Securepoint 10 - Downloads - Securepoint
Securepoint 10 - Downloads - Securepoint
Securepoint 10 - Downloads - Securepoint
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Securepoint</strong> <strong>10</strong><br />
<strong>Securepoint</strong> <strong>10</strong><br />
<strong>Securepoint</strong><br />
Security Solutions 1
Inhalt<br />
<strong>Securepoint</strong> <strong>10</strong><br />
1 Einleitung ...................................................................................................................<strong>10</strong><br />
Teil 1 Das Administrator-Interface ........................................................................... 11<br />
2 Die Appliances ...........................................................................................................12<br />
3 Anschluss der Appliance ............................................................................................13<br />
3.1 Piranja und RC <strong>10</strong>0 ............................................................................................13<br />
3.2 RC 200 ...............................................................................................................14<br />
3.3 RC 300 ...............................................................................................................14<br />
3.4 RC 400 ...............................................................................................................15<br />
4 Administrator-Interface ...............................................................................................16<br />
4.1 Mit der Appliance verbinden................................................................................16<br />
4.2 Systemanforderung an den Client-Rechner ........................................................17<br />
5 <strong>Securepoint</strong> Cockpit ...................................................................................................17<br />
5.1 Navigationsleiste .................................................................................................18<br />
5.2 Lizenz .................................................................................................................18<br />
5.3 System ...............................................................................................................19<br />
5.4 Dienste Status ....................................................................................................20<br />
5.5 Appliance ............................................................................................................22<br />
5.6 Schnittstellen ......................................................................................................22<br />
5.7 IPSec ..................................................................................................................23<br />
5.8 <strong>Downloads</strong> ..........................................................................................................23<br />
5.9 Spuva Benutzer ..................................................................................................23<br />
5.<strong>10</strong> Schnittstellen Auslastung ....................................................................................24<br />
5.<strong>10</strong>.1 Einstellungen ...............................................................................................24<br />
5.<strong>10</strong>.2 Details und Zoom.........................................................................................25<br />
5.11 SSH Benutzer .....................................................................................................26<br />
5.12 Web-Interface Benutzer ......................................................................................26<br />
5.13 DHCP Reservierungen .......................................................................................27<br />
<strong>Securepoint</strong><br />
Security Solutions 2
<strong>Securepoint</strong> <strong>10</strong><br />
5.14 Hilfe anzeigen lassen ..........................................................................................27<br />
6 Menü Konfiguration ....................................................................................................28<br />
6.1 Konfigurationen verwalten ..................................................................................29<br />
6.1.1 Konfiguration speichern ...............................................................................30<br />
6.1.2 Konfiguration importieren .............................................................................31<br />
6.2 Installationsassistent ...........................................................................................31<br />
6.3 Neu starten .........................................................................................................31<br />
6.4 Herunterfahren ...................................................................................................31<br />
6.5 Werkseinstellungen ............................................................................................32<br />
6.6 Logout ................................................................................................................32<br />
7 Menü Netzwerk ..........................................................................................................33<br />
7.1 Server Eigenschaften..........................................................................................34<br />
7.1.1 Server Einstellungen ....................................................................................34<br />
7.1.2 Administration ..............................................................................................35<br />
7.1.3 Syslog ..........................................................................................................36<br />
7.1.4 SNMP ..........................................................................................................37<br />
7.1.5 Cluster Einstellungen ...................................................................................38<br />
7.2 Netzwerk Konfiguration .......................................................................................39<br />
7.2.1 Schnittstellen ...............................................................................................39<br />
7.2.1.1 eth Interface hinzufügen ...........................................................................41<br />
7.2.1.2 VLAN Interface hinzufügen ......................................................................42<br />
7.2.1.3 PPTP Interface hinzufügen ......................................................................44<br />
7.2.1.4 PPPoE Interface hinzufügen ....................................................................45<br />
7.2.1.5 VDSL Interface hinzufügen ......................................................................46<br />
7.2.1.6 Cluster Interface hinzufügen ....................................................................47<br />
7.2.1.7 Interfaces bearbeiten oder löschen ..........................................................49<br />
7.2.2 Routing ........................................................................................................49<br />
7.2.2.1 Routen bearbeiten und löschen ...............................................................50<br />
7.2.2.2 Standardroute hinzufügen ........................................................................50<br />
7.2.2.3 Route hinzufügen .....................................................................................51<br />
7.2.3 DSL Provider ...............................................................................................52<br />
7.2.3.1 DSL Provider bearbeiten oder löschen .....................................................52<br />
<strong>Securepoint</strong><br />
Security Solutions 3
<strong>Securepoint</strong> <strong>10</strong><br />
7.2.3.2 DSL Provider anlegen ..............................................................................53<br />
7.2.4 DynDNS ......................................................................................................54<br />
7.2.4.1 DynDNS Eintrag anlegen oder bearbeiten ...............................................55<br />
7.2.4.2 DynDNS Eintrag löschen .........................................................................55<br />
7.2.5 DHCP ..........................................................................................................56<br />
7.3 DHCP Relay .......................................................................................................58<br />
7.4 Zonen .................................................................................................................59<br />
7.5 Netzwerk Werkzeuge ..........................................................................................60<br />
7.5.1 NS Lookup ...................................................................................................60<br />
7.5.2 Ping .............................................................................................................61<br />
7.5.3 Route Tabelle ..............................................................................................62<br />
8 Menü Firewall ............................................................................................................63<br />
8.1 Portfilter ..............................................................................................................64<br />
8.1.1 Regel anlegen .............................................................................................67<br />
8.1.1.1 Infobox Funktion ......................................................................................68<br />
8.1.1.2 Registerkarte Zeit .....................................................................................69<br />
8.1.1.3 Registerkarte Beschreibung .....................................................................69<br />
8.1.2 Regelgruppen anlegen ................................................................................70<br />
8.1.3 Regeln und Gruppen organisieren ...............................................................71<br />
8.2 Hide-NAT ............................................................................................................72<br />
8.3 Port Forwarding ..................................................................................................74<br />
8.3.1 Port Weiterleitung ........................................................................................75<br />
8.3.2 Port Translation ...........................................................................................76<br />
8.4 QoS (Quality of Service) .....................................................................................77<br />
8.5 Dienste ...............................................................................................................78<br />
8.5.1 Löschen und Bearbeiten ..............................................................................78<br />
8.5.2 Services Information ....................................................................................79<br />
8.5.3 Dienst hinzufügen ........................................................................................80<br />
8.6 Service Groups ...................................................................................................81<br />
8.6.1 Bestehende Dienstgruppen editieren ...........................................................82<br />
8.6.2 Neue Dienstgruppen anlegen ......................................................................83<br />
8.7 Netzwerkobjekte .................................................................................................84<br />
<strong>Securepoint</strong><br />
Security Solutions 4
<strong>Securepoint</strong> <strong>10</strong><br />
8.7.1 Netzwerkobjekt Information .........................................................................85<br />
8.7.2 Host/Netz hinzufügen ..................................................................................86<br />
8.7.3 VPN Host/Netz hinzufügen ..........................................................................87<br />
8.7.4 Benutzer hinzufügen ....................................................................................87<br />
8.7.5 Schnittstelle hinzufügen ...............................................................................88<br />
8.8 Netzwerkgruppen ................................................................................................89<br />
8.8.1 Network Objekt Information .........................................................................90<br />
8.8.2 Network Group Information ..........................................................................90<br />
9 Menü Anwendungen ..................................................................................................91<br />
9.1 HTTP Proxy ........................................................................................................92<br />
9.1.1 Allgemein .....................................................................................................92<br />
9.1.2 Virenscan ....................................................................................................94<br />
9.1.3 URL Filter ....................................................................................................95<br />
9.1.4 Anhang blocken ...........................................................................................97<br />
9.1.5 Anwendung blocken ....................................................................................98<br />
9.1.6 Content Filter ...............................................................................................99<br />
9.1.6.1 Blacklist Kategorien .................................................................................99<br />
9.1.6.2 Whitelist ................................................................................................. <strong>10</strong>0<br />
9.1.6.2.1 Benutzer .......................................................................................... <strong>10</strong>0<br />
9.1.6.2.2 IP Adressen ..................................................................................... <strong>10</strong>1<br />
9.1.6.2.3 Webseiten ....................................................................................... <strong>10</strong>2<br />
9.1.7 Bandbreite ................................................................................................. <strong>10</strong>3<br />
9.2 POP3 Proxy ...................................................................................................... <strong>10</strong>4<br />
9.3 Mail Relay ......................................................................................................... <strong>10</strong>5<br />
9.3.1 Allgemein ................................................................................................... <strong>10</strong>6<br />
9.3.2 Relaying .................................................................................................... <strong>10</strong>8<br />
9.3.3 Mail Routing............................................................................................... 1<strong>10</strong><br />
9.3.4 Greylisting ................................................................................................. 112<br />
9.3.4.1 Whitelist IP-Adressen ............................................................................. 113<br />
9.3.4.2 Whitelist Domains .................................................................................. 114<br />
9.3.4.3 Whitelist E-Mail Empfänger .................................................................... 115<br />
9.3.4.4 Whitelist E-Mail Absender ...................................................................... 115<br />
9.3.5 Domain Mapping ....................................................................................... 116<br />
<strong>Securepoint</strong><br />
Security Solutions 5
<strong>Securepoint</strong> <strong>10</strong><br />
9.3.6 Erweitert .................................................................................................... 118<br />
9.3.6.1 Greeting Pause ...................................................................................... 119<br />
9.3.6.2 Recipient Flooding ................................................................................. 119<br />
9.3.6.3 Limitierte Anzahl der Empfänger ............................................................ 119<br />
9.3.6.4 Limitierte Verbindungen ......................................................................... 119<br />
9.3.6.5 Rate Kontrolle ........................................................................................ 119<br />
9.4 Spamfilter ......................................................................................................... 120<br />
9.4.1 Allgemein ................................................................................................... 120<br />
9.4.2 Attachment Filter ....................................................................................... 122<br />
9.4.3 Virenscan .................................................................................................. 124<br />
9.4.4 SMTP Einstellungen .................................................................................. 125<br />
9.4.5 SMTP erweitert .......................................................................................... 126<br />
9.4.6 POP3 Einstellungen ................................................................................... 127<br />
9.5 VNC Repeater .................................................................................................. 128<br />
9.5.1 Allgemein ................................................................................................... 128<br />
9.5.2 VNC Server IP ........................................................................................... 129<br />
9.5.3 VNC Server ID ........................................................................................... 129<br />
9.6 VoIP Proxy ........................................................................................................ 130<br />
9.6.1 Allgemein ................................................................................................... 130<br />
9.6.2 Provider ..................................................................................................... 131<br />
9.7 IDS ................................................................................................................... 132<br />
9.8 Nameserver ...................................................................................................... 133<br />
9.9 Service Status .................................................................................................. 134<br />
<strong>10</strong> Menü VPN ............................................................................................................ 135<br />
<strong>10</strong>.1 IPSec Assistent................................................................................................. 136<br />
<strong>10</strong>.1.1 Site-to-Site ................................................................................................. 136<br />
<strong>10</strong>.1.2 Site-to-End (Roadwarrior) .......................................................................... 141<br />
<strong>10</strong>.1.2.1 natives IPSec ....................................................................................... 142<br />
<strong>10</strong>.1.2.1.1 IKEv1 ............................................................................................. 144<br />
<strong>10</strong>.1.2.1.2 IKEv2 ............................................................................................. 145<br />
<strong>10</strong>.1.2.2 L2TP .................................................................................................... 146<br />
<strong>10</strong>.2 IPSec globale Einstellungen ............................................................................. 150<br />
<strong>Securepoint</strong><br />
Security Solutions 6
<strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.2.1 Allgemein ................................................................................................... 150<br />
<strong>10</strong>.2.2 IKEv2 ......................................................................................................... 151<br />
<strong>10</strong>.3 IPSec ................................................................................................................ 152<br />
<strong>10</strong>.3.1 Verbindungen bearbeiten........................................................................... 152<br />
<strong>10</strong>.3.1.1 Phase 1 ................................................................................................ 152<br />
<strong>10</strong>.3.1.2 Phase 2 ................................................................................................ 154<br />
<strong>10</strong>.4 L2TP ................................................................................................................. 155<br />
<strong>10</strong>.5 PPTP ................................................................................................................ 157<br />
<strong>10</strong>.6 SSL VPN .......................................................................................................... 159<br />
11 Menü Authentifizierung ......................................................................................... 160<br />
11.1 Benutzer ........................................................................................................... 161<br />
11.1.1 Benutzer hinzufügen Register Allgemein ................................................... 162<br />
11.1.2 Benutzer hinzufügen Register VPN ........................................................... 163<br />
11.1.3 Benutzer hinzufügen Register VPN Client ................................................. 164<br />
11.1.4 Benutzer hinzufügen Register Spamfilter ................................................... 165<br />
11.1.5 Benutzer hinzufügen Register Extras ......................................................... 166<br />
11.2 Externe Authentifizierung .................................................................................. 167<br />
11.2.1 Radius ....................................................................................................... 167<br />
11.2.2 LDAP Server .............................................................................................. 168<br />
11.2.3 Kerberos .................................................................................................... 169<br />
11.3 RSA Schlüssel .................................................................................................. 170<br />
11.3.1 Auflistung der RSA Schlüssel .................................................................... 171<br />
11.3.2 RSA Schlüssel generieren ......................................................................... 171<br />
11.3.3 Öffentlichen RSA Schlüssel exportieren .................................................... 172<br />
11.3.4 RSA Schlüssel importieren ........................................................................ 173<br />
11.4 Zertifikate .......................................................................................................... 174<br />
11.4.1 CA erstellen ............................................................................................... 175<br />
11.4.2 Zertifikate erstellen .................................................................................... 176<br />
11.4.3 CA und Zertifikate importieren ................................................................... 177<br />
11.4.4 CA und Zertifikate exportieren ................................................................... 177<br />
11.4.5 SSL-VPN Client herunterladen .................................................................. 178<br />
11.4.6 CA und Zertifikate löschen ......................................................................... 179<br />
<strong>Securepoint</strong><br />
Security Solutions 7
<strong>Securepoint</strong> <strong>10</strong><br />
12 Menü Extras ......................................................................................................... 180<br />
12.1 CLI .................................................................................................................... 181<br />
12.1.1 CLI Log ...................................................................................................... 181<br />
12.1.2 Sende CLI Befehl ...................................................................................... 182<br />
12.2 Updates ............................................................................................................ 183<br />
12.2.1 Aktualisieren der Firewall ........................................................................... 183<br />
12.2.2 Aktualisieren der Virusdatenbank .............................................................. 184<br />
12.3 Registration ...................................................................................................... 184<br />
12.4 Cockpit verwalten ............................................................................................. 185<br />
12.5 Erweiterte Einstellungen ................................................................................... 186<br />
12.5.1 „Anwenden“ Buttons .................................................................................. 186<br />
12.5.2 IPSec Verbindungen .................................................................................. 187<br />
12.5.3 Portfilter ..................................................................................................... 188<br />
12.5.4 Dialup ........................................................................................................ 189<br />
12.5.5 Vorlagen .................................................................................................... 190<br />
12.5.6 Variablen ................................................................................................... 191<br />
12.5.7 Webserver ................................................................................................. 192<br />
12.6 Refresh All ........................................................................................................ 193<br />
12.7 Refresh Cockpit ................................................................................................ 193<br />
13 Menü Live Log ...................................................................................................... 194<br />
13.1 Live Log starten ................................................................................................ 195<br />
13.2 Suchfunktion ..................................................................................................... 195<br />
13.3 Registerkarte Einstellungen .............................................................................. 196<br />
13.4 Details der Log Meldungen ............................................................................... 197<br />
13.5 Rohdaten .......................................................................................................... 198<br />
13.6 Farbige Kennzeichnung der Dienste im Live Log .............................................. 199<br />
Teil 2 Das User-Interface ....................................................................................... 200<br />
14 User-Interface ...................................................................................................... 201<br />
14.1 Bereiche des User-Interfaces............................................................................ 202<br />
14.2 Kennwort ändern .............................................................................................. 203<br />
<strong>Securepoint</strong><br />
Security Solutions 8
<strong>Securepoint</strong> <strong>10</strong><br />
14.3 VPN-Client herunterladen ................................................................................. 204<br />
14.4 Spamfilter ......................................................................................................... 205<br />
14.4.1 Übersicht der Spamfilteranzeige ................................................................ 205<br />
14.4.2 Spalten der Tabelle .................................................................................... 207<br />
14.4.3 Details einer E-Mail anzeigen .................................................................... 208<br />
14.4.4 Aktionen auf der Registerkarte Ham .......................................................... 209<br />
14.4.5 Aktionen auf der Registerkarte Spam ........................................................ 2<strong>10</strong><br />
14.4.6 Aktionen auf der Registerkarte Gelöscht .................................................... 211<br />
14.4.7 Registerkarte Statistik ................................................................................ 212<br />
14.4.7.1 Filter ..................................................................................................... 212<br />
14.4.7.2 Registerkarte Allgemein ....................................................................... 213<br />
14.4.7.3 Registerkarte Viren .............................................................................. 214<br />
14.4.7.4 Registerkarte Top Level Domain .......................................................... 215<br />
14.5 SPUVA Anmeldung .......................................................................................... 216<br />
14.6 Download Bereich ............................................................................................. 217<br />
15 Zonenkonzept der <strong>Securepoint</strong> Firewall ............................................................... 218<br />
<strong>Securepoint</strong><br />
Security Solutions 9
Einleitung <strong>Securepoint</strong> <strong>10</strong><br />
1 Einleitung<br />
Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag<br />
nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine<br />
Dauerverbindung des Computers oder des Netzwerkes zum Internet.<br />
Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals<br />
außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer-<br />
den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet<br />
werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust<br />
kommt; zum Beispiel hervorgerufen durch einen Computervirus.<br />
Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die<br />
Schadprogramme dann schon im lokalen Netz sind.<br />
Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz-<br />
werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt<br />
und die Kommunikation mit dem Internet überwacht.<br />
Das <strong>Securepoint</strong> Unified Threat Management (UTM) bietet eine Komplettlösung mit vie-<br />
len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet<br />
das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan-<br />
ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath –<br />
Routing-Funktionalität.<br />
Die Verbindung in einem System verringert den administrativen und integrativen Auf-<br />
wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen<br />
dient ein klar strukturiertes Administrator-Interface.<br />
Die <strong>Securepoint</strong> UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi-<br />
ell abgestimmten Appliances erhältlich. So deckt <strong>Securepoint</strong> verschiedenste Anforde-<br />
rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit<br />
