen ändern. Standardmäßig wird der Port 443 benutzt. 

Tragen Sie den Port direkt in das Feld ein oder benutzen Sie die Pfeiltasten. 

Klicken Sie anschließend Speichern. 

Abb. 201 Webserverport ändern 




12.6 Refresh All 

Wenn Sie diese Funktion aufrufen, werden alle Daten von der Appliance abgerufen und das 

Cockpit mit den aktualisierten Daten neu geladen. 

Diese Funktion dient dazu, Einstellungen, die nicht mit dem Administrator-Interface sondern 

mit CLI- Befehlen vorgenommen wurden, im Cockpit anzuzeigen. 

12.7 Refresh Cockpit 

Diese Funktion lädt alle Daten des Cockpits neu und stellt diese im Cockpit dar. 

Die gleiche Funktion hat der Button in der Navigationsleiste. 



13 Menü Live Log Securepoint 10 

13 Menü Live Log 

Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion 

können Sie nach ganz bestimmten Meldungen suchen. Zur besseren Übersicht sind die Ein- 

träge in Abhängigkeit der betroffenen Dienste unterschiedlich farblich unterlegt. 

Spaltenbezeichnung Erklärung 

Day / Tag Zeigt den Tag des Auftretens an. Beim Live Logging meist das ak- 

tuelle Datum. 

Zusätzlich das Protokoll oder die Aktion. 

Time / Zeit Gibt die Uhrzeit in Stunden, Minuten und Sekunden an. (hh:mm:ss) 

Service / Dienst Gibt an, welcher Dienst betroffen ist. 

Content / Inhalt Ausführliche Fehlermeldung. 

Abb. 202 Einträge im Live Log 




13.1 Live Log starten 

Wenn Sie das Live Log Fenster betreten, ist das Logging noch ausgeschaltet. 

Klicken Sie in der Navigationsleiste auf das Icon Live Log. 

Es öffnet sich ein neues Browserfenster. 

Klicken Sie auf die Schaltfläche Log starten über dem Listenfenster. 

Das Live Logging startet. 

Der Text des Buttons wechselt zu Log stoppen. 

Klicken Sie erneut auf den Button, um das Live Logging zu stoppen. 

13.2 Suchfunktion 

Wenn Sie das Live Logging gestartet haben, werden alle Ereignisse, die protokolliert werden, 

angezeigt. Wenn Sie etwas Bestimmtes suchen, ist die Filterfunktion hilfreich. 

Die Filterfunktion ist im Bereich Filter über der Log Tabelle zu finden. Bei laufendem Logging 

ist die Funktion nicht verfügbar. 

Abb. 203 Filtereinstellungen für das Logging 

Stoppen Sie ggf. ein laufendes Logging. 

Klicken Sie im Bereich Suchmuster auf das Dropdownmenü und wählen Sie einen 

Eintrag aus. 

Zeit: Filtert die Ereignisse nach einer Uhrzeit. 

Dienst: Filtert nach einem Dienst. 

Inhalt: Filtert die Ereignisse nach einer Meldung. 

Geben Sie im rechten Feld ein Suchmuster ein. 

Die Form des Suchmusters ist abhängig von dem zuvor gewählten Bereich. 

Zeitangaben können in Stunden, Minuten und Sekunden angegeben werden. Als 

Separatoren werden Doppelpunkte verwendet. 

Bsp.: 13:16:09 ; 8:36:00 

Sie können nach der Stundenangabe filtern, wenn Sie die Sekunden und Minuten 

nicht angeben. Beenden Sie dabei die Eingabe mit einem Doppelpunkt. 

Bsp.: 16: ; 9: 

Bei der Suche nach Minuten übergehen Sie die Stunden und Sekunden und beginnen 

und beenden Sie die Eingabe mit einem Doppelpunkt. 

Bsp.: :27: ; :09: 




Dienst: Bei der Filterung nach dem Dienst, muss Ihnen der Dienst nicht genau bekannt 

sein. Sie können auch Wortteile angeben. 

