Securepoint Firewall & VPN Server 4.0 Handbuch

Handbuch 

Securepoint Firewall & VPN Server 

Version 4.0 

Stand: 16.03.2004

Securepoint Firewall & VPN Server Version 4.0 

Inhaltsverzeichnis 

1 Installation und Update 7 

1.1 Allgemeines 8 

1.2 Installation des Securepoint Firewall & VPN Servers 4.X 9 

1.2.1 Server-Installation: Schritt 1 9 




1.2.5 Abschluss Server-Installation 13 

1.2.6 Nachträgliche Änderungen der Server-Konfiguration 13 

1.3 Installation des Securepoint Security Managers (Client) 14 

1.3.1 Registrierung des Securepoint Firewall & VPN Servers 14 

1.4 Update von Securepoint 2.X und 3.X auf Version 4.X 15 

2 Bedienung des Securepoint Security Managers (Client) 17 

2.1 Starten des Security Managers 17 

2.1.1 Anmelden am Security Manger 18 

2.1.2 Optionen des Security-Managers bearbeiten und ändern des Schlüssels 19 

2.1.3 Offline-Betrieb des Security Managers 20 

2.2 Übersicht zum Security Manager 21 

2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl 23 

2.2.2 Bereich: Firewall-Auswahlleiste 25 

2.2.3 Bereich: Regelwerk der Firewall 26 

2.2.4 Bereich: Reports 27 

2.2.5 Bereich: Firewall- und VPN-Verbindungen 28 

2.2.6 Bereich: Optionen 29 

2.2.7 Bereich: Informationsleiste 30 

2.3 Anlegen einer neuen Securepoint Firewall 4.X 31 

2.4 Firewall-Anmelde-Status und arbeiten mit einer Firewall 32 

2.5 Optionen 34 

Seite 2


2.5.1 Benutzerverwaltung 36 

2.5.1.1 Benutzer bearbeiten 37 

2.5.1.2 Benutzergruppen 38 

2.5.2 Backup 39 

2.5.3 Patch 41 

2.5.4 Fehlerreport 42 

2.5.5 Server 43 

2.5.6 Server-Dienste 44 

2.5.7 Proxy/Blocking 46 

2.5.7.1 Proxy: Grundkonfiguration 47 

2.5.7.2 Proxy: Transparent 48 

2.5.7.3 Proxy: Erweitert 49 

2.5.7.4 Proxy: Blocking 50 

2.5.7.5 Proxy: No Blocking 51 

2.5.8 Kernel-Einstellungen 52 

2.5.9 PPTP VPN 54 

2.5.9.1 PPTP-Einstellungen 54 

2.5.10 Dienste 56 

2.5.11 Dienstgruppen 58 

2.5.12 Rechner/Netze 59 

2.5.13 Rechnergruppen 61 

2.5.14 Netzwerk Grundkonfiguration 62 

2.5.15 Erweitertes Routing 64 

2.5.16 Virtuelle IP-Adressen 66 

2.5.17 NAT - Network Address Translation 68 

2.5.18 Reportmails Einstellungen 69 

2.5.19 Interfaces 70 

2.5.20 ISDN 72 

2.5.21 ADSL 73 

2.5.22 Viruswall 76 

3 Arbeiten mit Firewall-Regeln 77 

3.1 Firewall-Regeln (tabellarisch) 77 

3.1.1 Firewall-Regeln bearbeiten 79 

3.1.2 Regelgruppen 82 

3.1.3 Aktivieren von Regeln 83 

3.1.4 Regelwerk durch Verschieben optimieren 83 

3.1.5 Anzeigen/Bearbeiten der Inhalte von Rechnergruppen 84 

3.1.6 Anzeigen der Inhalte von Dienstgruppen 84 

3.2 Firewall-Regeln grafisch 85 

3.2.1 Darstellung von Regeln 87 

3.2.2 Erstellen von Regeln 90 

3.2.3 Bearbeiten von Regeln 91 

Seite 3


4 Netzwerk-Topologie 93 

4.1 Bearbeiten der Topologie 95 

5 Arbeiten mit VPN 97 

5.1 IPSec VPN 98 

5.1.1 RSA-Authentisierungsverfahren 99 

5.1.2 Preshared-Authentisierungsverfahren 100 

5.1.3 X509-Zertifikat-Authentisierungsverfahren 101 

5.1.3.1 X509-Zertifikate erstellen 101 

5.1.4 Firewall- und IPSec-Verbindungen erstellen 106 

5.1.4.1 IPSec-Verbindungen erstellen, bearbeiten und löschen 108 

5.1.4.2 Eigenschaften von IPSec-Verbindungen 109 

5.1.4.3 Sub-Netze erstellen, bearbeiten und löschen 111 

5.1.4.4 IPSec-Verbindung starten und stoppen 113 

5.1.4.5 Text auf der Arbeitsoberfläche erstellen und löschen 114 

5.1.5 Policy-Distributor 115 

5.1.5.1 Verteilung von Policies an Firewalls 116 

5.1.6 IPSec-Roadwarrior 117 

5.2 PPTP VPN 118 

5.2.1 PPTP-Benutzer 119 

5.2.2 PPTP-Konfiguration 121 

5.2.3 PPTP-Roadwarrior 123 

6 Arbeiten mit Konfigurationen 124 

6.1 Öffnen einer Konfigurationsdatei 124 

6.2 Speichern einer Konfigurationsdatei 126 

6.3 Drucken einer Konfiguration 127 

6.4 Nachträgliche Änderungen der Server-Konfiguration 128 

7 Arbeiten mit Reports 129 

7.1 Standard Reports 130 

7.1.1 Öffnen eines Standard Reports 131 

7.2 Log-Auswertung 132 

7.2.1 Datendurchsatz je IP (grafisch) 134 

7.2.2 Datendurchsatz stündlich 135 

7.2.3 Log-Auswertung (tabellarisch) 136 

7.3 IP-Traffic-Auswertung 138 

7.3.1 Lokale Auswertung von Traffic-Daten pro Monat 140 

7.3.2 Lokale Auswertung von Traffic-Daten für mehrere Monate 142 

7.3.3 Online Auswertung von Traffic-Daten für mehrere Monate 143 

7.4 Proxy-Auswertung 144 

7.4.1 Traffic pro Tag des ausgewählten Zeitraumes 146 

7.4.2 Top-Webuser und -Webseiten des ausgewählten Zeitraumes 147 

7.5 Traffic-Auswertung 149 

7.6 Accounting 151 

Seite 4


8 Testen der Firewall 153 

9 Arbeiten mit der Firewall-Konsole 154 

9.1 Debugging-Möglichkeiten / Fehlersuche 155 

9.2 Tools auf der Firewall 155 

9.3 nconfig, das Konfigurationsprogramm der Konsole 156 

9.3.1 Übersicht 157 

9.3.2 Punkt 0: DSL und ISDN Konfiguration 158 

9.3.3 Punkt 1: Interface Konfiguration Ethernet 159 

9.3.4 Punkt 2: Del Interface 160 

9.3.5 Punkt 3: Change Interface IP 161 

9.3.6 Punkt 4: Change Interface Driver 162 

9.3.7 Punkt 5: Change Gateway 163 

9.3.8 Punkt 6: Change Admin IP 164 

9.3.9 Punkt 7: Change Nameserver 165 

9.3.10 Punkt 8: Edit Static Route 166 

9.3.11 Punkt 9: Traffic Shaper 167 

9.3.12 Punkt 10: VPN Properties 168 

9.3.13 Punkt 11: Change Password 169 

9.3.14 Punkt 12: Write config 170 

9.3.15 Punkt 13: QUIT 171 

10 Arbeiten mit Fremdprodukten 172 

10.1 Virenscanner 172 

10.1.1 TrendMicro-Virenscanner 172 

10.2 Roadwarrior 175 

10.2.1 SSH-Sentinel-Roadwarrior 175 

10.2.2 Windows PPTP-Roadwarrior 175 

10.3 SSH – Secure Shell 176 

Seite 5


11 Beispiele 177 

11.1 Firewall-Regeln: Beispiele 178 

11.1.1 Firewall-Regel-Beispiel: http, https und passiv ftp ins Internet 179 

11.1.1.1 Erstellen der Rechner / Netzwerkobjekte 180 

11.1.1.2 Erstellen der Rechnergruppen 181 

11.1.1.3 Erstellen der Firewall-Regel 182 

11.1.2 Firewall-Regel-Beispiel: Client Netz über Proxy ins Internet 183 

11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations 184 

11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations 185 

11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal 186 

11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal 187 

11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external 188 

11.1.2.6 Erstellen der Rechnergruppe Grp-fw external 189 

11.1.2.7 Erstellen der Firewall-Regel Grp-internal workstations Grp-fw internal 190 

11.1.2.8 Erstellen der Firewall-Regel Grp-fw external internet 191 

11.1.2.9 Konfigurieren des Proxys der Firewall 192 

11.1.3 Firewall-Regel-Beispiel: Webserver NAT (statisches NAT) 193 

11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface 194 

11.1.3.2 Erstellen der Rechner / Netzwerkobjekte 195 

11.1.3.3 Erstellen der Rechnergruppe webserver 196 

11.1.3.4 Erstellen der Firewall-Regel internet webserver 197 

11.1.4 Firewall-Regel-Beispiel: Anbindung des TrendMicro-Virenscanners 198 

11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen 198 

11.1.4.2 Erstellen der Firewall-Regeln 199 

11.2 VPN – Beispiele mit IPSec 200 

11.2.1 Beispiel IPsec-VPN mit Roadwarrior und X509-Authentisierung 201 

11.2.1.1 Erstellen von Firewall-Regeln für IPSec-Verbindungen 202 

11.2.1.2 X509-Zertifikate erstellen 210 

11.2.1.3 IPSec-Verbindung auf der Firewall konfigurieren 215 

11.2.1.4 IPSec-Roadwarrior konfigurieren 221 

11.3 VPN – Beispiele mit PPTP 225 

11.3.1 Beispiel PPTP-VPN mit Roadwarrior 226 

11.3.1.1 Erstellen von Firewall-Regeln für PPTP-Verbindungen 227 

11.3.1.2 Erstellen der PPTP-Benutzer 230 

11.3.1.3 Erstellen der PPTP-Konfiguration 231 

11.3.1.4 PPTP-Roadwarrior konfigurieren 234 

11.4 Bandbreitenbegrenzung von Diensten 235 

11.4.1 Bandbreitenbegrenzung-Erstellung 236 

11.4.2 Auswahl des Interfaces 237 

11.4.3 Filter für das Interface definieren 238 

11.4.4 Speichern der Konfiguration 240 

11.5 Verteilung des Datenverkehrs auf zwei Router - Source-Routing 241 

11.5.1 Erstellen einer neuen Route 242 

11.5.2 Definition der Route 243 

11.5.3 Speichern der Konfiguration 244 

12 Fragen und Probleme 245 

Index 246 

Seite 6


1 Installation und Update 

Der Securepoint Firewall & VPN Server ist ein Client-/Server-System. Sie müssen mindestens folgende 

Securepoint Produkte installieren: 

• den Securepoint Firewall & VPN Server auf einem gesonderten Computer mit mindestens zwei 

Netzwerkkarten und angeschlossen an ein Netzwerk 

• den Securepoint Security Manager (Client) auf einem Windows-System. Dieses Programm dient zur 

eigentlichen Konfiguration des Securepoint Firewall & VPN Servers. 