mehreren hundert Rechnern ab.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>
Teil 1<br />
Das Administrator-Interface<br />
<strong>Securepoint</strong> <strong>10</strong><br />
<strong>Securepoint</strong><br />
Security Solutions 11
2 Die Appliances <strong>Securepoint</strong> <strong>10</strong><br />
2 Die Appliances<br />
Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz-<br />
werkschutzes konzipiert sind. Im Produktangebot von <strong>Securepoint</strong> sind 7 Appliances erhält-<br />
lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei-<br />
tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen<br />
der Geräte.<br />
Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz<br />
Piranja<br />
RC <strong>10</strong>0<br />
RC 200<br />
RC 300<br />
RC 3<strong>10</strong><br />
RC 400<br />
RC 4<strong>10</strong><br />
bis 5 <strong>10</strong>0 Mbit/s 70 Mbit/s<br />
<strong>10</strong> bis 25 <strong>10</strong>0 Mbit/s <strong>10</strong>0 Mbit/s<br />
25 bis 50 400 Mbit/s 260 Mbit/s<br />
50 bis <strong>10</strong>0 <strong>10</strong>00 Mbit/s 700 Mbit/s<br />
50 bis <strong>10</strong>0 <strong>10</strong>00 Mbit/s <strong>10</strong>00 Mbit/s<br />
<strong>10</strong>0 bis 500 <strong>10</strong>00 Mbit/s <strong>10</strong>00 Mbit/s<br />
<strong>10</strong>0 bis 500 <strong>10</strong>00 Mbit/s <strong>10</strong>00 Mbit/s<br />
Gerät CPU RAM HDD Interfaces USB Ports<br />
Piranja VIA C3 / Eden 533<br />
MHz<br />
1 GB Compact Flash<br />
512 MB<br />
3 x <strong>10</strong>/<strong>10</strong>0<br />
Ethernet Ports<br />
RC <strong>10</strong>0 VIA C7 1 GHz 1 GB 80 GB 3 x <strong>10</strong>/<strong>10</strong>0<br />
Ethernet Ports<br />
RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x <strong>10</strong>/<strong>10</strong>0/<strong>10</strong>00<br />
RC 300 Intel Core2 Duo<br />
E4500 2 x 2,2 GHz<br />
RC 3<strong>10</strong> Pentium D<br />
2 x 3,4 GHz<br />
RC 400 Xeon 5335<br />
1,8 GHz<br />
Ethernet Ports<br />
1 GB 80 GB 6 x <strong>10</strong>/<strong>10</strong>00<br />
Ethernet Ports<br />
1 GB 2 x 80 GB 6 x <strong>10</strong>/<strong>10</strong>00<br />
Ethernet Ports<br />
2 GB 2 x 73 GB <strong>10</strong> x <strong>10</strong>/<strong>10</strong>00<br />
Ethernet Ports<br />
RC 4<strong>10</strong> Xeon 1,8 GHz 2 GB 2 x 73 GB <strong>10</strong> x <strong>10</strong>/<strong>10</strong>00<br />
Ethernet Ports<br />
<strong>Securepoint</strong><br />
Security Solutions 12<br />
1<br />
1<br />
5<br />
4<br />
4<br />
4<br />
4
3 Anschluss der Appliance <strong>Securepoint</strong> <strong>10</strong><br />
3 Anschluss der Appliance<br />
Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der<br />
Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischengeschal-<br />
tet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit der<br />
Appliance verbunden werden.<br />
Internet<br />
Modem <strong>Securepoint</strong><br />
Appliance<br />
Abb. 1 Position der Appliance im Netzwerk<br />
3.1 Piranja und RC <strong>10</strong>0<br />
Switch<br />
Computer 1<br />
Computer 2<br />
Computer n<br />
Die Piranja und die RC <strong>10</strong>0 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3),<br />
eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse.<br />
Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk-<br />
adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2<br />
spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port<br />
LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge-<br />
sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss<br />
benutzt werden.<br />
Abb. 2 Rückansicht der Piranja bzw. der RC <strong>10</strong>0<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
<strong>Securepoint</strong><br />
Security Solutions 13
3 Anschluss der Appliance <strong>Securepoint</strong> <strong>10</strong><br />
3.2 RC 200<br />
Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch<br />
mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3<br />
gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter-<br />
nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden.<br />
Abb. 3 Rückansicht einer RC 200<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
3.3 RC 300<br />
Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen-<br />
sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports<br />
nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern.<br />
Abb. 4 Frontansicht der RC 300 (schematisch)<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
LAN 5 eth4 freie Verfügung<br />
LAN 6 eth5 freie Verfügung<br />
<strong>Securepoint</strong><br />
Security Solutions 14
3 Anschluss der Appliance <strong>Securepoint</strong> <strong>10</strong><br />
3.4 RC 400<br />
Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken<br />
angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts.<br />
LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports<br />
am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung.<br />
LAN 1 LAN 3<br />
Abb. 5 Frontansicht der RC 400 (schematisch)<br />
LAN 5 LAN 7<br />
LAN 2 LAN 4 LAN 6 LAN 8<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
LAN 5 eth4 freie Verfügung<br />
LAN 6 eth5 freie Verfügung<br />
LAN 7 eth6 freie Verfügung<br />
LAN 8 eth7 freie Verfügung<br />
<strong>Securepoint</strong><br />
Security Solutions 15
4 Administrator-Interface <strong>Securepoint</strong> <strong>10</strong><br />
4 Administrator-Interface<br />
4.1 Mit der Appliance verbinden<br />
Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces<br />
auf den Port 11115 mit dem https (SSL) Protokoll.<br />
Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf<br />
192.168.175.1 eingestellt. Der Port 11115 wird nicht geändert und ist für die Administration<br />
reserviert.<br />
Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt.<br />
Benutzername: admin<br />
Kennwort: insecure<br />
Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein:<br />
https://192.168.175.1:11115/<br />
Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die<br />
IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse.<br />
Es erscheint der Dialog LOGIN.<br />
Abb. 6 Login Dialog<br />
Geben Sie im Feld Benutzername admin ein.<br />
Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den<br />
Benutzer admin schon geändert haben das neue Kennwort.<br />
Klicken Sie anschließend auf Login.<br />
Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm.<br />
Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authentifi-<br />
zierung, Menüpunkt Benutzer.<br />
Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und<br />
Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein.<br />
<strong>Securepoint</strong><br />
Security Solutions 16
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
4.2 Systemanforderung an den Client-Rechner<br />
Betriebssystem: ab MS Windows XP und Linux<br />
Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend<br />
Speicher: 512 MB oder mehr<br />
Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3<br />
5 <strong>Securepoint</strong> Cockpit<br />
Der erste Bildschirm nach Betreten des gesicherten Bereichs, zeigt einen Überblick über den<br />
Status der Hardware und der Dienste. Zudem beinhaltet das Cockpit auch die Navigations-<br />
leiste.<br />
Diese Ansicht ist immer zu sehen. Alle weiteren Konfigurationsmöglichkeiten werden in Po-<br />
pup Fenstern vorgenommen. Nach der Bearbeitung werden diese wieder geschlossen und<br />
das im Hintergrund liegende Cockpit wird wieder aktiv.<br />
Die einzelnen Listen des Cockpits können geschlossen werden, um die Anzeige auf die per-<br />
sönlichen Bedürfnisse anzupassen.<br />
Abb. 7 Cockpit Übersicht<br />
<strong>Securepoint</strong><br />
Security Solutions 17
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.1 Navigationsleiste<br />
Über die Navigationsleiste gelangen Sie zu den einzelnen Konfigurationsbereichen, die<br />
in den Kategorien Konfiguration, Netzwerk, Firewall, Applications, VPN, authenti-<br />
cation, extras, live log zusammengefasst sind.<br />
Beim Überfahren der Punkte mit der Maus öffnet sich das jeweilige Dropdownmenü.<br />
Abb. 8 Navigationsleiste des Cockpits<br />
5.2 Lizenz<br />
In diesem Bereich werden Angaben zu der Firewall Software, Updates und Lizenz gegeben.<br />
Bezeichnung Erklärung<br />
Firewall Typ Name der Firewall Software.<br />
Version Version der Firewall Software.<br />
Lizenziert für Name und ggf. Firma des Versionsinhabers.<br />
Lizenz gültig bis Gültigkeit der Lizenz.<br />
Letzte Virenpattern Aktua-<br />
lisierung<br />
Lizenz: X verbleibende<br />
Tage<br />
Abb. 9 Lizenzbereich<br />
Das Datum ist im US amerikanischen Format angegeben<br />
(MM/TT/JJJJ).<br />
Zeit, an dem das letzte Update der Virusdatenbank durchge-<br />
führt worden ist.<br />
Anzahl der Tage, die die Lizenz noch gültig ist.<br />
<strong>Securepoint</strong><br />
Security Solutions 18
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.3 System<br />
Dieser Bereich zeigt die gegenwärtige Systemauslastung und die aktuellen TCP / UDP Ver-<br />
bindungen an.<br />
Bezeichnung Erklärung<br />
CPU Auslastung des Prozessors.<br />
Typ Angabe des Prozessortyps.<br />
RAM Auslastung des Arbeitsspeichers,<br />
grafisch und als Prozentangabe.<br />
SWAP Auslastung der Auslagerungsdatei,<br />
grafisch und als Prozentangabe.<br />
Uptime Zeigt, wie lange das System schon in Betrieb ist.<br />
Momentane TCP Verbin-<br />
dungen<br />
Momentane UDP Verbin-<br />
dungen<br />
Anzahl der aktuellen TCP Verbindungen.<br />
Anzahl der aktuellen UDP Verbindungen.<br />
Cluster Status Zeigt, ob die Appliance als Master oder Spare agiert, wenn<br />
eine Hochverfügbarkeitsumgebung betrieben wird.<br />
Start Konfiguration Name der Startkonfiguration.<br />
Laufende Konfiguration Name der aktuell verwendeten Konfiguration.<br />
Abb. <strong>10</strong> System Status<br />
<strong>Securepoint</strong><br />
Security Solutions 19
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.4 Dienste Status<br />
Hier werden alle verfügbaren Dienste aufgelistet und deren Status angezeigt. Bei man-<br />
chen Diensten werden noch weitere Informationen angezeigt.<br />
Ist ein Dienst aktiv, wird dies durch einen grünen Kreis angezeigt. Ein grauer Kreis<br />
zeigt, dass der Dienst inaktiv ist. Wird ein Dienst gestartet oder gestoppt, muss die<br />
Seite aktualisiert werden, damit der richtige Status angezeigt wird.<br />
Dienst Erklärung<br />
SSH Server Secure Shell<br />
Bietet eine verschlüsselte Verbindung zur Appliance.<br />
Mail Relay Dienst zum Versenden von E-Mail über die Appliance.<br />
DNS Server Domain Name System Server<br />
Löst einen Hostnamen in eine IP-Adresse auf.<br />
POP3 Proxy Post Office Protocol Version 3 Proxy<br />
Verbindet mit einem POP3 Server und untersucht die abgehol-<br />
ten E-Mails auf Viren und Spam.<br />
HTTP Proxy Hypertext Transfer Protocol Proxy<br />
VoIP Proxy Voice over IP<br />
Der Proxy vermittelt zwischen den Clients im internen Netzwerk<br />
und den Servern im Internet. Er kann HTTP Aufrufe anhand<br />
des Inhalts sperren und Webseiten auf Viren untersuchen.<br />
Vermittelt Internet Telefonie über die Appliance.<br />
VNC Repeater Virtual Network Computing<br />
Ermöglicht die Steuerung eines entfernten Rechners.<br />
DynDNS Client Dynamic Domain Name Services Client<br />
Der Client aktualisiert über einem DynDNS Dienst die aktuelle<br />
IP der Firewall.<br />
NTP Server Network Time Protocol Server<br />
Ermöglicht die Synchronisierung der Systemuhren im Netz-<br />
werk.<br />
IDS Server Intrusion Detection System<br />
Protokolliert Angriffe mit bekannten Angriffsmustern.<br />
L2TP Server Layer 2 Tunneling Protocol Server<br />
Ermöglicht eine VPN Verbindung zur Firewall über das Netz-<br />
werkprotokoll L2TP.<br />
<strong>Securepoint</strong><br />
Security Solutions 20
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
PPTP Server Point To Point Tunneling Protocol Server<br />
Ermöglicht eine VPN Verbindung zur Firewall über das Netz-<br />
werkprotokoll PPTP.<br />
SPUVA Server <strong>Securepoint</strong> Security User Verification Agent Server<br />
Zentrale Nutzer Authentifizierung.<br />
Web Server Zum Bereitstellen von Onlineinhalten wie z. B. Webseiten<br />
DHCP Server Dynamic Host Configuration Protocol Server<br />
Weist den Rechner im Netzwerk die Netzwerkkonfiguration zu<br />
(z. B. die IP-Adresse).<br />
IPSec Server Internet Protocol Security Server<br />
Ermöglicht eine VPN Verbindung zur Firewall über das IPSec<br />
Protokoll.<br />
SSL VPN Server Secure Socket Layer Virtual Private Network Server<br />
Ermöglicht eine SSL gesicherte VPN Verbindung zur Firewall.<br />
IGMP Proxy Internet Group Management Protocol<br />
Virusscanner Virenscanner<br />
Ermöglicht das Verteilen von Paketen an mehrere Empfänger.<br />
Dienst für POP3, HTTP und SMTP.<br />
CTASD Server Commtouch Anti Spam Daemon<br />
BAYESD Server Bayes Daemon<br />
Dienst zur Spamidentifizierung der Firma Commtouch.<br />
Dienst zur Spamidentifizierung nach dem Bayes-Verfahren.<br />
Kerberos Authentifizierungsdienst für den Zugriff auf den HTTP Proxy.<br />
Mailfilter Dienst zum Filtern der E-Mails nach Anhängen und Inhalt. und<br />
zum Archivieren der E-Mails.<br />
SNMP Server Simple Network Management Protocol<br />
Protokoll zur zentralen Überwachung von Netzwerkgeräten.<br />
Routing Server Unterstützt verschiedene, dynamische Routingprotokolle.<br />
Abb. 11 Liste der Dienste<br />
<strong>Securepoint</strong><br />
Security Solutions 21
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.5 Appliance<br />
Zeigt die Ansicht der Appliance.<br />
Die angeschlossenen LAN Ports sind grün markiert.<br />
Abb. 12 Ansicht der Appliance (z. B. eine Piranja)<br />
5.6 Schnittstellen<br />
Hier werden die Interfaces mit den zugeordneten IP-Adressen und Zonen angezeigt. In Ab-<br />
hängigkeit der verwendeten Appliance werden hier weitere Netzwerkadapter (ethx) aufgelis-<br />
tet.<br />
Bezeichnung Erklärung<br />
eth0 Netzwerkadapter für die Verbindung zum Internet.<br />
An der Appliance als LAN 1 gekennzeichnet.<br />
eth1 Netzwerkadapter für die Verbindung zum internen Netzwerk.<br />
An der Appliance als LAN 2 gekennzeichnet.<br />
eth2 Netzwerkadapter zur Anbindung einer Demilitarisierten Zone<br />
(DMZ). An der Appliance mit LAN 3 gekennzeichnet.<br />
ppp0 Ein virtuelles Interface zur Verbindung der Firewall mit dem<br />
Internet über PPPOE oder PPTP.<br />
tun0 Virtuelles Interface für das SSL VPN. Die interne Adresse ist<br />
Abb. 13 Status der Schnittstellen<br />
standardmäßig auf 192.168.250.1 festgelegt.<br />
<strong>Securepoint</strong><br />
Security Solutions 22
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.7 IPSec<br />
Hier werden die erstellten IPSec VPN Verbindungen und deren Benutzung aufgelistet.<br />
An erster Stelle steht der Name der Verbindung, gefolgt von der aktuellen Nutzung.<br />
Abb. 14 Auflistung und Status der IPSec Tunnel<br />
5.8 <strong>Downloads</strong><br />
Hier können Sie sehen, welche Dateien in dem User-Interface zum Download zur Verfügung<br />
stehen. Außerdem werden die Version sowie eine Kurzbeschreibung angezeigt.<br />
Der Dateiname ist ein Link, über den Sie die Datei direkt herunterladen können.<br />
Abb. 15 Auflistung der vefügbaren Software und Dokumente<br />
5.9 Spuva Benutzer<br />
Diese Anzeige listet die Benutzer und deren IP-Adresse auf, die sich per SPUVA<br />
(<strong>Securepoint</strong> User Verification Agent) angemeldet haben.<br />
Der SPUVA hat die Aufgabe, Anwendern individuelle Rechte für Ihre Arbeitsplätze im DHCP<br />
Umfeld zu geben. Der Anwender authentisiert sich über den SPUVA und erhält an jedem<br />
beliebigen Arbeitsplatz seine individuelle Security Policy. Wechselt ein Anwender seinen<br />
Arbeitsplatz, erhält er am anderen Platz ebenfalls automatisch seine für ihn gültige Security<br />
Policy.<br />
Abb. 16 momentan am System angemeldet Benutzer<br />
<strong>Securepoint</strong><br />
Security Solutions 23
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.<strong>10</strong> Schnittstellen Auslastung<br />
Die Anzeige Interface Traffic zeigt den Datenverkehr der Interfaces graphisch an. Dabei wird<br />
der eingehende Verkehr als grüner und der ausgehende Verkehr als blauer Graph darge-<br />
stellt. Die dargestellte Zeitspanne beträgt 24 Stunden, wobei der neueste Zeitpunkt die aktu-<br />
elle Messung darstellt, die alle fünf Minuten durchgeführt wird.<br />
Abb. 17 graphische Darstellung des Datenverkehrs<br />
5.<strong>10</strong>.1 Einstellungen<br />
Wenn Sie in dem Bereich Interface Traffic im Cockpit auf den Button Einstellungen klicken,<br />
können Sie auswählen, welche Interfaces in dem Bereich dargestellt werden.<br />
Die linke Liste zeigt die verfügbaren Interfaces an und die rechte Liste die darzustellenden<br />
Interfaces. Markieren Sie ein Interface und klicken Sie auf den entsprechenden Pfeil Button,<br />
um ein Interface in die gewünschte Liste zu verschieben.<br />
Abb. 18 verfügbare und dargestellte Interfaces<br />
<strong>Securepoint</strong><br />
Security Solutions 24
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.<strong>10</strong>.2 Details und Zoom<br />
Durch ein Klicken auf ein Diagramm wird dieses in einem neuen Fenster mit größerer Dar-<br />
stellung der Graphen sowie weiteren Details angezeigt.<br />
Abb. 19 Details des Datenverkehrs des Interface eth1<br />
Durch Aufziehen eines Auswahlvierecks im unteren Diagramm können Sie einen Bereich<br />
bestimmen der vergrößert dargestellt werden soll. Die Auswahl können Sie mit dem Button<br />
Zoom zurücksetzen wieder aufheben.<br />
Abb. 20 Ausschnittsvergrößerung<br />
<strong>Securepoint</strong><br />
Security Solutions 25
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.11 SSH Benutzer<br />
In diesem Bereich wird angezeigt, welche Benutzer sich per SSH (Secure Shell z.B. Putty)<br />
mit der Appliance verbunden haben. Es werden der Login-Name und die IP-Adresse des<br />
Benutzers angezeigt. Außerdem wird noch gelistet, zu welchem Zeitpunkt sich der Benutzer<br />
verbunden hat.<br />
Abb. 21 Benutzer, die sich per SSH verbunden haben<br />
5.12 Web-Interface Benutzer<br />
Hier werden die Login-Namen und die IP-Adresse der Benutzer angezeigt, die sich am Web-<br />
Interface angemeldet haben. Dies kann das Administrator-Interface oder das User-Interface<br />
sein. Außerdem wird noch gelistet, zu welchem Zeitpunkt sich der Benutzer verbunden hat.<br />
Abb. 22 Benutzer, die am Web-Interface angemeldet sind<br />
<strong>Securepoint</strong><br />
Security Solutions 26
5 <strong>Securepoint</strong> Cockpit <strong>Securepoint</strong> <strong>10</strong><br />
5.13 DHCP Reservierungen<br />
Der DHCP Server vergibt für Benutzer dynamisch IP-Adressen im internen Netz, soweit der<br />
DHCP Server aktiviert ist. Diese IP-Adresse wird für den Benutzer für eine definierte Zeit<br />
reserviert. Diese reservierten Adressen werden hier angezeigt in Verbindung mit dem Benut-<br />
zer und der MAC-Adresse des Rechners. In der Letzten Spalte ist der Status angegeben. Ist<br />
der Kreis grau, so ist der Nutzer gerade nicht angemeldet. Ein grüner Kreis zeigt an, dass<br />
der Benutzer angemeldet ist.<br />
Die Anzeige ist immer zehnzeilig. Wenn mehr DHCP-Adressen gespeichert sind, können Sie<br />
mit den Pfeiltasten im unteren Bereich durch die Seiten blättern.<br />
Abb. 23 gespeicherte IP-Adressen des DHCP Dienstes<br />
5.14 Hilfe anzeigen lassen<br />
In der Titelleiste der Dialoge ist rechts in der Titelleiste, neben der „Schließen Schaltfläche“<br />
ein Fragezeichen Symbol. Durch Drücken dieses Symbols rufen Sie die Hilfe auf. Die ange-<br />
zeigten Texte erläutern kurz die einzustellenden Werte des Dialogs. Diese Funktion ist kon-<br />
textabhängig. Es werden also nur die Erklärungen zum jeweiligen Dialog angezeigt.<br />
Abb. 24 Hilfe Symbol in der Titelleiste<br />
<strong>Securepoint</strong><br />
Security Solutions 27
6 Menü Konfiguration <strong>Securepoint</strong> <strong>10</strong><br />
6 Menü Konfiguration<br />
Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di-<br />
rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi-<br />
guration zu finden.<br />
Abb. 25 Dropdownmenü des Menüpunktes Konfiguration<br />
Bezeichnung Erklärung<br />
Konfigurationen<br />
verwalten<br />
Installations-<br />
assistent<br />
Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfi-<br />
gurationsdateien auf. Hier hat man die Möglichkeit die Dateien zu<br />
exportieren, zu drucken und zu löschen. Außerdem kann man Konfi-<br />
gurationen laden, Startkonfigurationen setzen und Konfigurationen<br />
importieren oder aktuelle Einstellungen in einer neuen Datei spei-<br />
chern.<br />
Der Installationsassistent hilft Ihnen bei der Einrichtung der grundle-<br />
genden Einstellungen.<br />
Neu starten Fährt die Appliance runter und startet sie anschließend neu.<br />
Herunterfahren Das System wird gestoppt und heruntergefahren.<br />
Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück.<br />
Abmelden Abmeldung vom Administrator-Interface.<br />
<strong>Securepoint</strong><br />
Security Solutions 28
6 Menü Konfiguration <strong>Securepoint</strong> <strong>10</strong><br />
6.1 Konfigurationen verwalten<br />
Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem<br />
Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer Liste<br />
aller gespeicherten Konfigurationsdateien.<br />
Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im<br />
Dropdownmenü auf den Eintrag Konfigurationen verwalten.<br />
Es öffnet sich der Dialog Konfigurationen.<br />
Abb. 26 Auflistung der gespeicherten Konfigurationen<br />
Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist<br />
die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem<br />
Reboot).<br />
Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration.<br />
Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die<br />
Konfigurationsdateien anwenden kann.<br />
Schaltfläche Bedeutung Beschreibung<br />
Export<br />
Exportiert die Konfiguration und speichert diese im DAT Format<br />
ab.<br />
Öffnet ein Browserfenster, in dem die Konfiguration in Tabel-<br />
Drucken lenformat dargestellt wird. Diese Darstellung kann gedruckt<br />
oder gespeichert werden.<br />
Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration.<br />
Laden Lädt die jeweilige Konfiguration.<br />
Löschen Löscht die jeweilige Konfiguration.<br />
<strong>Securepoint</strong><br />
Security Solutions 29
6 Menü Konfiguration <strong>Securepoint</strong> <strong>10</strong><br />
Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen Spei-<br />
chern unter… und Importieren… .<br />
6.1.1 Konfiguration speichern<br />
Die Einstellungen werden automatisch in der benutzten, also aktuell geladenen Konfiguration<br />
gespeichert. Man kann neue Einstellungen aber auch unter einer anderen bestehenden Kon-<br />
figuration oder in einer neuen Konfiguration speichern.<br />
Klicken Sie auf den Button Speichern unter … .<br />
Es öffnet sich der Dialog Speichern unter … .<br />
Wählen Sie entweder eine bestehende Konfiguration aus der Dropdownbox oder geben<br />
Sie einen neuen Namen ein, unter der die Konfiguration gespeichert werden soll.<br />
Klicken Sie abschließend auf Speichern.<br />
Abb. 27 Konfiguration neu abspeichern<br />
<strong>Securepoint</strong><br />
Security Solutions 30
6 Menü Konfiguration <strong>Securepoint</strong> <strong>10</strong><br />
6.1.2 Konfiguration importieren<br />
Sie können auch eine bestehende Konfiguration importieren. Einzige Bedingung dafür ist,<br />
dass die externe Datei im DAT Format vorliegen muss.<br />
Klicken Sie auf den Button Importieren … .<br />
Es öffnet sich der Dialog Importiere Konfiguration.<br />
Klicken Sie auf Durchsuchen und wählen Sie die gewünschte Datei aus.<br />
Geben Sie im Feld Importieren als eine Namen ein, unter der die Konfiguration gespeichert<br />
werden soll.<br />
Klicken Sie danach auf Import.<br />
Die Konfigurationsdatei wird auf der Appliance gespeichert.<br />
Abb. 28 externe Konfiguration importieren<br />
6.2 Installationsassistent<br />
Der Installationsassistent hilft Ihnen bei den grundlegenden Einstellungen der Appliance. Er<br />
wird nach der Neuinstallation automatisch gestartet. Wenn Sie den Assistenten abgebrochen<br />
haben oder die Grundeinstellungen mit dem Assistenten erneut durchführen möchten, haben<br />
Sie hier die Möglichkeit den Vorgang erneut zu starten.<br />
6.3 Neu starten<br />
Der zweite Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die<br />
Startkonfiguration geladen. Gegebenenfalls müssen Sie die Startkonfiguration vor dem Re-<br />
boot setzen.<br />
6.4 Herunterfahren<br />
Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet.<br />
<strong>Securepoint</strong><br />
Security Solutions 31
6 Menü Konfiguration <strong>Securepoint</strong> <strong>10</strong><br />
6.5 Werkseinstellungen<br />
Setzt das System in den Auslieferungszustand zurück.<br />
Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht.<br />
6.6 Logout<br />
Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und<br />
die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei-<br />
chert.<br />
<strong>Securepoint</strong><br />
Security Solutions 32
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7 Menü Netzwerk<br />
Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, nützliche Netzwerk<br />
Programme und den Update-Bereich zum Aktualisieren der Virendatenbank und der Firewall<br />
Software.<br />
Abb. 29 Dropdownmenü des Menüpunktes Netzwerk<br />
Bezeichnung Erklärung<br />
Server Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorge-<br />
nommen:<br />
Administratoren IP-Adressen, Zeitzone und Log Server-IP-<br />
Adresse<br />
Netzwerk Konfiguration Einstellungen zum Netzwerk:<br />
IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Dyn-<br />
DNS Dienst, Routing und DHCP Server Einstellungen<br />
Zonen Einstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen an-<br />
legen.<br />
Netzwerk Werkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle<br />
<strong>Securepoint</strong><br />
Security Solutions 33
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.1 Server Eigenschaften<br />
In diesem Bereich werden grundlegende Einstellungen für die Appliance gesetzt. Der Dialog<br />
beinhaltet die Registerkarten Server Einstellungen, Administration, Syslog, SNMP und<br />
Cluster Einstellungen.<br />
7.1.1 Server Einstellungen<br />
Auf dieser Registerkarte müssen der Appliance Name, die Domain Name Service Server und<br />
der Network Time Protocol Server gesetzt werden.<br />
Tragen Sie im Feld Servername den Domainnamen der Firewall ein.<br />
Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Service<br />
Servers ein.<br />
Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer<br />
Nameserver ein.<br />
Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Firewall<br />
eigene DNS Dienst verwendet.<br />
Geben Sie im Feld NTP Server die IP-Adresse oder den Hostnamen eines Zeitservers<br />
ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus.<br />
Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbindungen<br />
beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen.<br />
Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene<br />
Pakete.<br />
Abb. 30 Registerkarte Server Settings des Server Eigenschaften Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 34
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.1.2 Administration<br />
Der Zugriff auf die Appliance ist standardmäßig nur aus dem internen Netz erlaubt.<br />
Auf dieser Registerkarte können Sie definieren, von welcher IP-Adresse oder von welchem<br />
Subnetz aus die Appliance außerdem administriert werden darf.<br />
Für die Administration werden folgende Protokolle freigeschaltet:<br />
Dienst Protokoll Port<br />
SSH tcp 22<br />
Administrator-Interface tcp 11115<br />
Um eine IP-Adresse oder ein Netz hinzuzufügen, klicken Sie auf den Button<br />
Host/Netz hinzufügen.<br />
Es erscheint der Dialog Add Host/IP hinzufügen.<br />
Tragen Sie hier eine Hostnamen oder eine IP-Adresse ein.<br />
Möchten Sie einem Subnetz den Zugriff erlauben, müssen Sie die Subnetzmaske angeben.<br />
Bsp.: 192.168.176.0/24<br />
Klicken auf Hinzufügen.<br />
Sie können Einträge aus der Liste mit dem Abfalleimersymbol neben dem Eintrag<br />
löschen.<br />
Abb. 31 Registerkarte Administration des Server Eigenschaften Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 35
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.1.3 Syslog<br />
Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das<br />
Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen<br />
können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log-<br />
meldungen analysiert werden.<br />
Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden.<br />
Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Server<br />
hinzufügen.<br />
Es öffnet sich der Dialog Syslog Server hinzufügen.<br />
Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und<br />
klicken Sie auf Hinzufügen.<br />
Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen.<br />
Abb. 32 Registerkarte Syslog des Server Eigenschaften Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 36
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.1.4 SNMP<br />
Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen<br />
Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto-<br />
kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen.<br />
Es werden die Protokollversion 1 und 2c unterstützt.<br />
Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein.<br />
Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und<br />
der Community String bekannt sein.<br />
Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide<br />
Versionen gleichzeitig verwenden.<br />
Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Benutzer<br />
mitgeteilt werden.<br />
Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP an, von der<br />
Zugriff per SNMP erlaubt werden soll.<br />
Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hinzufügen.<br />
Die IP-Adresse wird in der Liste hinzugefügt.<br />
Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel<br />
angelegt werden.<br />
Abb. 33 Registerkarte SNMP des Server Eigenschaften Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 37
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.1.5 Cluster Einstellungen<br />
Die <strong>Securepoint</strong> Appliance bietet die Möglichkeit eine Hochverfügbarkeitsumgebung aufzu-<br />
bauen. Für diese Umgebung benötigen Sie mindestens zwei Appliances. Eine Firewall wird<br />
dabei als produktive Maschine (Master) eingesetzt und eine (oder mehrere) weitere wird als<br />
Ersatzmaschine (Spare) im Standby betrieben. Fallen erforderliche Dienste oder der gesam-<br />
te Master aus, übernimmt die Spare Maschine den Betrieb.<br />
Bestimmen Sie im Feld Verzögerung zwischen Advertisment Paketen das Intervall<br />
(in Sekunden) zwischen den Statusmeldung des Masters an den Spare.<br />
Legen Sie im zweiten Feld fest, wie viele Statusmeldungen ausbleiben dürfen, bevor<br />
der Master als ausgefallen erkannt wird.<br />
Im Feld Cluster ID geben Sie eine Zahl für den Clusterverbund an. Diese ist wichtig,<br />
wenn Sie mehrere <strong>Securepoint</strong> Cluster betreiben.<br />
Unter Cluster Secret geben Sie ein Kennwort zur Verschlüsselung der Statusmeldungen<br />
an.<br />
Die Option Schalte auf Master wenn möglich setzt die Appliance auch nach einen<br />
Neustart wieder als Master ein.<br />
Der Host Status kann die Werte offline, master oder spare annehmen.<br />
Ist der Status master, kann die Appliance durch den Button Herunterstufen zum<br />
Spare zum Spare gemacht werden. Eine Sparemaschine übernimmt dann den Master<br />
Status.<br />
Abb. 34 Registerkarte Cluster Einstellungen des Server Eigenschaften Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 38