Bsp.: Webserver ; server 

Inhalt: Der Inhalt der Protokollmeldung ist sehr unterschiedlich. Liegen keine klaren 

Fehlermeldungen vor, ist auf jeden Fall die entsprechende IP-Adresse verzeichnet. 

Starten Sie das Logging mit Log starten. Es werden jetzt nur noch Meldungen gelistet, 

auf die das Suchmuster zutrifft. 

Wahlweise kann der Filter auch umgekehrt werden. Das heißt es werden alle Einträge 

angezeigt, auf die das Suchmuster nicht zutrifft. Aktivieren Sie dafür die Checkbox 

Filter invertieren auf der Registerkarte Einstellungen. 

Standardmäßig ist die Option Automatisch zu den neuen Log Einträgen scrollen 

aktiviert. Neue Ereignisse werden unten an die Liste angefügt, somit scrollt diese 

Funktion immer ans Ende der Liste. 

13.3 Registerkarte Einstellungen 

Hier können Sie den Filter invertieren. Das heißt es werden alle Meldungen angezeigt, auf 

die das im Bereich Filter eingetragene Suchmuster nicht zutrifft. 

Außerdem können Sie die Anzahl der Live Log Einträge einstellen. Wenn die Einträge die 

maximale Anzahl übersteigt, werden die ältesten Einträge gelöscht. 

Die Einstellungen auf dieser Seite können Sie nur bei inaktiven Logging vornehmen. 

Abb. 204 Registerkarte Einstellungen 




13.4 Details der Log Meldungen 

Wenn Sie das automatische Scrollen abgeschaltet haben, können Sie mit den Pfeiltasten 

durch die Einträge navigieren. Wenn Sie auf einen markierten Eintrag die Eingabe Taste 

drücken, erscheint ein Fenster mit detaillierten Angaben zu dem Log-Eintrag. Diese De- 

tailansicht erscheint auch, wenn Sie einen Doppelklick auf einen Eintrag ausführen. 

Abb. 205 Details eines Log Eintrages 




13.5 Rohdaten 

Die Einträge im Live Log sind aufgearbeitete Syslog-Meldungen. Sie können sich auch die 

Syslog-Meldungen direkt anzeigen lassen, indem Sie im Live Log Fenster auf den Button 

Rohdaten anzeigen klicken. 

Es werden Ihnen die Rohdaten der aktuellen Live Log Einträge gezeigt. Das Logging läuft im 

Hintergrund weiter. 

Sie können die aktuellen Live Log Einträge auch herunterladen. Drücken Sie dafür im Live 

Log Fenster auf den Button Rohdaten herunterladen. Die Daten werden im txt Format ge- 

speichert. 

Abb. 206 Meldungen des Live Logs als Rohdaten anzeigen lassen 




13.6 Farbige Kennzeichnung der Dienste im Live Log 

Bereich/Tag Beschreibung 

Kommunikation zwischen Securepoint Client und -Server 

Kommunikation zwischen DHCP-Client und -Server 

Kommunikation DNS; Domain Name Service; Client Nameserver 

Kommunikation DynDNS-Client DynDNS-Anbieter 

Kommunikation HTTPS-Client Server oder über HTTPS -Proxy 

Kommunikation HTTP-Client Server oder über HTTP -Proxy 

Meldungen des Intrusion Detection Systems 

Meldungen des IPSec-Dienstes 

Meldungen des L2TP-Dienstes 

Kommunikation NTP; Network Time Protocol; ntp-Client Server 

Kommunikation POP3; Post Office Protocol 3-Client Server oder pop3 über pop3-proxy 

Meldungen des PPPD-Dienstes 

Meldungen des PPTP-Dienstes 

Kommunikation SMTP Mailversand 

Kommunikation SSH; Secure Shell Protocol 

Meldungen des Virenscanners 

Kommunikation VNC Client -Server oder über VNC-Proxy 

Kommunikation VoIP Client -Server oder über VoIP-Proxy 

Interface-Meldungen 

Alarm/Warnungen der Firewall und des IDS-Systems 

Drop; verworfene Daten-Pakete 

Accept; akzeptierte Daten-Pakete 

Reject; abgewiesene Daten-Pakete mit der Benachrichtigung Destination Unreachable 