Seite 7


1.1 Allgemeines 

Der Securepoint Firewall & VPN Server arbeitet mit einem Zonen-Konzept. Sie erhalten hier zum besseren 

Verständnis eine Übersicht des Zonen-Konzepts der Firewall. Sie können hieraus leicht zuordnen, wie Ihre 

Netzwerkkarten konfiguriert werden müssen und in welchen Verhältnissen sich die Zonen zueinander befinden. 

Abb. Securepoint-Zonen-Konzept 

Netzmasken in Bitcount 

Beachten Sie, dass alle Netzmasken in Bitcount angegeben werden. 

Hier ein paar Beispiele für gängige Bitcount-Angaben: 

Netz Netzmaske Bitcount Anzahl IPs 

Gesamtes Netz: 0.0.0.0 0 4294967296 

Class A Netz: 255.0.0.0 8 16777216 

Class B Netz: 255.255.0.0 16 65536 

Class C Netz: 255.255.255.0 24 256 

Subnetz: 255.255.255.128 25 128 

Subnetz: 255.255.255.192 26 64 

Subnetz: 255.255.255.224 27 32 

Subnetz: 255.255.255.240 28 16 

Subnetz: 255.255.255.248 29 8 

Subnetz: 255.255.255.252 30 4 

Ein Host: 255.255.255.255 32 oder Host 1 

Ein Bitcount-Calculator ist nach der Installation des Securepoint Security Manager (Client) verfügbar. 

Seite 8


1.2 Installation des Securepoint Firewall & VPN Servers 4.X 

‣Legen Sie die Securepoint CD-ROM in das CD-ROM-Laufwerk Ihres Computers, der für den Securepoint 

Server vorgesehen ist und starten Sie ihn. 

Achten Sie darauf, dass Ihr Computer von CD-ROM booten kann. 

Beachten Sie: Alle Daten auf der Festplatte des von Ihnen ausgewählten Computers 

werden bei der Installation der Server-Software gelöscht. 

Beachten Sie: Falls Ihre Grafikkarte nicht zu 100 Prozent VESA-kompatibel ist, haben 

Sie auch die Möglichkeit einer textbasierten Installation. Die Konfiguration ist analog 

zur grafischen Installation. 

1.2.1 Server-Installation: Schritt 1 

‣Wählen Sie hier die gewünschte Sprache, Zeiteinstellung und Securepoint-Version aus. 

‣Speichern Sie Ihre Eingaben mit dem Button OK. 

Abb. Installation Schritt 1 

Eingabe- und Auswahlfelder 

Sprache: 

Zeitzone: 

Lizenz: 

Auswahl der Sprache. Voreinstellung ist Englisch. 

Auswahl der Zeitzone, in der sich die Firewall befindet. 

Ihnen stehen bei der Installation drei verschiedene Versionen 

des Securepoint Firewall Servers 4.X zur Verfügung: 

- Securepoint Office (unterstützt bis 2 Netzwerkkarten) 

- Securepoint Business (unterstützt bis 8 Netzwerkkarten) 

- Securepoint Professional (unterstützt bis 16 Netzwerkkarten und VPN) 

Seite 9



‣Wählen Sie hier die zu installierenden Software-Komponenten und Dateisysteme/RAID aus. 



Pakete: 

Sie haben hier die Möglichkeit, verschiedene zusätzliche Pakete zu installieren: 

• Die Firewall, das eigentliche Firewall System, das auf dem gesicherten Securepoint 

Linux Betriebssystem installiert wird. 

• Die Viruswall, ein angepasstes Virenscanner System für die Protokolle http, ftp und 

smtp der Firma TrendMicro (Hinweis: Eine Lizenz zum Betrieb ist erforderlich). 

• Das Mailgateway, angepasster Virenscanner der Firma H+BEDV für das Protokoll smtp 

(Hinweis: Eine Lizenz zum Betrieb ist erforderlich). 

Filesystem: 

Im Weiteren haben Sie die Möglichkeit, drei verschiedene Filesysteme für das Betriebssystem 

auszuwählen: 

• EXT2 

• EXT3 (Journaling Filesystem) 

• Raiserfs (Journaling Filesystem) 

Software Raid: 

Falls auf dem System mehrere Festplatten gefunden werden, können Sie ein Software 

RAID (Level 1 Spiegelung) aktivieren. 

Hinweise zu Journaling Filesystemen 

Ein Journaling Filesystem protokolliert, welche Dateien zur Zeit in Bearbeitung sind. Im Falle eines Systemausfalls 

müssen nur die beim Ausfall geöffneten Programme und Daten geprüft bzw. repariert werden. EXT2 ist 

kein Journaling Filesystem und prüft bei einem Systemausfall jede Datei. Dies dauert meist wesentlich länger. 

Seite 10



‣In diesem Bereich führen Sie die Netzwerkkarten-Konfiguration durch. 


Sie haben je nach Securepoint Lizenz-Version (Office, Business, Professional) die Möglichkeit, 2 bis 16 

Netzwerkkarten zu installieren. 

Bei der ersten Netzwerkkarte besteht die Möglichkeit, zwischen einer ISDN-, ADSL- und Ethernet-Karte zu 

wählen. Bei Auswahl ISDN oder ADSL geht das System davon aus, dass Sie eine IP-Adresse von Ihrem Provider 

dynamisch zugewiesen bekommen. Die Felder für IP und Bitcount sind dann „eingegraut“. Im Falle von ADSL 

oder Ethernet können Sie einen Netzwerkkartentreiber auswählen. 

Beachten Sie bitte in dem Zusammenhang die „White Papers“. 

Dort ist definiert, welcher Treiber zu Ihrer Karte passt. Im Falle von ISDN beachten Sie bitte, dass der 

Securepoint Standard-Kernel nur Winbond ISDN-Karten unterstützt. Bei Verwendung einer anderen ISDN-Karte 

müssen Sie einen entsprechenden Kernel-Patch von unserer Website http://www.securepoint.de herunterladen 

und nach der Installation des Servers einspielen. 

Auswahl- und Eingabefelder 

Typ: 

IP: 

Bitcount: 

Driver: 

ISDN, ADSL, Ethernet 

IP-Adresse der jeweiligen Netzwerkkarte 

Netzmaske der jeweiligen Netzwerkkarte 

Netzwerkkartentreiber 

Zum besseren Verständnis beachten Sie hier das Zonen-Konzept des Securepoint Firewall & VPN Server (Siehe 

Kapitel 1.1). 

Seite 11



‣Hier führen Sie die Grundeinstellungen für das Routing und weitere administrative Einstellungen aus. 

‣Klicken Sie auf den Button START, um den Securepoint Firewall-Server zu installieren. 


Eingabefelder 

Name: 

Gateway: 

Admin IP: 

Root Passwort: 

In den globalen Einstellungen geben Sie den Namen des Securepoint Firewall & VPN 

Servers an. Beachten Sie bitte, dass Sie den hostname.fqdn (Full Qualified Domain 

Name), also zum Beispiel: Hostname.Yourdomain (z. B. mars.securepoint.de), eingeben. 

Das Feld Gateway (Default Gateway) ist nur bearbeitbar, wenn Sie nicht ADSL oder ISDN 

ausgewählt haben. Das Gateway ist normalerweise die IP-Adresse Ihres Routers, der die 

Verbindung zum Internet übernimmt. 

Nur von dieser IP-Adresse können Sie sich nach der Installation remote (entfernt) auf dem 

Securepoint Firewall & VPN Server einloggen (über den Securepoint Security Manager und 

per SSH auf der Konsole). 

Hinweis: In der Securepoint Version 4.X muss die Admin IP-Adresse nicht mehr im 

internen Netzwerk liegen. 

Das Root Passwort ist das Passwort des Super Users des Betriebssystems. Mit diesem 

Passwort können Sie sich an der Linux Konsole bzw. über SSH (Secure Shell) einloggen. 

RT (Wiederholung): Root Passwort-Wiederholung. 

Admin Passwort: 

Das Admin Passwort ist das Passwort, mit dem der Admin User sich nach der Installation 

über dem Securepoint Security Manager auf der Firewall einloggen kann. Es ist auch das 

Passwort für das Konfigurations-Programm auf der ersten Linux Konsole. 

AP (Wiederholung): Admin Passwort-Wiederholung. 

Beachten Sie: Beide Passwörter (für den Admin und den Root User) sollten aus 

Sicherheitsgründen unterschiedlich sein! 

Seite 12


1.2.5 Abschluss Server-Installation 

Die Server-Installation und Anfangskonfiguration ist nun abgeschlossen und das Securepoint Firewall System 

startet danach neu. Sie können nun mit der Installation des Securepoint Security Managers von der CD-ROM 

auf Ihrem Arbeitsplatz fortfahren. Falls sich die CD-ROM noch im Laufwerk befindet, entfernen Sie diese. 

Die Securepoint Firewall ist jetzt betriebsbereit. Da noch keine weiteren Einstellungen vorgenommen sind, ist 

die Kommunikation der Netze miteinander automatisch gesperrt. Sie können jetzt den Securepoint Firewall & 

VPN Server konfigurieren. 