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2 Netzwerk Konfiguration<br />
In diesem Bereich werden Einstellungen zum Netzwerk vorgenommen.<br />
Dies umfasst die IP-Adressen der einzelnen Interfaces, Routingeinträge, Zugangsdaten<br />
des Internet Service Providers, eventuell Daten eines dynamischen Adressdienstes und<br />
Einstellungen für den DHCP Server.<br />
7.2.1 Schnittstellen<br />
Auf der Registerkarte Schnittstellen werden die Netzwerkkarten der Appliance mit deren IP-<br />
Adressen und Zonen angezeigt.<br />
Abb. 35 Liste der vorhandenen Interfaces<br />
<strong>Securepoint</strong><br />
Security Solutions 39
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
Die Bezeichnung der Interfaces ist abhängig von deren Verwendung. Interfaces gleichen<br />
Namens werden von 1 bis n durchnummeriert.<br />
Verwendung Bezeichnung<br />
Ethernet eth0, eth1, eth2, eth3, eth4 ... ethn<br />
virtuelle Netzwerke (VLAN) eth0.0; eth0.1 … eth0.n .ethn.0; ethn.1… ethn.n<br />
ADSL, VDSL und PPTP ppp0, ppp1… pppn<br />
(virtuelle Adresse an reales Interface gebunden)<br />
Hochverfügbarkeitsumgebung cluster0, cluster1, cluster2… clustern<br />
(virtuelle Adresse an reales Interface gebunden)<br />
SSL VPN tun0, tun1, tun2… tunn (virtuelles Interface)<br />
Die minimal drei Schnittstellen sind als Ethernet-Interfaces mit dem Namen eth0, eth1 und<br />
eth2 voreingestellt. Außerdem ist schon ein tun Interface mit der Bezeichnung tun0 und der<br />
IP-Adresse 192.168.250.1 angelegt.<br />
Abb. 36 Wahl der Interface Art<br />
<strong>Securepoint</strong><br />
Security Solutions 40
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.1 eth Interface hinzufügen<br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es öffnet sich der Schnittstellen Assistent.<br />
Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall eth).<br />
Klicken Sie dann Weiter.<br />
Es öffnet sich das Konfigurationsfenster für ein eth Interface.<br />
Im Bereich Allgemein werden die Eigenschaften der Schnittstelle eingestellt.<br />
Der Name des Interface ist vorgegeben und kann nicht geändert werden.<br />
Tragen Sie im Feld IP die IP-Adresse des Netzwerkadapters ein.<br />
Im Feld Maske setzen Sie die Subnetzmaske bzw. den Bitcount.<br />
Entscheiden Sie, ob die Schnittstelle eine IP-Adresse vom DHCP Server zugewiesen<br />
bekommt und setzen Sie ggf. ein Häkchen in der Checkbox DHCP Client.<br />
Bestimmen Sie unter MTU (Maximum Transmission Unit) die maximale Paketgröße.<br />
Im Normalfall kann diese auf dem Standardwert (1500) belassen werden.<br />
Wenn das Interface auf Pings antworten soll, aktivieren Sie die Checkbox Ping erlauben.<br />
Wählen Sie die Geschwindigkeit des Interfaces aus dem Dropdownfeld Geschwindigkeit.<br />
Im rechten Bereich wählen Sie die Zone für das Interface und die zugehörige(n) Zone(n),<br />
indem Sie die betreffenden Zonen mit einem Häkchen aktivieren.<br />
Zum Fertigstellen klicken Sie auf Fertigstellen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 37 eth Interface anlegen - Einstellungen vornehmen<br />
<strong>Securepoint</strong><br />
Security Solutions 41
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.2 VLAN Interface hinzufügen<br />
VLAN steht für Virtual Local Area Network und wird verwendet, um ein physikalisches Netz<br />
in mehrere logische Netze aufzuteilen. Verschiedene Netze können genutzt werden, um das<br />
gesamte Intranet zu strukturieren, z.B. nach Organisation wie Abteilungen, Projektgruppen<br />
oder nach räumlichen Eigenschaften wie Stockwerke oder Gebäude.<br />
Für jedes Netz wäre eigentlich jeweils ein Interface nötig. Durch die Verwendung von VLAN<br />
Interfaces können diese Netze über ein physikalisches Interface betrieben werden, denn die<br />
virtuellen VLAN Interfaces werden an ein physikalisches Interface gebunden. Jedes VLAN<br />
verfügt über eine Kennung (ID), die an die jeweiligen Pakete als Kennzeichnung (Tag) ange-<br />
hängt werden. Durch diese Tags kann ein VLAN-fähiger Switch die Pakete dem jeweiligen<br />
VLAN zuweisen.<br />
Appliance<br />
Abb. 38 VLAN Aufstellung<br />
Switch<br />
VLAN1<br />
VLAN2<br />
VLAN3<br />
<strong>Securepoint</strong><br />
Security Solutions 42
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es öffnet sich der Schnittstellen Assistent.<br />
Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall VLAN).<br />
Klicken Sie dann Weiter.<br />
Es öffnet sich das Konfigurationsfenster für ein VLAN Interface.<br />
Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das VLAN<br />
Interface gebunden werden solI.<br />
Geben Sie dem Interface eine ID im Feld VLAN ID.<br />
Tragen Sie unter IP und Maske die IP-Adresse und Subnetzmaske für das VLAN<br />
Netz ein.<br />
Entscheiden Sie, ob die Schnittstelle eine IP-Adresse vom DHCP Server zugewiesen<br />
bekommt und setzen Sie ggf. ein Häkchen in der Checkbox DHCP Client.<br />
Bestimmen Sie unter MTU (Maximum Transmission Unit) die maximale Paketgröße.<br />
Im Normalfall kann diese auf dem Standardwert (1500) belassen werden.<br />
Wenn das Interface auf Pings antworten soll, aktivieren Sie die Checkbox Ping erlauben.<br />
Wählen Sie die Geschwindigkeit des Interfaces aus dem Dropdownfeld Geschwindigkeit.<br />
Im rechten Bereich wählen Sie die Zone für das Interface und die zugehörige(n) Zone(n),<br />
indem Sie die betreffenden Zonen mit einem Häkchen aktivieren.<br />
Zum Fertigstellen klicken Sie auf Fertigstellen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 39 VLAN Interface anlegen - Einstellungen vornehmen<br />
<strong>Securepoint</strong><br />
Security Solutions 43
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.3 PPTP Interface hinzufügen<br />
Ein PPTP Interface wird für die Einwahl in das Internet über das Point to Point Tunneling<br />
Protocol benötigt. Dieses Verfahren wird z. B. in Österreich genutzt.<br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es öffnet sich der Schnittstellen Assistent.<br />
Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall PPTP).<br />
Klicken Sie dann Weiter.<br />
Es öffnet sich das Konfigurationsfenster für ein PPTP Interface.<br />
Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das PPTP<br />
Interface gebunden werden solI. Dieses sollte das externe Interface sein. Es wird<br />
nach der Fertigstellung durch das PPTP Interface ersetzt.<br />
Geben Sie unter Lokale Ethernet IP Adresse und Maske die IP-Adresse und Subnetzmaske<br />
des Interface an.<br />
In Modem IP Adresse wird die IP-Adresse erwartet, die Sie vom DSL Provider zugewiesen<br />
bekommen haben.<br />
Wählen Sie aus der Liste den DSL-Provider, über den die Verbindung zum Internet<br />
hergestellt wird. Damit Anbieter in der Liste aufgeführt werden, müssen diese in der<br />
Registerkarte DSL-Provider angelegt sein.<br />
Oder Sie wählen den Eintrag neu aus und legen einen neuen Anbieter an.<br />
Tragen Sie die entsprechenden Daten in die Felder Provider Name, Benutzername<br />
und Kennwort ein.<br />
Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 40 PPTP Interface anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 44
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.4 PPPoE Interface hinzufügen<br />
Ein PPPoE Interface wird für die Einwahl in das Internet über das Point to Point Protocol o-<br />
ver Ethernet benötigt. Dieses Verfahren ist in Deutschland üblich.<br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es öffnet sich der Schnittstellen Assistent.<br />
Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall PPPoE).<br />
Klicken Sie dann Weiter.<br />
Es öffnet sich das Konfigurationsfenster für ein PPPoE Interface.<br />
Entscheiden Sie im Feld Schnittstelle, an welches physikalische Interface das<br />
PPPoE Interface gebunden werden solI. Dieses sollte das externe Interface sein. Es<br />
wird nach der Fertigstellung durch das PPP Interface ersetzt.<br />
Im Feld PPP-Schnittstelle ist der Name des Interface vorgegeben. Dieser kann auch<br />
nicht geändert werden.<br />
Wählen Sie aus der Liste den DSL-Provider, über den die Verbindung zum Internet<br />
hergestellt wird. Damit Anbieter in der Liste aufgeführt werden, müssen diese in der<br />
Registerkarte DSL-Provider angelegt sein.<br />
Oder Sie wählen den Eintrag neu aus und legen einen neuen Anbieter an.<br />
Tragen Sie die entsprechenden Daten in die Felder Provider Name, Benutzername<br />
und Kennwort ein.<br />
Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 41 PPPoE Interface anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 45
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.5 VDSL Interface hinzufügen<br />
VDSL steht für Very High Speed Digital Subscriber Line und stellt eine Internetanbindung mit<br />
wesentlich höheren Datenübertragungsraten dar.<br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es öffnet sich der Schnittstellen Assistent.<br />
Wählen Sie hier die gewünschte Interface Art aus (in diesem Fall VDSL).<br />
Klicken Sie dann Weiter.<br />
Es öffnet sich das Konfigurationsfenster für ein VDSL Schnittstelle.<br />
Entscheiden Sie im Feld ETH Schnittstelle, an welches physikalische Interface das<br />
VDSL Interface gebunden werden solI. Dieses sollte das externe Interface sein.<br />
Wählen Sie eine VLAN ID für das VDSL Interface. Es wird nach der Fertigstellung ein<br />
eth Interface mit dieser ID angelegt (z. B. eth0.7).<br />
Im Feld VDSL-Schnittstelle ist der Name des Interface vorgegeben.<br />
Wählen Sie aus der Liste den DSL-Provider, über den die Verbindung zum Internet<br />
hergestellt wird. Damit Anbieter in der Liste aufgeführt werden, müssen diese in der<br />
Registerkarte DSL-Provider angelegt sein.<br />
Oder Sie wählen den Eintrag neu aus und legen einen neuen Anbieter an.<br />
Tragen Sie die entsprechenden Daten in die Felder Provider Name, Benutzername<br />
und Kennwort ein.<br />
Klicken Sie auf Finish, um die Konfiguration abzuschließen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 42 VDSL Interface anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 46
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.6 Cluster Interface hinzufügen<br />
Das Cluster Interface wird gebraucht, um eine Hochverfügbarkeitsumgebung einzurichten.<br />
Bei dieser Einrichtung werden zwei (oder mehr) Appliances betrieben, wobei eine als aktive<br />
Firewall (Master) fungiert und die zweite (oder mehrere) als Ausfallreserve (Spare) im<br />
Standby-Modus läuft. Fällt die aktive Appliance aus oder können wichtige Dienste nicht mehr<br />
ausgeführt werden, übernimmt die zweite Appliance den Masterzustand.<br />
Das Cluster-Interface bindet eine virtuelle Adresse an ein physikalisches Interface. Die Be-<br />
sonderheit dabei ist, dass in dem Hochverfügbarkeitsverbund alle Maschinen die gleiche<br />
virtuelle IP-Adresse bekommen. Es kommt allerdings zu keinem IP-Adresskonflikt, weil die<br />
redundanten Maschinen im Standby-Modus stehen und ihre Cluster-IP nicht aktiviert ist.<br />
Dem Cluster-Interface werden noch die „realen“ IP-Adressen (sog. Management IP) der re-<br />
dundanten Maschinen mitgeteilt, über die die Maschinen Nachrichtenpakete bezüglich ihres<br />
Status austauschen.<br />
eth0<br />
<strong>10</strong>.0.0.1/24<br />
<strong>10</strong>.0.0.2/24<br />
Switch A<br />
Externes Netz<br />
Switch B<br />
Internes Netz<br />
DSL-Modem<br />
Master<br />
eth2<br />
192.168.13.1/24<br />
eth2<br />
192.168.13.3/24<br />
Spare<br />
192.168.13.2/24<br />
192.168.13.2/24<br />
Switch C<br />
DMZ<br />
eth1<br />
192.168.4.87/24<br />
192.168.4.88/24<br />
Internet<br />
lokales Netz<br />
Abb. 43 Aufbau einer Hochverfügbarkeitsumgebung<br />
eth0<br />
<strong>10</strong>.0.0.3/24<br />
<strong>10</strong>.0.0.2/24<br />
eth1<br />
192.168.4.86/24<br />
192.168.4.88/24<br />
rote IP-Adresse à Management IP (reale IP)<br />
blaue IP-Adresse à Cluster IP (virtuelle IP)<br />
<strong>Securepoint</strong><br />
Security Solutions 47
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
Legen Sie im Feld Schnittstelle fest, an welches physikalische Interface das Cluster<br />
Interface gebunden wird.<br />
Das physikalische Interface bleibt bestehen, da dies die Management IP-Adresse<br />
trägt.<br />
Im Feld Cluster-Interface wird der vorgegebene Name des Interface angezeigt, dieser<br />
ist nicht änderbar.<br />
Im Feld Cluster-IP wird die virtuelle IP-Adresse der Appliance erwartet.<br />
Geben Sie im Feld Maske die Subnetzmaske an.<br />
Im Bereich Spare IPs geben Sie die Management IP-Adresse der zweiten Appliance<br />
an.<br />
Verwenden Sie mehr als eine Spare Maschine, geben Sie die IP-Adressen aller betriebenen<br />
Appliances an.<br />
Tragen Sie die IP-Adresse und die zugehörige Subnetzmaske in den Felder IP und<br />
Maske ein und betätigen den Button Hinzufügen.<br />
Die IP-Adresse wird in der Liste im Bereich Spare IPs angezeigt.<br />
Mit dem Abfalleimersymbol hinter den gelisteten IP-Adressen können Sie den jeweiligen<br />
Eintrag löschen.<br />
Im Bereich Zonen wählen Sie die Zonen des Cluster-Interfaces. Im Normalfall werden<br />
die Zonen des gebundenen physikalischen Interfaces übernommen.<br />
Klicken Sie auf Fertigstellen, um den Vorgang abzuschließen.<br />
Nachdem das Interface angelegt ist, muss noch der Button Aktualisiere Schnittstellen<br />
betätigt werden, damit das Interface auch benutzt werden kann.<br />
Abb. 44 Cluster Interface anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 48
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.1.7 Interfaces bearbeiten oder löschen<br />
In der Übersichtsliste auf der Registerkarte Interfaces sind hinter jedem Eintrag ein Werk-<br />
zeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge bear-<br />
beitet bzw. gelöscht werden.<br />
Zum Bearbeiten klicken Sie auf das Werkzeugschlüsselsymbol.<br />
Der Dialog Schnittstellen ändern öffnet sich.<br />
Ändern Sie die Einstellungen und speichern Sie die Änderungen mit Speichern ab.<br />
Zum Löschen klicken Sie auf das Abfalleimersymbol.<br />
Bestätigen Sie die Sicherheitsabfrage mit Löschen.<br />
Der Eintrag wird gelöscht.<br />
7.2.2 Routing<br />
Mit Routing-Einträgen können Sie festlegen, über welches Gateway ein Ziel erreicht werden<br />
soll. Der Standardeintrag (default route) ist, dass alle Ziele über das interne Gateway erreicht<br />
werden.<br />
Abb. 45 Anzeige der Routingeinträge auf der Registerkarte Routing<br />
<strong>Securepoint</strong><br />
Security Solutions 49
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.2.1 Routen bearbeiten und löschen<br />
In der Übersichtsliste auf der Registerkarte Routing sind hinter jedem Routingeintrag ein<br />
Werkzeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge<br />
bearbeitet bzw. gelöscht werden.<br />
Zum Bearbeiten klicken Sie auf das Werkzeugschlüsselsymbol.<br />
Der Dialog Route editieren öffnet sich.<br />
Ändern Sie die Einstellungen und speichern Sie die Änderungen mit Speichern ab.<br />
Zum Löschen klicken Sie auf das Abfalleimersymbol.<br />
Bestätigen Sie die Sicherheitsabfrage mit Ja.<br />
Die Route wird gelöscht.<br />
7.2.2.2 Standardroute hinzufügen<br />
Klicken Sie auf Standard Route hinzufügen.<br />
Es öffnet sich der Dialog Standard Route hinzufügen.<br />
Geben Sie als Gateway die IP-Adresse des internen Interfaces an.<br />
Die Felder für Ziel und Netzwerkmaske sind vorbelegt.<br />
Im Feld Weighting wird die Priorität bestimmt, mit der die Route in das Routing eingeht.<br />
Die Angabe ist nur sinnvoll, wenn Sie mehrere Internetzugänge benutzen (Multipath<br />
Routing). Hat die erste Route die Gewichtung 1 und die zweite die Gewichtung 2 wird<br />
die zweite Route doppelt so häufig benutzt wie die erste. Gleicher Effekt bei Gewichtung<br />
5 und <strong>10</strong>.<br />
Abb. 46 Standard Route anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 50
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.2.3 Route hinzufügen<br />
Routen dienen dazu Netze, zu finden, die nicht direkt an der Appliance angeschlossen sind.<br />
Um zu ermöglichen, dass Datenpakete zu einem internen Netz gelangen können, das über<br />
ein Gateway (z. B. einen Router) angeschlossen ist, müssen dem System diese Informatio-<br />
nen mitgeteilt werden, da sonst diese Daten-Pakete zum Default Gateway geschickt werden.<br />
Klicken Sie auf der Registerkarte Routing den Button Route hinzufügen.<br />
Es öffnet sich der Dialog Route hinzufügen.<br />
Wählen Sie im Feld Type, ob die Route für alle Geräte gelten soll oder nur für bestimmte<br />
Netze oder Rechner.<br />
Für alle Geräte wählen Sie den Eintrag without Source.<br />
Andernfalls wählen Sie with Source und geben die IP-Adresse und die Netzwerkmaske<br />
des betreffenden Netzes bzw. Hosts in den Felder Source Network und<br />
Source Mask ein.<br />
Geben Sie dann das Gateway ein, über das das Zielnetzwerk bzw. der Zielhost erreicht<br />
werden soll.<br />
Unter Destination Network und Destination Mask geben Sie die IP-Adresse und<br />
die Subnetzmaske des Ziels ein.<br />
Auch hier können Sie im Feld Weighting eine Gewichtung der Route definieren.<br />
Abb. 47 allgemeine Route anlegen<br />
Abb. 48 Route für bestimmte Quelle anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 51
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.3 DSL Provider<br />
Um sich über ein DSL-Modem mit dem Internet zu verbinden, müssen Sie für das externe<br />
Interface das Protokoll PPPoE oder PPTP nutzen. Dazu wird ein virtuelles DSL Interface<br />
angelegt, welches an das externe Interface gebunden wird.<br />
Abb. 49 Liste der DSL Provider auf der Registerkarte DSL Provider<br />
7.2.3.1 DSL Provider bearbeiten oder löschen<br />
In der Übersichtsliste auf der Registerkarte DSL Provider sind hinter jedem Eintrag ein<br />
Werkzeugschlüssel- und ein Abfalleimersymbol. Mit diesen Symbolen können die Einträge<br />
bearbeitet bzw. gelöscht werden.<br />
Zum Bearbeiten klicken Sie auf das Werkzeugschlüsselsymbol.<br />
Der Dialog DSL Provider editieren öffnet sich.<br />
Ändern Sie die Einstellungen und speichern Sie die Änderungen mit Speichern ab.<br />
Zum Löschen klicken Sie auf das Abfalleimersymbol.<br />
Bestätigen Sie die Sicherheitsabfrage mit Ja.<br />
Der Eintrag wird gelöscht.<br />
<strong>Securepoint</strong><br />
Security Solutions 52
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.3.2 DSL Provider anlegen<br />
Klicken Sie auf den Button DSL Provider hinzufügen.<br />
Es öffnet sich der Dialog DSL Provider hinzufügen.<br />
Unter Name tragen Sie einen Namen für die Verbindung ein.<br />
Im Feld Login geben Sie Ihre Logindaten bei dem Provider ein.<br />
Tragen Sie im Feld Kennwort Ihr Zugangskennwort ein und bestätigen Sie es im<br />
Feld Kennwort bestätigen.<br />
Wenn Sie die Checkbox Standard Route aktivieren, wird für diese Verbindung eine<br />
Standardroute automatisch gesetzt.<br />
Im Feld Zwangstrennung legen Sie eine Uhrzeit für die Zwangstrennung fest. Wenn<br />
Sie die Einstellung Aus auswählen wird keine Zwangstrennung von der Appliance<br />
durchgeführt.<br />
Abb. 50 DSL Provider anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 53
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.4 DynDNS<br />
Wenn Sie über keine feste externe IP-Adresse, sondern über eine dynamische verfügen, die<br />
sich bei jeder Verbindung mit dem Internet ändert, können Sie einen DynDNS Dienst nutzen,<br />
damit Sie von außen immer mit dem gleichen Hostnamen erreichbar sind. Dies ist nur not-<br />
wendig, wenn Sie Dienste anbieten, die vom Internet aus erreichbar sein sollen (z. B. Web-<br />
Server, VPN-Einwahl) oder die Firewall von „außen“ administrieren wollen.<br />
Bei Nutzung eines DynDNS Dienst sendet ein Client bei der Einwahl den Dienstanbieter die<br />
aktuelle IP-Adresse zu, welche dann beim Anbieter hinterlegt wird. Somit wird sichergestellt,<br />
dass zu Ihrem Hostnamen immer die aktuelle IP beim DynDNS Anbieter hinterlegt ist. Das<br />
Übermitteln der aktuellen IP-Adresse sollte die Appliance übernehmen.<br />
Abb. 51 Liste der externen Dienste für DNS Aktualisierung für dynamische IP-Adressen<br />
Es sind bis zu sechs DynDNS Einträge möglich, die an unterschiedliche Interfaces gebunden<br />
werden können. Diese werden als Liste auf der Registerkarte DynDNS angezeigt.<br />
<strong>Securepoint</strong><br />
Security Solutions 54
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.4.1 DynDNS Eintrag anlegen oder bearbeiten<br />
Um neue Einträge anzulegen oder bestehende Einträge zu bearbeiten, klicken Sie<br />
auf den Button mit dem Werkzeugschlüsselsymbol.<br />
Es öffnet sich der Dialog DynDNS ändern.<br />
Tragen Sie im Feld Hostname Ihren Domainnamen ein.<br />
Geben Sie in den Feldern Login und Kennwort Ihre Zugangsdaten bei dem Dienstanbieter<br />
an.<br />
Tragen Sie die Adresse des von Ihnen genutzten DynDNS Server im Feld Server ein.<br />
Im Feld MX ist die Domäne für E-Mail-Empfang einzusetzen (z.B. securepoint.de).<br />
Wählen Sie im Feld Schnittstelle das verwendete Interface für die Verbindung aus<br />
(meist ein ppp Interface).<br />
Abb. 52 DynDNS Dienst angeben<br />
7.2.4.2 DynDNS Eintrag löschen<br />
Um einen DynDNS Eintrag zu löschen, klicken Sie in der Liste der Einträge auf der<br />
Registerkarte DynDNS auf das Abfalleimersymbol neben dem zu löschenden Eintrag.<br />
Bestätigen Sie die Sicherheitsabfrage mit Ja.<br />
Der DynDNS-Eintrag wird gelöscht.<br />
<strong>Securepoint</strong><br />
Security Solutions 55
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.2.5 DHCP<br />
Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk<br />
automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei-<br />
nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser<br />
übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des<br />
Standardgateways.<br />
Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und<br />
deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen à Anwen-<br />
dungsstatus.<br />
<strong>Securepoint</strong><br />
Security Solutions 56
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
Geben Sie unter Lokales Subnetz das interne Subnetz mit der passenden Netzmaske<br />
unter Netmaske an.<br />
Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll.<br />
Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste<br />
Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit<br />
nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen<br />
für besondere Rechner, die feste IP-Adressen benötigen, vorhalten.<br />
Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die obere<br />
Grenze des Bereichs unter DHCP Pool Ende.<br />
Tragen Sie im Bereich Lease Zeit die Zeit ein, die die IP-Adresse für einen Computer<br />
reserviert bleiben soll. Meldet sich der Computer innerhalb dieser Zeit wieder an,<br />
dann bekommt er dieselbe IP-Adresse zugewiesen wie bei der vorherigen Anmeldung.<br />
Das Feld Lease Zeit definiert die feste Reservierung. Wird die IP-Adresse<br />
dann nicht von anderen Rechnern benötigt, wird sie bis zur Maximalen Lease Zeit<br />
reserviert. Die Angabe erfolgt in Sekunden.<br />
Tragen Sie bei Standard Gateway das Standard Gateway ein. Dies ist die IP-<br />
Adresse des internen Interfaces.<br />
Geben Sie im Feld Nameserver #1 und Nameserver #2 die IP-Adressen der DNS<br />
Server an.<br />
Geben Sie ggf. im Feld WINS Server #1 und WINS Server #2 die IP-Adressen der<br />
WINS Server ein.<br />
Speichern Sie Ihre Eingaben mit Speichern.<br />
Um die Einstellungen anzuwenden klicken Sie auf Aktualisiere Schnittstellen.<br />
Abb. 53 Einstellungen für den DHCP Server vornehmen<br />
<strong>Securepoint</strong><br />
Security Solutions 57
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.3 DHCP Relay<br />
Die Appliance kann auch als DHCP Relay benutzt werden. Dabei verteilt ein zentraler DHCP<br />
Server die DHCP Informationen. Die Appliance empfängt die DHCP Broadcast Anfragen und<br />
sendet diese an den zentralen DHCP Server weiter. Die Antworten des Servers werden dann<br />
vom DHCP Relay an die Clients zurückgeschickt. So können Clients IP-Adressen und Netz-<br />
werkinformationen dynamisch erhalten, obwohl der DHCP Server in einem anderen Subnetz<br />
steht.<br />
Wählen Sie bei Schnittstellen, aus welchem Netz DHCP-Anfragen weitergeleitet<br />
werden sollen und in welches Netz die Anfragen gesendet werden.<br />
Wählen Sie dazu eine Schnittstelle aus dem Dropdownfeld und klicken Sie auf<br />
Schnittstelle hinzufügen.<br />
Tragen Sie in der Liste IP-Adressen die IP-Adresse des zuständigen DHCP-Servers<br />
ein.<br />
Tippen Sie die IP-Adresse in das Feld ein und klicken Sie auf IP-Adresse hinzufügen.<br />
Klicken Sie anschließend auf Speichern.<br />
Hinweis: Für diesen Datenverkehr brauchen keine Regeln angelegt werden.<br />
Abb. 54 Einstellungen für das DHCP Relay<br />
<strong>Securepoint</strong><br />
Security Solutions 58
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.4 Zonen<br />
Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter-<br />
faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von-<br />
einander abzugrenzen oder zu verbinden.<br />
Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen<br />
nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in<br />
der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone<br />
immer nur einem Interface zugeordnet werden kann.<br />
Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die neue<br />
Zone ein.<br />
Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone<br />
zugeordnet werden soll.<br />
Klicken Sie auf Speichern, um die Änderungen zu übernehmen.<br />
Hinweis: Um zugeordnete Interfaces zu wechseln, müssen Sie die Registerkarte Schnitt-<br />
stellen im Menü Netzwerk, Unterpunkt Netzwerk Einstellungen benutzen.<br />
Abb. 55 Dialog zum Hinzufügen und Entfernen von Zonen<br />
Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der betreffenden<br />
Zone.<br />
Bestätigen Sie die Sicherheitsabfrage mit Löschen.<br />
Die Zone wird entfernt.<br />
<strong>Securepoint</strong><br />
Security Solutions 59
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.5 Netzwerk Werkzeuge<br />
Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der<br />
Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden.<br />
Schaltfläche Bedeutung Beschreibung<br />
7.5.1 NS Lookup<br />
NS Lookup Ermittlung der IP-Adresse(n) eines Hostnames.<br />
Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist.<br />
Route Tabelle Zeigt die Routing Einträge der Appliance an.<br />
Der Name leitet sich vom Befehl nslookup ab. Hier kann man den Nameserver abfragen,<br />
welche IP ein bestimmter Hostname hat. Es handelt sich nur um eine Hostnamenauflösung.<br />
Die Umkehrung, von der IP auf den Hostnamen zu schließen, wird nicht unterstützt.<br />
Geben Sie im Feld Bitte einen Host angeben einen Rechnernamen ein.<br />
Klicken Sie dann auf die Lupe.<br />
Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufgelistet.<br />
Abb. 56 Auffinden von IP-Adressen<br />
<strong>Securepoint</strong><br />
Security Solutions 60
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.5.2 Ping<br />
Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die<br />
Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und<br />
wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in<br />
diesem Zusammenhang auch als Pong bezeichnet).<br />
Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber<br />
auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist,<br />
dass er Pings nicht beantwortet.<br />
Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Bitte einen Host<br />
angeben ein.<br />
Klicken Sie dann auf Ping.<br />
Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die<br />
durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Außerdem<br />
wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen<br />
(Received) worden sind.<br />
Antwortet der Rechner nicht, erscheint die Meldung undefined.<br />
Abb. 57 Ergebnis eines Pings<br />
<strong>Securepoint</strong><br />
Security Solutions 61
7 Menü Netzwerk <strong>Securepoint</strong> <strong>10</strong><br />
7.5.3 Route Tabelle<br />
Der Befehl Route Tabelle zeigt die Routing Tabelle der Appliance an. Hierbei brauchen Sie<br />
keine Daten angeben.<br />
Klicken Sie auf den Button Route Tabelle.<br />
Es wird eine Liste der eingetragenen Routen ausgegeben.<br />
Abb. 58 Ausgabe der Routingeinträge<br />
<strong>Securepoint</strong><br />
Security Solutions 62
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8 Menü Firewall<br />
In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der<br />
Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech-<br />
nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet.<br />
Abb. 59 Dropdownmenü des Menüpunktes Firewall<br />
Bezeichnung Erklärung<br />
Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und<br />
zu Geräten angelegt.<br />
Hide-NAT Dynamische Network Address Translation.<br />
Port<br />
Weiterleitung<br />
Die internen Adressen werden durch das Hide-NAT auf die externe<br />
Adresse übersetzt.<br />
QoS Quality of Service<br />
Anfragen aus dem Internet auf bestimmte Ports werden von der Fire-<br />
wall an die entsprechenden internen Rechner oder DMZ weitergeleitet.<br />
Bandbreitenbeschränkung für ein- und ausgehende Verbindungen.<br />
Dienste Um die Aktionen im Portfilter genauer zu beschreiben, gibt es den Be-<br />
reich Services. Hier sind Dienste aufgelistet und die zugehörigen Ports<br />
und Protokolle.<br />
Dienstgruppen Hier werden Dienste, die ähnliche Funktionen bereitstellen zu Gruppen<br />
zusammengefasst.<br />
Netzwerkobjekte Netzwerkobjekte beschreiben Gruppen, einzelne Benutzer oder Geräte.<br />
Für diese können dann Regeln im Portfilter aufgestellt werden.<br />
Netzwerkgruppen Hier werden Netzwerkobjekte, zu Gerätegruppen zusammengefasst.<br />
<strong>Securepoint</strong><br />
Security Solutions 63
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1 Portfilter<br />
Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen<br />
der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut-<br />
zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der<br />
eine bestimmte Regel betrifft, protokolliert wird.<br />
Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die<br />
den Datenverkehr erlaubt.<br />
Abb. 60 Übersicht aller angelegten Regeln<br />
<strong>Securepoint</strong><br />
Security Solutions 64
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
Eine Regel hat immer folgenden Aufbau:<br />
Von wo (von welcher Quelle) wird mit welchem Dienst auf ein bestimmtes Ziel zugegrif-<br />
fen. Dann wird definiert, ob diese Aktion zugelassen (Accept), verweigert (Drop) oder zu-<br />
rückgewiesen (Reject) wird. Der Unterschied zwischen Drop und Reject ist, dass bei Re-<br />
ject der Absender die Fehlermeldung „Destination unreachable“ zugesendet bekommt.<br />
Des Weiteren wird festgelegt, ob der Datenverkehr, der die Regel betrifft, protokolliert<br />
wird und in welcher Intensität. Hier gibt es drei Einstellungen:<br />
o None à Es wird nicht protokoliert.<br />
o Short à Die ersten drei Pakete einer neuen Verbindung werden geloggt. Nach einer<br />
Minute werden die nächsten drei Pakete der gleichen Verbindung geloggt.<br />
o Long à Alle Pakete werden protokolliert.<br />
Zusätzlich kann der Geltungsbereich der Regel noch zeitlich (nach Tagen und Uhrzeit)<br />
eingeschränkt werden.<br />
Und es kann eine kurze Beschreibung angegeben werden.<br />
Mit dem Werkzeugschlüsselsymbol vor der Regel können die Einstellungen bearbeitet wer-<br />
den.<br />
Mit dem Abfalleimersymbol vor der Regel kann die jeweilige Regel gelöscht werden.<br />
Regeln können auch per „Drag and Drop“ verschoben werden. Nutzen Sie dazu das Doppel-<br />
pfeilsymbol vor der Regel. Unter Umständen ist die Reihenfolge der Regeln im Regelwerk<br />
relevant, da diese nacheinander abgearbeitet werden.<br />
Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht<br />
noch auf den Button Aktualisiere Regeln klicken.<br />
Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän-<br />
dern.<br />
<strong>Securepoint</strong><br />
Security Solutions 65
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
Sie können die Ansicht des Portfilters einschränken, indem Sie die Filterfunktion benutzen.<br />
So können Sie gesuchte Regeln schneller finden.<br />
Klicken Sie in der Portfilter Übersicht auf den Button Filter, um den Dialog Filter zu<br />
öffnen.<br />
Aktivieren Sie zunächst den Filter, indem Sie im Dropdownmenü Filter aktivieren<br />
den Eintrag An auswählen.<br />
Sie können die Einträge der Portfilterliste nach einem Kriterium filtern.<br />
Die Kriterien sind:<br />
o Gruppen:<br />
Quell Netzwerkgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als<br />
Quelle haben.)<br />
Ziel Netzwerkgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als<br />
Ziel haben.)<br />
Dienstgruppen (Zeigt alle Einträge, die die ausgewählte Gruppe als Dienst<br />
nutzen.)<br />
o Objekte und Service<br />
Quell Netzwerk Objekte (Zeigt alle Einträge, die das ausgewählte Objekt als<br />
Quelle haben.)<br />
Ziel Netzwerk Objekt (Zeigt alle Einträge, die das ausgewählte Objekt als Ziel<br />
haben.)<br />
Dienste (Zeigt alle Einträge, die den ausgewählten Dienst nutzen.)<br />
Aktivieren Sie das gewünschte Filterkriterium und wählen den Filter in der entsprechenden<br />
Dropdownbox aus.<br />
Klicken Sie Schließen.<br />
Der gesetzte Filter wird auf die Firewallregeln angewendet.<br />
Abb. 61 Firewallregeln filtern<br />
<strong>Securepoint</strong><br />
Security Solutions 66
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1.1 Regel anlegen<br />
Klicken Sie im Dialog Portfilter auf den Button Regel hinzufügen, um eine Regel<br />
hinzuzufügen.<br />
Es erscheint der Dialog Regel hinzufügen.<br />
Auf der Registerkarte Allgemein legen Sie die Regel an.<br />
Wählen Sie unter Quelle eine Datenquelle aus der Liste.<br />
Wählen Sie unter Ziel das Ziel des Zugriffs aus der Liste aus.<br />
Definieren Sie unter Dienst, welcher Dienst benutzt wird.<br />
Unter Aktion wählen Sie aus, ob der Zugriff zugelassen oder geblockt wird.<br />
Die Checkbox Aktiv entscheidet, ob die Regel verwendet wird.<br />
Wählen Sie unter Logging aus, ob und in welcher Stärke protokolliert werden soll.<br />
Unter QoS (Quality of service) können Sie Bandbreiten begrenzen.<br />
Mit Rule routing können Sie bestimmen, über welches Gateway die Pakete der Regel<br />
geleitet werden sollen. IPSec Verbindung müssen z. B. immer über die gleiche<br />
Schnittstelle kommunizieren. Nur wichtig, wenn Sie mehrere Internetverbindungen<br />
benutzen.<br />
Beachten Sie: Für die Quelle und das Ziel müssen eventuell neue Netzwerkobjekte angelegt<br />
werden, die die Quelle und das Ziel genau definieren.<br />
Wenn der benutzte Dienst nicht aufgeführt sein sollte, dann muss noch ein<br />
entsprechender Dienst angelegt werden.<br />
Abb. 62 neue Regel anlegen - Registerkarte Allgemein<br />
<strong>Securepoint</strong><br />
Security Solutions 67
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1.1.1 Infobox Funktion<br />
Wenn Sie mit dem Mauszeiger über die Einträge in den Listen fahren, werden Ihnen Eigen-<br />
schaften der Elemente angezeigt. Da es sich bei den Einträgen immer um Gruppen handelt,<br />
wird in der Infobox angezeigt, welche Netzwerkobjekte bzw. Dienste sich in der jeweiligen<br />
Gruppe befinden.<br />
Sie können diese Funktion aktivieren, indem Sie das Häkchen in der Checkbox Infobox de-<br />
aktivieren entfernen.<br />
Abb. 63 Infobox zeigt alle Objekte einer Gruppe an und deren IP-Adresse sowie deren Zonenzugehörigkeit<br />
<strong>Securepoint</strong><br />
Security Solutions 68
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1.1.2 Registerkarte Zeit<br />
Auf der Registerkarte Zeit können sie den Geltungszeitraum der Regel beschränken.<br />
Wenn Sie hier keine Angaben machen, dann gilt die Regel grundsätzlich.<br />
Klicken Sie auf die Registerkarte Zeit.<br />
Wählen Sie für jeden Tag, an dem die Regel beschränkt werden soll, einen Anfang-<br />
und einen Endzeitpunkt.<br />
Das obere Dropdownfeld bezieht sich dabei immer auf die Startzeit und das untere<br />
Dropdownfeld auf die Endzeit.<br />
Abb. 64 neue Regel anlegen - Registerkarte Zeit<br />
8.1.1.3 Registerkarte Beschreibung<br />
Auf der Registerkarte Beschreibung können Sie eine Beschreibung für die Regel angeben.<br />
Klicken Sie auf die Registerkarte Beschreibung.<br />
Klicken Sie in das Textfeld und tragen eine Beschreibung für die Regel ein.<br />
Klicken Sie abschließend auf Speichern, um die Regel zu speichern.<br />
Abb. 65 neue Regel anlegen - Registerkarte Beschreibung<br />
<strong>Securepoint</strong><br />
Security Solutions 69
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1.2 Regelgruppen anlegen<br />
Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln<br />
eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher<br />
zu gestalten.<br />
Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen.<br />
Es öffnet sich der Dialog Anhängen Gruppe.<br />
Tragen Sie im Feld Gruppenname einen Namen für die neue Gruppe ein.<br />
Klicken Sie auf Hinzufügen.<br />
Die neue Gruppe wird im Portfilter an unterster Position angefügt.<br />
Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben.<br />
Abb. 66 Regelgruppe hinzufügen<br />
<strong>Securepoint</strong><br />
Security Solutions 70
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.1.3 Regeln und Gruppen organisieren<br />
Die Reihenfolge der Regeln im Portfilter kann die Performance der Appliance stark beein-<br />
flussen, da die Regeln der Reihe nach abgearbeitet werden. Durchläuft ein Paket z. B. alle<br />
Regeln im Portfilter und wird mit der letzten Regel abgewiesen, wäre es sinnvoller die blo-<br />
ckierende Regel an den Anfang des Portfilters zu setzen. Dies trifft besonders dann zu, wenn<br />
Pakete dieser Art oft eintreffen.<br />
Sie können nicht nur einzelne Regeln sondern auch Regelgruppen und Regeln innerhalb der<br />
Gruppen verschieben. Auch ist es möglich Regeln, aus einer Gruppe in eine andere Gruppe<br />
zu verschieben.<br />
Benutzen Sie zum Organisieren der Regeln das „Drag & Drop“ Verfahren.<br />
Abb. 67 Kontextmenü des Portfilters<br />
Mit Hilfe des Kontextmenüs können Sie auch Regeln<br />
und Gruppen an bestimmten Positionen einfügen. So<br />
entfällt das Verschieben nach der Erstellung.<br />
Mit der Option Aktiv umschalten können Sie die mar-<br />
kierte Regel von den aktiven Status in den passiven<br />
setzen oder umgekehrt. Mit der Option Aktiv in Gruppe<br />
umschalten können Sie den Status aller Regeln in ei-<br />
ner Gruppe wechseln.<br />
Außerdem finden Sie hier auch die Befehle Edit (Bearbeiten) und Delete (Löschen).<br />
Wenn Sie eine Gruppe löschen, dann wird nur dir Gruppe gelöscht. Die Regeln bleiben er-<br />
halten.<br />
In der zweiten Spalte jeder Zeile finden Sie Schaltflächen mit einem Werkzeugschlüsselsym-<br />
bol für die Bearbeiten-Funktion und ein Abfalleimersymbol für die Lösch-Funktion.<br />
Hilfreich bei der Bearbeitung der Gruppen sind die Schaltflächen Open Groups und Close<br />
Groups im Portfilter, die alle Gruppen öffnen bzw. schließen. Mit Hilfe der Symbole vor den<br />
Gruppen können Sie auch einzelne Gruppen öffnen oder schließen.<br />
Das grüne Symbol mit den beiden Pfeilen zeigt eine geschlossene<br />
Gruppe. Ein Klick darauf öffnet die Gruppe.<br />
Das rote Symbol zeigt eine geöffnete Gruppe. Ein Klick darauf<br />
schließt die Gruppe.<br />
<strong>Securepoint</strong><br />
Security Solutions 71
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.2 Hide-NAT<br />
Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete<br />
die externe IP der Firewall bekommen. Dieses geschieht unter dem Punkt Hide-NAT.<br />
Das NAT Objekt (Quelle) ist das Netzwerk oder der Rechner, dessen IP von ausgehenden<br />
Paketen durch das Hide-NAT ersetzt wird.<br />
Die NAT-Beziehung (hinter IP/Schnittstelle) bestimmt, welche IP-Adresse die Pakete aus<br />
dem internen Netz bekommen. Es kann entweder eine IP oder ein Interface angegeben wer-<br />
den. Bei einer dynamischen IP wird das entsprechende DSL-Interface angegeben.<br />
Das Ziel muss bestimmt werden, um anzuzeigen, zu welchen Zielen das Hide-NAT ange-<br />
wendet wird.<br />
Als Quelle oder Ziel werden Netzwerkobjekte verwendet. Um eine Hide-NAT Regel anzule-<br />
gen, müssen sie evtl. zuerst passende Netzwerkobjekte anlegen (siehe Kapitel 8.6.2).<br />
Die Option Include bedeutet, dass das Hide-NAT angewendet wird. Ein Exclude bedeutet,<br />
dass das Hide-NAT explizit nicht angewendet wird und somit Pakete mit der originalen IP<br />
versendet werden (z. B. in einem Tunnel – IPSec, Site-to-Site Verbindung).<br />
Abb. 68 Übersicht der Hide-NAT Regeln<br />
<strong>Securepoint</strong><br />
Security Solutions 72
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
Um eine neue Hide-NAT Regel anzulegen, klicken Sie auf Hinzufügen.<br />
Es öffnet sich der Dialog Hide-NAT hinzufügen.<br />
Im Feld Typ können Sie zwischen Include und Exclude wählen.<br />
Unter Quelle stellen Sie ein, welche Objekte „genatet“ werden sollen.<br />
Im Beispiel das interne Netzwerk.<br />
Die Schnittstelle entscheidet über die externe IP.<br />
Verfügen Sie über eine feste IP-Adresse, wählen Sie die IP-Adresse aus. Benutzen<br />
Sie eine dynamische zugewiesene IP-Adresse, wählen Sie das Interface aus (z. B.<br />
eth0 oder ppp0).<br />
Da die Regel für das Internet gelten soll, wählen Sie unter Ziel den Eintrag any aus.<br />
Position entscheidet über die Position in der Hide-NAT Tabelle, die der Reihe nach<br />
abgearbeitet wird. Mit Ausnahme der Exclude Regeln, die unabhängig ihrer Position<br />
als erstes angewendet werden.<br />
Abb. 69 Hide-NAT Regel anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 73
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.3 Port Forwarding<br />
Im Punkt Port Forwarding sind die Funktionen Port Forwarding (Port Weiterleitung) und Port<br />
Translation (Port Übersetzung) zusammengefasst. Beide Methoden bestimmen das Ziel von<br />
Datenpaketen, die die Firewall auf einen bestimmten Port erreichen.<br />
Beim Port Forwarding werden Pakete mit einem definierten Port zu einem bestimmten Com-<br />
puter weitergeleitet.<br />
Port Translation ersetzt den Port von eingehenden Paketen auf einen selbstdefinierten Port.<br />
Abb. 70 Liste der angelegten Port Forwarding und Port Translation Regeln<br />
<strong>Securepoint</strong><br />
Security Solutions 74
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.3.1 Port Weiterleitung<br />
Mittels Port Weiterleitung (Port Forwarding) können Anfragen, die an einen bestimmten Port<br />
gerichtet sind, an einen bestimmten Rechner weitergeleitet werden. Zum Beispiel können<br />
HTTP Anfragen auf Port 80 direkt zum Webserver geleitet werden. Für diese Weiterleitung<br />
ist für den Webserver ein Netzwerkobjekt anzulegen.<br />
Klicken Sie auf Port Weiterleitung im Dropdownmenü des Navigationspunktes Firewall.<br />
Es öffnet sich das Fenster Port Weiterleitung, in dem alle Weiterleitungsregeln aufgelistet<br />
sind.<br />
Klicken Sie auf Hinzufügen, um eine neue Weiterleitung anzulegen.<br />
Es erscheint der Dialog Port Weiterleitung hinzufügen.<br />
Als Typ wählen Sie Port Weiterleitung.<br />
Wählen Sie bei Quelle aus, von welchem Netzwerkobjekt die Anfrage kommt.<br />
Im Feld Schnittstelle bestimmen Sie, über welches Interface die Anfrage kommt.<br />
Als Ziel wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten.<br />
Als Externen Port wählen Sie den Dienst und damit den Port, der benutzt werden<br />
soll.<br />
Speichern Sie Ihre Angaben mit Speichern.<br />
Aktualisieren Sie anschließend die Regeln.<br />
Beachten Sie: Damit diese Portweiterleitung ausgeführt wird, muss eine entsprechende<br />
Abb. 71 Port Forwarding Regel anlegen<br />
Regel im Portfilter angelegt werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 75
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.3.2 Port Translation<br />
Durch Portübersetzung können Standardports auf selbstdefinierte Ports umgesetzt werden.<br />
Beispiel: Sie möchten zwei Webserver in der DMZ betreiben<br />
Der Standardport 80 für Webserver kann aber nicht doppelt belegt werden. Daher<br />
lenken Sie den Port auf einen anderen um z. B. Port 2080.<br />
Erstellen Sie zuerst einen Dienst mit dem Namen http_webserver und dem Port 2080<br />
(siehe Kapitel 8.5.3).<br />
Klicken Sie auf Port Weiterleitung im Dropdownmenü des Navigationspunktes Firewall.<br />
Es öffnet sich das Fenster Port Weiterleitung, in dem alle Weiterleitungsregeln aufgelistet<br />
sind.<br />
Klicken Sie auf Hinzufügen, um eine Port Translation anzulegen.<br />
Es erscheint der Dialog Port Weiterleitung hinzufügen.<br />
Als Typ wählen Sie Port Translation.<br />
Wählen Sie bei Quelle aus, von welchem Netzwerkobjekt die Anfrage kommt.<br />
Im Feld Schnittstelle bestimmen Sie, über welches Interface die Anfrage kommt.<br />
Als Ziel wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten.<br />
Als Externen Port wählen Sie den Dienst und damit den Port, der benutzt werden<br />
soll.<br />
Unter Original Port geben Sie den Port ein, auf den Sie den Dienstport umleiten wollen.<br />
Speichern Sie Ihre Angaben mit Speichern.<br />
Aktualisieren Sie anschließend die Regeln.<br />
Beachten Sie: Damit diese Portübersetzung ausgeführt wird, muss eine entsprechende<br />
Regel im Portfilter angelegt werden.<br />
Abb. 72 Port Translation Regel anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 76
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.4 QoS (Quality of Service)<br />
Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra-<br />
tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden<br />
und eingehenden Datenverkehr möglich.<br />
Klicken Sie auf QoS im Dropdownmenü des Navigationspunktes Firewall.<br />
Es öffnet sich das Fenster QoS, in dem alle vordefinierten Limitierungen und Zusicherungen<br />
aufgelistet sind.<br />
Legen Sie im Bereich QoS hinzufügen eine neue Limitierung oder Zusicherung an.<br />
Geben Sie im Feld Name eine Bezeichnung des neuen Eintrags an.<br />
Tragen Sie in der Feldern Min-In Kbit/s und Max-In Kbit/s die minimale und maximale<br />
Datenrate des <strong>Downloads</strong> an (Werte müssen nicht gleich sein).<br />
Tragen Sie in den Feldern Min-Out Kbit/s und Max-Out Kbit/s die minimale und maximale<br />
Datenrate für den Upload an (Werte müssen nicht gleich sein).<br />
Fügen Sie durch Speichern den neuen Eintrag hinzu.<br />
Abb. 73 QoS Eintrag hinzufügen<br />
Mit dem Werkzeugschlüsselsymbol können die Einträge bearbeitet werden und mit dem Ab-<br />
falleimersymbol können die Einträge gelöscht werden. Die Informationssymbol öffnet eine<br />
Infobox, in der aufgelistet ist, in welcher Regel der betreffende QoS Eintrag benutzt wird.<br />
Abb. 74 Verwendung in einer Regel<br />
<strong>Securepoint</strong><br />
Security Solutions 77
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.5 Dienste<br />
Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der<br />
Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste<br />
benutzen.<br />
Die Auflistung ist schon sehr umfassend, Sie können aber auch eigene Dienste hinzufügen,<br />
Dienste löschen oder bearbeiten.<br />
8.5.1 Löschen und Bearbeiten<br />
Zum Löschen eines Dienstes klicken Sie auf das Abfalleimersymbol rechts neben<br />
dem entsprechenden Dienst.<br />
Beantworten Sie die Sicherheitsabfrage mit Löschen.<br />
Zum Bearbeiten eines Dienstes klicken Sie auf das Werkzeugschlüsselsymbol<br />
rechts neben dem entsprechenden Dienst.<br />
Nehmen Sie im öffnenden Dialog die gewünschten Änderungen vor.<br />
klicken Sie auf Speichern.<br />
Abb. 75 Liste der verfügbaren Dienste<br />
<strong>Securepoint</strong><br />
Security Solutions 78
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.5.2 Services Information<br />
Die Funktion Infobox zeigt Ihnen Informationen über einen Dienst an, wenn Sie mit den<br />
Mauszeiger auf diesen zeigen.<br />
Sie können diese Funktion aktivieren, indem Sie in der Checkbox Infobox deaktivieren im<br />
Übersichtsfenster das Häkchen entfernen.<br />
Die Infobox zeigt Ihnen neben dem Namen und der Servicegruppenzugehörigkeit des Diens-<br />
tes auch an, ob der Dienst in einer Regel der Firewall verwendet wird. Ist dies der Fall, wer-<br />
den die Nummern der Regeln sowie eine Zusammenfassung der Regeln angezeigt.<br />
Abb. 76 Infobox-Anzeige beim Überfahren eines Dienstes mit dem Mauszeiger<br />
<strong>Securepoint</strong><br />
Security Solutions 79
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.5.3 Dienst hinzufügen<br />
Klicken Sie auf Dienste im Dropdownmenü des Navigationspunktes Firewall.<br />
Es öffnet sich das Fenster Dienste, in dem alle verzeichneten Dienste aufgelistet<br />
sind.<br />
Klicken Sie auf die Schaltfläche Neuen Dienst hinzufügen.<br />
Es erscheint der Dialog Dienst hizufügen.<br />
Geben sie im Feld Bezeichnung einen Namen für den neuen Dienst ein.<br />
Wählen Sie bei Protokoll ein Protokoll aus der Liste, welches von dem Dienst benutzt<br />
wird.<br />
Wenn Sie das icmp Protokoll gewählt haben, dann müssen Sie noch eine ICMP<br />
Control Messages aus dem Dropdownfeld wählen. Ports müssen dann nicht mehr<br />
definiert werden.<br />
Wenn der Dienst einen genau definierten Port benutzt, geben Sie diesen im Feld Ziel<br />
Port an.<br />
Handelt es sich nicht nur um einen Port, sondern um einen Portbereich, dann wählen<br />
Sie beim Feld Typ den Eintrag Port Range. Geben Sie dann den Anfang- und Endport<br />
des Bereichs unter Port Bereich Start und Port Bereich End an.<br />
Wenn die Quelle für den Dienst einen anderen Port bzw. andere Ports benutzt, aktivieren<br />
Sie die Checkbox Quell Bereich ändern und geben Sie die den Quellport<br />
bzw. den Quellportbereich entsprechend an.<br />
Speichern Sie den neuen Dienst mit Save.<br />
Abb. 77 Dienst hinzufügen – Single Port<br />
Abb. 78 Dienst hinzufügen - Port Range<br />
<strong>Securepoint</strong><br />
Security Solutions 80
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.6 Service Groups<br />
In dem Bereich Service Groups können sie mehrere Dienste zu einer Gruppe zusammenfas-<br />
sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin-<br />
zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden.<br />
Beim Überfahren der Dienste mit der Maus kann eine Infobox eingeblendet werden, die die<br />
Eigenschaften des jeweiligen Dienstes anzeigt. Mit der Deaktivierung der Checkbox Infobox<br />
deaktivieren kann die Einblendung eingeschaltet werden.<br />
Abb. 79 Infobox zeigt Eigenschaften des Dienstes an<br />
Sie können sich auch Informationen zu den Servicegruppen anzeigen lassen.<br />
Wählen Sie in der Dropdownliste eine Servicegruppe.<br />
Klicken Sie auf das Informationssymbol hinter dem Dropdownfeld.<br />
Eine Infobox wird angezeigt.<br />
Die Infobox zeigt Ihnen den Namen der Servicegruppe an und ob die Gruppe in einer Regel<br />
der Firewall verwendet wird. Ist dies der Fall, werden die Nummern der Regeln sowie eine<br />
Zusammenfassung der Regeln angezeigt.<br />
Abb. 80 Anzeige in welcher Regel die Dienstgruppe verwendet wird<br />
<strong>Securepoint</strong><br />
Security Solutions 81
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.6.1 Bestehende Dienstgruppen editieren<br />
Wählen Sie aus dem Dropdownfeld im Bereich Dienstgruppen die zu bearbeitende<br />
Gruppe aus.<br />
Die Dienste, die der gewählten Gruppe angehören werden in der rechten Tabelle angezeigt.<br />
Sie können nun Dienste hinzufügen, indem Sie Dienste aus der linken Tabelle markieren.<br />
Klicken Sie dann auf den Button zwischen den Tabellen mit dem Pfeil nach rechts<br />
Symbol.<br />
Die Dienste werden aus der linken Tabelle in die rechte Tabelle verschoben.<br />
Um Dienste aus der Gruppe zu entfernen, markieren Sie die zu entfernenden Dienste<br />
in der rechten Tabelle.<br />
Klicken Sie anschließend auf den Button zwischen den Tabellen mit dem Pfeil nach<br />
links Symbol.<br />
Die markierten Dienste werden von der rechten Tabelle in die linke Tabelle verschoben.<br />
Sie können die gesamte Gruppe mit einem Klick auf das Abfalleimersymbol rechts<br />
neben dem Dropdownfeld löschen.<br />
Bestätigen Sie dazu die Sicherheitsabfrage mit Ja.<br />
Hinweis: Nachdem Sie Änderungen in den Dienstgruppen vorgenommen haben, müssen<br />
Sie den Button Aktualisiere Regeln betätigen, damit die Änderungen in den Re-<br />
gel des Portfilters übernommen werden.<br />
Abb. 81 Dialog Dienstgruppen<br />
<strong>Securepoint</strong><br />
Security Solutions 82
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.6.2 Neue Dienstgruppen anlegen<br />
Sie können auch Dienste in neuen Dienstgruppen vereinen.<br />
Klicken Sie dazu auf das Plussymbol im Bereich Dienstgruppen.<br />
Es öffnet sich der Dialog Dienstgruppen hinzufügen.<br />
Tragen Sie einen Namen für die neue Dienstgruppe ein und klicken Sie auf Hinzufügen.<br />
Wählen Sie im Dropdownmenü die eben angelegte Dienstgruppe.<br />
Da die Gruppe noch keine Dienste beinhaltet, erscheint in der rechten Tabelle die<br />
Meldung Kein Mitglied in der Dienstgruppe.<br />
Fügen Sie Dienste in die Dienstgruppe ein, wie im vorherigen Abschnitt beschrieben.<br />
Abb. 82 Namen für die neue Dienstgruppe anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 83
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.7 Netzwerkobjekte<br />
Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces,<br />
VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil-<br />
ter genau bestimmt werden.<br />
Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Eintrag<br />
Netzwerkobjekte.<br />
Es erscheint das Fenster Network-Objects.<br />
Hier sind alle bestehenden Netzwerkobjekte aufgelistet. Die Tabelle kann nach den<br />
Werten der verschiedenen Spalten geordnet werden.<br />
Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen<br />
Objektes positioniert.<br />
Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkobjekte<br />
angelegt werden.<br />
Abb. 83 Liste der angelegten Netzwerkobjekte<br />
<strong>Securepoint</strong><br />
Security Solutions 84
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.7.1 Netzwerkobjekt Information<br />
Die Funktion Infobox zeigt Ihnen Informationen über ein Netzwerkobjekt an, wenn Sie mit<br />
den Mauszeiger auf dieses zeigen.<br />
Sie können diese Funktion aktivieren, indem Sie in der Checkbox Infobox deaktivieren im<br />
Übersichtsfenster das Häkchen entfernen.<br />
Die Infobox zeigt Ihnen neben dem Namen und der Objektgruppenzugehörigkeit des Objek-<br />
tes auch an, ob das Objekt in einer Regel der Firewall verwendet wird. Ist dies der Fall, wer-<br />
den die Nummern der Regeln sowie eine Zusammenfassung der Regeln angezeigt.<br />
Abb. 84 Objektinformationen<br />
<strong>Securepoint</strong><br />
Security Solutions 85
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.7.2 Host/Netz hinzufügen<br />
Um ein Netzwerkobjekt für ein Netz oder einen einzelnen Computer festzulegen, gehen Sie<br />
wie folgt vor.<br />
Klicken Sie auf Host/Netz hinzufügen.<br />
Es öffnet sich der Dialog Host/Netz hinzufügen.<br />
Geben Sie einen Namen für das neue Objekt im Feld Name ein.<br />
Wählen Sie unter Typ, ob Sie ein Netzwerk oder einen einzelnen Host anlegen möchten.<br />
Host: Geben Sie die IP-Adresse des betreffenden Rechners unter IP Adresse<br />
ein.<br />
Wählen Sie die Zone, die der Rechner angehört aus dem Dropdownfeld<br />
Zone.<br />
Netzwerk: Geben Sie unter IP Adresse die IP-Adresse des Netzwerkes ein.<br />
Wählen Sie aus dem Dropdownmenü Netzmaske die passende<br />
Netzwerkmaske.<br />
Geben Sie danach bei Zone die Zone des Netzwerkes an.<br />
Wählen Sie, welche NAT IP verwendet werden soll.<br />
Speichern Sie Ihre Eingaben mit Speichern.<br />
Abb. 85 Netzwerkobjekt für einen Rechner anlegen<br />
Abb. 86 Netzwerkobjekt für ein Netzwerk anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 86
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.7.3 VPN Host/Netz hinzufügen<br />
Das Anlegen von VPN Objekten unterscheidet sich kaum vom Hinzufügen von Netzwerken<br />
oder Rechnern. Sie haben hier nur andere Zonen zur Verfügung.<br />
Ganz nachdem zu welchem VPN Verfahren die Objekte gehören, wählen Sie als Zone<br />
vpn-ipsec, vpn-ppp oder vpn-openvpn aus.<br />
Abb. 87 Objekt für einen VPN Rechner anlegen<br />
8.7.4 Benutzer hinzufügen<br />
Abb. 88 Objekt für ein VPN Netzwerk anlegen<br />
Sie können auch Netzwerkobjekte für Benutzer anlegen. So können für einzelne Benutzer<br />
Regeln angelegt werden. Einzige Bedingung dafür ist, dass die Benutzer SPUVA<br />
(<strong>Securepoint</strong> User Verification Agent) Nutzer sind und sich mit dem Agenten am System an-<br />
melden. Die Benutzer müssen auch in dem Menü Authentication unter dem Punkt Users<br />
aufgeführt sein.<br />
Klicken Sie auf Benutzer hinzufügen.<br />
Es öffnet sich der Dialog Benutzer hinzufügen.<br />
Tragen Sie im Feld Name einen Namen für das Objekt ein.<br />
Wählen Sie unter Login einen SPUVA User.<br />
Wählen Sie unter Zone eine Zone.<br />
Wählen Sie, welche NAT IP verwendet werden soll.<br />
Sichern Sie Ihre Eingaben mit Speichern.<br />
Abb. 89 Objekt für einen Nutzer anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 87
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.7.5 Schnittstelle hinzufügen<br />
Außerdem können Sie Interfaces als Netzwerkobjekte hinzufügen. Als Interface werden die<br />
Schnittstellen der Firewall bezeichnet.<br />
Hier können Sie unterscheiden zwischen Interface mit fester oder dynamischer IP-Adresse.<br />
Klicken Sie auf Schnittstelle hinzufügen.<br />
Es erscheint der Dialog Schnittstelle hinzufügen.<br />
Geben Sie dem neuen Objekt einen Namen im Feld Name.<br />
Wählen Sie unter Typ Statische Adresse oder Dynamische Adresse.<br />
Wenn Sie Statische Adresse gewählt haben, dann tragen Sie im Feld IP Adresse<br />
noch die feste IP des Interfaces ein.<br />
Wählen Sie dann im Feld Zone die Interface Zone aus.<br />
Speichern Sie Ihre Angaben mit Speichern.<br />
Abb. 90 Objekt für ein Interface mit dynamischer<br />
Adresse<br />
Abb. 91 Objekt für ein Interface mit statischer<br />
Adresse<br />
<strong>Securepoint</strong><br />
Security Solutions 88
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.8 Netzwerkgruppen<br />
In diesem Bereich können Sie verschiedene Netzwerkobjekte zu Gruppen zusammenfassen.<br />
Sie können neue Gruppe anlegen, bestehende bearbeiten oder löschen.<br />
Im Bereich Netzwerkgruppen können Sie eine bestehende Gruppe aus dem<br />
Dropdownfeld auswählen.<br />
Mit dem Abfalleimersymbol können Sie die gewählte Gruppe löschen. Dabei werden<br />
alle beinhaltenden Netzwerkobjekte ebenfalls gelöscht.<br />
Mit dem Plussymbol können Sie eine neue Gruppe anlegen.<br />
Geben Sie dazu einen Namen an und wählen Sie ein Symbol für die Gruppe.<br />
Im Bereich Netzwerkobjekte sind alle angelegten Netzwerkobjekte aufgelistet.<br />
Im Bereich Netzwerkgruppen Mitglieder sind alle Netzwerkobjekte aufgelistet, die<br />
Bestandteile der ausgewählten Gruppe sind.<br />
Sie können Netzwerkobjekte zur gewählten Gruppe hinzufügen, indem Sie Objekte in<br />
der Liste Netzwerkobjekte markieren und dann auf den Button mit dem Pfeil nach<br />
rechts klicken. Die Netzwerkobjekte werden in die rechte Liste verschoben.<br />
Zum Entfernen von Netzwerkobjekten aus der Gruppe markieren Sie die jeweiligen<br />
Objekte in der Liste Netzwerkgruppen Mitglieder und klicken dann auf den Button<br />
mit dem Pfeil nach links. Die Netzwerkobjekte werden aus der rechten Liste entfernt.<br />
Hinweis: Wenn Sie Änderungen an einer Gruppe vorgenommen haben, müssen Sie den<br />
Button Aktualisiere Regeln betätigen, damit die Änderungen in den Regel des<br />
Portfilters übernommen werden.<br />
Abb. 92 Dialog Netzwerkgruppen<br />
<strong>Securepoint</strong><br />
Security Solutions 89
8 Menü Firewall <strong>Securepoint</strong> <strong>10</strong><br />
8.8.1 Network Objekt Information<br />
Die Funktion Infobox zeigt Ihnen Informationen über ein Netzwerkobjekt an, wenn Sie mit<br />
dem Mauszeiger auf dieses zeigen.<br />
Sie können diese Funktion aktivieren, indem Sie in der Checkbox Disable Infobox im Über-<br />
sichtsfenster das Häkchen entfernen.<br />
Die Infobox zeigt Ihnen den Namen, IP-Adresse, Subnetzmaske, Zone und NAT IP an.<br />
Abb. 93 Objektinformationen<br />
8.8.2 Network Group Information<br />
Sie können sich auch Informationen zu den Netzwerkgruppen anzeigen lassen.<br />
Wählen Sie in der Dropdownliste eine Netzwerkgruppe.<br />
Klicken Sie auf das Informationssymbol hinter dem Dropdownfeld.<br />
Eine Infobox wird angezeigt.<br />
Die Infobox zeigt Ihnen den Namen der Netzwerkgruppe an und ob die Gruppe in einer Re-<br />
gel der Firewall verwendet wird. Ist dies der Fall, werden die Nummern der Regeln sowie<br />
eine Zusammenfassung der Regeln angezeigt.<br />
Abb. 94 Verwendung der Gruppe in Regeln<br />
<strong>Securepoint</strong><br />
Security Solutions 90
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9 Menü Anwendungen<br />
Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und VoIP sowie die Einstellungen<br />
für den Fernwartungsdienst VNC Repeater, für das Mail Relay und den SPAM-Filter zusam-<br />
mengefasst. Außerdem kann der Status der Dienste gewechselt werden.<br />
Abb. 95 Dropdown des Menüpunktes Anwendungen<br />
Bezeichnung Erklärung<br />
HTTP Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und<br />
Filterung von Internetadressen und Webseiteninhalten.<br />
POP3 Proxy Spamfilterung und Virenscanning von E-Mails.<br />
Mail Relay Einstellungen für den Mail Server.<br />
Spamfilter Einstellungen des Spamfilters.<br />
VNC Repeater Weiterleitung von Fernwartungsprogrammen.<br />
VoIP Proxy Einstellungen für den Voice over IP Proxy.<br />
IDS Auswahl der Signaturregeln des Intrusion Detection Systems.<br />
Anwendungsstatus Aktivieren und Deaktivieren von Diensten.<br />
<strong>Securepoint</strong><br />
Security Solutions 91
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1 HTTP Proxy<br />
Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er<br />
filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei-<br />
en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus<br />
dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als<br />
eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen-<br />
über als Client.<br />
9.1.1 Allgemein<br />
Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht.<br />
Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080.<br />
Wenn Sie eine Ausgangsadresse bestimmen möchten, aktivieren Sie die Checkbox<br />
und tragen die gewünschte IP-Adresse ein.<br />
Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei Kaskadieren.<br />
Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy ein<br />
und dessen Port unter Übergeordneter Proxy Port.<br />
Entscheiden Sie, welchen Netzen gegenüber der transparente Proxy aktiviert werden<br />
soll.<br />
Transparent bedeutet, dass Sie im Browser nicht unbedingt einen Proxy eintragen<br />
müssen. Die Firewall leitet die Pakete automatisch zum Proxy. Wenn Sie im Browser<br />
keinen Proxy eintragen, funktioniert die User Authentifizierung nicht und Protokolle<br />
wie HTTPS und FTP müssen Sie explizit über das Regelwerk freischalten.<br />
Wählen Sie eine Authentifizierungsart.<br />
Keine à keine Authentifizierung erforderlich<br />
Lokal à Authentifizierung gegen die lokale Nutzerdatenbank<br />
Radius à Authentifizierung gegen einen Radius Server<br />
Active Directory à Authentifizierung über das AD des Netzwerkes<br />
NTLM à Authentifizierung gegen den NT LAN Manager<br />
(Active Directory)<br />
Über den Button Einstellungen können Sie einstellen, ob sich<br />