Abb. 207 Übersicht der Dienste und der farbigen Unterlegung im Live Log 



Teil 2 

Das User-Interface 




14 User-Interface 

14 User-Interface 

Im Gegensatz zum Administrator-Interface, welches den Administratoren der Firewall vorbe- 

halten ist, kann das User-Interface von allen eingetragenen Benutzern benutzt werden, die 

zu der Gruppe User-Interface in Kombination mit Spamfilter Admin, SSL-VPN, SPUVA- 

User oder dem Recht ihr Kennwort zu ändern gehören. 

Die Benutzer erreichen das User-Interface in ihrem Webbrowser über die IP-Adresse des 

internen Interfaces (eth1) unter der Benutzung des HTTPS Protokolls. 

Bsp.: https://192.168.175.1 

Wenn sich die Benutzer außerhalb des internen Netzes einloggen möchten z. B. vom Inter- 

net oder der DMZ, ist eine Regel für HTTPS Zugriff auf das interne Interface anzulegen. 



14 Bereiche des User-Interfaces Securepoint 10 

14.1 Bereiche des User-Interfaces 

Das User-Interface unterteilt sich in fünf Bereiche. In Abhängigkeit der Gruppenzugehörigkeit 

der Benutzer, haben diese nur Zugriff auf einzelne Bereiche. 

Abb. 208 Login Screen des User-Interface 

Bereich Beschreibung sichtbar für Gruppenmitglieder 

Passwort ändern Dialog zum Ändern des Kennworts. 

Vorgaben zur Länge und zu den 

verwendenden Zeichen gemäß der 

Benutzereinstellungen. 

Spamfilter Zeigt alle empfangenen E-Mails und 

SSL-VPN Client 

runterladen 

deren Einteilung in Ham (erwünschte 

E-Mails) und Spam (unerwünschte 

E-Mails). Möglichkeit manueller 

Nachsortierung bei falscher automa- 

tischer Klassifizierung. 

ZIP Archiv, welches den portablen 

OpenVPN Client, Konfigurationsda- 

tei und Zertifikate beinhaltet. 

User-Interface mit Recht zur Kenn- 

wortänderung (Benutzerverwaltung 

Registerkarte Extras). 

User-Interface mit Spamfilter User. 

User-Interface mit SSL-VPN. 

SPUVA Anmeldung Zentrale Benutzer Authentifizierung User-Interface mit Spuva User. 

Downloads Zeigt alle Dateien (Anwendungen 

und Dokumente) an, die zum Down- 

load zur Verfügung stehen 

User-Interface. 



14 Kennwort ändern Securepoint 10 

14.2 Kennwort ändern 

Dieser Bereich ist nur für Benutzer sichtbar, für die in der Benutzerverwaltung festgelegt ist, 

dass sie ihr Kennwort ändern dürfen und Mitglieder der Gruppe User-Interface sind. 

Melden Sie sich im User-Interface an. 

Klicken Sie auf die Schaltfläche Passwort ändern. 

Es erscheint der Dialog Kennwort ändern. 

Geben Sie bei Altes Kennwort Ihr aktuelles Kennwort ein. 

Bei Neues Kennwort geben Sie Ihr neues gewünschtes Kennwort ein. 

Bestätigen Sie das neue Kennwort unter Kennwort bestätigen. 

In dem Bereich Kennwort bestätigen sehen Sie, welche Bedingungen das neue 

Password erfüllen muss. 

Klicken Sie auf Kennwort ändern. 

Abb. 209 Kennwort ändern 



14 VPN-Client herunterladen Securepoint 10 

14.3 VPN-Client herunterladen 

Ist der Benutzer Mitglied der Gruppen User-Interface und SSL-VPN und hat der Administra- 

tor in der Benutzerverwaltung Einstellungen für den VPN Client für diesen Benutzer vorge- 

nommen, kann der Benutzer den SSL-VPN Client herunterladen. 