Beachten Sie: Sie stellen fest, dass kein ping und traceroute auf Interface/Netzwerkkarten 

möglich ist! Beachten Sie, dass für die Befehle ping und traceroute Firewall- 

Regeln freigeschaltet werden müssen. Nur das interne Interface ist von vornherein 

anpingbar. 

Beachten Sie: Achten Sie darauf, dass auch alle Netzwerkkarten angeschlossen 

(uplink) sind, und dass der Zugriff auf den Server nur über die angegebene Admin-IP- 

Adresse des Clienten (Securepoint Security Managers) möglich ist. 

1.2.6 Nachträgliche Änderungen der Server-Konfiguration 

Mit Hilfe des lokalen Konfigurationstools nconfig können Sie nachträglich die Parameter Ihrer Konfiguration 

ändern (siehe Kapitel 9.3). Das lokale Konfigurations-Programm nconfig steht Ihnen auf der ersten Linux 

Server-Konsole zur Verfügung. Es kann auch per SSH aufgerufen werden. 

Beachten Sie: Möglicherweise müssen Sie beim Aufruf über SSH die Terminal Variable 

anpassen (TERM = vt100). 

Seite 13


1.3 Installation des Securepoint Security Managers (Client) 

Der Securepoint Security Manager ist das Konfigurations-Programm Ihres Securepoint Firewall & VPN Servers 

an Ihrem Arbeitsplatz. Der Security Manager muss auf einem Windows-Computer installiert werden. 

‣Legen Sie die CD-ROM in das CD-ROM-Laufwerk Ihres Windows-Computers, der für die Firewall- 

Administration vorgesehen ist. 

‣Wechseln Sie in das Verzeichnis tools/securepoint_client/ auf der CDROM und starten Sie das Programm 

client4.0.exe. 

Der Securepoint Security Manager wird nun automatisch installiert. 

Beachten Sie: Beim ersten Start des Securepoint Security Managers erscheint ein 

Dialog, bei dem Sie einen Schlüssel anlegen müssen. Mit Hilfe dieses Schlüssels 

werden alle Konfigurationsdateien der Securepoint, die lokal auf Ihrem Rechner liegen, 

verschlüsselt. 

Der Security Manager kann auch offline betrieben werden und wird mit Beispiel-Konfigurationen geliefert. Diese 

Konfigurationen geben Ihnen eine Hilfestellung beim Einrichten von Regeln auf der Firewall oder beim Aufbau 

von VPN-Verbindungen (Kapitel 2.1.3). 

Bitcount-Calculator 

Zur Umrechnung von Netzmasken steht Ihnen ebenfalls ein Bitcount-Calculator zur Verfügung. Gängige 

Bitcountangaben finden Sie unter Allgemeines (Kapitel 1.1). 

1.3.1 Registrierung des Securepoint Firewall & VPN Servers 

Falls Ihnen eine 30-Tage-Test-Version vorliegt, können Sie bei Ihrem Reseller eine Voll-Version registrieren. Um 

sofort eine Registrierung zur Voll-Version von der 30-Tage-Test-Version vornehmen zu können, 

‣senden Sie die Programm-ID im Menü Info Registrierung an Ihren Reseller oder direkt an Securepoint 

(mit Angabe Ihres Resellers). 

Sie erhalten daraufhin einen Registrierungsschlüssel zurück, mit dem Sie die 30-Tage-Version zu einer Voll- 

Version werten können. Die Registrierung ist kostenpflichtig. 

Seite 14


1.4 Update von Securepoint 2.X und 3.X auf Version 4.X 

Sie können nur die Securepoint Version 3.X auf die Version 4.X updaten. Wenn Sie in Besitz einer Securepoint 

Version 2.X sind und die Daten dieser Version auf die Securepoint Version 4.X übernehmen möchten, müssen 

Sie vorerst ein Update auf die Version 3.X fahren. 

Die Konfigurationen von Fremdprodukten (z. B. Virenscanner) werden nicht übernommen und müssen neu 

installiert und konfiguriert werden. 

Für das Update von der Securepoint Version 3.X auf Version 4.X haben Sie zwei Möglichkeiten: 

• Update über den Policy-Distributor 

• Update über das Update-Programm auf der Firewall-Konsole 

Update über den Policy-Distributor 

Bei dieser Update-Variante werden nur die Dienste/Dienstgruppen, Rechner/Rechnergruppen und das 

Regelwerk übernommen. 

Voraussetzung ist, dass das isf-File der Securepoint Version 3.X auf dem lokalen Rechner gespeichert ist und 

eine Securepoint Version 4.X installiert wurde. 

Gehen Sie folgendermaßen vor: 

‣Verbinden Sie sich über den Security Manager zu Ihrer neu installierten Securepoint Version 4.X. 

‣Öffnen Sie den Policy-Distributor über das Menü Bearbeiten Firewalls-VPN Icon Policy-Distributor 

öffnen. 

‣Öffnen Sie im Policy-Distributor (Abb. Policy-Distributor) über das Icon Sicheres Öffnen das isf-File, in dem 

Sie Ihre Daten der Securepoint Version 3.X gespeichert haben. 

‣Nach dem Einspielen der Daten sollten Sie ein Regelupdate fahren. 

Abb. Policy-Distributor 

Nähere Informationen zur Arbeit mit dem Policy-Distributor erhalten Sie unter Kapitel 5.1.5. 

Seite 15


Update über das Update-Programm auf der Firewall-Konsole 

Bei dieser Update-Variante werden nicht nur die Dienste/Dienstgruppen, Rechner/Rechnergruppen und das 

Regelwerk übernommen, sondern auch IPSec- und PPTP-Konfigurationen. Ausnahme bildet die Konfiguration für 

den Proxy (http, https, ftp), dieser muss über den Security Manager neu konfiguriert werden. 

Voraussetzung ist ein Disketten-Backup Ihrer Version 3.X. 


‣Legen Sie die Diskette der Update-Version 3.X in das Diskettenlaufwerk Ihrer neu installierten Firewall. 

‣Loggen Sie sich als root auf der zweiten Konsole ein. Drücken Sie dazu die ALT + F2-Taste, um an die 

zweite Konsole zu gelangen. 

‣Rufen Sie das Programm update3to4 auf und folgen Sie den Anweisungen. 

Abb. Start Update-Programm auf Konsole 

Seite 16


2 Bedienung des Securepoint Security Managers (Client) 

Der Securepoint Security Manager ist das Konfigurations-Programm Ihres Securepoint Firewall & VPN Servers. 

Der Securepoint Security Manager ist ein Client-System, das mit dem Securepoint Firewall & VPN Server 

kommuniziert. Alle Daten zwischen dem Clienten (Securepoint Security Manager) und Server werden 

verschlüsselt übertragen. 

2.1 Starten des Security Managers 

Für den Start des Securepoint Security Managers (Client) 

‣Gehen Sie über: Start Programme Securepoint 4.0 Securepoint Security Manager 

und starten Sie damit den Security Manager. 

Es erscheint folgender Startscreen: 

Abb. Security Manager Startscreen 

Seite 17


2.1.1 Anmelden am Security Manger 

Erstes Anmelden 

Beim ersten Start des Security Managers erscheint ein Dialog-Fenster (Abb. Erstellen des Schlüssels). 

‣Tragen Sie einen Schlüssel ein und wiederholen Sie die Schlüssel-Eingabe. 

‣Bestätigen Sie Ihre Eingabe mit dem Button OK. 

Mit Hilfe dieses Schlüssels werden alle Konfigurationsdateien der Securepoint Firewall, die lokal auf Ihrem 

Rechner liegen, aus Sicherheitsgründen verschlüsselt. 

Beachten Sie: Merken Sie sich den Schlüssel unbedingt gut. Mit ihm werden die 

lokalen Konfigurationsdateien verschlüsselt. 

Abb. Erstellen des Schlüssels 

Eingabefelder 

Schlüssel: 

Bestätigung: 

Schlüssel zum Verschlüsseln von Konfigurationsdateien 

Wiederholung des Schlüssels 

Späteres Anmelden 

Sobald Sie den Schlüssel zur Verschlüsselung der lokalen Konfigurationsdateien eingegeben und gespeichert 

haben, werden Sie bei jedem Aufruf des Securepoint Security Managers nach diesem Schlüssel gefragt. 

‣Tragen Sie Ihren Schlüssel ein. 

‣Bestätigen Sie die Eingabe mit dem Button OK. 

Abb. Späteres Anmelden 

Eingabefeld 

Schlüssel: 

Schlüssel zum Verschlüsseln von Konfigurationsdateien 

Seite 18


2.1.2 Optionen des Security-Managers bearbeiten und ändern des Schlüssels 

Änderungen an der Client-Einstellung können über die Client-Optionen vorgenommen werden. 

Abb. Menüleiste und Icons mit Icon Client-Optionen 

‣Klicken Sie auf das Icon Client-Optionen. 

Zur Eingabe der Client-Optionen öffnet sich ein Dialog-Fenster (Abb. Client-Optionen). 

Sprache, Timout und Schlüssel 

‣Über das Auswahlfeld Sprache können Sie den Security Manager auf eine andere Sprache umstellen. 

‣Möglicherweise ist die Kommunikation zwischen Security Manager und Firewall Server nicht schnell genug 

möglich, da langsame Verbindungen bestehen (z. B. über das Internet). Stellen Sie dann den Wert über das 

Auswahlfeld Timeout (Angaben in Sekunden) höher ein. 

‣Sie können den Schlüssel ändern, indem Sie auf den Button Schlüssel ändern klicken und über das sich 

öffnende Dialog-Fenster (Abb. Schlüssel) einen neuen Schlüssel eingeben. Der Schlüssel dient zum 

Verschlüsseln Ihrer Konfigurationsdateien. 