nur eine festgelegte Gruppe oder alle Nutzer authentifizieren<br />
dürfen.<br />
Aktivieren Sie ggf. die Beschränkung für Up- und <strong>Downloads</strong> durch Setzen des Häkchens<br />
Größenlimit aktivieren.<br />
Möchten Sie einen Bereich nicht beschränken, dann wählen Sie die Option Unlimitiert.<br />
Durch Aktivieren der Checkbox Logging anonymisieren wird die Protokollierung ohne<br />
Nutzerkennung und IP-Adressen durchgeführt.<br />
<strong>Securepoint</strong><br />
Security Solutions 92
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Abb. 96 Registerkarte Allgemein des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 93
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.2 Virenscan<br />
Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos-<br />
sen werden sollen.<br />
Sie können die Virensuche auch ganz deaktivieren, indem Sie beim Feld Virusscan<br />
aktivieren das Häkchen aus der Checkbox entfernen.<br />
Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden.<br />
Sie können durch den Button mit dem Werkzeugschlüssel den jeweiligen Eintrag<br />
bearbeiten oder durch den Button mit dem Abfalleimer den Eintrag löschen.<br />
Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Dateiendung<br />
mit einem führenden Punkt eingeben und dann auf die Schaltfläche hinzufügen betätigen.<br />
Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden.<br />
Sie können durch den Button mit dem Werkzeugschlüssel den jeweiligen Eintrag<br />
bearbeiten oder durch den Button mit dem Abfalleimer den Eintrag löschen.<br />
Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite eingeben<br />
und dann auf die Schaltfläche hizufügen betätigen.<br />
Webseiten werden nur mit Top- und Second-Level-Domains angegeben. Hostnamen<br />
wie „www“ entfallen.<br />
Abb. 97 Registerkarte Virenscan des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 94
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.3 URL Filter<br />
Mit dem URL Filter können Sie Internetseiten explizit blocken oder zulassen.<br />
In die Blacklist werden Domains und URLs eingetragen, die geblockt werden sollen.<br />
Die Whitelist enthält Adressen, die angezeigt werden.<br />
Sie können auch mit der Option Alles blocken alle URL blockieren und mit der Whitelist be-<br />
stimmen, auf welche Webseite zugegriffen werden darf.<br />
Wenn Sie auf der Registerkarte General eine Authentifizierungsmethode gewählt haben,<br />
haben Benutzer, die sich ordnungsgemäß authentifizieren die Möglichkeit, auch auf Internet-<br />
seiten zuzugreifen, die auf der Blacklist stehen. Um dieses Verhalten zu unterdrücken und<br />
Seiten der Blacklist für alle Nutzer gesperrt bleiben, müssen Sie die Option URL Filter auch<br />
für authentifizierte Nutzer anwenden nutzen.<br />
Wechseln Sie auf die Registerkarte URL Filter.<br />
Schalten Sie den Filter an, indem Sie die Checkbox beim Eintrag URL Filter aktivieren.<br />
Aktivieren Sie URL Filter auch für authentifizierte Nutzer anwenden, um Seiten<br />
der Blacklist allgemeingültig zu sperren.<br />
Sie können durch den Button mit dem Werkzeugschlüssel den jeweiligen Eintrag<br />
bearbeiten oder durch den Button mit dem Abfalleimer den Eintrag löschen.<br />
Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Adresse der<br />
Webseite eingeben und dann auf die Schaltflächen hinzufügen betätigen.<br />
Sie können ganze Domains sperren bzw. freigeben. Das heißt auch alle Unterseiten<br />
der Domain.<br />
Zum Sperren oder Freigeben von bestimmten Unterseiten geben Sie die entsprechenden<br />
URLs an.<br />
Außerdem können Sie Domains blocken und durch die Whitelist bestimmte Unterseiten<br />
der Domain zulassen.<br />
Bsp.:<br />
Blacklist: spiegel.de<br />
Whitelist: spiegel.de/wirtschaft/<br />
Auch hier werden nur Top- und Second-Level-Domains verwendet.<br />
Bsp.:<br />
Aus www.beispiel.de wird beispiel de<br />
Aus www.beispiel.de/wetten wird beispiel.de/wetten<br />
<strong>Securepoint</strong><br />
Security Solutions 95
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Abb. 98 Registerkarte URL Filter des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 96
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.4 Anhang blocken<br />
Mit dieser Option können Sie Dateiendungen blockieren. Dabei handelt es sich nicht nur um<br />
Endungen mit drei Buchstaben. Sie können somit auch Endungen wie jpeg oder mpeg sper-<br />
ren.<br />
Endungen müssen mit einem führenden Punkt angegeben werden.<br />
Geben Sie eine Endung in das Feld im unteren Bereich ein.<br />
Dabei den führenden Punkt nicht vergessen. Bsp.: .mp3<br />
Klicken Sie auf hinzufügen.<br />
Die Endung wird in die Liste aufgenommen.<br />
Mit dem Abfalleimersymbol am Ende der Zeile können Sie den Eintrag löschen.<br />
Abb. 99 Dateiendungen sperren<br />
<strong>Securepoint</strong><br />
Security Solutions 97
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.5 Anwendung blocken<br />
Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro-<br />
gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden.<br />
Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die<br />
Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter-<br />
net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom-<br />
munikation zu unterbinden.<br />
Im Bereich Fernwartung können die Anwendungen Teamviewer und Netviewer gesperrt<br />
werden.<br />
Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit<br />
dem letzten Eintrag Andere IMs blocken werden andere Messaging Programme, die nicht<br />
in der Liste aufgeführt sind, gesperrt.<br />
Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die<br />
jeweilige Checkbox.<br />
Klicken Sie dann auf Speichern.<br />
Abb. <strong>10</strong>0 Fernwartungs und Chat Programme sperren<br />
<strong>Securepoint</strong><br />
Security Solutions 98
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.6 Content Filter<br />
9.1.6.1 Blacklist Kategorien<br />
Mit dem Content Filter können Sie den Zugang zu Internetseiten mit definierten Inhalten<br />
sperren. Es stehen verschiedene Inhaltskategorien zur Auswahl. Die Kategorien enthalten<br />
Schlagwörter, die auf den jeweiligen Inhalt hinweisen. Diese Schlagwörter sind in ihrer Ein-<br />
deutigkeit gewichtet. Wenn die Summe der Gewichtungen einer Internetseite einen Schwel-<br />
lenwert (Empfindlichkeit) überschreitet, wird diese Internetseite gesperrt. Je höher die Emp-<br />
findlichkeit, desto unwahrscheinlicher wird eine Seite gesperrt.<br />
Klicken Sie auf die Registerkarte Blacklist Kategorien.<br />
Wählen Sie die Kategorien aus, die Sie Sperren möchten. Setzen Sie vor diesen ein<br />
Häkchen.<br />
Sie können noch die Empfindlichkeit bestimmen.<br />
Bedenken Sie, dass ein zu niedriger Schwellenwert, viele Seiten blocken könnte, die<br />
nicht in die Kategorien fallen.<br />
Speichern Sie Ihre Einstellungen mit Speichern.<br />
Abb. <strong>10</strong>1 Regsiterkarte Content Filter des HTTP Proxy Dialogs - Blacklist Kategorien<br />
<strong>Securepoint</strong><br />
Security Solutions 99
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.6.2 Whitelist<br />
Über die Whitelist können Benutzer, IP-Adressen und Internetseiten von der Prüfung ausge-<br />
nommen werden.<br />
9.1.6.2.1 Benutzer<br />
Wenn die eingetragenen Benutzer Internetseiten aufrufen, wird die Filterung über den Con-<br />
tent Filter nicht ausgeführt.<br />
Wechseln Sie auf der Registerkarte Whitelist in die Registerkarte Benutzer.<br />
Um einen Nutzer hinzuzufügen, geben Sie den Login Namen des Nutzers in das Eingabefeld<br />
am unteren Dialog Rand ein und klicken Sie auf den Button Benutzer hinzufügen.<br />
Um einen Nutzer zu entfernen, klicken Sie auf den Button mit dem Abfalleimersymbol<br />
neben dem jeweiligen Nutzer.<br />
Abb. <strong>10</strong>2 Unterregister Whitelist – Benutzer der Registerkarte Content Filter des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>0
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.6.2.2 IP Adressen<br />
Hier eingetragene IP-Adressen werden ebenfalls vom Content Filtering ausgenommen. Die-<br />
se Einstellung ist nur sinnvoll, wenn die IP-Adressen fest vergeben sind.<br />
Wechseln Sie auf die Registerkarte IP-Adressen.<br />
Geben Sie in das Eingabefeld die gewünschte IP-Adresse ein, bei der das Content<br />
Filtering nicht angewendet werden soll.<br />
Klicken Sie auf den Button IP hinzufügen.<br />
Um einen Eintrag zu bearbeiten, klicken Sie auf den Button mit dem Werkzeugschlüsselsymbol<br />
neben der jeweiligen IP.<br />
Um einen Eintrag zu löschen, klicken Sie auf den Button mit dem Abfalleimersymbol<br />
neben der jeweiligen IP.<br />
Abb. <strong>10</strong>3 Unterregister Whitelist - IP Adressen der Registerkarte Content Filter des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>1
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.6.2.3 Webseiten<br />
Hier können Internetseiten eingegeben werden, die beim Aufrufen nicht durch den Content<br />
Filter geprüft werden. Tragen Sie hier nur absolut vertrauenswürdige Seiten ein.<br />
Wechseln Sie in die Registerkarte Webseiten.<br />
Zum Hinzufügen von Webseiten tragen Sie die Adresse in das Eingabefeld ein und<br />
klicken Sie auf den Button hinzufügen.<br />
Um einen Eintrag zu bearbeiten, klicken Sie auf den Button mit dem Werkzeugschlüsselsymbol<br />
neben der jeweiligen Webseite.<br />
Um einen Eintrag zu löschen, klicken Sie auf den Button mit dem Abfalleimersymbol<br />
neben der jeweiligen Webseite.<br />
Abb. <strong>10</strong>4 Unterregister Whitelist - Webseiten der Registerkarte Content Filter des HTTP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>2
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.1.7 Bandbreite<br />
Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer<br />
beschränken.<br />
Um die Bandbreitenbeschränkung zu aktivieren, setzen Sie ein Häkchen in die<br />
Checkbox Bandbreiten Kontrolle aktivieren.<br />
Wählen Sie entweder Globale Einstellungen (allgemeine Beschränkung) oder Host<br />
Einstellungen (Benutzer Beschränkung). Wählen Sie den jeweiligen Radiobutton.<br />
Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global Bandbreite.<br />
Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Maximale Bandbreite<br />
pro Host.<br />
Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der globale<br />
Wert noch nicht ausgeschöpft ist.<br />
Abb. <strong>10</strong>5 Bandbreite beschränken<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>3
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.2 POP3 Proxy<br />
Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber<br />
die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter-<br />
sucht und an den E-Mail-Client weitergegeben.<br />
Wählen Sie im Dropdownfeld Virusscanning den Wert An, um die Virensuche zu aktivieren.<br />
Wählen Sie im Dropdownfeld Spamfilter den Wert An, um die Spamfilter zu aktivieren.<br />
Wählen Sie unter Transparenter Proxy, in welchem Netz der transparente Proxy aktiviert<br />
werden soll.<br />
Sichern Sie Ihre Einstellungen mit Speichern.<br />
Abb. <strong>10</strong>6 Einstellungen für den POP3 Proxy vornehmen<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>4
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3 Mail Relay<br />
Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt.<br />
Abb. <strong>10</strong>7 Registerkarten des Dialogs Mail Relay<br />
Bezeichnung Erklärung<br />
Allgemein Grundeinstellungen zu Spam Filter, Virenscanner, E-Mail-Administrator<br />
und maximale E-Mail-Größe.<br />
Relaying Angabe der erlaubten Relaying Hosts bzw. Domains.<br />
Mail Routing Das Mail Routing bestimmt, welcher Mailserver für eine Domain zu-<br />
ständig ist.<br />
Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden<br />
E-Mails mit einer unbekannten Kombination von Mailserver, Absender-<br />
und Empfängeradresse mit einer Fehlermeldung abgewiesen. Der ent-<br />
fernte Mailserver wird im Gegensatz zu einem „Spamserver“ versuchen,<br />
die E-Mail ein weiteres Mal zuzustellen. Diesmal wird die E-Mail ange-<br />
nommen, da die Kombination der Kommunikationsdaten schon bekannt<br />
ist.<br />
Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf<br />
eine andere umgeschrieben wird.<br />
Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den<br />
Server vor Spammails und Angriffen schützen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>5
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.1 Allgemein<br />
Nehmen Sie hier grundlegende Einstellungen für das Mail Relay und einen Smarthost vor.<br />
Ein Smarthost muss nur angegeben werden, wenn der Server die E-Mails nicht direkt ver-<br />
senden soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails<br />
weitergeleitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem<br />
Mailserver.<br />
Entscheiden Sie im Dropdownfeld Virenscan, ob E-Mails nach Viren überprüft werden.<br />
Entscheiden Sie im Dropdownfeld Spamfilter, ob E-Mails auf Spam geprüft werden.<br />
Geben Sie im Feld Postmaster E-Mail-Adresse die E-Mail-Adresse des E-Mail Administrators<br />
an.<br />
Im Feld Maximale E-Mailgröße in KByte können Sie die Größe der E-Mails begrenzen<br />
(maximal <strong>10</strong>.000.000 KByte).<br />
Möchten Sie keine Beschränkung vornehmen, geben Sie hier 0 an.<br />
Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost aktivieren.<br />
Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld<br />
Smarthost ein.<br />
Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox<br />
Smarthost Authentifizierung aktivieren.<br />
Tragen Sie in den Feldern Login und Kennwort Ihren Nutzernamen und Ihr Kennwort<br />
ein und bestätigen Sie das Kennwort im Feld Kennwort bestätigen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>6
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Abb. <strong>10</strong>8 grundlegende und Smarthost Einstellungen des Mail Relays<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>7
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.2 Relaying<br />
Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder<br />
Domains verfahren wird.<br />
Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht<br />
werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E-<br />
Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden.<br />
Weiterhin haben Sie die Möglichkeit Relay Blocking Lists zu nutzen. In diesen werden IP-<br />
Adressen von Rechnern gelistet, die in der Vergangenheit durch das Versenden von Spam-<br />
E-Mails aufgefallen sind. Allerdings können durch Blocking-Listen auch Mailserver gesperrt<br />
werden, die fälschlicherweise auf diesen Listen geführt werden oder deren Missbrauch<br />
schon länger zurückliegt.<br />
Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die<br />
angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt.<br />
Abb. <strong>10</strong>9 Einstellungen zum Relaying<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>8
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Um eine Domain hinzuzufügen, klicken Sie auf den Button Domain hinzufügen.<br />
Es öffnet sich der Dialog Relay Domain hinzufügen.<br />
Im Feld Domain geben Sie den Domainnamen an.<br />
Wählen Sie unter Option zwischen None, To, From und Connect.<br />
Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK (E-<br />
Mail annehmen).<br />
Klicken Sie auf Hinzufügen.<br />
Um einen Host hinzuzufügen, klicken Sie auf Host hinzufügen.<br />
Es öffnet sich der Dialog Relay Host oder IP Adresse hinzufügen.<br />
Geben Sie unter Host oder IP Adresse den Hostnamen oder die IP-Adresse des<br />
gewünschten Rechners an.<br />
Wählen Sie unter Action zwischen Relay, Reject und OK.<br />
Klicken Sie auf Hinzufügen.<br />
Abb. 1<strong>10</strong> Domain hinzufügen<br />
Abb. 111 IP-Adresse hinzufügen<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>10</strong>9
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.3 Mail Routing<br />
Das Mail Routing bestimmt, welcher Mailserver für eine Domain zuständig ist.<br />
Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger<br />
nicht existiert, ablehnt.<br />
Um eine Adressprüfung festzulegen, müssen Sie die Option Validiere E-Mail-<br />
Adressen mit Mailserver aktivieren.<br />
Sie haben hierbei die Möglichkeit, die Adressen des LDAP Verzeichnisses zu verwenden.<br />
Oder der SMTP Server prüft die Existenz der Adresse.<br />
Zusätzlich kann noch eine Datei mit E-Mail-Adressen hochgeladen werden. Dann<br />
kann die Prüfung gegen diese Liste geführt werden.<br />
Diese Liste kann auch von hier aus bearbeitet und auch wieder heruntergeladen werden.<br />
Abb. 112 Routing Einstellung im Dialog Mail Relay<br />
<strong>Securepoint</strong><br />
Security Solutions 1<strong>10</strong>
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Um E-Mails einer Domain einen bestimmten Mailserver zuzuweisen, klicken Sie auf<br />
den Button SMTP Routing hinzufügen.<br />
Es öffnet sich der Dialog SMTP Route hinzufügen.<br />
Tragen Sie im Feld Domain die gewünschte Domain ein.<br />
Tragen Sie im Feld Mailserver den Hostnamen oder die IP-Adresse des Mailservers<br />
ein.<br />
Klicken Sie auf Hinzufügen.<br />
Abb. 113 SMTP Route hinzufügen<br />
<strong>Securepoint</strong><br />
Security Solutions 111
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.4 Greylisting<br />
Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver-<br />
sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht<br />
versuchen die E-Mail ein weiteres Mal zuzustellen.<br />
Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse<br />
des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell-<br />
versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent-<br />
fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden.<br />
Diesmal wird die E-Mail angenommen.<br />
Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen.<br />
Stellen Sie in Automatisches Whitelisting ein, wie lange die Kombination der Versanddaten<br />
gespeichert werden, wenn eine E-Mail durch den zweiten Versand zugestellt<br />
wurde.<br />
Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversuchen<br />
liegen müssen.<br />
Abb. 114 Greylisting-Einstellungen<br />
<strong>Securepoint</strong><br />
Security Solutions 112
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.4.1 Whitelist IP-Adressen<br />
In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen<br />
und schon beim ersten Zustellversuch weitergeleitet werden.<br />
Im Bereich IP Adressen / Netz können Sie E-Mails von bestimmten IP-Adressen und Netz-<br />
werken vom Greylisting ausnehmen.<br />
Tragen Sie im unteren Feld die gewünschte IP-Adresse ein.<br />
Wählen Sie aus dem Dropdown Feld die passende Subnetzmaske.<br />
Klicken Sei auf den Button IP Adressen / Netz hinzufügen.<br />
Die IP-Adresse wird in der Whitelist gespeichert.<br />
Abb. 115 Whitelist - IP-Adressen / Netzwerke<br />
<strong>Securepoint</strong><br />
Security Solutions 113
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.4.2 Whitelist Domains<br />
Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen.<br />
Angaben werden nur in Second- und Top-Level-Domain vorgenommen.<br />
Tragen Sie im unteren Feld eine Domain ein.<br />
Klicken Sie auf den Button Domain hinzufügen.<br />
Die Domain wird in der Whitelist hinterlegt.<br />
Abb. 116 Whitelist – Domain<br />
Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die<br />
Domain des Hosts, der die E-Mail versenden möchte.<br />
<strong>Securepoint</strong><br />
Security Solutions 114
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.4.3 Whitelist E-Mail Empfänger<br />
E-Mail an bestimmte Empfänger vom Greylisting ausnehmen.<br />
Tragen Sie im unteren Feld eine E-Mail-Adresse eines Empfängers ein.<br />
Klicken Sie auf E-Mail Empfänger hinzufügen.<br />
E-Mails an diesen Empfänger werden vom Greylisting ausgenommen.<br />
Abb. 117 E-Mail Empfänger vom Greylisting ausnehmen<br />
9.3.4.4 Whitelist E-Mail Absender<br />
E-Mails von definierten Absendern werden vom Greylisting ausgenommen.<br />
Tragen Sie im unteren Feld eine E-Mail-Adresse eines Absenders ein.<br />
Klicken Sie auf den Button E-Mail Sender hinzufügen.<br />
E-Mails von diesem Absender werden vom Greylisting ausgenommen.<br />
Abb. 118 E-Mail Absender vom Greylisting ausnehmen<br />
<strong>Securepoint</strong><br />
Security Solutions 115
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.5 Domain Mapping<br />
Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge-<br />
schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse<br />
geändert wird.<br />
Zum Beispiel lautet die einkommende E-Mail-Adresse info@securepoint.de und soll umge-<br />
wandelt werden in info@securepoint.cc.<br />
Abb. 119 Domain Mapping Einstellungen<br />
<strong>Securepoint</strong><br />
Security Solutions 116
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Um eine Domain Mapping Regel hinzuzufügen, klicken Sie auf den Button Domain<br />
Mapping hinzufügen.<br />
Es erscheint der Dialog Domain Mapping hinzufügen.<br />
Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein.<br />
Geben Sie im Feld Ziel Domain die neue Domain ein.<br />
Klicken Sie auf Hinzufügen.<br />
Abb. 120 Domain Mapping hizufügen<br />
<strong>Securepoint</strong><br />
Security Solutions 117
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.6 Erweitert<br />
Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha-<br />
nismen vor Spam schützt.<br />
Abb. 121 Einstellungen auf der Registerkarte Erweitert<br />
<strong>Securepoint</strong><br />
Security Solutions 118
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.3.6.1 Greeting Pause<br />
Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf<br />
eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle.<br />
Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese<br />
werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö-<br />
hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser-<br />
vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld<br />
abgewehrt.<br />
Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen<br />
Sie dafür den Button Editieren und tragen die IP-Adresse oder den Hostnamen des Mailser-<br />
vers ein.<br />
9.3.6.2 Recipient Flooding<br />
So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs-<br />
daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier-<br />
ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt.<br />
Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen-<br />
sammler.<br />
9.3.6.3 Limitierte Anzahl der Empfänger<br />
Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail.<br />
9.3.6.4 Limitierte Verbindungen<br />
Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli-<br />
ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell<br />
zur Appliance aufgebaut werden.<br />
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung<br />
nicht gilt.<br />
9.3.6.5 Rate Kontrolle<br />
Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines<br />
Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra-<br />
gen.<br />
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung<br />
nicht gilt.<br />
<strong>Securepoint</strong><br />
Security Solutions 119
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4 Spamfilter<br />
Die integrierte <strong>Securepoint</strong> Anti-Spam-Lösung filtert unerwünschte E-Mails (Spam) aus und<br />
setzt eine Kombination aus verschiedenen Verfahren ein, um eine möglichst hohe Erken-<br />
nungsrate zu erzielen. Der <strong>Securepoint</strong> Spamfilter untersucht jede E-Mail anhand von ver-<br />
schiedenen Kriterien und klassifiziert sie ab einer bestimmten Bewertung als Spam.<br />
Hierbei sind z. B. offensichtlich ungültige Absender, bekannte Spam-Textpassagen, HTML-<br />
Inhalt, in die Zukunft datierte Versanddaten nur einige Bewertungskriterien. Zusätzlich wird<br />
ein Spam-Pattern-File automatisch erstellt, das von dem selbstlernenden Spamfilter genutzt<br />
wird.<br />
9.4.1 Allgemein<br />
Hier entscheiden Sie, welche Spamfilter Mechanismen Sie nutzen möchten.<br />
Die automatische Filterung benutzt ein Spamfilter Modul der Firma Commtouch. Diese hält<br />
eine ständig aktualisierte Spamdatenbank vor, gegen die die eingehenden E-Mails geprüft<br />
werden.<br />
Der Bayes Filter prüft anhand von klassifizierten/bewerteten Wörtern, ob die E-Mail eine<br />
Spammail ist. Damit dieser Filter möglichst viel Spam identifiziert, muss der Filter über das<br />
User-Interface trainiert werden, indem E-Mails als erwünscht (Ham) oder unerwünscht<br />
(Spam) klassifiziert werden. Durch dieses Klassifizieren lernt der Filter, welche Worte eine<br />
Spam- oder Ham-E-Mail signalisieren.<br />
<strong>Securepoint</strong><br />
Security Solutions 120
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
Aktivieren Sie automatisch Spam filtern, wenn Sie das Commtouch Modul zur<br />
Spamfilterung einsetzen möchten.<br />
Aktivieren Sie die Checkbox Bayes Filter, um diesen Filtermechanismus zu aktivieren.<br />
Setzen Sie Werte für die folgenden Einstellungen:<br />
o Schwellenwert für Spam E-Mail: Aus den untersuchten Wörtern wird ein Wert<br />
berechnet, der zwischen 1-99 liegt. Eine 1 bedeutet eine hohe Ham-<br />
Wahrscheinlichkeit. Eine 99 eine hohe Spam-Wahrscheinlichkeit.<br />
o Abweichung bis zur Spam Definition: Wert zwischen 1und 99, der über die<br />
Klassifizierung von E-Mails entscheidet, deren Wörter noch nicht klassifiziert<br />
wurden. Ein mittlerer Wert besagt, dass eine E-Mail zu gleichen Teilen Ham oder<br />
Spam sein kann. Bekommen Sie sehr viel mehr Spam als Ham sollte ein höherer<br />
Wert eingestellt werden.<br />
Der Button Standardwerte setzt automatisch Werte für den Bayes Filter.<br />
Mit der Option E-Mail Inhalt für den Spam-Administrator nicht sichtbar kann der<br />
Spam-Administrator nur den Header einer E-Mail einsehen.<br />
Beachten Sie die Datenschutzbestimmungen, wenn Sie die Option abwählen.<br />
Die E-Mail Vorhaltezeit ist die Zeit in Tagen, die die E-Mails auf der Appliance gespeichert<br />
werden.<br />
Abb. 122 Angaben zu den Filtermechanismen<br />
<strong>Securepoint</strong><br />
Security Solutions 121
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4.2 Attachment Filter<br />
Sie können Anhänge von ausgehenden und eingehenden E-Mails blocken. Untersucht wer-<br />
den die Anhänge anhand ihrer Endung (z. B. .jpeg) oder anhand des MIME (Multipurpose<br />
Internet Mail Extensions) Typs, der in E-Mail Header angegeben ist.<br />
Sie können entweder die Option Alle Anhänge blocken wählen und per Whitelist<br />
Anlagen von der Filterung ausnehmen<br />
oder Sie wählen die Option Bestimmte Anhänge blocken und definieren per Blacklist<br />
die zu filternden Anlagen.<br />
Bei dieser Filterung werden nicht die E-Mails geblockt, sondern deren Anhänge von<br />
der E-Mail entfernt. Zur Kennzeichnung wird ein Nachrichtentext in die E-Mail eingefügt.<br />
Die Standardnachricht Attachments removed by <strong>Securepoint</strong> Firewall kann im<br />
Feld Nachricht editieren geändert werden.<br />
Abb. 123 Anhänge aus E-Mails löschen<br />
<strong>Securepoint</strong><br />
Security Solutions 122
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
MIME Types können selbst eingeschrieben werden mit Typ und Subtyp (z. B. audio/mp3)<br />
oder Sie wählen einen vordefinierten Typ.<br />
Wenn Sie in der Whitelist oder Blacklist die Registerkarte MIME Types wählen, erscheint<br />
der Button Vordefiniert. Dieser öffnet den Dialog MIME Typ hinzufügen.<br />
Wählen Sie per Radiobutton einen Typ.<br />
Entscheiden Sie sich dann für einen Subtyp von der entsprechenden Dropdown Liste.<br />
Klicken Sie dann Hinzufügen.<br />
Der MIME Typ wird in der Whitelist oder Blacklist eingetragen.<br />
Abb. 124 vordefinierte MIME Typen<br />
<strong>Securepoint</strong><br />
Security Solutions 123
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4.3 Virenscan<br />
Sie können eingehende und ausgehende E-Mails auf Viren überprüfen. Wenn ein Virus ge-<br />
funden wird, wird dieser gelöscht. In der E-Mail wird die Entfernung eines Virus mit einer<br />
Nachricht in der E-Mail angezeigt.<br />
Aktivieren Sie die Option Anhänge in der Whitelist nicht scannen, um ausgewählte<br />
Anhänge von der Virussuche auszuschließen.<br />
Benutzen Sie die Whitelist zum Definieren der auszunehmenden Anhänge.<br />
Auch hier können Sie Dateiendungen der Anhänge und MIME Types angeben. Setzen<br />
Sie die MIME Types manuell oder wählen Sie den gewünschten Typ aus der Liste<br />
der vordefinierten Typen.<br />
Abb. 125 Ausnahmen von der Virensuche<br />
<strong>Securepoint</strong><br />
Security Solutions 124
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4.4 SMTP Einstellungen<br />
Auf der Registerkarte SMTP Einstellungen können Sie entscheiden, wie mit E-Mails verfah-<br />
ren wird, die als Spam erkannt wurden, einen Virus oder unerwünschten Anhang beinhalten.<br />
Wenn Sie Spam nicht blocken wollen, sondern nur markieren, aktivieren Sie die entsprechende<br />
Checkbox.<br />
Bearbeiten Sie bei Bedarf die Nachricht, die der Spammail in den Betreff zugefügt<br />
wird.<br />
Entscheiden Sie, ob ein- und ausgehende E-Mails mit einen Virus abgelehnt oder der<br />
Virus gelöscht und die E-Mails weitergeleitet werden sollen.<br />
Wählen Sie, ob ein- und ausgehende E-Mails mit einem unerwünschten Anhang abgewiesen<br />
oder der Anhang gelöscht und die E-Mails weitergeleitet werden sollen.<br />
Abb. 126 Aktionen füt betroffene E-Mails einstellen<br />
<strong>Securepoint</strong><br />
Security Solutions 125
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4.5 SMTP erweitert<br />
In den erweiterten Einstellungen für SMTP werden eine globale Whitelist und eine globale<br />
Blacklist angelegt.<br />
Die Einträge in den Listen können als einzelne IP-Adresse, als Domain oder als Host IP-<br />
Adressen bzw. Hostname angelegt werden.<br />
E-Mails von Whitelist-Einträgen werden ohne Prüfung auf Spam weitergeleitet. E-Mails von<br />
Blacklist-Einträgen werden ohne Prüfung abgewiesen.<br />
Tragen Sie auf den Registerkarten E-Mail vollständige E-Mail-Adressen ein.<br />
Auf den Registerkarten Domain tragen Sie Domains ein, die Sie weiterleiten bzw.<br />
blocken möchten.<br />
Auf der Registerkarte Host, tragen Sie Host IP-Adresse oder Hostnamen ein, von<br />
denen die E-Mails keiner Prüfung unterzogen werden.<br />
Abb. 127 allgemeine Whitelist und Blacklist<br />
<strong>Securepoint</strong><br />
Security Solutions 126
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.4.6 POP3 Einstellungen<br />
Einstellungen für den POP3 E-Mail Abrufdienst. Hier können Sie einstellen, ob alle Postfä-<br />
cher auf Viren und unerwünschte Anhänge gescannt werden oder nur bestimmte Postfächer.<br />
Spammails werden mit einem Zusatz in der Betreffzeile markiert. Diesen Zusatz können<br />
Sie unter Editiere Betreff, wenn Spam, bearbeiten.<br />
Entscheiden Sie auf der linken Seite, ob alle oder nur bestimmet Postfächer auf Viren<br />
geprüft werden.<br />
Sollen nur bestimmte Postfächer gescannt werden, tragen Sie die Benutzer ein, deren<br />
Postfächer geprüft werden sollen.<br />
Entscheiden Sie auf der rechten Seite, ob alle oder nur bestimmte Postfächer auf unerwünschte<br />
Anhänge geprüft werden.<br />
Sollen nur bestimmte Postfächer gescannt werden, tragen Sie die Benutzer ein, deren<br />
Postfächer geprüft werden sollen.<br />
Abb. 128 Einstellungen für den POP3 Dienst<br />
<strong>Securepoint</strong><br />
Security Solutions 127
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.5 VNC Repeater<br />
Virtual Networking Computing (VNC) Software kann den Bildschirminhalt eines entfernten<br />
Computers auf einem lokalen Rechner anzeigen. Die Tastatureingaben und Mausbewegun-<br />
gen des lokalen Computers werden an den entfernten Computer gesendet. Man kann also<br />
auf dem entfernten Computer arbeiten, als säße man direkt an diesen. Die Software arbeitet<br />