Ein Klick auf die Schaltfläche SSL-VPN Client herunterladen startet den Download. 

Wählen Sie bei der Abfrage des Browsers, dass Sie die Datei speichern möchten. 

Bei der heruntergeladenen Datei handelt es sich um ein Zip-Archiv, welches den portablen 

OpenVPN Client, eine angepasste Konfiguration und die benötigten Zertifikate 

enthält. 

Abb. 210 Speichern Dialog des Mozilla Firefox' 

Entpacken Sie das Zip Archiv und speichern Sie den Ordner auf ihrem Rechner oder 

auf einen USB Stick. 

Öffnen Sie den Ordner. Führen Sie einen Doppelklick auf die Datei OpenVPNPortable.exe 

aus. Der OpenVPNClient startet. 

Über ein Icon neben der Uhr in der Taskleiste (Windows XP) können Sie die Verbindung 

starten. 

Abb. 211 Kontextmenü des VPN Client Icons in der Taskleiste 



14 Spamfilter Securepoint 10 

14.4 Spamfilter 

Benutzer der Gruppe Spamfilter User können sich im User-Interface den Spamfilter anzei- 

gen lassen. Dort werden alle E-Mails aufgelistet und nach Ihrer Klassifizierung als Ham und 

Spam angezeigt. 

Hier kann überprüft werden, ob E-Mails fälschlicherweise als Spam deklariert worden sind. 

Diese können dann als Ham gekennzeichnet werden. Wichtig ist auch, nicht erkannte Spam 

E-Mails aus dem Ham Bereich in den Spam Ordner zu schieben, um die Lernfunktion des 

Spam Filters zu trainieren. 

14.4.1 Übersicht der Spamfilteranzeige 

Die E-Mails werden immer zeitlich geordnet (die neuste zuerst) angezeigt. Man kann aber 

mit mehreren Funktionen die Anzeige verändern. 

Abb. 212 Bereiche des Spamfilters 




Bereich Beschreibung 

1 Registerkarten Die Anzeige ist in verschiedene Bereiche gegliedert: 

Ham für erkannte erwünschte E-Mails. 

Spam für erkannte unerwünschte E-Mails. 

Gelöscht für gelöschte E-Mails (durch den Spamfilter User). 

Statistik zeigt eine Statistik der Ham- und Spam-E-Mails in Abhän- 

gigkeit des Herkunftslandes an. 

Durch Klicken auf die Registerkarten gelangen Sie in die verschie- 

denen Ansichten. 

2 Filter Im Filterbereich, kann die Liste nach Absender, Empfänger, Be- 

treff, SMTP, POP3, mit Virus, geblockt gefiltert werden. 

Für einige Kriterien wird ein Muster benötigt, dafür steht ein Eingabe- 

feld zur Verfügung. 

Die Filterung wird nach dem Betätigen des Filter Buttons ausgeführt. 

Mit dem Button Zurücksetzen kann die Auswahl zurückgesetzt wer- 

den. 

3 Seitennavigation Es werden immer 10 Einträge pro Seite angezeigt. 

Mit den Schaltflächen zurück und weiter blättern Sie eine Seite zu- 

rück bzw. vor. 

Mit den Schaltflächen Erste Seite und Letzte Seite springen Sie zur 

ersten bzw. letzten Seite. 

Beachten Sie, dass bei normaler Fenstergröße nicht alle 20 Zeilen 

dargestellt werden können und die Liste mit einem vertikalen Scroll- 

balken versehen ist. 

4 Aktionen Man kann für markierte E-Mails (Checkbox in der ersten Spalte) eine 

Aktion auswählen (markieren als Ham/Spam, löschen, erneut 

versenden). 

Die Aktion wird erst ausgeführt, wenn der Button Ausführen ge- 

drückt wird. 

5 Aktualisieren Mit dem Button Aktualisieren wird die Seite neu geladen. 




14.4.2 Spalten der Tabelle 

Bezeichnung Beschreibung 

ohne (erste Spalte) Durch Klicken in die Checkbox werden E-Mails markiert. 