Abb. Client-Optionen 


Sprache: 

Timeout: 

Schlüssel ändern: 

Wechsel auf andere Sprach-Einstellung des Security Managers (Client) 

Ändern des Timout für die Verbindung zwischen Client und Server 

Ändern des Schlüssels zur Verschlüsselung der Konfigurationsdateien 

Abb. Schlüssel 

Seite 19


2.1.3 Offline-Betrieb des Security Managers 

Der Security Manager besitzt einen Offline-Modus zur Bearbeitung von Firewall-Konfigurationen, ohne dabei 

online mit einem Securepoint Server verbunden zu sein. Auf der Securepoint CD-ROM finden Sie verschiedene 

Beispiel-Konfigurationen die Sie einfach mit dem Security Manager aufrufen können. Diese Konfigurationen 

geben Ihnen eine Hilfestellung beim Einrichten von Regeln auf der Firewall oder beim Aufbau von VPN- 

Verbindungen. Sie finden diese Beispiel-Konfigurationen in Kapitel 11. 

Nach dem Start des Security Managers und der Eingabe des Schlüssels befindet sich der Security Manager im 

Offline-Modus. 

Öffnen einer Konfigurationsdatei 

Es besteht jetzt die Möglichkeit, eine gespeicherte Konfigurationsdatei zu öffnen. 

‣Zum Öffnen einer gespeicherten Konfigurationsdatei gehen Sie über das Menü Datei Öffnen 

oder klicken Sie auf das Icon Öffnen. 

Es öffnet sich jetzt ein Auswahl-Dialog, von dem aus die gewünschte Konfigurationsdatei ausgewählt werden 

kann. Die Datei-Endung ist „dateiname.isf“. Sie finden im Verzeichnis tools/securepoint_client/samples auf der 

Securepoint CD-ROM verschiedene Beispiele. Der Schlüssel für die Beispielkonfigurationen ist „test“. 

‣Auswahl der gewünschten Konfigurations-Datei über Dialog-Fenster. 

‣Eingabe des Schlüssels test. 

Abb. Öffnen einer Konfigurationsdatei 

Anlegen einer neuen Konfigurationsdatei 

Eine zweite Möglichkeit ist, eine neue Datei anzulegen. 

‣Zum Anlegen einer neuen Datei gehen Sie über das Menü Datei Neu 

oder klicken Sie auf das Icon Securepoint Firewall 4.X anlegen. 

Es werden danach einige Standarddaten geladen, die beliebig bearbeitet und erweitert werden können. 

Weitere Informationen zum Thema Konfigurationen finden Sie in Kapitel 6. 

Seite 20


2.2 Übersicht zum Security Manager 

Hier erhalten Sie eine kurze Übersicht über die grundlegenden Bereiche des Securepoint Security Managers. 

Dies hilft Ihnen zu einem schnellen Einstieg in die Vielzahl der Funktionen. 

Über das Icon Client-Optionen, können Sie den Security Manager auf eine andere Sprache umstellen. 

Möglicherweise ist die Kommunikation zwischen Security Manager und Firewall Server nicht schnell genug 

möglich, da langsame Verbindungen bestehen. Stellen Sie dann den Wert Timeout (sec) höher ein. (Siehe 

Kapitel 2.1.2) 

Am unteren Rand des Master-Fensters befindet sich eine Menüleiste, auf der für jedes geöffnete Fenster, z. B. 

Optionen, Firewall-Regeln, Reports etc. ein Feld erscheint. Über diese Felder kann zwischen den einzelnen 

Fenstern umgeschaltet werden. 

Über das Menü Fenster Überlappend anordnen bzw. Übereinander anordnen oder über die Icons Überlappend 

anordnen bzw. Übereinander anordnen können Sie sich die geöffneten Fenster entsprechend anordnen. 

a) 

c) 

d) 

b) 

e) f) 

Abb. Übersicht Security Manager 

g) 

Seite 21


Kurzübersicht der Bereiche 

Bereich a) 2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl 

Hierüber rufen Sie die grundlegenden Funktionen des Securepoint Servers auf. 

Bereich b) 2.2.2 Bereich: Firewall-Auswahlleiste 

Hier erhalten Sie eine Liste aller verfügbaren Firewalls. Sie können mehrere Firewalls 

über den Securepoint Security Manager bedienen. 

Bereich c) 2.2.3 Bereich: Regelwerk der Firewall 

Hiermit erstellen und bearbeiten Sie Firewall-Regeln. 

Bereich d) 2.2.4 Bereich: Reports 

Hier erhalten Sie eine Vielzahl von Statistiken über die verfügbaren Firewalls und VPN 

Server. 

Bereich e) 2.2.5 Bereich: Firewall- und VPN-Verbindungen 

In diesem Bereich erstellen und bearbeiten Sie Firewall- und IPSec-VPN-Verbindungen. 

Bereich f) 2.2.6 Bereich: Optionen 

Über die Optionen stellen Sie grundlegende Server-Optionen ein. Fast alle 

Einstellungen des Securepoint Servers sind hier durchführbar. 

Bereich g) 2.2.7 Bereich: Informationsleiste 

In diesem Bereich erhalten Sie grundlegende Informationen über die Verbindung zum 


Seite 22


2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl 

Über die Menüleiste und die Icons für die Schnellauswahl rufen Sie die grundlegenden Funktionen des 

Securepoint Servers auf (Abb. Menüleiste und Icons für Schnellauswahl). 

a) 

Abb. Bereich Menüleiste und Icons für Schnellauswahl 

Auswahl-Menüs 

Menü Datei 

Öffnen: 

Speichern: 

Speichern als: 

Drucken: 

Neu: 

Beenden: 

Öffnen einer gespeicherten Konfigurationsdatei 

Speichern einer Konfigurationsdatei 

Speichern einer Konfigurationsdatei unter anderem Namen 

Drucken der Konfigurationsdatei 

Anlegen einer neuen Konfigurationsdatei 

Beenden des Securepoint Security Managers 

Menü Bearbeiten 

Regeln (tabellarisch): 

Regeln (grafisch): 

Netzwerk-Topologie: 

Firewalls-VPN: 

Optionen: 

Öffnet das Fenster für tabellarische Firewall-Regeln 

Öffnet das Fenster für grafische Firewall-Regeln 

Öffnet das Fenster mit der Ansicht der Netzwerk-Topologie 

Öffnet das Fenster zum Bearbeiten von Firewalls-VPN-Verbindungen 

Öffnet das Fenster der Securepoint Firewall & VPN Optionen 

Menü Report 

Standard Reports: 

Log-Auswertung: 

Proxy-Auswertung: 

IP-Traffic-Auswertung: 

Traffic-Auswertung: 

Accounting: 

Verbindungstest: 

Öffnet das Fenster Standard Reports 

Öffnet das Fenster Log-Auswertung 

Öffnet das Fenster Proxy-Auswertung 

Öffnet das Fenster IP-Traffic-Auswertung 

Öffnet das Fenster Traffic-Auswertung 

Öffnet das Fenster Accounting 

Öffnet das Fenster zum Testen von Verbindungen aus Sicht der Firewall 

Menü Fenster 

Überlappend anordnen: 

Übereinander anordnen: 

Die geöffneten Fenster werden überlappend angeordnet 

Die geöffneten Fenster werden übereinander angeordnet 

Menü Info 

Registrierung: 

Über Securepoint: 

Registrierung der Firewall 

Kurze Information über die Securepoint-Version 

Seite 23


Menü mit Auswahl-Icons für Schnellauswahl 

Öffnen: 

Speichern: 

Öffnen einer gespeicherten Konfigurationsdatei 

Speichern einer Konfigurationsdatei 

Securepoint Firewall 4.X anlegen: Anlegen einer neuen Securepoint Firewall 4.X 

Regeln (grafisch): 

Regeln (tabellarisch): 

Firewalls-VPN: 

Netzwerk-Topologie: 

Standard Reports: 

Log-Auswertung: 

IP-Traffic-Auswertung: 

Proxy-Auswertung: 


Accounting: 

Verbindungstest: 

Regelupdate: 

Überlappend anordnen: 

Übereinander anordnen: 

Optionen: 

Client-Optionen: 

Öffnet das Fenster für grafische Firewall-Regeln 

Öffnet das Fenster für tabellarische Firewall-Regeln 

Öffnet das Fenster zum Bearbeiten von Firewalls-VPN-Verbindungen 

Öffnet das Fenster mit der Ansicht der Netzwerk-Topologie 

Öffnet das Fenster Standard Reports 

Öffnet das Fenster Log-Auswertung 

Öffnet das Fenster IP-Traffic-Auswertung 

Öffnet das Fenster Proxy-Auswertung 

Öffnet das Fenster Traffic-Auswertung 

Öffnet das Fenster Accounting 

Öffnet das Fenster Verbindungstest 

Update der Regeln auf der aktuell verbundenen Firewall 

Die geöffneten Fenster werden überlappend angeordnet 

Die geöffneten Fenster werden übereinander angeordnet 

Öffnet das Fenster der Securepoint Firewall & VPN Optionen 

Einstellungen des Securepoint Security Managers sowie Änderung 

des Schlüssels zum Verschlüsseln der Konfigurationsdateien 

Seite 24


2.2.2 Bereich: Firewall-Auswahlleiste 

Auf der linken Seite des Security Managers befindet sich die Firewall-Auswahlleiste, auf der alle lokal 

angelegten Firewall-Objekte angezeigt werden. Sie können mehrere Firewalls über den Securepoint Security 

Manager bedienen. 

Diese Auswahlleiste wird sichtbar, sobald sich der Benutzer mit dem für die Entschlüsselung der Login-Daten 

benötigten Passwort an den Client angemeldet hat. 

b) 

Scrollen der Leiste 

Firewall-Server mit LED-Anzeige: Anzeige, ob die Firewall mit 

dem Security Manager verbunden ist 

Abb. Bereich Firewall-Auswahlleiste 

Klick mit rechter Maus-Taste auf das Firewall-Objekt öffnet das 

Menü zum Verbinden oder Abmelden des Firewall-Servers. Sie 

können das Objekt ebenfalls hierüber Löschen. Über die 

Eigenschaften können die Firewall-Zugriffsdaten geändert 

werden. 

Automatisches Schließen der Auswahlleiste 

Ist die Checkbox autom. schließen markiert, so schließt sich die Leiste automatisch, sobald der Cursor nach 

rechts aus der Leiste herausbewegt wird. Ist die Checkbox nicht markiert, so schließt sich die Leiste, wenn 

darauf geklickt wird. Sie öffnet sich wieder, sobald der Cursor an den linken Rand des Hauptfensters bewegt 

wird. 