als Client-Server-Anwendung, wobei der entfernte Rechner den Server darstellt und der lo-<br />
kale Rechner den Client. Um diesen Verkehr durch die Firewall freizugeben, muss der Host-<br />
name oder die IP des entfernten Rechners angegeben werden und der Port, auf dem der<br />
Repeater arbeitet.<br />
9.5.1 Allgemein<br />
Hier werden die vom Client (Viewer) und Server benutzten Ports hinterlegt.<br />
Geben Sie unter VNC Viewer Port den Port an, den der lokale VNC Repeater benutzt.<br />
Normalerweise ist dies der voreingestellte Port 5900.<br />
Tragen Sie in der Liste VNC Server Port den Port ein, den der entfernte VNC<br />
Repeater benutzt.<br />
Abb. 129 Angabe der verwendeten Ports<br />
<strong>Securepoint</strong><br />
Security Solutions 128
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.5.2 VNC Server IP<br />
Wird die Verbindung vom Client initiiert, dann leitet der VNC-Proxy die Anfrage an die IP-<br />
Adresse des Servers weiter.<br />
Um eine Server IP hinzuzufügen,<br />
tragen Sie diese im Eingabefeld<br />
unterhalb der Liste ein.<br />
Klicken Sie anschließend auf Hinzufügen.<br />
Zum Löschen einer IP klicken Sie<br />
auf das Abfalleimersymbol neben<br />
der jeweiligen IP.<br />
9.5.3 VNC Server ID<br />
Abb. 130 Registerkarte VNC Server IP<br />
Baut der Server eine Verbindung zum VNC-Proxy auf, bekommt der Server eine ID zugewie-<br />
sen. Der Client verbindet sich über den Repeater mit dem Server und benutzt zur Identifizie-<br />
rung die Server ID.<br />
Um eine Server ID hinzuzufügen,<br />
tragen Sie diese im Eingabefeld<br />
unterhalb der Liste ein.<br />
Klicken Sie anschließend auf Hinzufügen.<br />
Zum Löschen einer ID klicken Sie<br />
auf das Abfalleimersymbol neben<br />
der jeweiligen ID.<br />
Abb. 131 Registerkarte VNC Server ID<br />
<strong>Securepoint</strong><br />
Security Solutions 129
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.6 VoIP Proxy<br />
Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen.<br />
Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung<br />
und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten.<br />
9.6.1 Allgemein<br />
Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client<br />
den Proxy erreicht.<br />
Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die<br />
Daten ins Internet übertragen soll.<br />
Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Regel<br />
5060).<br />
Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an.<br />
Geben Sie den Timeout zum SIP Servers des Providers an.<br />
Abb. 132 Registerkarte Allgemein des VoIP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 130
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.6.2 Provider<br />
Stellen Sie hier die providerseitigen Daten ein.<br />
Unter Domain geben Sie die Domain des Providers ein.<br />
Unter Proxy geben Sie den SIP Proxy des Providers ein.<br />
Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel<br />
5060).<br />
Abb. 133 Registerkarte Provider des VoIP Proxy Dialogs<br />
<strong>Securepoint</strong><br />
Security Solutions 131
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.7 IDS<br />
Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das<br />
Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver-<br />
dächtige Aktivitäten.<br />
Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten-<br />
bank verglichen, um Angriffe auf das Netzwerk zu erkennen.<br />
Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli-<br />
che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig.<br />
Wählen Sie im Dialog IDS die Regelsätze aus, gegen die das IDS die Signaturen<br />
vergleichen soll.<br />
Speichern Sie Ihre Auswahl mit Save.<br />
Der IDS Dienst wird danach neu gestartet.<br />
Abb. 134 Auswählen der Signaturklassen<br />
<strong>Securepoint</strong><br />
Security Solutions 132
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.8 Nameserver<br />
Sie haben die Möglichkeit Anfragen an den lokalen Nameserver an andere Nameserver wei-<br />
terzuleiten. Von den externen Nameservern zurückgelieferte IP-Adressen werden dann an<br />
die anfragende Anwendung oder den anfragenden Dienst übermittelt.<br />
Wählen Sie in der Navigationsleiste Anwendungen und hier den Eintrag Nameserver.<br />
Es öffnet sich der Dialog Nameserver.<br />
Tragen Sie in das Textfeld im unteren Bereich des Dialogs die IP-Adresse eines externen<br />
Nameservers ein.<br />
Klicken Sie IP Adresse hinzufügen.<br />
Die IP-Adresse wird in die Liste aufgenommen.<br />
Sie können mehrere Nameserver eintragen und eingetragene Nameserver über das<br />
Abfalleimersymbol löschen.<br />
Klicken Sie Speichern, um die Änderungen zu speichern und den Dialog zu verlassen.<br />
Abb. 135 Nameserveranfragen weiterleiten<br />
<strong>Securepoint</strong><br />
Security Solutions 133
9 Menü Anwendungen <strong>Securepoint</strong> <strong>10</strong><br />
9.9 Service Status<br />
Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von<br />
hieraus kann ein Dienst gestartet, gestoppt oder neu gestartet werden.<br />
Außerdem wird hier festgelegt, welche Dienste in einer Hochverfügbarkeitsumgebung beim<br />
Ausfall einen Wechsel auf die Sparemaschine auslöst.<br />
Bei einem aktiven Dienst ist die Schaltfläche An grün beschriftet.<br />
Bei einem inaktiven Dienst ist die Schaltfläche Aus rot beschriftet.<br />
Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf<br />
den Button An.<br />
Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes<br />
auf den Button Aus.<br />
Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes<br />
auf den Button Neu starten.<br />
Wenn Sie eine Hochverfügbarkeitsumgebung betreiben, setzen Sie für Dienste, die<br />
immer verfügbar sein sollen, die Option Cluster Protection auf An.<br />
Abb. 136 Übersicht der Dienste, deren Status und die Einstufung in kritische Anwendungen<br />
<strong>Securepoint</strong><br />
Security Solutions 134
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong> Menü VPN<br />
Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei-<br />
genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut-<br />
zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN<br />
stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung<br />
übertragenen Datenpakete werden am Client verschlüsselt und von der <strong>Securepoint</strong> Firewall<br />
wieder entschlüsselt und umgekehrt.<br />
Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits-<br />
grad und Komplexität unterscheiden.<br />
Abb. 137 Dropdownmenü des Menüpunktes VPN<br />
Bezeichnung Erklärung<br />
IPSec Assistent Assistent zum Erstellen einer IPSec VPN Verbindung.<br />
IPSec Globale<br />
Einstellungen<br />
IPSec<br />
Verbindungen<br />
Allgemeine Einstellungen für alle IPSec Verbindungen.<br />
Editieren und Löschen von IPSec Verbindungen.<br />
L2TP Kombination und Weiterentwicklung von PPTP und L2F.<br />
Wird von Windows unterstützt.<br />
PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Ver-<br />
schlüsselung. Wird direkt von Windows unterstützt.<br />
SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll.<br />
<strong>Securepoint</strong><br />
Security Solutions 135
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.1 IPSec Assistent<br />
Der Assistent zur Erstellung von IPSec VPN Verbindungen führt Sie Schritt für Schritt durch<br />
die einzelnen Konfigurationspunkte.<br />
Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site-<br />
oder eine Roadwarrior-Verbindung.<br />
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz-<br />
werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.<br />
Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem<br />
lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem<br />
Netzwerk der Zentrale.<br />
<strong>10</strong>.1.1 Site-to-Site<br />
Klicken Sie in der Navigationsleiste auf VPN und im erscheinenden Dropdownmenü<br />
auf den Eintrag IPSec Assistent.<br />
Es öffnet sich der Dialog IPSec Assistent à IPSec Verbindung erstellen.<br />
Wählen Sie den VPN Typ<br />
Site-to-Site à Verbindet Ihr lokales Netzwerk mit einem entfernten Netzwerk.<br />
Klicken Sie auf Weiter.<br />
Abb. 138 Art der VPN Verbindung wählen<br />
<strong>Securepoint</strong><br />
Security Solutions 136
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Geben Sie im Feld Verbindungsname einen Namen für die VPN Verbindung ein.<br />
Im Feld Gateway tragen Sie die IP-Adresse oder den Hostnamen des entfernten<br />
Netzwerkes ein.<br />
Aktivieren Sie die Checkbox Hostname per DynDNS auflösen, wenn die Gegenstelle<br />
einen DynDNS Dienst benutzt.<br />
Klicken Sie dann auf Weiter.<br />
Abb. 139 Namen der Verbindung und Gateway eintragen<br />
Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen<br />
Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin-<br />
dungspartnern bekannt ist.<br />
Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA<br />
Schlüssel.<br />
Preshared Key Verfahren<br />
Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key<br />
(PSK) ein.<br />
Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten<br />
und markieren den entsprechenden Radiobutton.<br />
Klicken Sie auf Weiter.<br />
Abb. 140 Authentifizierung per PSK und IKEv1<br />
<strong>Securepoint</strong><br />
Security Solutions 137
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Zertifikat Authentifizierung<br />
Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem<br />
Dropdownfeld ein Serverzertifikat aus.<br />
Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten<br />
und markieren den entsprechenden Radiobutton.<br />
Klicken Sie auf Weiter.<br />
Abb. 141 Authentifizierung per Zertifikat und IKEv2<br />
RSA Authentifizierung<br />
Markieren Sie den Radiobutton Local RSA Schlüssel und wählen Sie aus dem<br />
Dropdownfeld einen RSA Schlüssel für die Firewall aus.<br />
Wählen Sie aus dem Dropdownfeld Remote RSA Schlüssel den öffentlichen<br />
Schlüssel der Gegenstelle aus. Diesen müssen Sie vorher importiert haben (siehe<br />
Kapitel 11.3).<br />
Als IKE (Internet Key Exchange) Version ist nur Version 1 nutzbar.<br />
Klicken Sie auf Weiter.<br />
Abb. 142 Authentifizierung per RSA Schlüssel und IKEv1<br />
<strong>Securepoint</strong><br />
Security Solutions 138
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,<br />
daher müssen Sie diese hier auswählen.<br />
Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga-<br />
teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem<br />
Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec Verbindungen edi-<br />
tiert werden (siehe Howto IPSec Gateway to Gateway Zertifikate - Version <strong>10</strong> Kapitel 2.7).<br />
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die<br />
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).<br />
Durch den Button mit dem Werkzeugschlüssel können Sie auch Werte eingeben,<br />
die nicht in der Auswahlliste eingetragen sind.<br />
Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Hostnamen<br />
der Gegenstelle.<br />
Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den<br />
vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf<br />
jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec Verbindungen eintragen.<br />
Editieren Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden<br />
Zertifikatsdaten aus dem Dropdownfeld Remote Gateway ID.<br />
Klicken Sie Weiter.<br />
Abb. 143 Wahl der lokalen und entfernten Gateway ID<br />
<strong>Securepoint</strong><br />
Security Solutions 139
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei-<br />
nander verbinden möchten.<br />
In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein<br />
und wählen unter Lokale Maske die passende Subnetzmaske aus.<br />
In dem Feld Ziel Netzwerk wählen Sie das zu verbindende entfernte Netzwerk und<br />
wählen im Feld Ziel Maske die passende Subnetzmaske aus.<br />
Wenn Sie die Checkbox Firewall Regeln automatisch erstellen aktivieren, werden<br />
Firewallregeln für diese Verbindung automatisch angelegt.<br />
Klicken Sie auf Fertigstellen, um die Erstellung der Site-to-Site Verbindung abzuschließen.<br />
Abb. 144 zu verbindende Subnetze angeben<br />
<strong>Securepoint</strong><br />
Security Solutions 140
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.1.2 Site-to-End (Roadwarrior)<br />
Klicken Sie in der Navigationsleiste auf VPN und im erscheinenden Dropdownmenü<br />
auf den Eintrag IPSec Assistent.<br />
Es öffnet sich der Dialog IPSec Assistent à IPSec Verbindung erstellen.<br />
Wählen Sie den VPN Typ<br />
Roadwarrior à Ein oder mehrere entfernte Computer können sich mit dem<br />
lokalem Netzwerk verbinden.<br />
Klicken Sie auf Weiter.<br />
Abb. 145 Verbindungstyp auswählen<br />
Geben Sie im Feld Verbindungsname einen Namen für die VPN Verbindung ein.<br />
Klicken Sie dann auf Weiter.<br />
Abb. 146 Namen für die Verbindung vergeben<br />
<strong>Securepoint</strong><br />
Security Solutions 141
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit<br />
L2TP (Layer 2 Tunneling Protocol) zu erstellen.<br />
Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs-<br />
system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.<br />
<strong>10</strong>.1.2.1 natives IPSec<br />
Aktivieren Sie den Radiobutton Native IPSec.<br />
Klicken Sie auf Weiter.<br />
Abb. 147 natives IPSec auswählen<br />
<strong>Securepoint</strong><br />
Security Solutions 142
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Entscheiden Sie als nächstes, ob Sie zur Authentifizierung einen Preshared Key, ein Zertifi-<br />
kat oder ein RSA Schlüssel und welche IKE Version Sie benutzen möchten.<br />
Für einen Preshared Key aktivieren Sie den Radiobutton Preshared Key und tragen<br />
den Schlüssel in das dahinter liegende Feld ein.<br />
Für ein Zertifikat aktivieren Sie den Radiobutton x.509 Zertifikat und wählen aus dem<br />
Dropdownfeld ein Serverzertifikat.<br />
Für einen RSA Schlüssel aktivieren Sie den Radiobutton Local RSA Schlüssel und<br />
wählen aus dem Dropdownfeld den lokalen RSA Schlüssel aus.<br />
Im Dropdownfeld Remote RSA Schlüssel wählen Sie den Schlüssel der Gegenstelle<br />
aus. Diesen müssen Sie vorher importieren (siehe Kapitel 11.3).<br />
Entscheiden Sie sich für IKEv1 oder IKEv2 und aktivieren Sie den entsprechenden<br />
Radiobutton.<br />
Wenn Sie eine Authentifizierung über RSA Schlüssel aktiviert haben, ist nur IKEv1<br />
verfügbar.<br />
Klicken Sie auf Weiter.<br />
Abb. 148 Authentifizierung per Zertifikat und IKEv2<br />
<strong>Securepoint</strong><br />
Security Solutions 143
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.1.2.1.1 IKEv1<br />
Wenn Sie IKEv1 gewählt haben, müssen Sie das lokale Netzwerk und eine IP-Adresse für<br />
den Roadwarrior angeben.<br />
Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior<br />
verbindet.<br />
Im Feld Lokale Maske wählen Sie eine entsprechende Subnetzmaske aus.<br />
Vergeben Sie aus dem Subnetz eine IP-Adresse für den Roadwarrior in dem Feld<br />
Roadwarrior IP Adresse.<br />
Aktivieren Sie die Checkbox Firewall Regeln automatisch erstellen, um für diese<br />
Verbindung automatisch Firewallregeln anlegen zu lassen.<br />
Klicken Sie Fertigstellen, um den Wizard zu beenden.<br />
Abb. 149 definieren des lokalen Netzwerks und setzen der Roadwarrior IP<br />
<strong>Securepoint</strong><br />
Security Solutions 144
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.1.2.1.2 IKEv2<br />
Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den<br />
Roadwarrior oder einen VPN Adresspool angeben.<br />
Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior<br />
verbindet.<br />
Im Feld Lokale Maske wählen Sie eine entsprechende Subnetzmaske aus.<br />
Möchten Sie nur einen Roadwarrior den Zugriff gestatten, aktivieren Sie den Radiobutton<br />
Einzelne Roadwarrior IP-Adresse und tragen eine IP-Adresse in das Feld<br />
ein.<br />
Möchten Sie mehreren Roadwarrior den Zugriff gestatten, aktivieren Sie den Radiobutton<br />
Adressen- Pool und tragen eine IP-Adresse für den Adresspool und eine zugehörige<br />
Subnetzmaske ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl<br />
eine IP-Adresse zugewiesen.<br />
Aktivieren Sie die Checkbox Firewall Regeln automatisch erstellen, um für diese<br />
Verbindung automatisch Firewallregeln anlegen zu lassen.<br />
Klicken Sie Fertigstellen, um den Wizard zu beenden.<br />
Abb. 150 Eingaben für IKEv2<br />
<strong>Securepoint</strong><br />
Security Solutions 145
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.1.2.2 L2TP<br />
L2TP ist die Kombination aus PPT Protokoll und L2F Protokoll. Da L2TP über keine Authen-<br />
tifizierungs-, Integritäts- und Verschlüsselungsmechanismen verfügt, wird es in Kombination<br />
mit IPSec angewendet.<br />
Aktivieren Sie den Radiobutton IPSec Verbindung mit L2TP.<br />
Klicken Sie auf Weiter.<br />
Abb. 151 L2TP Verfahren ausgewählt<br />
<strong>Securepoint</strong><br />
Security Solutions 146
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Wählen Sie im nächsten Schritt aus, welches Authentifizierungsverfahren angewendet wer-<br />
den soll.<br />
Aktivieren Sie für einen gemeinsam genutzten Schlüssel den Radiobutton Preshared<br />
Key und tragen diesen in das zugehörige Feld ein.<br />
Für eine Authentifizierung per Zertifikate, aktivieren Sie den Radiobutton x.509 Zertifikat<br />
und wählen aus dem Dropdownfeld ein Serverzertifikat.<br />
Für einen RSA Schlüssel aktivieren Sie den Radiobutton Local RSA Schlüssel und<br />
wählen aus dem Dropdownfeld den lokalen RSA Schlüssel aus.<br />
Im Dropdownfeld Remote RSA Schlüssel wählen Sie den Schlüssel der Gegenstelle<br />
aus. Diesen müssen Sie vorher importieren (siehe Kapitel 11.3).<br />
Klicken Sie auf Weiter.<br />
Abb. 152 Auswahl des Authentifizierungsverfahrens<br />
<strong>Securepoint</strong><br />
Security Solutions 147
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,<br />
daher müssen Sie diese hier auswählen.<br />
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die<br />
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).<br />
Durch den Button mit dem Werkzeugschlüssel können Sie auch Werte eingeben,<br />
die nicht in der Auswahlliste eingetragen sind.<br />
Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich<br />
bei Roadwarrior immer um eine dynamische IP-Adresse handelt.<br />
Klicken Sie Weiter.<br />
<strong>Securepoint</strong><br />
Security Solutions 148
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Danach wird ein Adresspool für die Roadwarrior definiert und die IP-Adressen der DNS Ser-<br />
ver angegeben.<br />
Geben Sie die lokale IP-Adresse im Feld Lokale L2TP IP Adresse an.<br />
Unter L2TP Adressen-Pool geben Sie den Adressbereich für die Roadwarrior an.<br />
Tragen Sie die IP-Adressen des ersten und zweiten DNS Servers in die Felder Primärer<br />
und Sekundärer Nameserver ein.<br />
Klicken Sie auf Weiter.<br />
Abb. 153 Definieren des Adressbereichs und Angabe der DNS Server<br />
Im letzten Schritt haben Sie die Möglichkeit einen L2TP Benutzer anzulegen.<br />
Wenn Sie dies nicht nutzen wollen, lassen Sie die Felder leer und klicken Sie auf Finish, um<br />
die IPSec Verbindung anzulegen.<br />
Tragen Sie unter Login Name den Namen ein, mit dem sich der Benutzer anmeldet.<br />
Den vollständigen Namen des Benutzers geben Sie im Feld Name an.<br />
Vergeben Sie ein Kennwort für den Benutzer im Feld Kennwort und bestätigen Sie<br />
dieses durch wiederholte Eingabe im Feld Kennwort bestätigen.<br />
Klicken Sie auf Fertigstellen, um die IPSec Verbindung und den Benutzer anzulegen.<br />
Abb. 154 L2TP Benutzer anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 149
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.2 IPSec globale Einstellungen<br />
Im Abschnitt IPSec globale Einstellungen können Einstellungen für alle IPSec VPN Ver-<br />
bindungen festgelegt werden.<br />
<strong>10</strong>.2.1 Allgemein<br />
Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese<br />
Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden,<br />
so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut-<br />
zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten.<br />
Abb. 155 globale Einstellungen für IPSec Verbindungen<br />
<strong>Securepoint</strong><br />
Security Solutions 150
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.2.2 IKEv2<br />
Das Internet Key Exchange (IKE) Protokoll wird zum Verwalten und Austauschen von IPSec<br />
Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung<br />
der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der<br />
Generierung der Schlüssel. Die Komplexität dieses Protokolls erschwert die Konfiguration<br />
einer IPSec Verbindung gerade mit verschiedenen Endgeräten.<br />
Die neue Version des IKE Protokolls (IKEv2) entschärft diese Komplexität, ermöglicht einen<br />
schnelleren Verbindungsaufbau und eine stabilere Verbindung. Mittlerweile wird diese Versi-<br />
on von vielen Programmen unterstützt und ist auch in Microsoft Windows 7 implementiert.<br />
In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der<br />
Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt<br />
werden.<br />
Abb. 156 globale IKEv2 Einstellungen<br />
<strong>Securepoint</strong><br />
Security Solutions 151
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.3 IPSec<br />
Im Dialog IPSec sind alle nativen IPSec und L2TP VPN Verbindungen aufgelistet.<br />
Von dieser Liste aus können die Verbindungen bearbeitet, gelöscht, geladen, gestartet und<br />
gestoppt werden. Außerdem können Sie den Status der Verbindungen ablesen.<br />
Für L2TP werden mit der Erstellung durch den IPSec Wizard jeweils zwei Verbindungen an-<br />
gelegt. Eine trägt den von Ihnen vergebenen Namen und die zweite den Zusatz _2 .<br />
Bsp: Außendienst_Meyer<br />
Außendienst_Meyer_2<br />
Die zweite Verbindung ist für Clients, die Microsoft Windows Vista benutzen. Das Betriebs-<br />
system erfordert als weiteren Parameter ein Subnetz.<br />
Die Appliance entscheidet beim Verbindungsaufbau des Clients, welche der Verbindungen<br />
zu nutzen ist.<br />
<strong>10</strong>.3.1 Verbindungen bearbeiten<br />
Eine IPSec Verbindung ist in zwei Phasen aufgeteilt.<br />
In der ersten Phase handeln die beiden Verbindungspartner die Verschlüsselungsvereinba-<br />
rung und Authentifizierung aus. Das Internet Key Exchange (IKE) Protokoll definiert dabei,<br />
wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden.<br />
In der zweiten Phase wird neues Schlüsselmaterial ohne Einbezug von vorherigen Schlüs-<br />
seln erzeugt. So kann von vorherigen Schlüsseln nicht auf die neuen Schlüssel geschlossen<br />
werden.<br />
<strong>10</strong>.3.1.1 Phase 1<br />
In den Einstellungen für die erste Phase sind die grundlegenden Verbindungsdaten gespei-<br />
chert.<br />
Bezeichnung Erklärung<br />
Registerkarte Allgemein<br />
Lokales Gateway Wählen Sie hier das lokale Gateway aus oder benutzen Sie die<br />
Standardroute.<br />
Route over Hier können Sie die Verbindung über ein bestimmtes Interface<br />
routen<br />
<strong>Securepoint</strong><br />
Security Solutions 152
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Lokale Gateway ID ID der Appliance.<br />
Bei ppp0/eth0 wird als Firewall ID die IP-Adresse des Interface<br />
gesendet.Sie können dort auch einen Hostnamen hinterlegen (z.<br />
B. den DynDNS Namen).<br />
Remote Host/Gateway entferntes VPN Gateway oder Host (Name oder IP- Adresse)<br />
DynDNS Name Abfrage, ob die Gegenstelle einen DynDNS Namen benutzt.<br />
Remote Host/Gateway<br />
ID<br />
entferntes VPN Gateway oder Host (Name oder IP- Adresse)<br />
Bei einer Site-to-Side Verbindung mit Authentifizierung über Zerti-<br />
fikat und IKEv2 müssen hier die Zertifikatsparameter des entfern-<br />
ten Gateways ausgewählt werden.<br />
Authentifizierung Gibt an, welches Authentifizierungsverfahren genutzt wird.<br />
Lokaler Schlüssel/<br />
Lokales Zertifikat<br />
Key (PSK/Schlüssel) oder Certificate (Zertifikat).<br />
In Abhängigkeit vom Authentifizierungsverfahren ist hier der loka-<br />
le Schlüssel (PSK) oder der Name des Zertifikats anzugeben.<br />
initiiere Verbindung Nur bei einer Site-to-Site Verbindung aktivieren.<br />
Dead peer detection Durch Verwendung dieser Option wird erkannt, wenn die Verbin-<br />
dung zur Gegenstelle unvorhergesehen abgebrochen wurde. Wird<br />
ein Abbruch bemerkt, wird der Tunnel vollständig beendet, um<br />
einen Wiederaufbau der Verbindung zu gewährleisten.<br />
Registerkarte IKE<br />
Verschlüsselung Verschlüsselungsverfahren<br />
Authentifizierung Hashverfahren<br />
Strict Wenn aktiviert, dann muss die Gegenstelle genau die gleichen<br />
Schlüssel und Hash Einstellungen benutzen (betrifft Phase 1 und<br />
Phase 2).<br />
DH Group Angabe der Schlüssellänge des Diffie Hellmann Schlüssels.<br />
IKE life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8<br />
Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheits-<br />
gründen nötig. Dies wird automatisch initiiert.<br />
Schlüsselversuche Gibt an, wie oft versucht werden soll, eine Verbindung aufzubau-<br />
en (im Abstand von 20 Sekunden).<br />
unlimited à Es wird fortlaufend versucht eine Verbindung aufzu-<br />
bauen.<br />
three times à Es wird dreimal versucht eine Verbindung aufzu-<br />
bauen.<br />
<strong>Securepoint</strong><br />
Security Solutions 153
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.3.1.2 Phase 2<br />
Bezeichnung Erklärung<br />
Registerkarte Allgemein<br />
Verschlüsselung Verschlüsselungsverfahren<br />
Authentifizierung Hashverfahren<br />
PFS Perfect Forward Secrecy<br />
Neue Schlüssel müssen völlig unabhängig von den Vorgänger-<br />
schlüsseln generiert werden, damit von alten Schlüsseln nicht auf<br />
neue geschlossen werden kann.<br />
Key life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8<br />
Lokales Netz/<br />
Lokale Maske<br />
Remote Netz/<br />
Remote Maske<br />
Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheits-<br />
gründen nötig. Dies wird automatisch initiiert.<br />
Registerkarte Native IPSec<br />
Angabe des lokalen Netzes, welches per VPN mit dem entfernten<br />
Netzt verbunden wird.<br />
Angabe des entfernten Netzes, welches per VPN mit dem lokalen<br />
Netzt verbunden wird.<br />
Registerkarte L2TP<br />
L2TP Subnet Lokales Subnetz für L2TP Verbindungen angeben.<br />
Lokales Netz/<br />
Lokale Maske<br />
Adressen-Pool/<br />
AP Maske<br />
Nur bei L2TP Verbindungen mit Windows Vista oder MacOSX,<br />
wenn der Client hinter einem Router steht.<br />
Registerkarte Adressen-Pool<br />
Angabe des lokalen Netzes, welches per VPN mit dem entfernten<br />
Netzt verbunden wird.<br />
Angabe des Adressbereichs und der Adressen-Pool Maske aus<br />
dem der Roadwarrior eine Adresse bezieht.<br />
<strong>Securepoint</strong><br />
Security Solutions 154
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.4 L2TP<br />
In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt<br />
werden.<br />
Klicken Sie im VPN Dropdownmenü auf den Eintrag L2TP.<br />
Es öffnet sich der Dialog VPN L2TP.<br />
Auf der Registerkarte Allgemein finden Sie allgemeine Einstellungen.<br />
Bei Lokale L2TP IP geben Sie eine IP an, die vom L2TP Interface benutzt werden<br />
soll.<br />
Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuelle<br />
Adresse an das externe Interface gebunden.<br />
Unter L2TP Adressen-Pool können Sie den L2TP Adressbereich einstellen.<br />
Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen.<br />
Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs.<br />
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert<br />
haben, überprüfen Sie vor dem Abspeichern den Endwert.<br />
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.<br />
Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu authentifizieren<br />
haben. Möglich ist eine Authentifizierung an der lokalen Datenbank der<br />
Appliance, an einem Radius Server oder beim Active Directory.<br />
Unter An Schnittstelle binden können Sie festlegen, über welches Interface die Pakete<br />
dieser Verbindung geroutet werden sollen.<br />
Abb. 157 IP-Adresse, Adresspool und Authentifizierungsmechanismus festlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 155
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Um dem L2TP Netzwerk mitzuteilen, wo die Nameserver zu finden sind, tragen Sie auf der<br />
zweiten Registerkarte bitte die zugehörigen IP-Adressen ein.<br />
Wechseln Sie auf die Registerkarte DNS/WINS.<br />
Tragen Sie Im Feld Primärer Nameserver die IP-Adresse des lokalen DNS-Servers<br />
ein und im Feld Sekundärer Nameserver die IP-Adresse des zweiten DNS-Servers,<br />
wenn ein solcher verwendet wird.<br />
Wenn Sie über einen WINS (Windows Internet Name Service) Server verfügen, tragen<br />
Sie die entsprechende IP-Adresse im Feld Primärer WINS-Server und ggf. im<br />
Feld Sekundärer WINS-Server ein.<br />
Speichern Sie die Werte mit Speichern.<br />
Abb. 158 IP-Adressen der DNS und WINS Server hinterlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 156
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.5 PPTP<br />
In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt<br />
werden.<br />
Klicken Sie im VPN Dropdownmenü auf den Eintrag PPTP.<br />
Es öffnet sich der Dialog VPN PPTP.<br />
Auf der Registerkarte Allgemein finden Sie allgemeine Einstellungen.<br />
Bei Lokale PPTP IP geben Sie eine IP an, die vom PPTP Interface benutzt werden<br />
soll.<br />
Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuelle<br />
Adresse an das externe Interface gebunden.<br />
Unter PPTP Adressen-Pool können Sie den PPTP Adressbereich einstellen.<br />
Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen.<br />
Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs.<br />
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert<br />
haben, überprüfen Sie vor dem Abspeichern den Endwert.<br />
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.<br />
Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen eine Radius Datenbank<br />
oder gegen die lokale Datenbank authentifiziert werden sollen.<br />
Abb. 159 IP-Adresse, Adresspool und Aktivierung der Radius-Datenbank bzw. lokalen Datenbank<br />
<strong>Securepoint</strong><br />
Security Solutions 157
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
Um dem PPTP Netzwerk mitzuteilen, wo die Nameserver zu finden sind, tragen Sie auf der<br />
zweiten Registerkarte bitte die zugehörigen IP-Adressen ein.<br />
Wechseln Sie auf die Registerkarte DNS/WINS.<br />
Tragen Sie Im Feld Primärer Nameserver die IP-Adresse des lokalen DNS-Servers<br />
ein und im Feld Sekundärer Nameserver die IP-Adresse des zweiten DNS-Servers,<br />
wenn ein solcher verwendet wird.<br />
Wenn Sie über einen WINS (Windows Internet Name Service) Server verfügen, tragen<br />
Sie die entsprechende IP-Adresse im Feld Primärer WINS-Server und ggf. im<br />
Feld Sekundärer WINS-Server ein.<br />
Speichern Sie die Werte mit Speichern.<br />
Abb. 160 IP-Adressen der DNS und WINS Server<br />
<strong>Securepoint</strong><br />
Security Solutions 158
<strong>10</strong> Menü VPN <strong>Securepoint</strong> <strong>10</strong><br />
<strong>10</strong>.6 SSL VPN<br />
In diesem Dialog werden die globalen Einstellungen für SSL VPN Verbindungen gesetzt.<br />
Tragen Sie im Feld SSL VPN IP die gewünschte IP-Adresse des virtuellen Interface<br />
ein.<br />
Da diese VPN Verbindung über ein eigenes virtuelles Interface hergestellt wird, ist<br />
der Adresspool von der IP-Adresse des tun Interface abhängig. Ändern Sie hier die<br />
IP-Adresse wird auch die IP-Adresse des tun Interface geändert.<br />
Tragen Sie außerdem im Feld Netzmaske die passende Subnetzmaske ein.<br />
Wenn Sie Multipath Routing benutzen, binden Sie den Dienst an ein Interface im Feld<br />
An Schnittstelle binden.<br />
Im Feld SSL VPN Port wird der Port angegeben, den das VPN benutzen soll.<br />
Der Standardport 1194 ist schon gesetzt.<br />