Schon markierte E-Mails werden durch nochmaliges Anklicken ab- 

gewählt. 

Datum Datum und Zeit der E-Mail. 

Status 

SMTP oder POP3 

Von Absender der E-Mail. 

Anzeige, ob die E-Mail einen Virus enthält. 

An Empfänger der E-Mail. 

Betreff Betreff der E-Mail. 

Abb. 213 Spalten am Beispiel der Registerkarte Ham 




14.4.3 Details einer E-Mail anzeigen 

Als Spamfilter Administrator haben Sie die Möglichkeit sich neben den Angaben der Tabelle 

auch den Inhalt und die Anhänge der E-Mail anzeigen zu lassen. Der Inhalt ist allerdings nur 

sichtbar, wenn diese Option in den Einstellungen für den Spamfilter aktiviert ist. 

Hinweis: Ohne Kenntnis des Nutzers darf in der Bundesrepublik Deutschland der Inhalt 

einer E-Mail nicht angezeigt werden. Beachten Sie die Datenschutzbestimmun- 

gen Ihres Landes. 

Aktivieren Sie die Detailansicht mit einem Doppelklick in die Spalte der gewünschten 

E-Mail. 

Anhänge der E-Mail werden in der untersten Zeile aufgelistet. 

Klicken Sie auf einen Attachment-Link, um den Anhang herunterzuladen. 

Abb. 214 Inhalt einer E-Mail anzeigen 




14.4.4 Aktionen auf der Registerkarte Ham 

Auf E-Mails können folgende Aktionen angewendet werden: 

Markierte E-Mails als Spam markieren Kennzeichnet die markierten E-Mails als 

Spam und verschiebt sie in die 

Registerkarte Spam. 

Markierte E-Mails löschen Verschiebt die markierten E-Mails in die 

Registerkarte Gelöscht. 

Markierte E-Mails erneut versenden Versendet die markierten E-Mails erneut. 

Alle E-Mails als Spam markieren Markiert alle E-Mails der Registerkarte 

als Spam und verschiebt sie in die 


Alle E-Mails löschen Verschiebt alle E-Mails der Registerkarte 

in die Registerkarte Trash. 

Alle E-Mails erneut versenden Versendet alle E-Mails der Registerkarte 

Abb. 215 Aktionen auf der Registerkarte Ham 

erneut. 




14.4.5 Aktionen auf der Registerkarte Spam 


Markierte E-Mails als Ham markieren Kennzeichnet die markierten E-Mails 

als Ham und verschiebt sie in die 

Registerkarte Ham. 

Markierte E-Mails löschen Verschiebt die markierten E-Mails in die 

Registerkarte Gelöscht. 


Alle E-Mails als Ham markieren Kenzeichnet alle E-Mails der Registerkarte 



Alle E-Mails löschen Verschiebt alle E-Mails der Registerkarte 

in die Registerkarte Trash. 


Abb. 216 Aktionen auf der Registerkarte Spam 

erneut. 


Security Solutions 210


14.4.6 Aktionen auf der Registerkarte Gelöscht 


Markierte E-Mails als Ham markieren Kennzeichnet die markierten E-Mails als Ham 

und verschiebt sie in die Registerkarte Ham. 

Markierte E-Mails als Spam markieren Kennzeichnet die markierten E-Mails 



Markierte E-Mails dauerhaft löschen Löscht die markierten E-Mails unwiderruflich. 


Alle E-Mails als Ham markieren Kennzeichnet alle E-Mails der Registerkarte 



Alle E-Mails als Spam markieren Kennzeichnet alle E-Mails der Registerkarte 



Alle E-Mails dauerhaft löschen Löscht alle E-Mails der Registerkarte 

unwiderruflich. 


Abb. 217 Aktionen auf der Registerkarte Gelöscht 

erneut. 




14.4.7 Registerkarte Statistik 

Auf dieser Registerkarte wird Ihnen grafisch der Anteil der Ham-, Spam und gelöschten E- 

Mails sowie der mit einem Virus infizierten E-Mails angezeigt. 