Beachten Sie: Ist das Fenster Firewalls-VPN-Verbindungen offen, wird die Leiste 

ebenfalls automatisch geschlossen. Dies ist aus Übersichtsgründen der Fall, da auch in 

diesem Fenster eine Objekt-Leiste vorhanden ist. 

Weitere Informationen zu diesem Thema finden Sie unter Kapitel 2.4. 

Seite 25


2.2.3 Bereich: Regelwerk der Firewall 

In diesem Fenster erstellen und bearbeiten Sie Ihre Firewall-Regeln. Über die Firewall-Regeln steuern Sie, was 

eine Gruppe von Rechnern darf oder nicht darf. Zusätzlich können Sie loggen und die Regel zeitlich begrenzen. 

Dies ist eine der grundlegenden Funktionen der Firewall. Gerade bei großen Netzwerken mit einer Vielzahl von 

Regeln, ist es sinnvoll, Regelgruppen zu definieren, in denen Sie Regeln zusammenfassen. Sie haben so die 

Möglichkeit einer übersichtlicheren Darstellung. 

c) 

Abb. Fenster Firewall-Regeln mit Menüleiste und erweitertes Menü mit rechtem Mausklick 

Ausführliche Informationen zum Bereich Regelwerk der Firewall erhalten Sie in Kapitel 3. 

Seite 26


2.2.4 Bereich: Reports 

Hier erhalten Sie eine Vielzahl von Statistiken über die verfügbaren Firewalls und VPN Server sowie den Daten, 

die über die Systeme fließen. Ein wesentlicher Teil der Firewall sind Logging-, Überwachungs- und 

Alarmierungsfunktionen. Um ein Ereignis zu protokollieren, ist auch die Generierung von Emails möglich. 

Beispiel: Proxy-Auswertung 

d) 

Abb. Fenster Proxy-Auswertung 

Ausführliche Informationen zum Bereich Reports erhalten Sie in Kapitel 7. 

Seite 27


2.2.5 Bereich: Firewall- und VPN-Verbindungen 

In diesem Bereich erstellen und bearbeiten Sie Firewall- und IPSec-VPN-Verbindungen. (PPTP-Verbindungen 

legen Sie über den Bereich Optionen an, Kapitel 2.5.9.) 

Firewall-Verbindungen 

Sie haben die Möglichkeit, verschiedene Firewalls über dieses Fenster anzulegen und eine Distribution von 

Policies durchzuführen. 

VPN-Verbindungen 

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, 

z. B. das Internet, als Transportweg nutzt. Die über diese Verbindung übertragenen Datenpakete werden 

verschlüsselt. Damit können Sie auf eine Benutzer-Authentifizierung, dynamische Adressvergabe, Datenkompression 

oder Datenverschlüsselung zurückgreifen. 

Beachten Sie: Dies betrifft nur VPN-Verbindungen mit IPSec. PPTP-Verbindungen 

können hierüber nicht dargestellt und bearbeitet werden. 

e) 

Abb. Fenster Firewall- und VPN-Verbindungen 

Ausführliche Informationen zum Bereich Firewall- und VPN-Verbindungen erhalten Sie in Kapitel 5. 

Seite 28


2.2.6 Bereich: Optionen 

Über die Optionen stellen Sie grundlegende Server-Konfigurationen ein. Fast alle Einstellungen des Securepoint 

Servers sind hier durchführbar. 

f) 

Abb. Fenster Optionen, Darstellungsform: Buttons 

Ausführliche Informationen zum Bereich Optionen erhalten Sie in Kapitel 2.5. 

Seite 29


2.2.7 Bereich: Informationsleiste 

In diesem Bereich erhalten Sie grundlegende Informationen über die Verbindung zum Server. 

g) 

Abb. Bereich Informationsleiste 

Informationsbereiche 

Fenster: 

Benutzer: 

Verschlüsselungstiefe: 

Securepoint Lizenz: 

Konnektierte Firewall: 

Modus: 

Geöffnete Fenster 

Eingeloggter Benutzer 

Verschlüsselungstiefe der Security Manager-/Firewall-Server-Kommunikation 

Lizenz Ihrer Firewall 

Name der derzeit konnektierten Firewall 

Darstellung, ob die Firewall konnektiert ist. 

(LED grün: Firewall ist konnektiert, LED grau: Firewall ist nicht konnektiert) 

Seite 30


2.3 Anlegen einer neuen Securepoint Firewall 4.X 

Bevor Sie sich das erste Mal auf einem oder mehreren Firewall Servern einloggen können, müssen Sie den oder 

die Firewall Server, auf die Sie zugreifen wollen, anlegen. 

Abb. Menüleiste mit Icon Securepoint Firewall 4.X anlegen 

Sie können eine neue Firewall folgendermaßen anlegen: 

‣Klicken Sie auf das Icon Securepoint Firewall 4.X anlegen. 

‣Daraufhin erscheint ein Dialog-Fenster (Abb. Neue Firewall-Angaben erstellen), in dem Sie die relevanten 

Daten Ihrer Firewall Server eingeben. Diese Daten werden in einer Konfigurationsdatei lokal verschlüsselt 

abgelegt. 

‣Speichern Sie Ihre Eingaben mit dem Button Speichern. 

Abb. Neue Firewall-Angaben erstellen 

Eingabefelder 

Bezeichnung: 

Adresse: 

Port: 

Login: 

Passwort: 

Bestätigung: 

Name der Firewall Hostname der Firewall (dieser ist bei der Installation der Firewall 

von Ihnen festgelegt worden) 

IP-Adresse oder auflösbarer Name des Interfaces der Firewall 

Kommunikationsport zwischen Security Manager und der Firewall 

Ihr Login-Name auf der Firewall 

Ihr Passwort auf der Firewall 

Die Passwort-Bestätigung 

Beachten Sie: Sie haben die Möglichkeit, mehrere Firewall Server über den Security 

Manager zu bedienen und zu verwalten. Tragen Sie alle Securepoint Server ein, die Sie 

verwalten möchten. Das Anlegen der weiteren Firewalls kann natürlich auch zu einem 

späteren Zeitpunkt erfolgen. 

Seite 31


2.4 Firewall-Anmelde-Status und arbeiten mit einer Firewall 

Nachdem Sie ein oder mehrere Firewall-Objekte angelegt haben, erscheinen sie in einer Liste auf der linken 

Seite des Security Managers, im Bereich Firewall-Auswahlleiste. Sie können mehrere Firewalls über den 

Securepoint Security Manager bedienen. 

Scrollen der Leiste 

Firewall-Server mit LED-Anzeige: Anzeige, ob die Firewall mit 

dem Security Manager verbunden ist 

Abb. Bereich Firewall-Auswahlleiste 

Klick mit rechter Maus-Taste auf das Firewall-Objekt öffnet das 

Menü zum Verbinden oder Abmelden des Firewall-Servers. Sie 

können das Objekt ebenfalls hierüber Löschen. Über die 

Eigenschaften können die Firewall-Zugriffsdaten geändert 

werden. 

Automatisches Schließen der Auswahlleiste 

Anmelden an der Firewall 

‣Durch Doppelklick auf das Firewall-Objekt auf der Auswahlleiste oder mit Klick der rechten Maustaste auf 

das Firewall-Objekt sowie Auswahl des Menüpunktes Verbinden 

wird eine Verbindung zur ausgewählten Firewall hergestellt. Damit ist die Firewall über den Security Manager 

konfigurierbar. Alle weiteren Arbeiten wie Reports etc. können durchgeführt werden. 

Darstellung des Verbindungsstatus 

Der Verbindungsstatus wird mittels einer LED auf dem Firewall-Objekt angezeigt: 

LED grau: 

LED gelb: 

LED grün: 

LED rot : 

Es wurde noch keine Verbindung zur Firewall aufgebaut 

Verbindung befindet sich im "Standby-Modus", die Schlüsselpaare wurden ausgetauscht, 

aber keine Daten übertragen 

Verbindung wurde aufgebaut und Daten übertragen. Die Firewall kann administriert 

werden 

Eine Verbindung zur Firewall ist nicht möglich 

Wenn bereits eine Verbindung zu einer Firewall besteht, so wird diese auf „standby" gesetzt (LED gelb), wenn 

Sie eine Verbindung zur nächsten Firewall aufbauen. 

Seite 32


Abmelden an der Firewall 

Um sich von einer Firewall abzumelden, 

‣klicken Sie mit der rechten Maustaste auf das entsprechende Firewall-Icon und wählen Sie Abmelden aus. 

Beachten Sie: Erfolgt 15 Minuten lang keine Datenübertragung zu einer Firewall, die 

sich im Standby-Modus befindet, so wird ein neuer Anmeldevorgang automatisch 

ausgeführt (mit Schlüsselaustausch), wenn wieder Daten übertragen werden sollen. 

Werden 15 Minuten lang keine Daten zur aktiven Firewall übertragen, erfolgt eine 

Meldung und der Client wird nach Bestätigung geschlossen. 

Bearbeitung mehrerer Firewalls 

Mehrere Firewalls können quasi „gleichzeitig" bearbeitet werden, ohne den Security Manager neu starten zu 

müssen. Dazu muss nur die gewünschte Firewall auf der Firewall-Auswahlleiste doppelt angeklickt oder per 

rechten Mausklick das Menü geöffnet werden. Der Verbindungstatus wird mit einer LED auf dem Firewall-Objekt 

angezeigt. Beim Wechsel zwischen den Firewalls bleibt die Verbindung im Hintergrund bestehen (aus 

Sicherheitsgründen allerdings nur maximal 15 min). Es müssen keine neuen Schlüsselpaare generiert werden. 

Benutzerrecht erkennen 

Im laufenden Betrieb können Firewalls hinzugefügt und gelöscht werden. Es wird sofort geprüft, ob die Firewall 

erreichbar ist und die Login-Daten richtig sind. 

Die Rechte, die der Benutzer (z. B. Administrator) hat, werden durch die Farbe des Firewall-Icons auf der 

Auswahlleiste angezeigt: 

Weiß: 

Normaler Benutzer 

Es sind nur Security Manager Benutzerrechte vorhanden. Das heißt, es können nur Logfiles 

und Reports gesichtet werden (Abb. Anzeige Benutzerrecht - Normaler Benutzer). 