SSL VPN benutzt standardmäßig als Protokoll udp. Sie können im Feld SSL VPN<br />
Protokoll auch auf das Protokoll tcp wechseln, dies wird aber nicht empfohlen, weil<br />
dadurch ein großer Overhead produziert wird. (Um die gleiche Menge Daten zu übertragen,<br />
müssen mehr Pakete übermittelt werden).<br />
Im Feld SSL-VPN Zertifikate müssen Sie ein Serverzertifikat auswählen, mit dem<br />
sich die Appliance als SSL VPN Server autorisiert. Dieses Zertifikat muss mit der Option<br />
Server Authentifizierung erstellt worden sein.<br />
Im Feld Authentifizierung wählen Sie aus der Dropdownbox, gegen welche Datenbank<br />
sich die Benutzer authentifizieren sollen (lokal oder Radius).<br />
Auf der Registerkarte DNS tragen Sie den ersten (Primären DNS) und zweiten (Sekundären<br />
DNS) Domain Name Service Server ein.<br />
Abb. 161 allgemeine Einstellungen für das SSL VPN<br />
Abb. 162 Mitteilung der DNS Server IP-Adressen<br />
<strong>Securepoint</strong><br />
Security Solutions 159
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11 Menü Authentifizierung<br />
In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer-<br />
dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen.<br />
Abb. 163 Dropdownmenü des Menüpunktes Authentifizierung<br />
Bezeichnung Erklärung<br />
Benutzer Benutzerverwaltung<br />
Externe<br />
Authentifizierung<br />
Einstellung für externe Authentifizierungsmechanismen.<br />
RSA Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung.<br />
Zertifikate Zertifikatsverwaltung<br />
<strong>Securepoint</strong><br />
Security Solutions 160
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1 Benutzer<br />
Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei-<br />
genschaften von bestehenden Benutzern ändern oder Nutzer löschen.<br />
Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen, real Namen<br />
und die Benutzerrechte in Binärformat.<br />
Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der<br />
Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer.<br />
Abb. 164 Auflistung der angelegten Benutzer<br />
Wenn Sie den Mauszeiger über einen Benutzer in der Liste führen, werden die gesetzten<br />
Benutzerrechte und eventuell zugewiesene VPN IP-Adressen in einer Infobox angezeigt.<br />
Diese Funktion können Sie durch Aktivierung der Checkbox Infobox deaktivieren abschal-<br />
ten.<br />
Abb. 165 Infobox mit den gesetzten Attributen des Benutzers dagobert<br />
<strong>Securepoint</strong><br />
Security Solutions 161
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1.1 Benutzer hinzufügen<br />
Register Allgemein<br />
Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den<br />
Button Hinzufügen.<br />
Es öffnet sich der Dialog Benutzer hizufügen.<br />
Tragen Sie unter Login den Loginnamen des Nutzers ein.<br />
Im Feld Name tragen Sie den realen Namen des Benutzers ein.<br />
Vergeben Sie im Feld Kennwort ein Kennwort und bestätigen Sie dieses durch<br />
nochmalige Eingabe im Feld Kennword bestätigen.<br />
Im Bereich Gruppen vergeben Sie durch Aktivieren der jeweiligen Checkboxes<br />
Gruppenmitgliedschaften für den neuen Benutzer.<br />
Abb. 166 Grundeinstellung für einen neuen Nutzer<br />
Bezeichnung Binär Erklärung<br />
Firewall Admin 000000001 Administrator der Firewall<br />
VPN PPTP 0000000<strong>10</strong> Benutzer einer PPTP VPN Verbindung<br />
VPN L2TP 000000<strong>10</strong>0 Benutzer einer L2TP VPN Verbindung<br />
Spamfilter User 00000<strong>10</strong>00 Administrator des Spamfilters<br />
SPUVA User 0000<strong>10</strong>000 Benutzer authentifiziert sich per <strong>Securepoint</strong> User Verifi-<br />
cation Agent<br />
HTTP Proxy 000<strong>10</strong>0000 Benutzer des HTTP Proxy<br />
User-Interface 00<strong>10</strong>00000 Benutzer des Firewall User Interfaces<br />
SSL VPN 0<strong>10</strong>000000 Benutzer einer SSL VPN Verbindung<br />
SMTP Relay User <strong>10</strong>0000000 Benutzer des SMTP Mail Relays<br />
<strong>Securepoint</strong><br />
Security Solutions 162
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1.2 Benutzer hinzufügen<br />
Register VPN<br />
Wenn der Benutzer sich per L2TP oder PPTP VPN mit der Appliance verbindet, haben Sie<br />
hier die Möglichkeit dem Benutzer eine IP-Adresse für diese Verbindung zuzuweisen. Beach-<br />
ten Sie dabei, dass die Adresse aus dem VPN Adresspool stammen sollte.<br />
Ist der Benutzer SSL VPN Benutzer, muss für den Benutzer eine VPN Adresse angelegt<br />
werden.<br />
Geben Sie eine IP-Adresse für L2TP und PPTP VPN Nutzer an, die diese im Tunnel<br />
nutzen.<br />
Diese Angabe ist optional.<br />
Handelt es sich um einen SSL VPN Nutzer, muss eine Tunnel IP-Adresse angegeben<br />
werden.<br />
Diese müssen im gleichen Netz wie das tun0 Interface liegen (standardmäßig<br />
192.168.250.xxx).<br />
Der letzte Teil der IP-Adresse muss nach folgender Vorschrift gewählt werden:<br />
Ein Vielfaches von 4 minus 2.<br />
Formel: x = ( 4 * y ) – 2<br />
Somit darf der letzte Teil der IP-Adresse folgende Werte annehmen:<br />
{6; <strong>10</strong>; 14; …; 246; 250; 254}<br />
Abb. 167 Angabe einer festen VPN IP-Adresse<br />
<strong>Securepoint</strong><br />
Security Solutions 163
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1.3 Benutzer hinzufügen<br />
Register VPN Client<br />
Diese Registerkarte wird aktiviert, wenn der Benutzer in der Gruppe SSL-VPN-Nutzer ist.<br />
Über diese Einstellungen können Sie dem Nutzer ermöglichen, einen vorkonfigurierten SSL-<br />
VPN-Client mit dem zugehörigen Zertifikat im User-Interface herunterzuladen. Bedingung<br />
hierfür ist, dass der Benutzer auch Mitglied in der Gruppe User-Interface ist.<br />
Wenn der Benutzer dieses Gruppenrecht nicht besitzt, können Sie trotzdem den Client vor-<br />
konfigurieren lassen, herunterladen und an den SSL VPN Nutzer weiterreichen.<br />
Aktivieren Sie die Checkbox VPN Client aktivieren, um die Vorkonfiguration zu aktivieren.<br />
Wählen Sie im Bereich SSL VPN Zertifikat aus dem Dropdownfeld Zertifikat ein<br />
Nutzerzertifikat. Wenn hier noch kein Zertifikat angezeigt wird, müssen Sie zuerst eines<br />
erstellen (siehe Kapitel 11.4.2).<br />
Wählen Sie im Bereich SSL VPN Gateway eine IP-Adresse oder einen Hostnamen<br />
für den Zugang des SSL VPN Dienstes der Appliance.<br />
Wählen Sie entweder aus der oberen Dropdownbox einen dynamischen DNS Eintrag<br />
oder geben Sie eine IP-Adresse bzw. einen Hostnamen in dem Feld Alternative<br />
ein.<br />
Die Option Standardgateway für das Remotenetzwerkverwenden leitet den gesamten<br />
Internetverkehr des VPN Nutzers über die Appliance.<br />
Über den Button Client herunterladen können Sie den vorkonfigurierten VPN Client<br />
als Zip-Archiv herunterladen.<br />
Abb. 168 Angaben für den SSL VPN Client<br />
<strong>Securepoint</strong><br />
Security Solutions 164
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1.4 Benutzer hinzufügen<br />
Register Spamfilter<br />
Ist der Benutzer in der Gruppe Spamfilter User, dann können Sie noch auf der Registerkar-<br />
te Spamfilter, die Zugriffsrechte beschränken. Sie können Beschränkungen für einzelne E-<br />
E-Mail-Adressen oder Domains anlegen. Es können bis zu drei Eintragungen vorgenommen<br />
werden. Wenn keine Beschränkung eingetragen wird, kann der Benutzer auf alle E-Mails<br />
zugreifen.<br />
Geblockte Anhänge werden in den Standardeinstellungen nicht angezeigt. Möchte Sie diese<br />
anzeigen, müssen Sie dies hier aktivieren.<br />
Beschränkungen auf einzelne E-Mail-Adressen werden mit der gesamten E-Mail-Adresse<br />
vorgenommen. z.B. max.mustermann@beispiel.de<br />
Beschränkungen auf eine Domain werden mit führenden „at“ Zeichen angegeben.<br />
z.B. @beispiel.de<br />
Wechseln Sie auf die Registerkarte Spamfilter und beschränken Sie die Ansicht des<br />
Spamfilter-Interface auf einzelne E-Mail-Adressen oder Domains.<br />
Wenn Sie möchten, dass geblockte Anhänge angezeigt werden, aktivieren Sie die<br />
Checkbox Geblockte Dateianhänge im Spamfilter anzeigen.<br />
Diese Einstellungen sind nur für einen Benutzer der Gruppe Spamfilter User relevant.<br />
Abb. 169 Einschränkung der Ansicht des Spamfilter Interfaces<br />
<strong>Securepoint</strong><br />
Security Solutions 165
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.1.5 Benutzer hinzufügen<br />
Register Extras<br />
Auf dieser Registerkarte können Sie Angaben zum Kennwort machen. Ob der Benutzer sel-<br />
ber das Kennwort ändern darf, die minimale Länge des Kennworts, ob Ziffern, Sonderzei-<br />
chen und Groß- und Kleinbuchstaben verwendet werden müssen.<br />
Das Passwort kann der Benutzer nur im User-Interface ändern.<br />
Diese Einstellungen gelten nur für das User-Interface nicht für die Benutzerverwaltung des<br />
Administrator-Interface.<br />
Entscheiden Sie im Feld Benutzer darf Kennwort ändern, ob der Benutzer sein<br />
Kennwort im User-Interface selber ändern darf.<br />
Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge.<br />
Entscheiden Sie welche Zeichen das Kennwort enthalten muss:<br />
Ziffern<br />
Sonderzeichen<br />
Groß- und Kleinbuchstaben<br />
Speichern Sie alle Einstellungen mit Speichern.<br />
Abb. 170 Anlegen der Kennworteigenschaften<br />
<strong>Securepoint</strong><br />
Security Solutions 166
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.2 Externe Authentifizierung<br />
Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch-<br />
führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die<br />
Anmeldung an einen Radius- oder einen LDAP-Server.<br />
Für den HTTP-Proxy kann außerdem eine Authentifizierung über den Kerberos-Dienst ge-<br />
wählt werden.<br />
11.2.1 Radius<br />
Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius Server ein.<br />
Tragen Sie unter IP Adresse oder Hostname die IP-Adresse oder den Hostnamen<br />
des Radiusservers ein.<br />
Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den<br />
Radius Server ein.<br />
Bestätigen Sie dieses durch wiederholte Eingabe im Feld Gemeinsamen Schlüssel<br />
bestätigen.<br />
Speichern Sie Ihre Eingaben mit Speichern.<br />
Abb. 171 Eingaben für die Authentifizierung gegen einen Radius-Server<br />
<strong>Securepoint</strong><br />
Security Solutions 167
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.2.2 LDAP Server<br />
Wechseln Sie auf die Registerkarte LDAP.<br />
Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP Adresse<br />
oder Hostname ein.<br />
Tragen Sie die Server Domäne im Feld Domain ein.<br />
Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein.<br />
Geben Sie unter Benutzer Kennwort Ihr Kennwort ein und bestätigen Sie dieses<br />
durch wiederholte Eingabe im Feld Benutzer Kennwort bestätigen.<br />
Abb. 172 Eingaben für die Authentifizierung gegen einen LDAP-Server<br />
Wenn Sie LDAP Authentifizierung bei HTTP-Proxy oder L2TP verwenden, müssen Sie im<br />
Active Directory (AD) neue Gruppen erzeugen und Benutzer, denen Sie den Zugriff erlauben<br />
wollen, müssen Mitglieder der Gruppe sein.<br />
HTTP-Proxy à Gruppe im AD <strong>Securepoint</strong>Http<br />
L2TP à Gruppe im AD <strong>Securepoint</strong>L2tp<br />
<strong>Securepoint</strong><br />
Security Solutions 168
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.2.3 Kerberos<br />
Der Kerberos Authentifizierungsdienst autorisiert den Zugriff auf den HTTP Proxy. Dabei<br />
authentifiziert er nicht nur den Client gegenüber dem Server sondern auch den Server ge-<br />
genüber dem Client.<br />
Wechseln Sie auf die Registerkarte Kerberos.<br />
Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie<br />
den Zugriff erlauben möchten.<br />
Unter Domain tragen Sie den Domainnamen ein.<br />
Im Feld AD Server geben Sie die IP-Adresse des Rechners an, auf dem der Kerberos-Dienst<br />
läuft.<br />
Die IP-Adresse des verwendeten DNS Servers geben Sie im Feld Primärer Nameserver<br />
an.<br />
Unter Administrator Konto und Kennwort tragen Sie den Administrator des Kerberos-Dienstes<br />
ein und das zugehörige Kennwort.<br />
Wiederholen Sie die Eingabe des Kennwortes im Feld Kennwort bestätigen.<br />
Sichern Sie die Eingaben mit Speichern.<br />
Abb. 173 Eingaben für die Authentifizierung durch den Kerberos-Dienst<br />
<strong>Securepoint</strong><br />
Security Solutions 169
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.3 RSA Schlüssel<br />
Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs-<br />
verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be-<br />
nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten<br />
Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender<br />
herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte<br />
Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer-<br />
den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen<br />
Auslesen des Schlüssels codiert.<br />
Abb. 174 schematische Darstellung einer RSA Verschlüsselung<br />
Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur<br />
zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich.<br />
Die RSA Schlüssel werden von der <strong>Securepoint</strong> Appliance erzeugt. Sie könnten aber auch<br />
das Programm OpenSSL benutzen.<br />
<strong>Securepoint</strong><br />
Security Solutions 170
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.3.1 Auflistung der RSA Schlüssel<br />
Gehen Sie in der Navigationsleiste auf den Punkt Authentifizierung und klicken Sie<br />
im Dropdownmenü auf den Eintrag RSA Schlüssel.<br />
Es öffnet sich der Dialog RSA Schlüssel, der alle gespeicherten RSA Schlüssel auflistet.<br />
Neben dem Namen und dem Hashwert ist auch die Schlüssellänge in Bit angegeben.<br />
Außerdem ist gekennzeichnet, ob der Schlüssel privat ist. Ist in der Spalte Privat ein<br />
P eingetragen, handelt es sich um einen Privaten Schlüssel. Ist kein Zeichen in der<br />
Spalte eingetragen, ist es ein öffentlicher Schlüssel.<br />
Abb. 175 Liste der gespeicherten RSA Schlüssel<br />
11.3.2 RSA Schlüssel generieren<br />
Um eine Authentifizierung per RSA vorzunehmen, müssen Sie ein Schlüsselpaar generieren.<br />
Wählen Sie im Dropdownfeld RSA Schlüssellänge die gewünschte Schlüssellänge<br />
und klicken Sie dann auf den Button RSA generieren.<br />
Geben Sie im Dialog RSA generieren einen Namen für den Schlüssel ein und klicken<br />
Sie auf OK.<br />
Das Schlüsselpaar wird erstellt und im vorherigen Dialog aufgelistet.<br />
Abb. 176 RSA Schlüssel erstellen<br />
<strong>Securepoint</strong><br />
Security Solutions 171
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.3.3 Öffentlichen RSA Schlüssel exportieren<br />
Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel<br />
des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex-<br />
portieren.<br />
Klicken Sie im Dialog RSA Schlüssel auf das Diskettensymbol in der entsprechenden<br />
Zeile.<br />
Es öffnet sich der Dialog RSA exportieren.<br />
Hier werden Ihnen drei Varianten des zugehörigen öffentlichen Schlüssels angezeigt.<br />
Markieren Sie die gewünschte Codierung. Beachten Sie bei der IPSec Hex und bei<br />
der IPSec bBase64 Codierung, dass Sie die gesamte Zeile markieren. Nutzen Sie<br />
zum Kopieren des markierten Texts die Tastenkombination ctrl c bzw. Strg c oder<br />
benutzen Sie den Eintrag kopieren des Kontextmenüs, welches Sie über die rechte<br />
Maustaste erreichen.<br />
Den kopierten Schlüssel speichern Sie jetzt als Textdatei auf Ihrem Computer ab.<br />
Achten Sie darauf, keine weiteren Zeichen, Zeilen oder Leerzeichen einzugeben.<br />
Diese Datei geben Sie an die Gegenstelle weiter.<br />
Schließen Sie den Dialog mit dem Button Schließen.<br />
Abb. 177 verfügbare Codierungen des öffentlichen Schlüssels<br />
<strong>Securepoint</strong><br />
Security Solutions 172
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.3.4 RSA Schlüssel importieren<br />
Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel-<br />
le importieren.<br />
Dazu öffnen Sie die erhaltene Textdatei in einem einfachen Editor (z. B. MS Editor)<br />
und markieren den gesamten Inhalt und kopieren diesen in die Zwischenablage.<br />
Klicken Sie im Dialog RSA Schlüssel auf den Button RSA importieren. Es öffnet<br />
sich der Dialog RSA importieren.<br />
Geben Sie im Textfeld Name einen Namen für den öffentlichen Schlüssel ein.<br />
Fügen Sie den Inhalt der Zwischenablage in das große Textfeld ein.<br />
Klicken Sie dazu in das Feld und benutzen Sie die Tastenkombination ctrl v bzw.<br />
Strg v oder den Eintrag einfügen des Kontextmenüs, welches Sie über die rechte<br />
Maustaste öffnen.<br />
Klicken Sie auf Importieren.<br />
Der importierte Schlüssel wird im Dialog RSA Schlüssel gelistet. In der Spalte Status<br />
darf kein Wert stehen.<br />
Abb. 178 importieren eines öffentlichen RSA Schlüssels<br />
<strong>Securepoint</strong><br />
Security Solutions 173
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4 Zertifikate<br />
Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden-<br />
titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi-<br />
kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu<br />
garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz.<br />
Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um<br />
selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der<br />
Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt<br />
sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und<br />
nicht von dritten ausgestellt worden sind.<br />
Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son-<br />
dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und<br />
jeweils eins für jeden externen Benutzer.<br />
Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti-<br />
fikate im PEM Format oder im PKCS #12 zu exportieren.<br />
Die Registerkarte CA zeigt alle bestehenden Certification Authorities an.<br />
Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet.<br />
Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet.<br />
Abb. 179 Liste der verfügbaren CAs<br />
<strong>Securepoint</strong><br />
Security Solutions 174
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4.1 CA erstellen<br />
Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten<br />
Zertifikate signieren zu können.<br />
Klicken Sie in der Registerkarte CA auf Hinzufügen.<br />
Es öffnet sich der Dialog Zertifikat hinzufügen.<br />
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA.<br />
Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld klicken,<br />
dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Felder<br />
sind für die Uhrzeit.<br />
Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA signiert<br />
wurden ungültig.<br />
Geben Sie im Feld Name eine Bezeichnung für die CA ein.<br />
Wählen Sie Ihre Landeskennung im Feld Land.<br />
Geben Sie Ihr Bundesland im Feld Staat an.<br />
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.<br />
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.<br />
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.<br />
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.<br />
Klicken Sie auf Speichern, um die CA zu erstellen.<br />
Abb. 180 CA anlegen<br />
<strong>Securepoint</strong><br />
Security Solutions 175
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4.2 Zertifikate erstellen<br />
Klicken Sie in der Registerkarte Zertifikate auf Hinzufügen.<br />
Es öffnet sich der Dialog Zertifikat hinzufügen.<br />
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zertifikats.<br />
Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld<br />
klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei<br />
Felder sind für die Uhrzeit.<br />
Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein.<br />
Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie<br />
ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstellung<br />
ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt worden<br />
ist.<br />
Wählen Sie Ihre Landeskennung im Feld Land.<br />
Geben Sie Ihr Bundesland im Feld Staat an.<br />
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.<br />
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.<br />
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.<br />
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.<br />
Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten.<br />
Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter<br />
MacOS benötigt).<br />
Aktivieren Sie die Checkbox Server Authentifizierung, wenn Sie ein Zertifikat für einen<br />
Server erstellen möchten (SSL VPN oder IKEv2 mit Windows7).<br />
Klicken Sie auf Speichern, um das Zertifikat zu erstellen.<br />
Abb. 181 Zertifikaterstellung für einen Client<br />
Abb. 182 Zertifikaterstellung für einen Server<br />
<strong>Securepoint</strong><br />
Security Solutions 176
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4.3 CA und Zertifikate importieren<br />
Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie-<br />
gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie<br />
die Appliance verwalten, vorliegen.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
Klicken Sie auf den Button Importieren und anschließend auf die Durchsuchen<br />
Schaltfläche im öffnenden Dialog.<br />
Wählen Sie die zu importierende Datei von Ihrem Rechner aus.<br />
Klicken Sie dann auf Importieren.<br />
Abb. 183 Importdialog<br />
11.4.4 CA und Zertifikate exportieren<br />
Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im<br />
PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die<br />
Appliance nur PEM Formate wieder importiert.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
In jeder Zeile der Listen finden sie folgende Icons.<br />
<br />
Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Export<br />
im PKCS #12 (*.p12) Format.<br />
Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öffnenden<br />
Dialog.<br />
<strong>Securepoint</strong><br />
Security Solutions 177
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4.5 SSL-VPN Client herunterladen<br />
Auf der Registerkarte Certs können Sie auch den Client für SSL- VPN herunterladen. Icons<br />
hinter jedem Zertifikat ermöglichen das Herunterladen eines ZIP Archives, welches den por-<br />
tablen VPN Client enthält sowie eine angepasste Konfiguration, die CA und das jeweilige<br />
Zertifikat.<br />
Wechseln Sie auf die Registerkarte Zertifikate.<br />
Suchen Sie sich das gewünschte Zertifikat heraus und klicken Sie in der Zeile des<br />
Zertifikats auf folgendes Icon.<br />
Es öffnet sich der Dialog OpenVPN-Client. Hier wird abgefragt, über welches Gateway<br />
sich der externe Nutzer mit der Appliance verbinden soll.<br />
Wählen Sie entweder aus der Dropdownliste ein DynDNS Eintrag oder geben Sie<br />
eine IP-Adresse als alternatives Gateway an.<br />
Die Option Standardgateway für das Remotenetzwerk verwenden führt den gesamten<br />
Internetverkehr des Roadwarriors über die Appliance.<br />
Klicken Sie Speichern, um das Herunterladen des Zip Archives zu starten.<br />
Abb. 184 Angaben für den SSL Client<br />
<strong>Securepoint</strong><br />
Security Solutions 178
11 Menü Authentifizierung <strong>Securepoint</strong> <strong>10</strong><br />
11.4.6 CA und Zertifikate löschen<br />
Direktes Löschen von Zertifikaten ist nicht möglich. Man kann diese nur widerrufen, also als<br />
ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig gespeichert, damit sich nie-<br />
mand mit diesen Zertifikaten authentifizieren kann.<br />
Eine CA dagegen kann gelöscht werden. Wenn Sie eine CA löschen, werden auch alle Zerti-<br />
fikate, die mit dieser CA signiert wurden, gelöscht.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
Klicken Sie am Ende der Zeile auf das Abfalleimersymbol.<br />
Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen.<br />
Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, welche<br />
auf der Registerkarte Widerrufen angezeigt wird.<br />
Abb. 185 Registerkarte Widerrufen des Dialogs Zertifikate<br />
<strong>Securepoint</strong><br />
Security Solutions 179
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12 Menü Extras<br />
Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff<br />
auf die Appliance haben. Hier können Sie die Kommandos protokollieren lassen, direkte<br />
Kommandos ausführen oder Templates der Dienste bearbeiten.<br />
Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten-<br />
bank zu aktualisieren.<br />
Unter dem Punkt Registration können Sie Ihre Lizenz einspielen.<br />
Abb. 186 Dropdownmenü des Menüpunktes Extras<br />
Bezeichnung Erklärung<br />
CLI Command Line Interface<br />
Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befeh-<br />
le an die Firewall und Bearbeitung von Templates.<br />
Firewall Updates Aktualisierung der Firewall Software und der Virusdatenbank.<br />
Registrierung Einspielen der Lizenzdatei.<br />
Cockpit verwalten Auswahl der anzuzeigenden Listenfenster und deren Positionierung<br />
Erweiterte Einstel-<br />
lungen<br />
Alle Daten neu<br />
laden<br />
im Cockpit.<br />
Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für<br />
erfahrene Benutzer.<br />
Konfigurationsdaten der Firewall werden neu eingelesen und das Ad-<br />
ministrator-Interface wird neu geladen.<br />
Cockpit neu laden Lädt die im Cockpit dargestellten Werte neu.<br />
Auch über den Button in der Navigationsleiste ausführbar.<br />
<strong>Securepoint</strong><br />
Security Solutions 180
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.1 CLI<br />
Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den<br />
meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos<br />
zu Grunde.<br />
Hier haben Sie die Möglichkeit, die Befehle und die Ausgaben der Firewall protokollieren zu<br />
lassen. Sie können auch Befehle direkt an die Firewall senden.<br />
12.1.1 CLI Log<br />
Auf dieser Registerkarte können Sie das Protokollieren der CLI aktivieren. Standardmäßig ist<br />
die Protokollierung deaktiviert.<br />
An die Firewall gesendete Befehle werden blau hinterlegt angezeigt.<br />
Antworten von der Firewall sind grün hinterlegt.<br />
Um das Protokollieren zu aktivieren, setzen Sie einen Haken in die Checkbox CLI<br />
Log aktivieren.<br />
Wenn Sie möchten, dass immer die aktuellen Einträge angezeigt werden, dann setzen<br />
Sie einen Haken in die Checkbox Autoscroll aktivieren.<br />
Abb. 187 Protokollierung der Ein- und Ausgabe<br />
<strong>Securepoint</strong><br />
Security Solutions 181
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.1.2 Sende CLI Befehl<br />
In dieser Registerkarte können Sie Befehle direkt an die Firewall schicken. Hierfür sind spe-<br />
zielle CLI Kommandos nötig. Nähere Informationen zu den Befehlen entnehmen Sie bitte der<br />
CLI Reference, welche auf der <strong>Securepoint</strong> Homepage zur Verfügung steht.<br />
Tippen Sie den gewünschten CLI Befehl in das Textfeld CLI.<br />
Bestätigen Sie das Senden des Befehls mit dem Button SendeBefehl.<br />
Die Antwort der Firewall erscheint im Textfenster.<br />
Abb. 188 CLI Befehlseingabe<br />
<strong>Securepoint</strong><br />
Security Solutions 182
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.2 Updates<br />
Aktualisierungen der Firewall Software und der Virusdatenbank können Sie unter diesem<br />
Punkt vornehmen. Dabei verbindet sich die Firewall mit dem <strong>Securepoint</strong> Server und sucht<br />
nach neuen Versionen.<br />
Aktualisierungen sind nur mit einer gültigen Lizenz möglich.<br />
Abb. 189 Dialog für die Aktualisierung der Firewall Software und des Virusscanners<br />
12.2.1 Aktualisieren der Firewall<br />
Die Version der Firewall ist als Build Nummer angegeben. Prüfen Sie erst, ob Updates vor-<br />
liegen, denn ein sofortiges Update überprüft nicht die Versionsnummer, sondern aktualisiert<br />
die Firewall auch bei gleicher Versionsnummer. Dabei werden alle Dienste gestoppt und<br />
nach dem Update wird die Firewall neu gestartet. Deshalb sollten Sie ein Update nur durch-<br />
führen, wenn eine neue Version vorliegt.<br />
Klicken Sie zunächst im Bereich Firewall auf den Button Auf Updates überprüfen.<br />
Die Firewall überprüft, ob eine neue Version der Software auf dem Server vorliegt.<br />
Wenn die Firewall meldet, dass eine neue Version zur Verfügung steht, klicken Sie<br />
auf Aktualisiere.<br />
Abb. 190 Firewall aktualisieren<br />
<strong>Securepoint</strong><br />
Security Solutions 183
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.2.2 Aktualisieren der Virusdatenbank<br />
Der Virenscanner kann sofort aktualisiert werden. Wenn keine neue Virendatenbank vorliegt,<br />
wird der Scanner nicht aktualisiert. Ansonsten wird der Scanner nach dem Update mit der<br />
neuen Datenbank gestartet.<br />
Der Virenscanner überprüft automatisch stündlich, ob ein Update vorliegt.<br />
Klicken Sie auf den Button Aktualisiere.<br />
Abb. 191 Datenbank des Virenscanners aktualisieren<br />
12.3 Registration<br />
In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch<br />
nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der <strong>Securepoint</strong><br />
Homepage gelangen und dort Ihre Appliance registrieren lassen.<br />
Zum Einspielen der Lizenzdatei gehen Sie wie folgt vor:<br />
Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisystem<br />
aus.<br />
Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen.<br />
Abb. 192 Lizenzdatei einspielen<br />
<strong>Securepoint</strong><br />
Security Solutions 184
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.4 Cockpit verwalten<br />
Hier haben Sie die Möglichkeit, das Cockpit Ihren Bedürfnissen anzupassen. Listen, die für<br />
Sie uninteressant sind, können ganz ausgeblendet werden.<br />
Außerdem können Sie die verbleibenden Listen nach Belieben ordnen.<br />
Der Dialog Verwalte Cockpit für Benutzer x ist in drei Abschnitte aufgeteilt.<br />
Links die Spalte Nicht angezeigte Dialoge. Hier werden die Listen positioniert, die<br />
nicht mehr angezeigt werden sollen.<br />
In der Mitte die Spalte Im Cockpit links angezeigt. Hier werden die Listen angezeigt,<br />
die auf der linken Seite des Cockpits angelegt werden sollen.<br />
Auf der rechten Seite Im Cockpit rechts angezeigt. Hier werden die Listen abgelegt,<br />
die auf der rechten Seite des Cockpits angezeigt werden sollen.<br />
Sie können die Listen per Drag and Drop verschieben.<br />
Sie können die Listen dabei nicht nur horizontal sondern auch vertikal ordnen.<br />
Speichern Sie ihre Einstellungen mit Speichern.<br />
Abb. 193 Positionen der Listen im Cockpit den persölichen Bedürfnissen anpassen<br />
<strong>Securepoint</strong><br />
Security Solutions 185
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5 Erweiterte Einstellungen<br />
Dieser Abschnitt öffnet ein neues Browserfenster, in dem Sie Konfigurationseinstellungen für<br />
erfahrene Benutzer vornehmen können.<br />
Es können zum Beispiel Templates aller Dienste und Applikationen bearbeitet werden und<br />
Variable von diesen eingesehen werden.<br />
Hinweis: Nehmen Sie nur Einstellungen in diesem Bereich vor, wenn Sie sicher sind, was<br />
Sie tun.<br />
Eine unsachgemäße Anwendung dieser Optionen kann die einwandfreie Funktion<br />
der Appliance einschränken oder die Konfiguration sogar ganz zerstören.<br />
Aus diesen Gründen wird bei Öffnung des Browser folgende Meldung gezeigt.<br />
Abb. 194 Warnmeldung im Bereich Erweiterte Einstellungen<br />
12.5.1 „Anwenden“ Buttons<br />
Wenn Sie Änderungen in diesem Bereich vorgenommen haben, werden diese erst wirksam,<br />
wenn Sie die Applikation, Schnittstelle oder Regel aktualisiert haben.<br />
Beschriftung Beschreibung<br />
Anwendungen aktualisieren Aktualisiert alle Applikationen und wendet die Änderungen an.<br />
Schnittstellen aktualisieren Aktualisiert alle Interfaces und wendet die Änderungen an.<br />
Aktualisiere Regeln Aktualisiert die Regeln und wendet die Änderungen an.<br />
Konfiguration speichern Speichern die Änderungen in der aktuellen Konfiguration.<br />
Schließen Schließt das Fenster Advanced Settings.<br />