14.4.7.1 Filter 

Sie können sich die Statistik für verschiedene Zeitintervalle anzeigen lassen. 

Benutzen Sie dafür die Filterfunktion oberhalb des Diagramms. 

Wählen Sie aus dem Dropdownfeld das gewünschte Intervall. 

Mögliche Intervalle: 

o Heute 

o Gestern 

o Letzte Woche 

o Letzten Monat 

Klicken Sie dann auf Aktualisieren, um das Diagramm neu zu laden. 

Abb. 218 Filterfunktion 




14.4.7.2 Registerkarte Allgemein 

Die Registerkarte Allgemein zeigt ein Diagramm, welches die Gesamtanzahl der E-Mails der 

einzelnen Bereiche Ham, Spam und gelöschte E-Mails anzeigt. 

Die blauen horizontalen Linien tragen den Höchstwert der einzelnen Bereiche auf der y- 

Achse ab. 

Die Legende auf der rechten Seite zeigt zum einen die Anzahl aller E-Mails an, sowie die 

Anzahl in den drei Bereichen. Für die einzelnen Bereiche ist ebenfalls die prozentuale Vertei- 

lung verzeichnet. 

Außerdem zeigt die Legende, mit welcher Säulenfarbe der Bereich im Diagramm dargestellt 

ist. 

Abb. 219 Registerkarte Statistik - Unterregister Allgemein 




14.4.7.3 Registerkarte Viren 

Auf dieser Registerkarte wird Ihnen grafisch angezeigt, wie die mit einem Virus infizierten E- 

Mails auf die Bereich Ham, Spam und gelöschte E-Mails verteilt sind. 

Die blauen horizontalen Linien tragen den Höchstwert der einzelnen Bereiche auf der y- 

Achse ab. 

Die Legende zeigt nicht nur die farbliche Zuordnung, die Gesamtanzahl der E-Mails und die 

Anzahl der E-Mails in den einzelnen Bereichen an, sondern listet auch den prozentualen 

Anteil der Virus-E-Mails an der Gesamtanzahl aller E-Mails auf. 




14.4.7.4 Registerkarte Top Level Domain 

Auf der Registerkarte Top Level Domain wird Ihnen grafisch angezeigt, aus welchen Ländern 

die E-Mails empfangen wurden. 

Die Statistik ist zusätzlich aufgeschlüsselt in Ham, Spam und gelöschte E-Mails. 

Abb. 220 Statistik aufgeschlüsselt nach Landeskennung 



14 SPUVA Anmeldung Securepoint 10 

14.5 SPUVA Anmeldung 

Der Securepoint User Verification Agent hat die Aufgabe, Anwendern individuelle Rechte für 

Ihre Arbeitsplätze im DHCP Umfeld zu geben. Der Anwender authentisiert sich über den 

SPUVA und erhält an jedem beliebigen Arbeitsplatz seine individuelle Security Policy. Wech- 

selt ein Anwender seinen Arbeitsplatz, erhält er am anderen Platz ebenfalls automatisch sei- 

ne für ihn gültige Security Policy. 

Klicken Sie Im User-Interface auf die Schaltfläche SPUVA Anmeldung. 

Ein neues Browserfenster wird geöffnet, in dem ein Java Applet gestartet wird. 

Bestätigen Sie die Sicherheitsabfrage zur Ausführung des Applets. 

Das Applet kann nur ausgeführt werden, wenn das Java Runtime Environment installiert 

ist. Ist dies nicht der Fall rufen Sie die Internetseite http://www.java.com auf. 

Tragen Sie im Feld User Ihren Benutzernamen und im Feld Password Ihr Kennwort 

ein. 

Klicken Sie auf den Button Connect, um sich am System anzumelden. 

Ist die Anmeldung korrekt, wechselt die Schaltflächenbezeichnung von Connect zu 

Disconnect. Klicken Sie hierauf, um sich abzumelden. Sie melden sich auch ab, 

wenn Sie das Applet Fenster schließen. 