Abb. Anzeige Benutzerrecht - Normaler Benutzer 

Rot: 

Benutzer ist Administrator 

Der Security Manager User hat Administratorrechte (Abb. Anzeige Benutzerrecht - 

Benutzer ist Administrator). 

Abb. Anzeige Benutzerrecht - Benutzer ist Administrator 

Seite 33


2.5 Optionen 

Über den Bereich Optionen stellen Sie grundlegende Server-Optionen ein. Fast alle Einstellungen des 

Securepoint Servers sind hier durchführbar. Andernfalls nutzen Sie das Programm nconfig auf der Konsole. 

(Siehe Kapitel 9.3) 

Abb. Menüleiste mit Icon Optionen 

‣Der Aufruf des Bereichs Optionen erfolgt über das Menü Bearbeiten Optionen oder 

als Schnellauswahl über das Icon Optionen. 

Daraufhin öffnet sich das Fenster Optionen, in dem Sie Buttons für die ausführbaren Optionen vorfinden. Über 

die Menüleiste können Sie die Darstellung der Optionen verändern. 

Abb. Fenster Optionen, Darstellungsform: Liste mit Kurzbeschreibung 

Seite 34


Hier finden Sie eine kurze Übersicht der Optionen mit einem Verweis auf das Kapitel, in dem Sie näheres über 

die entsprechenden Optionen erfahren: 

Auswahl-Buttons Optionen 

Option Kurzbeschreibung Kapitel 

Benutzerverwaltung: Anlegen, bearbeiten, löschen von Benutzern 2.5.1 

Backup: 

Speichern, aufspielen von Backups und Rücksicherungen per 

Diskette oder USB-Stick, Aufspielen von Patches 

2.5.2 

Patch: Patchmanager zum Online-Aufspielen von Patches 2.5.3 

Fehlerreport: 

Server: 

Versand von Firewall-Fehlerreports inkl. Konfiguration an 

Securepoint Support per Email 

Einstellung von Verschlüsselungstiefe, Datum, Uhrzeit; 

Anhalten und rebooten der Firewall 

2.5.4 

2.5.5 

Server-Dienste: Starten, anhalten, anzeigen von Server-Diensten 2.5.6 

Proxy/Blocking: Konfiguration des Squid-Proxies 2.5.7 

Kernel-Einstellungen: Änderung der statischen Linux Kernel-Einstellungen 2.5.8 

PPTP: Einstellung von Point-to-Point-VPN-Verbindungen 2.5.9 

Dienste: Anlegen, bearbeiten, löschen von Diensten 2.5.10 

Dienstgruppen: Zusammenfassung von Diensten in Gruppen 2.5.11 

Rechner/Netze: Anlegen, bearbeiten, löschen von Rechnern/Netzsegmenten 2.5.12 

Rechnergruppen: Zusammenfassung von Rechnern in Gruppen 2.5.13 

Netzwerk 

Grundkonfiguration: 

Konfiguration des Netzwerkes 2.5.14 

Erweitertes Routing: Anlegen, bearbeiten, löschen von erweiterten Routen 2.5.15 

Virtuelle IP-Adressen: Anlegen, bearbeiten, löschen von virtuellen IP-Adressen 2.5.16 

NAT: Festlegung von Network Address Translation 2.5.17 

Reportmail Einstellungen: Konfiguration von Alarm- und Report-Emails 2.5.18 

Interfaces: Anlegen, bearbeiten, löschen von Interfaces 2.5.19 

ISDN: ISDN-Konfiguration bei Nutzung einer ISDN-Karte 2.5.20 

ADSL: ADSL-Konfiguration bei Nutzung eines ADSL-Modems 2.5.21 

Viruswall: Administration einer installierten TrendMicro Viruswall 2.5.22 

Hinweis: Ist bestimmte Software etc. (beispielsweise Virenscanner) nicht installiert, erscheint diese Option nicht 

im Fenster Optionen. 

Seite 35


2.5.1 Benutzerverwaltung 

Über die Option Benutzerverwaltung können Sie Benutzer verwalten, d. h. anlegen, bearbeiten, löschen. 

‣Der Aufruf der Option Benutzerverwaltung erfolgt über das Fenster Optionen Icon Benutzerverwaltung. 

Abb. Fenster Benutzerverwaltung 

Abb. Menüleiste Benutzerverwaltung 

Menü: Benutzerverwaltung 

Hinzufügen: 

Löschen: 

Choice-Feld: 

Hinzufügen eines neuen Benutzers der Firewall 

Löschen eines ausgewählten Benutzers 

Anzeige der Benutzergruppen 

Beachten Sie, dass beim Einloggen über den Security Manager (Client) auf den Firewall 

Server Ihr Login und Passwort bei der Installation des Servers von Ihnen angegeben 

worden ist. Dies hat sich gegenüber vorherigen Securepoint Versionen geändert! 

Seite 36


2.5.1.1 Benutzer bearbeiten 

Hinzufügen eines neuen Benutzers 


‣Klicken Sie auf das Icon Hinzufügen. 

Es öffnet sich das Dialog-Fenster Dateneingabe (Abb. Dialog-Fenster Hinzufügen von Benutzern). 

‣Tragen Sie die notwendigen Angaben in das Dialog-Fenster ein. 


Abb. Dialog-Fenster Hinzufügen von Benutzern 


Name: 

Login: 

Email: 

Passwort: 

Bestätigung: 

Gruppe: 

Name des Benutzers 

Login des Benutzers 

Email-Adresse des Benutzers 

Passwort des Benutzers 

Passwort-Bestätigung des Benutzers 

Es können verschiedene Benutzergruppen ausgewählt werden: 

Administrator, Benutzer (nur für Firewall-Reports), VPN-Benutzer (betrifft nur PPTP-VPN), 

Squid-Benutzer (Benutzer, die den Squid-Proxy verwenden) 

Beachten Sie: Wenn Sie PPTP-VPN nutzen, müssen Sie hierfür ebenfalls Benutzer 

eintragen (siehe Kapitel 5.2.1). 

Löschen von Benutzern 


‣Wählen Sie den zu löschenden Benutzer aus (Abb. Fenster Benutzerverwaltung). 

‣Klicken Sie auf das Icon Löschen. 

Seite 37


2.5.1.2 Benutzergruppen 

Hier erhalten Sie Informationen über die Definition von Benutzergruppen. 

Abb. Dialog-Fenster Benutzergruppen 

Die Benutzergruppen bestehen aus: 

Administrator: 

Benutzer: 

VPN-Benutzer: 

Squid-Benutzer: 

Administratoren der Firewall 

Einfache Benutzer, die lediglich Reports abfragen können 

PPTP-VPN-Benutzer (Dies betrifft nicht IPSec!) 

Benutzer des Squid-Proxys 

Administrator 

Administratoren sind in der Lage, die Securepoint Firewall über den Security Manager zu verwalten. Falls es in 

Ihrem Unternehmen mehrere Administratoren für die Firewall gibt, empfehlen wir Ihnen, diese auch einzeln auf 

der Firewall anzulegen, da später auch im Admin-Logfile zu sehen ist, welche Änderung, welcher Administrator, 

wann durchgeführt hat. 

Beachten Sie: Anhand der eingetragenen Email-Adresse werden auch periodisch alle 

24 Stunden die Logfiles an den entsprechenden Administrator geschickt. 

Benutzer 

Normale Benutzer können sich ebenfalls wie der Administrator auf der Firewall über den Security Manager 

einloggen. Sie können aber nur die Logfiles und Reports einsehen. 

VPN-Benutzer (betrifft nur das PPTP Protokoll) 

PPTP-Benutzer können sich per VPN auf der Firewall einloggen. Wenn Sie für den Punkt PPTP IP eine IP-Adresse 

eintragen, bekommt der Benutzer von der Firewall immer im Tunnel diese IP-Adresse zugewiesen. Falls Sie den 

Stern * (Joker) stehen lassen, bekommt er eine IP-Adresse aus einem Pool zugewiesen. 

Squid-Benutzer (Squid-Proxy) 

Mit der Firewall haben Sie auch die Möglichkeit, über einen Applikations-Proxy für http, https und ftp eine 

Benutzer-Authentisierung zu konfigurieren. Sie können hierfür auch lokale Benutzer anlegen. 

Seite 38


2.5.2 Backup 

Über die Option Backup ist es Ihnen möglich, Backups Ihrer Einstellungen einzuspielen oder zu machen. 

‣Der Aufruf der Option Backup erfolgt über das Fenster Optionen Icon Backup. 

Es öffnet sich das Dialog-Fenster Backup (Abb. Dialog-Fenster Backup). 

Abb. Dialog-Fenster Backup 

Sichern der Firewall-Konfiguration auf Diskette oder USB-Stick 

Sie können Ihre bestehende Firewall-Konfiguration auf Diskette oder USB-Stick sichern. 


‣Die Diskette oder der USB-Stick muss dabei in den Securepoint Firewall Server eingelegt werden. 

‣Wählen Sie das entsprechende Sicherungsmedium über die Backup-Funktion aus. 

‣Klicken Sie auf den Button Speichern, um eine Sicherung durchzuführen. 

Aufspielen von Sicherungen oder Patches 

Über die Sicherung können Sie ebenfalls Ihre Einstellungen wieder aufspielen oder Patches auf der Firewall 

installieren. (Weitere Informationen zu Patches finden Sie unter Kapitel 2.5.3) 


‣Legen Sie hierzu die erzeugte Patch- oder Sicherungs-Diskette in das Laufwerk des Firewall Servers. 

‣Klicken Sie auf den Button Laden oder Patch aufspielen. 

Beachten Sie: Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information. 

Seite 39


Bedienung über die Konsole 

Sie können diese Sicherung auch direkt an der Konsole der Firewall durchführen. 

‣Wechseln Sie durch Drücken der Tasten ALT und F2 auf eine freie Konsole und loggen sich als User root ein. 