Abb. 195 Buttons im Fenster Advanced Settings<br />
<strong>Securepoint</strong><br />
Security Solutions 186
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.2 IPSec Verbindungen<br />
Sie können die Unterstützung von IKEv1 oder IKEv2 für IPSec Verbindungen deaktivieren.<br />
Wenn Sie beide Server deaktivieren, sind keine IPSec Verbindungen mehr möglich.<br />
Um einen Dienst zu deaktivieren, drücken Sie auf die Schaltfläche Aus.<br />
Um einen Dienst zu aktivieren, drücken Sie auf die Schaltfläche An.<br />
Abb. 196 Status von IKEv1 und IKEv2 wechseln<br />
<strong>Securepoint</strong><br />
Security Solutions 187
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.3 Portfilter<br />
Unter der Registerkarte Portfilter können Einstellungen über die Zulassungen von IPSec<br />
Verbindungen gemacht werden.<br />
Die Option Nur verschlüsselte L2TP Verbindugen zulassen nimmt nur verschlüsselte<br />
L2TP Verbindungen an.<br />
Die Checkbox Related Connections erlauben veranlasst iptables per connection<br />
tracking Pakete von bestehenden Verbindungen immer zuzulassen.<br />
Speichern Sie die Einstellungen mit Speichern.<br />
Damit die Regeln sofort übernommen werden, klicken Sie auf den Button Aktualisiere<br />
Regeln.<br />
Abb. 197 Portfilter Einstellungen vornehmen<br />
<strong>Securepoint</strong><br />
Security Solutions 188
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.4 Dialup<br />
LCP (Link Control Protocol) Echo Requests werden verwendet, um das Bestehen einer Ver-<br />
bindung zu prüfen. Einige Internet Service Provider unterstützen diese Prüfung nicht. Dann<br />
sollten Sie die Prüfung abschalten.<br />
Um die Prüfung abzuschalten, deaktivieren Sie die Checkbox LCP Echo für PPPoE<br />
unterstützen.<br />
Klicken Sie Speichern, um die Einstellung zu speichern.<br />
Damit die Änderung sofort angewendet wird, klicken Sie auf den Button Schnittstellen<br />
aktualisieren.<br />
Abb. 198 LCP Echo aktivieren<br />
<strong>Securepoint</strong><br />
Security Solutions 189
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.5 Vorlagen<br />
In der Registerkarte Vorlagen können Sie auf alle auf der Firewall befindlichen Templates<br />
zugreifen und diese verändern.<br />
Suchen Sie aus dem Dropdownmenü Anwendungen die Anwendung heraus, deren<br />
Template Sie bearbeiten möchten.<br />
Die Firewall sucht nach den zugehörigen Templates und blendet das Dropdownfeld<br />
Vorlagen ein.<br />
Wählen Sie in dem Feld Vorlagen das Template aus, welches Sie bearbeiten möchten.<br />
Das Template wird in dem Feld Vorlagen Inhalt angezeigt.<br />
Verändern Sie das Template nach Ihren Wünschen.<br />
Speichern Sie die Änderungen mit Vorlage speichern ab.<br />
Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestartet<br />
werden. Klicken Sie hierfür auf den Button Anwendungen aktualisieren.<br />
Abb. 199 Vorlage zum Bearbeiten laden<br />
<strong>Securepoint</strong><br />
Security Solutions 190
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.6 Variablen<br />
In der Registerkarte Variablen können Sie die Variablen und deren Werte einsehen. Sie kön-<br />
nen auch neue Variable hinzufügen. Die hinzugefügten Variablen bleiben nur bis zum Neu-<br />
start der Appliance erhalten.<br />
Suchen Sie im Dropdownmenü Anwendungen die Anwendung, deren Variablen Sie<br />
einsehen möchten.<br />
Die Variablen werden im Fenster Variablen angezeigt.<br />
Um den Wert einer Variablen anzeigen zu lassen, klicken Sie auf die Lupe in der Zeile<br />
der jeweiligen Variablen.<br />
Der Wert wird im Fenster Variablenwert angezeigt.<br />
Hier können Sie den Wert löschen, indem Sie auf das Abfalleimersymbol in der Zeile<br />
des Wertes klicken.<br />
Neben dem Dropdownfeld Anwendungen befindet sich ein Eingabefeld.<br />
Hier können Sie einen Namen für eine neue Variable eingeben. Klicken Sie auf Variable<br />
hinzufügen, um die Variable hinzuzufügen.<br />
Die Änderungen werden sofort gespeichert und bestehen bis zum nächsten Neustart<br />
der Appliance.<br />
Um die Änderungen anzuwenden, muss die Application neu gestartet werden. Klicken<br />
Sie dazu auf den Button Anwendungen aktualisieren.<br />
Abb. 200 Variablen und deren Werte anzeigen<br />
<strong>Securepoint</strong><br />
Security Solutions 191
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.5.7 Webserver<br />
Auf dieser Registerkarte können Sie den Port des Webservers für SSL verschlüsselte Ver-<br />
bindungen ändern. Standardmäßig wird der Port 443 benutzt.<br />
Tragen Sie den Port direkt in das Feld ein oder benutzen Sie die Pfeiltasten.<br />
Klicken Sie anschließend Speichern.<br />
Abb. 201 Webserverport ändern<br />
<strong>Securepoint</strong><br />
Security Solutions 192
12 Menü Extras <strong>Securepoint</strong> <strong>10</strong><br />
12.6 Refresh All<br />
Wenn Sie diese Funktion aufrufen, werden alle Daten von der Appliance abgerufen und das<br />
Cockpit mit den aktualisierten Daten neu geladen.<br />
Diese Funktion dient dazu, Einstellungen, die nicht mit dem Administrator-Interface sondern<br />
mit CLI- Befehlen vorgenommen wurden, im Cockpit anzuzeigen.<br />
12.7 Refresh Cockpit<br />
Diese Funktion lädt alle Daten des Cockpits neu und stellt diese im Cockpit dar.<br />
Die gleiche Funktion hat der Button in der Navigationsleiste.<br />
<strong>Securepoint</strong><br />
Security Solutions 193
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
13 Menü Live Log<br />
Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion<br />
können Sie nach ganz bestimmten Meldungen suchen. Zur besseren Übersicht sind die Ein-<br />
träge in Abhängigkeit der betroffenen Dienste unterschiedlich farblich unterlegt.<br />
Spaltenbezeichnung Erklärung<br />
Day / Tag Zeigt den Tag des Auftretens an. Beim Live Logging meist das ak-<br />
tuelle Datum.<br />
Zusätzlich das Protokoll oder die Aktion.<br />
Time / Zeit Gibt die Uhrzeit in Stunden, Minuten und Sekunden an. (hh:mm:ss)<br />
Service / Dienst Gibt an, welcher Dienst betroffen ist.<br />
Content / Inhalt Ausführliche Fehlermeldung.<br />
Abb. 202 Einträge im Live Log<br />
<strong>Securepoint</strong><br />
Security Solutions 194
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
13.1 Live Log starten<br />
Wenn Sie das Live Log Fenster betreten, ist das Logging noch ausgeschaltet.<br />
Klicken Sie in der Navigationsleiste auf das Icon Live Log.<br />
Es öffnet sich ein neues Browserfenster.<br />
Klicken Sie auf die Schaltfläche Log starten über dem Listenfenster.<br />
Das Live Logging startet.<br />
Der Text des Buttons wechselt zu Log stoppen.<br />
Klicken Sie erneut auf den Button, um das Live Logging zu stoppen.<br />
13.2 Suchfunktion<br />
Wenn Sie das Live Logging gestartet haben, werden alle Ereignisse, die protokolliert werden,<br />
angezeigt. Wenn Sie etwas Bestimmtes suchen, ist die Filterfunktion hilfreich.<br />
Die Filterfunktion ist im Bereich Filter über der Log Tabelle zu finden. Bei laufendem Logging<br />
ist die Funktion nicht verfügbar.<br />
Abb. 203 Filtereinstellungen für das Logging<br />
Stoppen Sie ggf. ein laufendes Logging.<br />
Klicken Sie im Bereich Suchmuster auf das Dropdownmenü und wählen Sie einen<br />
Eintrag aus.<br />
Zeit: Filtert die Ereignisse nach einer Uhrzeit.<br />
Dienst: Filtert nach einem Dienst.<br />
Inhalt: Filtert die Ereignisse nach einer Meldung.<br />
Geben Sie im rechten Feld ein Suchmuster ein.<br />
Die Form des Suchmusters ist abhängig von dem zuvor gewählten Bereich.<br />
Zeitangaben können in Stunden, Minuten und Sekunden angegeben werden. Als<br />
Separatoren werden Doppelpunkte verwendet.<br />
Bsp.: 13:16:09 ; 8:36:00<br />
Sie können nach der Stundenangabe filtern, wenn Sie die Sekunden und Minuten<br />
nicht angeben. Beenden Sie dabei die Eingabe mit einem Doppelpunkt.<br />
Bsp.: 16: ; 9:<br />
Bei der Suche nach Minuten übergehen Sie die Stunden und Sekunden und beginnen<br />
und beenden Sie die Eingabe mit einem Doppelpunkt.<br />
Bsp.: :27: ; :09:<br />
<strong>Securepoint</strong><br />
Security Solutions 195
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
Dienst: Bei der Filterung nach dem Dienst, muss Ihnen der Dienst nicht genau bekannt<br />
sein. Sie können auch Wortteile angeben.<br />
Bsp.: Webserver ; server<br />
Inhalt: Der Inhalt der Protokollmeldung ist sehr unterschiedlich. Liegen keine klaren<br />
Fehlermeldungen vor, ist auf jeden Fall die entsprechende IP-Adresse verzeichnet.<br />
Starten Sie das Logging mit Log starten. Es werden jetzt nur noch Meldungen gelistet,<br />
auf die das Suchmuster zutrifft.<br />
Wahlweise kann der Filter auch umgekehrt werden. Das heißt es werden alle Einträge<br />
angezeigt, auf die das Suchmuster nicht zutrifft. Aktivieren Sie dafür die Checkbox<br />
Filter invertieren auf der Registerkarte Einstellungen.<br />
Standardmäßig ist die Option Automatisch zu den neuen Log Einträgen scrollen<br />
aktiviert. Neue Ereignisse werden unten an die Liste angefügt, somit scrollt diese<br />
Funktion immer ans Ende der Liste.<br />
13.3 Registerkarte Einstellungen<br />
Hier können Sie den Filter invertieren. Das heißt es werden alle Meldungen angezeigt, auf<br />
die das im Bereich Filter eingetragene Suchmuster nicht zutrifft.<br />
Außerdem können Sie die Anzahl der Live Log Einträge einstellen. Wenn die Einträge die<br />
maximale Anzahl übersteigt, werden die ältesten Einträge gelöscht.<br />
Die Einstellungen auf dieser Seite können Sie nur bei inaktiven Logging vornehmen.<br />
Abb. 204 Registerkarte Einstellungen<br />
<strong>Securepoint</strong><br />
Security Solutions 196
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
13.4 Details der Log Meldungen<br />
Wenn Sie das automatische Scrollen abgeschaltet haben, können Sie mit den Pfeiltasten<br />
durch die Einträge navigieren. Wenn Sie auf einen markierten Eintrag die Eingabe Taste<br />
drücken, erscheint ein Fenster mit detaillierten Angaben zu dem Log-Eintrag. Diese De-<br />
tailansicht erscheint auch, wenn Sie einen Doppelklick auf einen Eintrag ausführen.<br />
Abb. 205 Details eines Log Eintrages<br />
<strong>Securepoint</strong><br />
Security Solutions 197
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
13.5 Rohdaten<br />
Die Einträge im Live Log sind aufgearbeitete Syslog-Meldungen. Sie können sich auch die<br />
Syslog-Meldungen direkt anzeigen lassen, indem Sie im Live Log Fenster auf den Button<br />
Rohdaten anzeigen klicken.<br />
Es werden Ihnen die Rohdaten der aktuellen Live Log Einträge gezeigt. Das Logging läuft im<br />
Hintergrund weiter.<br />
Sie können die aktuellen Live Log Einträge auch herunterladen. Drücken Sie dafür im Live<br />
Log Fenster auf den Button Rohdaten herunterladen. Die Daten werden im txt Format ge-<br />
speichert.<br />
Abb. 206 Meldungen des Live Logs als Rohdaten anzeigen lassen<br />
<strong>Securepoint</strong><br />
Security Solutions 198
13 Menü Live Log <strong>Securepoint</strong> <strong>10</strong><br />
13.6 Farbige Kennzeichnung der Dienste im Live Log<br />
Bereich/Tag Beschreibung<br />
Kommunikation zwischen <strong>Securepoint</strong> Client und -Server<br />
Kommunikation zwischen DHCP-Client und -Server<br />
Kommunikation DNS; Domain Name Service; Client Nameserver<br />
Kommunikation DynDNS-Client DynDNS-Anbieter<br />
Kommunikation HTTPS-Client Server oder über HTTPS -Proxy<br />
Kommunikation HTTP-Client Server oder über HTTP -Proxy<br />
Meldungen des Intrusion Detection Systems<br />
Meldungen des IPSec-Dienstes<br />
Meldungen des L2TP-Dienstes<br />
Kommunikation NTP; Network Time Protocol; ntp-Client Server<br />
Kommunikation POP3; Post Office Protocol 3-Client Server oder pop3 über pop3-proxy<br />
Meldungen des PPPD-Dienstes<br />
Meldungen des PPTP-Dienstes<br />
Kommunikation SMTP Mailversand<br />
Kommunikation SSH; Secure Shell Protocol<br />
Meldungen des Virenscanners<br />
Kommunikation VNC Client -Server oder über VNC-Proxy<br />
Kommunikation VoIP Client -Server oder über VoIP-Proxy<br />
Interface-Meldungen<br />
Alarm/Warnungen der Firewall und des IDS-Systems<br />
Drop; verworfene Daten-Pakete<br />
Accept; akzeptierte Daten-Pakete<br />
Reject; abgewiesene Daten-Pakete mit der Benachrichtigung Destination Unreachable<br />
Abb. 207 Übersicht der Dienste und der farbigen Unterlegung im Live Log<br />
<strong>Securepoint</strong><br />
Security Solutions 199
Teil 2<br />
Das User-Interface<br />
<strong>Securepoint</strong> <strong>10</strong><br />
<strong>Securepoint</strong><br />
Security Solutions 200
14 User-Interface<br />
14 User-Interface<br />
Im Gegensatz zum Administrator-Interface, welches den Administratoren der Firewall vorbe-<br />
halten ist, kann das User-Interface von allen eingetragenen Benutzern benutzt werden, die<br />
zu der Gruppe User-Interface in Kombination mit Spamfilter Admin, SSL-VPN, SPUVA-<br />
User oder dem Recht ihr Kennwort zu ändern gehören.<br />
Die Benutzer erreichen das User-Interface in ihrem Webbrowser über die IP-Adresse des<br />
internen Interfaces (eth1) unter der Benutzung des HTTPS Protokolls.<br />
Bsp.: https://192.168.175.1<br />
Wenn sich die Benutzer außerhalb des internen Netzes einloggen möchten z. B. vom Inter-<br />
net oder der DMZ, ist eine Regel für HTTPS Zugriff auf das interne Interface anzulegen.<br />
<strong>Securepoint</strong><br />
Security Solutions 201
14 Bereiche des User-Interfaces <strong>Securepoint</strong> <strong>10</strong><br />
14.1 Bereiche des User-Interfaces<br />
Das User-Interface unterteilt sich in fünf Bereiche. In Abhängigkeit der Gruppenzugehörigkeit<br />
der Benutzer, haben diese nur Zugriff auf einzelne Bereiche.<br />
Abb. 208 Login Screen des User-Interface<br />
Bereich Beschreibung sichtbar für Gruppenmitglieder<br />
Passwort ändern Dialog zum Ändern des Kennworts.<br />
Vorgaben zur Länge und zu den<br />
verwendenden Zeichen gemäß der<br />
Benutzereinstellungen.<br />
Spamfilter Zeigt alle empfangenen E-Mails und<br />
SSL-VPN Client<br />
runterladen<br />
deren Einteilung in Ham (erwünschte<br />
E-Mails) und Spam (unerwünschte<br />
E-Mails). Möglichkeit manueller<br />
Nachsortierung bei falscher automa-<br />
tischer Klassifizierung.<br />
ZIP Archiv, welches den portablen<br />
OpenVPN Client, Konfigurationsda-<br />
tei und Zertifikate beinhaltet.<br />
User-Interface mit Recht zur Kenn-<br />
wortänderung (Benutzerverwaltung<br />
Registerkarte Extras).<br />
User-Interface mit Spamfilter User.<br />
User-Interface mit SSL-VPN.<br />
SPUVA Anmeldung Zentrale Benutzer Authentifizierung User-Interface mit Spuva User.<br />
<strong>Downloads</strong> Zeigt alle Dateien (Anwendungen<br />
und Dokumente) an, die zum Down-<br />
load zur Verfügung stehen<br />
User-Interface.<br />
<strong>Securepoint</strong><br />
Security Solutions 202
14 Kennwort ändern <strong>Securepoint</strong> <strong>10</strong><br />
14.2 Kennwort ändern<br />
Dieser Bereich ist nur für Benutzer sichtbar, für die in der Benutzerverwaltung festgelegt ist,<br />
dass sie ihr Kennwort ändern dürfen und Mitglieder der Gruppe User-Interface sind.<br />
Melden Sie sich im User-Interface an.<br />
Klicken Sie auf die Schaltfläche Passwort ändern.<br />
Es erscheint der Dialog Kennwort ändern.<br />
Geben Sie bei Altes Kennwort Ihr aktuelles Kennwort ein.<br />
Bei Neues Kennwort geben Sie Ihr neues gewünschtes Kennwort ein.<br />
Bestätigen Sie das neue Kennwort unter Kennwort bestätigen.<br />
In dem Bereich Kennwort bestätigen sehen Sie, welche Bedingungen das neue<br />
Password erfüllen muss.<br />
Klicken Sie auf Kennwort ändern.<br />
Abb. 209 Kennwort ändern<br />
<strong>Securepoint</strong><br />
Security Solutions 203
14 VPN-Client herunterladen <strong>Securepoint</strong> <strong>10</strong><br />
14.3 VPN-Client herunterladen<br />
Ist der Benutzer Mitglied der Gruppen User-Interface und SSL-VPN und hat der Administra-<br />
tor in der Benutzerverwaltung Einstellungen für den VPN Client für diesen Benutzer vorge-<br />
nommen, kann der Benutzer den SSL-VPN Client herunterladen.<br />
Ein Klick auf die Schaltfläche SSL-VPN Client herunterladen startet den Download.<br />
Wählen Sie bei der Abfrage des Browsers, dass Sie die Datei speichern möchten.<br />
Bei der heruntergeladenen Datei handelt es sich um ein Zip-Archiv, welches den portablen<br />
OpenVPN Client, eine angepasste Konfiguration und die benötigten Zertifikate<br />
enthält.<br />
Abb. 2<strong>10</strong> Speichern Dialog des Mozilla Firefox'<br />
Entpacken Sie das Zip Archiv und speichern Sie den Ordner auf ihrem Rechner oder<br />
auf einen USB Stick.<br />
Öffnen Sie den Ordner. Führen Sie einen Doppelklick auf die Datei OpenVPNPortable.exe<br />
aus. Der OpenVPNClient startet.<br />
Über ein Icon neben der Uhr in der Taskleiste (Windows XP) können Sie die Verbindung<br />
starten.<br />
Abb. 211 Kontextmenü des VPN Client Icons in der Taskleiste<br />
<strong>Securepoint</strong><br />
Security Solutions 204
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4 Spamfilter<br />
Benutzer der Gruppe Spamfilter User können sich im User-Interface den Spamfilter anzei-<br />
gen lassen. Dort werden alle E-Mails aufgelistet und nach Ihrer Klassifizierung als Ham und<br />
Spam angezeigt.<br />
Hier kann überprüft werden, ob E-Mails fälschlicherweise als Spam deklariert worden sind.<br />
Diese können dann als Ham gekennzeichnet werden. Wichtig ist auch, nicht erkannte Spam<br />
E-Mails aus dem Ham Bereich in den Spam Ordner zu schieben, um die Lernfunktion des<br />
Spam Filters zu trainieren.<br />
14.4.1 Übersicht der Spamfilteranzeige<br />
Die E-Mails werden immer zeitlich geordnet (die neuste zuerst) angezeigt. Man kann aber<br />
mit mehreren Funktionen die Anzeige verändern.<br />
Abb. 212 Bereiche des Spamfilters<br />
<strong>Securepoint</strong><br />
Security Solutions 205
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
Bereich Beschreibung<br />
1 Registerkarten Die Anzeige ist in verschiedene Bereiche gegliedert:<br />
Ham für erkannte erwünschte E-Mails.<br />
Spam für erkannte unerwünschte E-Mails.<br />
Gelöscht für gelöschte E-Mails (durch den Spamfilter User).<br />
Statistik zeigt eine Statistik der Ham- und Spam-E-Mails in Abhän-<br />
gigkeit des Herkunftslandes an.<br />
Durch Klicken auf die Registerkarten gelangen Sie in die verschie-<br />
denen Ansichten.<br />
2 Filter Im Filterbereich, kann die Liste nach Absender, Empfänger, Be-<br />
treff, SMTP, POP3, mit Virus, geblockt gefiltert werden.<br />
Für einige Kriterien wird ein Muster benötigt, dafür steht ein Eingabe-<br />
feld zur Verfügung.<br />
Die Filterung wird nach dem Betätigen des Filter Buttons ausgeführt.<br />
Mit dem Button Zurücksetzen kann die Auswahl zurückgesetzt wer-<br />
den.<br />
3 Seitennavigation Es werden immer <strong>10</strong> Einträge pro Seite angezeigt.<br />
Mit den Schaltflächen zurück und weiter blättern Sie eine Seite zu-<br />
rück bzw. vor.<br />
Mit den Schaltflächen Erste Seite und Letzte Seite springen Sie zur<br />
ersten bzw. letzten Seite.<br />
Beachten Sie, dass bei normaler Fenstergröße nicht alle 20 Zeilen<br />
dargestellt werden können und die Liste mit einem vertikalen Scroll-<br />
balken versehen ist.<br />
4 Aktionen Man kann für markierte E-Mails (Checkbox in der ersten Spalte) eine<br />
Aktion auswählen (markieren als Ham/Spam, löschen, erneut<br />
versenden).<br />
Die Aktion wird erst ausgeführt, wenn der Button Ausführen ge-<br />
drückt wird.<br />
5 Aktualisieren Mit dem Button Aktualisieren wird die Seite neu geladen.<br />
<strong>Securepoint</strong><br />
Security Solutions 206
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.2 Spalten der Tabelle<br />
Bezeichnung Beschreibung<br />
ohne (erste Spalte) Durch Klicken in die Checkbox werden E-Mails markiert.<br />
Schon markierte E-Mails werden durch nochmaliges Anklicken ab-<br />
gewählt.<br />
Datum Datum und Zeit der E-Mail.<br />
Status<br />
SMTP oder POP3<br />
Von Absender der E-Mail.<br />
Anzeige, ob die E-Mail einen Virus enthält.<br />
An Empfänger der E-Mail.<br />
Betreff Betreff der E-Mail.<br />
Abb. 213 Spalten am Beispiel der Registerkarte Ham<br />
<strong>Securepoint</strong><br />
Security Solutions 207
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.3 Details einer E-Mail anzeigen<br />
Als Spamfilter Administrator haben Sie die Möglichkeit sich neben den Angaben der Tabelle<br />
auch den Inhalt und die Anhänge der E-Mail anzeigen zu lassen. Der Inhalt ist allerdings nur<br />
sichtbar, wenn diese Option in den Einstellungen für den Spamfilter aktiviert ist.<br />
Hinweis: Ohne Kenntnis des Nutzers darf in der Bundesrepublik Deutschland der Inhalt<br />
einer E-Mail nicht angezeigt werden. Beachten Sie die Datenschutzbestimmun-<br />
gen Ihres Landes.<br />
Aktivieren Sie die Detailansicht mit einem Doppelklick in die Spalte der gewünschten<br />
E-Mail.<br />
Anhänge der E-Mail werden in der untersten Zeile aufgelistet.<br />
Klicken Sie auf einen Attachment-Link, um den Anhang herunterzuladen.<br />
Abb. 214 Inhalt einer E-Mail anzeigen<br />
<strong>Securepoint</strong><br />
Security Solutions 208
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.4 Aktionen auf der Registerkarte Ham<br />
Auf E-Mails können folgende Aktionen angewendet werden:<br />
Markierte E-Mails als Spam markieren Kennzeichnet die markierten E-Mails als<br />
Spam und verschiebt sie in die<br />
Registerkarte Spam.<br />
Markierte E-Mails löschen Verschiebt die markierten E-Mails in die<br />
Registerkarte Gelöscht.<br />
Markierte E-Mails erneut versenden Versendet die markierten E-Mails erneut.<br />
Alle E-Mails als Spam markieren Markiert alle E-Mails der Registerkarte<br />
als Spam und verschiebt sie in die<br />
Registerkarte Spam.<br />
Alle E-Mails löschen Verschiebt alle E-Mails der Registerkarte<br />
in die Registerkarte Trash.<br />
Alle E-Mails erneut versenden Versendet alle E-Mails der Registerkarte<br />
Abb. 215 Aktionen auf der Registerkarte Ham<br />
erneut.<br />
<strong>Securepoint</strong><br />
Security Solutions 209
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.5 Aktionen auf der Registerkarte Spam<br />
Auf E-Mails können folgende Aktionen angewendet werden:<br />
Markierte E-Mails als Ham markieren Kennzeichnet die markierten E-Mails<br />
als Ham und verschiebt sie in die<br />
Registerkarte Ham.<br />
Markierte E-Mails löschen Verschiebt die markierten E-Mails in die<br />
Registerkarte Gelöscht.<br />
Markierte E-Mails erneut versenden Versendet die markierten E-Mails erneut.<br />
Alle E-Mails als Ham markieren Kenzeichnet alle E-Mails der Registerkarte<br />
als Ham und verschiebt sie in die<br />
Registerkarte Ham.<br />
Alle E-Mails löschen Verschiebt alle E-Mails der Registerkarte<br />
in die Registerkarte Trash.<br />
Alle E-Mails erneut versenden Versendet alle E-Mails der Registerkarte<br />
Abb. 216 Aktionen auf der Registerkarte Spam<br />
erneut.<br />
<strong>Securepoint</strong><br />
Security Solutions 2<strong>10</strong>
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.6 Aktionen auf der Registerkarte Gelöscht<br />
Auf E-Mails können folgende Aktionen angewendet werden:<br />
Markierte E-Mails als Ham markieren Kennzeichnet die markierten E-Mails als Ham<br />
und verschiebt sie in die Registerkarte Ham.<br />
Markierte E-Mails als Spam markieren Kennzeichnet die markierten E-Mails<br />
als Spam und verschiebt sie in die<br />
Registerkarte Spam.<br />
Markierte E-Mails dauerhaft löschen Löscht die markierten E-Mails unwiderruflich.<br />
Markierte E-Mails erneut versenden Versendet die markierten E-Mails erneut.<br />
Alle E-Mails als Ham markieren Kennzeichnet alle E-Mails der Registerkarte<br />
als Ham und verschiebt sie in die<br />
Registerkarte Ham.<br />
Alle E-Mails als Spam markieren Kennzeichnet alle E-Mails der Registerkarte<br />
als Spam und verschiebt sie in die<br />
Registerkarte Spam.<br />
Alle E-Mails dauerhaft löschen Löscht alle E-Mails der Registerkarte<br />
unwiderruflich.<br />
Alle E-Mails erneut versenden Versendet alle E-Mails der Registerkarte<br />
Abb. 217 Aktionen auf der Registerkarte Gelöscht<br />
erneut.<br />
<strong>Securepoint</strong><br />
Security Solutions 211
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.7 Registerkarte Statistik<br />
Auf dieser Registerkarte wird Ihnen grafisch der Anteil der Ham-, Spam und gelöschten E-<br />
Mails sowie der mit einem Virus infizierten E-Mails angezeigt.<br />
14.4.7.1 Filter<br />
Sie können sich die Statistik für verschiedene Zeitintervalle anzeigen lassen.<br />
Benutzen Sie dafür die Filterfunktion oberhalb des Diagramms.<br />
Wählen Sie aus dem Dropdownfeld das gewünschte Intervall.<br />
Mögliche Intervalle:<br />
o Heute<br />
o Gestern<br />
o Letzte Woche<br />
o Letzten Monat<br />
Klicken Sie dann auf Aktualisieren, um das Diagramm neu zu laden.<br />
Abb. 218 Filterfunktion<br />
<strong>Securepoint</strong><br />
Security Solutions 212
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.7.2 Registerkarte Allgemein<br />
Die Registerkarte Allgemein zeigt ein Diagramm, welches die Gesamtanzahl der E-Mails der<br />
einzelnen Bereiche Ham, Spam und gelöschte E-Mails anzeigt.<br />
Die blauen horizontalen Linien tragen den Höchstwert der einzelnen Bereiche auf der y-<br />
Achse ab.<br />
Die Legende auf der rechten Seite zeigt zum einen die Anzahl aller E-Mails an, sowie die<br />
Anzahl in den drei Bereichen. Für die einzelnen Bereiche ist ebenfalls die prozentuale Vertei-<br />
lung verzeichnet.<br />
Außerdem zeigt die Legende, mit welcher Säulenfarbe der Bereich im Diagramm dargestellt<br />
ist.<br />
Abb. 219 Registerkarte Statistik - Unterregister Allgemein<br />
<strong>Securepoint</strong><br />
Security Solutions 213
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.7.3 Registerkarte Viren<br />
Auf dieser Registerkarte wird Ihnen grafisch angezeigt, wie die mit einem Virus infizierten E-<br />
Mails auf die Bereich Ham, Spam und gelöschte E-Mails verteilt sind.<br />
Die blauen horizontalen Linien tragen den Höchstwert der einzelnen Bereiche auf der y-<br />
Achse ab.<br />
Die Legende zeigt nicht nur die farbliche Zuordnung, die Gesamtanzahl der E-Mails und die<br />
Anzahl der E-Mails in den einzelnen Bereichen an, sondern listet auch den prozentualen<br />
Anteil der Virus-E-Mails an der Gesamtanzahl aller E-Mails auf.<br />
<strong>Securepoint</strong><br />
Security Solutions 214
14 Spamfilter <strong>Securepoint</strong> <strong>10</strong><br />
14.4.7.4 Registerkarte Top Level Domain<br />
Auf der Registerkarte Top Level Domain wird Ihnen grafisch angezeigt, aus welchen Ländern<br />
die E-Mails empfangen wurden.<br />
Die Statistik ist zusätzlich aufgeschlüsselt in Ham, Spam und gelöschte E-Mails.<br />
Abb. 220 Statistik aufgeschlüsselt nach Landeskennung<br />
<strong>Securepoint</strong><br />
Security Solutions 215
14 SPUVA Anmeldung <strong>Securepoint</strong> <strong>10</strong><br />
14.5 SPUVA Anmeldung<br />
Der <strong>Securepoint</strong> User Verification Agent hat die Aufgabe, Anwendern individuelle Rechte für<br />
Ihre Arbeitsplätze im DHCP Umfeld zu geben. Der Anwender authentisiert sich über den<br />
SPUVA und erhält an jedem beliebigen Arbeitsplatz seine individuelle Security Policy. Wech-<br />
selt ein Anwender seinen Arbeitsplatz, erhält er am anderen Platz ebenfalls automatisch sei-<br />
ne für ihn gültige Security Policy.<br />
Klicken Sie Im User-Interface auf die Schaltfläche SPUVA Anmeldung.<br />
Ein neues Browserfenster wird geöffnet, in dem ein Java Applet gestartet wird.<br />
Bestätigen Sie die Sicherheitsabfrage zur Ausführung des Applets.<br />
Das Applet kann nur ausgeführt werden, wenn das Java Runtime Environment installiert<br />
ist. Ist dies nicht der Fall rufen Sie die Internetseite http://www.java.com auf.<br />
Tragen Sie im Feld User Ihren Benutzernamen und im Feld Password Ihr Kennwort<br />
ein.<br />
Klicken Sie auf den Button Connect, um sich am System anzumelden.<br />
Ist die Anmeldung korrekt, wechselt die Schaltflächenbezeichnung von Connect zu<br />
Disconnect. Klicken Sie hierauf, um sich abzumelden. Sie melden sich auch ab,<br />
wenn Sie das Applet Fenster schließen.<br />
Sollten Sie sich bei der Eingabe vertippt haben erscheint der Text: Wrong username/Password.<br />
Abb. 221 SPUVA Anmeldung per Java Applet<br />
<strong>Securepoint</strong><br />
Security Solutions 216
14 Download Bereich <strong>Securepoint</strong> <strong>10</strong><br />
14.6 Download Bereich<br />
Wenn der Benutzer Mitglied in der Gruppe User Interface ist, dann kann er im User-<br />
Interface den Bereich Download betreten.<br />
Hier werden Anwendungen und Dokumente, die auf der Appliance gespeichert sind, zum<br />
Herunterladen angeboten.<br />
Die Tabelle <strong>Downloads</strong> zeigt in der ersten Spalte den Namen der Datei, der gleichzeitig der<br />
Downloadlink ist. In der zweiten Spalte wird die Version angezeigt und in der dritten Spalte<br />
eine Kurzbeschreibung der Datei.<br />
Melden Sie sich im User-Interface an.<br />
Klicken Sie auf den Button <strong>Downloads</strong>.<br />
Wählen Sie eine Datei aus der Liste aus und starten Sie den Download durch klicken<br />
auf den Dateinamen.<br />
Beantworten Sie die Browserabfrage zum Öffnen oder Speichern der Datei mit Speichern<br />
(oder ähnlich).<br />
Die Datei wird auf Ihrem System gespeichert.<br />
Abb. 222 verfügbare Dateien<br />
<strong>Securepoint</strong><br />
Security Solutions 217
15 Download Bereich <strong>Securepoint</strong> <strong>10</strong><br />
15 Zonenkonzept der <strong>Securepoint</strong> Firewall<br />
Jeder Schnittstelle der Appliance sind Zonen zugeordnet. Der internen Schnittstelle ist zum<br />
Beispiel die Zone internal und der externen Schnittstelle die Zone external zugehörig. Für<br />
das Regelwerk der Firewall muss nun der Administrator Netzwerkobjekte (IP-Adresse oder<br />
Netze) erstellen und jedem Netzwerkobjekt eine Zone zuordnen. Damit ist festgelegt, hinter<br />
welcher Schnittstelle welches Netzwerkobjekt liegt.<br />
Ein übliches Angriffszenario auf Router ist das Verfälschen einer Absender-IP-Adresse (IP<br />
Adress-Spoofing). Wenn nun ein Angreifer eine Absenderadresse aus dem internen Netz-<br />
werk verwendet, dieses Paket aber aus der falschen Zone (zum Beispiel external) losge-<br />
schickt wird, wird dieses Paket aufgrund des Zonen-Konzepts automatisch von der Firewall<br />
verworfen. Der Administrator muss keine extra Anti-Spoofing-Regeln erstellen, um das zu<br />
verhindern.<br />
Zone:<br />
DMZ1<br />
FW Zone:<br />
firewall-DMZ 1<br />
Internet<br />
Zone:<br />
external<br />
FW Zonen:<br />
firewall-external;<br />
vpn_ipsec/ vpn-ppp<br />
FW Zone:<br />
firewall-internal<br />
Zone:<br />
internal<br />
FW Zone:<br />
firewall-DMZ 2 - n<br />
Abb. 223 Zonenkonzept der <strong>Securepoint</strong> Firewall<br />
Zone:<br />
DMZ2 bis DMZn<br />
<strong>Securepoint</strong><br />
Security Solutions 218
15 Download Bereich <strong>Securepoint</strong> <strong>10</strong><br />
Das Zonenkonzept ist zweiteilig aufgebaut.<br />
Zum einen die Firewallzonen mit den Zonen firewall-internal, firewall-external und fire-<br />
wall-dmz. Diese Zonen sind für die Interfaces der Appliance vorgesehen.<br />
Jeder Firewallzone ist eine Gruppenzone zugeordnet. So wird dem internen Interface in der<br />
Zone firewall-internal die Gruppenzone internal zugewiesen. In dieser Gruppenzone befin-<br />
den sich Rechner und Netze, die über das jeweilige Interface mit der Appliance verbunden<br />
sind.<br />
Die VPN Zonen sind für VPN Rechner und Netze vorgesehen. Diese werden auch dem ex-<br />
ternen Interface zugeordnet, grenzen sich aber von Geräten der Zone external ab, da sie<br />
sich über einen gesicherten Tunnel mit der Appliance verbinden.<br />
Die Zonen können nur einmal vergeben werden. Wenn Sie z. B. zwei Interfaces für das in-<br />
terne Netze gebrauchen möchten, müssen Sie zuvor eine weitere Zone für ein internes Netz<br />
in der Zonenkonfiguration anlegen.<br />
<strong>Securepoint</strong><br />
Security Solutions 219