Sollten Sie sich bei der Eingabe vertippt haben erscheint der Text: Wrong username/Password. 

Abb. 221 SPUVA Anmeldung per Java Applet 



14 Download Bereich Securepoint 10 

14.6 Download Bereich 

Wenn der Benutzer Mitglied in der Gruppe User Interface ist, dann kann er im User- 

Interface den Bereich Download betreten. 

Hier werden Anwendungen und Dokumente, die auf der Appliance gespeichert sind, zum 

Herunterladen angeboten. 

Die Tabelle Downloads zeigt in der ersten Spalte den Namen der Datei, der gleichzeitig der 

Downloadlink ist. In der zweiten Spalte wird die Version angezeigt und in der dritten Spalte 

eine Kurzbeschreibung der Datei. 

Melden Sie sich im User-Interface an. 

Klicken Sie auf den Button Downloads. 

Wählen Sie eine Datei aus der Liste aus und starten Sie den Download durch klicken 

auf den Dateinamen. 

Beantworten Sie die Browserabfrage zum Öffnen oder Speichern der Datei mit Speichern 

(oder ähnlich). 

Die Datei wird auf Ihrem System gespeichert. 

Abb. 222 verfügbare Dateien 




15 Zonenkonzept der Securepoint Firewall 

Jeder Schnittstelle der Appliance sind Zonen zugeordnet. Der internen Schnittstelle ist zum 

Beispiel die Zone internal und der externen Schnittstelle die Zone external zugehörig. Für 

das Regelwerk der Firewall muss nun der Administrator Netzwerkobjekte (IP-Adresse oder 

Netze) erstellen und jedem Netzwerkobjekt eine Zone zuordnen. Damit ist festgelegt, hinter 

welcher Schnittstelle welches Netzwerkobjekt liegt. 

Ein übliches Angriffszenario auf Router ist das Verfälschen einer Absender-IP-Adresse (IP 

Adress-Spoofing). Wenn nun ein Angreifer eine Absenderadresse aus dem internen Netz- 

werk verwendet, dieses Paket aber aus der falschen Zone (zum Beispiel external) losge- 

schickt wird, wird dieses Paket aufgrund des Zonen-Konzepts automatisch von der Firewall 

verworfen. Der Administrator muss keine extra Anti-Spoofing-Regeln erstellen, um das zu 

verhindern. 

Zone: 

DMZ1 

FW Zone: 

firewall-DMZ 1 

Internet 

Zone: 

external 

FW Zonen: 

firewall-external; 

vpn_ipsec/ vpn-ppp 

FW Zone: 

firewall-internal 

Zone: 

internal 

FW Zone: 

firewall-DMZ 2 - n 

Abb. 223 Zonenkonzept der Securepoint Firewall 

Zone: 

DMZ2 bis DMZn 




Das Zonenkonzept ist zweiteilig aufgebaut. 

Zum einen die Firewallzonen mit den Zonen firewall-internal, firewall-external und fire- 

wall-dmz. Diese Zonen sind für die Interfaces der Appliance vorgesehen. 

Jeder Firewallzone ist eine Gruppenzone zugeordnet. So wird dem internen Interface in der 

Zone firewall-internal die Gruppenzone internal zugewiesen. In dieser Gruppenzone befin- 

den sich Rechner und Netze, die über das jeweilige Interface mit der Appliance verbunden 

sind. 

Die VPN Zonen sind für VPN Rechner und Netze vorgesehen. Diese werden auch dem ex- 

ternen Interface zugeordnet, grenzen sich aber von Geräten der Zone external ab, da sie 

sich über einen gesicherten Tunnel mit der Appliance verbinden. 

Die Zonen können nur einmal vergeben werden. Wenn Sie z. B. zwei Interfaces für das in- 

terne Netze gebrauchen möchten, müssen Sie zuvor eine weitere Zone für ein internes Netz 

in der Zonenkonfiguration anlegen.

Securepoint 10 - Downloads - Securepoint

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?