Führen Sie folgende Befehle bei Bedarf aus: 

backup.sh usb 

backup.sh floppy 

restore.sh usb 

restore.sh floppy 

Sichern der Konfiguration auf USB-Stick 

Sichern der Konfiguration auf Diskette 

Rücksichern der Konfiguration von USB-Stick 

Rücksichern der Konfiguration von Diskette 

Beachten Sie: Über den Security Manager können Sie auch von Ihrem Arbeitsplatz 

unterschiedliche Konfigurationen oder Backups speichern oder laden (Kapitel 6). 

Beachten Sie: Sie haben neben der lokalen Speicherung Ihrer Daten der Firewall auch 

die Möglichkeit, ein Disketten-Backup auf der Firewall über den Security Manager 

anzustoßen. Beachten Sie bitte, dass die Diskette hierzu in der Firewall eingelegt sein 

muss und nicht auf Ihrem Windows Rechner. Es empfiehlt sich, in regelmäßigen 

Abständen ein Backup durchzuführen. 

Achtung: Spielen Sie niemals ältere Backups der Versionen Securepoint 1.X, 2.X oder 

3.X ein. Dies kann zu Schäden an Ihrer Firewall führen. 

Seite 40


2.5.3 Patch 

Über die Option Patch können Sie sehr bequem aktuelle Patches und neue Software-Versionen auf der Firewall 

installieren. 

‣Der Aufruf der Option Patch erfolgt über das Fenster Optionen Icon Patch. 

Es öffnet sich das Dialog-Fenster Patch (Abb. Dialog-Fenster Patch). 

Dabei wird automatisch eine Verbindung zum Securepoint-Updateserver aufgebaut. Alle verfügbaren Patches 

Ihres Firewall Servers sowie alle verfügbaren Patches auf dem Securepoint-Updateserver werden aufgelistet 

und können einfach geladen und installiert werden. 

Abb. Dialog-Fenster Patch 

Patch einspielen 

Falls neue Patche zur Verfügung stehen, werden sie in der linken Spalte (mögliche Patche) angezeigt. 


‣Über den Herunterladen Button können Sie den Patch auf Ihre Firewall laden. 

‣Über die Liesmich Funktion erfahren Sie genaueres über den Patch. 

‣Mit dem Button Installieren installieren Sie den Patch auf Ihrer Firewall. 

Beachten Sie: Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information. 

Eventuell ist es nötig, dass Ihr Server nach dem Einspielen eines neuen Patches neu gestartet werden muss. 

Wichtig: Sichern Sie vorher immer eine aktuelle Server-Konfiguration! 

Beachten Sie: Diese Option funktioniert nur, wenn Sie auch einen Nameserver in 

Ihrer Firewall Konfiguration eingetragen haben und die Firewall eine Verbindung zum 

Internet hat. 

Seite 41


2.5.4 Fehlerreport 

Über die Option Fehlerreport können Sie direkt eine Problembeschreibung an den Securepoint Support senden, 

die Konfiguration der Firewall wird hierbei zusätzlich übermittelt. 

Beachten Sie, dass als Minimumvoraussetzung eine Verbindung zum Internet besteht 

und ein Nameserver eingetragen sein muss, der erreichbar ist. 

‣Der Aufruf der Option Fehlerreport erfolgt über das Fenster Optionen Icon Fehlerreport. 

Es öffnet sich das Dialog-Fenster Fehlerreport (Abb. Dialog-Fenster Fehlerreport). 

Abb. Dialog-Fenster Fehlerreport 

Fehlerreport senden 


‣ Tragen Sie alle notwendigen Daten und Ihre Problembeschreibung in das Dialog-Fenster ein. 

‣ Schicken Sie die Email, in dem Sie auf den Button Senden klicken. 

Beachten Sie: Führen Sie diese Option bitte nur aus, wenn Sie vom Support dazu 

aufgefordert werden. Ansonsten wird dieser Report nicht bearbeitet. 

Eingabefelder 

Firma: 

Name: 

Email: 

Problembeschrbg: 

Ihre Firma 

Ihr Name 

Ihre Emailadresse 

Ihre Problembeschreibung 

Seite 42


2.5.5 Server 

Sie können mit der Option Server grundlegende Server-Befehle ausführen. 

‣Der Aufruf der Option Server erfolgt über das Fenster Optionen Icon Server. 

Es öffnet sich das Dialog-Fenster Server (Abb. Dialog-Fenster Server). 

Abb. Dialog-Fenster Server 

Herunterfahren und Neu Starten 

‣ Über den Button Herunterfahren können Sie den Firewall Server herunterfahren. 

‣ Über den Button Neu Starten können Sie den Firewall Server neu starten. 

Beachten Sie, falls Sie den Server über diese Funktion herunterfahren, können Sie ihn 

nur vom Server-Standort wieder starten. 

Verschlüsselung 

Über die Server richten Sie ebenfalls die Verschlüsselungstiefe vom Security Manager zum Securepoint Server 

(Server-Schlüssel) ein. Falls Sie den Firewall Server vom externen Netz/Internet administrieren, sollten Sie eine 

hohe Verschlüsselung eintragen. Die Datenübertragung ist dann sicherer, wird aber verlangsamt. 


‣ Wählen Sie über das Auswahlfeld die Verschlüsselungstiefe. 

‣ Speichern Sie Ihre Angaben mit dem Button Speichern. 

Einstellungen von Datum und Zeit 

‣ Wählen Sie über das Auswahlfeld die entsprechenden Zeit-/Datumsangaben. 

‣ Speichern Sie Ihre Angaben mit dem Button Speichern. 


Verschlüsselung: 

Datum: 

Zeit: 

Auswahl der Verschlüsselung 

Einstellen des Datums 

Einstellen der Uhrzeit 

Seite 43


2.5.6 Server-Dienste 

Sie können über die Option Server-Dienste verschiedene Dienste auf der Firewall starten, stoppen und einen 

Dienst mit Autostart markieren. Dies bewirkt, dass bei jedem Neustart des Firewall Servers der Dienst 

automatisch mitgestartet wird. Nicht mit Autostart gekennzeichnete Dienste müssen nach einem Neustart des 

Servers explizit von Hand gestartet werden. 

‣Der Aufruf der Option Server-Dienste erfolgt über das Fenster Optionen Icon Server Dienste. 

Es öffnet sich das Fenster Server-Dienste (Abb. Fenster Server-Dienste). 

Abb. Fenster Server-Dienste 

Bearbeiten von Server-Diensten 


‣Wählen Sie einen Dienst aus. 

‣Klicken Sie auf den Button Start, um diesen Dienst zu starten. 

‣Klicken Sie auf den Button Autostart, damit bei einem Neustart des Servers dieser Dienst automatisch 

gestartet wird. 

Beachten Sie: Auf der Firewall befinden sich einige Applikationen (Dienste), die Sie 

starten und beenden können. Durch die Funktion Autostart wird der Dienst auch nach 

dem Neustart des Firewall Servers neu gestartet. 

Anzeige 

Dienstname: 

Autostart: 

Zustand: 

Name des Dienstes 

Kennzeichnung der Dienste, die auf Autostart gesetzt sind durch grünen Haken 

Darstellung der aktuellen Aktion (gestartet, gestoppt) 

Seite 44


Neue Server-Dienste hinzufügen 

Um neue Server-Dienste hinzuzufügen, müssen Sie sich auf dem Firewall Server an der Konsole einloggen. 

Wechseln Sie dann in das Verzeichnis und editieren Sie die Datei: 

/opt/securepoint4.0/conf/services.ini 

Die services.ini-Datei ist folgendermaßen aufgebaut, z. B.: 

... 

Service01=squid 

Execute01=/etc/rc.d/init.d/squid 

Setstartup01=0 

Startup01=S25squid 

Process01=squid 

... 

Service02=pptp 

Execute02=/etc/rc.d/init.d/pptp 


Startup02=S26pptp 

Process02=pptp 

Wenn Sie einen neuen Dienst auf dem Firewall Server installiert haben, fügen Sie folgende Daten in die Datei 

services.ini ein: 

Service0n= "Name des Dienstes auf dem Security Manager" 

Execute0n= "Verzeichnis / Dienst-Programm" 

Setstartup0n= "1 für Autostart ja, 0 für Autostart nein" 

Startup0n= "Startreihenfolge der Dienste, z. B.: S80name" 

Process0n= "Prozessname auf dem Server" 

n für Zahl 

Beispiel für das Sendmail-Programm: 

Service04=sendmail 

Execute04=/etc/rc.d/init.d/sendmail 


Startup04=S80sendmail 

Process04=sendmail 

Seite 45


2.5.7 Proxy/Blocking 

Der Hauptzweck des Applikations-Proxies ist die Kommunikation mit einem Server anstatt des tatsächlichen 

Clienten. Der Proxy steht Ihnen für die Protokolle http, https und ftp zur Verfügung. Der Proxy hat auch eine 

Cache-Funktion. 

‣Der Aufruf der Option Proxy erfolgt über das Fenster Optionen Icon Proxy/Blocking. 

Es öffnet sich das Dialog-Fenster Proxy (Abb. Dialog-Fenster Proxy). 

Abb. Dialog-Fenster Proxy 

Folgende Einstellungen sind nach Auswahl der einzelnen Folder (Menü) möglich: 

Menü: Proxy 

Grundkonfiguration: Basis-Einstellungen des Proxys (siehe Kapitel 2.5.7.1) 

Transparent: Einstellungen transparenter Proxy (siehe Kapitel 2.5.7.2) 

Erweitert: Einstellungen erweiterterter Proxy (siehe Kapitel 2.5.7.3) 

Blocking: Aktivieren/deaktivieren und anlegen von Blocking-Listen (siehe Kapitel 2.5.7.4) 

No Blocking: Zulassen von nur definierten URLs für Proxy-Benutzer (siehe Kapitel 2.5.7.5) 

Proxy über Firewall-Regel aktivieren 

In Kapitel 11.1.2 finden Sie ein Beispiel zur Konfiguration des Proxies der Firewall. 

Beachten Sie: Beim Erststart des Proxies findet eine Initialisierung statt. Dabei 

werden alle Verzeichnisse angelegt und der Dienst gestartet. Dies kann eventuell etwas 

dauern. Bei einem Reboot der Firewall wird der Proxy-Dienst nicht automatisch mit 

gestartet. Sie können den Start des Proxies automatisieren. (Kapitel 2.5.6) 

Seite 46


2.5.7.1 Proxy: Grundkonfiguration 

Der Proxy steht Ihnen für die Protokolle http, https und ftp zur Verfügung. 

Für die Einstellungen gehen Sie folgendermaßen vor: 

‣ Wählen Sie den Folder Grundkonfiguration aus. 

‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Proxy, Grundkonfiguration). 

‣ Aktivieren und speichern Sie Ihre Angaben durch Klicken des Buttons Speichern. 

Abb. Dialog-Fenster Proxy, Grundkonfiguration 


Proxy-Port: 

Email: 

Downloadgröße: 

Bei Proxy-Port können Sie den Port einstellen, auf den der Proxy hört. Wählen Sie hier die 

Port-Adresse 3128 oder 8080 aus. Sie können jedoch auch einen individuellen Port 

eintragen. Diese Ports werden bei den Clienten wie z. B. Web-Browsern für die Protokolle 

http, https/ssl und ftp verwendet. Diesen Port müssen Sie bei Ihrem Internet Browser als 

Proxy-Port eintragen. 

Für den FTP-User sollten Sie eine Email-Adresse eintragen. Sie dient als Passwort für das 

Einloggen auf einem öffentlich zugänglichen FTP Server. Die Email-Adresse des Cache- 

Managers erscheint im Browser des Anwenders, wenn er eine Fehlermeldung vom Proxy 

bekommt. 

Unter Punkt Downloadgröße können Sie die maximale Größe von Downloads festlegen. 

Blocking-Listen 

Wenn Sie den Punkt Blocking-Listen verwenden aktivieren, können Sie URLs nach 

verwenden: Schlüsselwörtern durchsuchen und sperren. (Kapitel 2.5.7.4) 

Anonymizer: 

Wenn Sie den Anonymizer aktivieren. wird der User-Agent (die Signatur) des Browsers 

verändert. Beachten Sie: Diese Einstellung ist mit Vorsicht zu behandeln, da es dazu 

führen kann, dass Webseiten, die auf bestimmte Browser optimiert sind, nicht mehr 

korrekt dargestellt werden können. 

Seite 47


2.5.7.2 Proxy: Transparent 

Wenn Sie den Proxy auf transparent schalten, brauchen Sie bei den Clients (Browsern) keinen Proxy mehr 

explizit eintragen. Der User merkt quasi nicht, dass er über einen Proxy ins Internet geht. Sie können in diesem 

Folder festlegen, für welche Zone Sie den Proxy transparent schalten möchten. 


‣ Wählen Sie den Folder Transparent aus. 

‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Proxy, Transparent). 


Abb. Dialog-Fenster Proxy, Transparent 

Eingabefelder 

Transparenter Proxy: Wenn Sie den Proxy auf transparent schalten, brauchen Sie bei den Clients (Browsern) 

keinen Proxy mehr explizit eintragen. 

Zonen: 

Auswahl der Zonen, für die der Proxy transparent geschaltet werden soll. 

Beachten Sie: Ist die Funktion Transparenter Proxy aktiv, steht Ihnen keine User- 

Authentisierung über den Proxy mehr zur Verfügung! 

Beachten Sie: Die Funktion Transparenter Proxy gilt nur für das http-Protokoll und 

nicht für https oder ftp. 

Seite 48


2.5.7.3 Proxy: Erweitert 

In diesem Folder finden Sie erweiterte Einstellungsmöglichkeiten des Proxy. 


‣ Wählen Sie den Folder Erweitert aus. 

‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb.Dialog-Fenster Proxy, Erweitert). 


Abb. Dialog-Fenster Proxy, Erweitert 

Eingabefelder 

Authentifizierung: Zur Authentifizierung können Sie einen Radius- bzw. Mircosoft2000 IAS-Server 

verwenden. Unter WindowsNT 4.0 ist der IAS-Server im Option-Pack enthalten. 

(Genauere Beschreibungen von Einstellungen und Konfigurationen finden Sie unter 

http://www.securepoint.org. Hier ist ein komplettes Konfigurationsbeispiel vorhanden.) 

Radius-Server: 

IP-Adresse: 

Passwort: 

Bestätigung: 

Verwenden Sie einen Radius-Server (unter Windows heißt dieser IAS-Server), benutzen 

Sie hiermit eine externe Userdatenbank. 

Die IP-Adresse des Radius- bzw. IAS-Servers 

Ein Passwort, um sich bei dem Radius- bzw. IAS-Server Server zu authentisieren. 

Die Passwort-Bestätigung 

Lokale 

Userdatenbank: (Kapitel 2.5.1) 

Die zweite Möglichkeit ist die Verwendung der lokalen Securepoint Userdatenbank. 

Kaskadieren: 

Forwarding Proxy: 

Forwarding Port: 

Mit Kaskadieren können Sie den Proxy der Firewall auf einen anderen Proxy weiterleiten 

(zum Beispiel einen Virenscanner wie die TrendMicro Viruswall). 

Ist die IP-Adresse des Proxies, auf den kaskadiert wird. 

Ist der Port des Proxies, auf den kaskadiert wird. 

Seite 49


2.5.7.4 Proxy: Blocking 

In diesem Folder können Sie Blocking-Listen anlegen und aktivieren. Falls Sie verhindern möchten, dass in 

Ihrem Unternehmen bestimmte Websites angesurft werden sollen, stehen Ihnen die Listen zur Sperrung von 

Webseiten zur Verfügung. 

Haben Sie im ersten Folder der Proxy-Einstellungen Blocking-Listen verwenden aktiviert (siehe Kapitel 2.5.7.1), 

können Sie nun hier die Blocking-Listen definieren und konfigurieren. Es gibt vordefinierte Gruppen, Sie können 

aber auch selbst Listen erstellen. 


‣Wählen Sie den Folder Blocking aus (Abb. Fenster Proxy, Blocking). 

‣Ein Doppelklick auf die Gruppe macht die Gruppe aktiv. Dies wird durch einen grünen Haken in der Tabelle 

gekennzeichnet. 

‣Zum Aktivieren einer Gruppe, drücken Sie auf den Button Aktualisieren. 

‣Löschen Sie eine Gruppe, indem Sie in der Gruppen-Tabelle eine Gruppe auswählen und klicken auf den 

Button Löschen. Die Gruppe Single file kann nicht gelöscht werden. Über den Button Hochladen können Sie 

eine beliebige Datei als Blocking-Liste abspeichern. Dies ist eine normale Textdatei mit Schlüsselwörtern. 

‣Bearbeiten Sie eine Gruppe, indem Sie auf den Button Bearbeiten drücken. Sie erhalten ein Fenster, in das 

Sie die Begriffe eintragen können. 

‣Mit dem Button Neu können Sie eine neue Gruppe anlegen. 

‣Über den Button Hochladen können Sie eine allgemeine Blocking-Liste auf den Server abspeichern. Die 

Gruppe wird als single file gekennzeichnet. 

Abb. Fenster Proxy, Blocking 

Seite 50


2.5.7.5 Proxy: No Blocking 

Über Proxy: No Blocking können Sie Webseiten bestimmen, die eine Ausnahme, zu den unter Proxy: Blocking 

definierten gesperrten Webseiten, darstellen. 


‣Wählen Sie den Folder Blocking aus (Abb. Fenster Proxy, No Blocking). 

‣Ein Doppelklick auf die Gruppe macht die Gruppe aktiv. Dies wird durch einen grünen Haken in der Tabelle 

gekennzeichnet. 

‣Zum Aktivieren einer Gruppe, drücken Sie auf den Button Aktualisieren. 

‣Löschen Sie eine Gruppe, indem Sie in der Gruppen-Tabelle eine Gruppe auswählen und klicken auf den 

Button Löschen. Die Gruppe Single file kann nicht gelöscht werden. Über den Button Hochladen können Sie 

eine beliebige Datei als Blocking-Liste abspeichern. Dies ist eine normale Textdatei mit Schlüsselwörtern. 

‣Bearbeiten Sie eine Gruppe, indem Sie auf den Button Bearbeiten drücken. Sie erhalten ein Fenster, in das 

Sie die Begriffe eintragen können. 

‣Mit dem Button Neu können Sie eine neue Gruppe anlegen. 

‣Über den Button Hochladen können Sie eine allgemeine Blocking-Liste auf den Server abspeichern. Die 

Gruppe wird als single file gekennzeichnet. 

Abb. Fenster Proxy, No Blocking 

Seite 51


2.5.8 Kernel-Einstellungen 

Die Option Kernel-Einstellungen nutzen Sie, um am Kernel des Firewall Servers Parameter zu ändern. 

‣Der Aufruf der Option Kernel-Einstellungen erfolgt über das Fenster Optionen Icon Kernel-Einstellungen. 

Daraufhin öffnet sich das Dialog-Fenster Kernel-Einstellungen (Abb. Dialog-Fenster Kernel-Einstellungen). 

Beachten Sie: Die Einstellungen sind in der Regel schon optimal in der Standard- 

Konfiguration vorgenommen. Es können jedoch Fälle eintreten, die Änderungen 

erfordern. Dies sollte in jedem Fall nur von einem erfahrenen Administrator durchgeführt 

werden. 

Abb. Dialog-Fenster Kernel-Einstellungen 

Eingabefelder 

ALTERED_PINGS: 

AUDIT_MOUNT: 

COREDUMP: 

DMESG: 

RAND_IP_IDS: 

Die icmp-Meldung echo-reply wird auf die gleiche ID des hereinkommenden echorequest 

geändert. Somit kann über die ID nicht ermittelt werden, um welches 

Betriebssystem es sich beim Firewall Server handelt. 

Es wird geloggt, ob ein Speichermedium (Festplatte, CD-ROM, Floppy etc.) ge- oder 

entmounted wird (Konsole: /var/log/messages). 

Ein coredump wird im BSD-Format ausgegeben. 

Kernel-Messages sind nur für root lesbar. 

Das ID-Feld eines ausgehenden Pakets wird per Zufallsgenerator generiert. Diese 

Funktion erschwert es einem potentiellen Angreifer, ebenfalls das Betriebsystem des 

Firewall Servers zu ermitteln. 

RAND_PIDS: Die PID-Nummern für die Server-Dienste werden über einen speziellen 

Zufallsgenerator generiert. 

RAND_TCP_SRC: 

Für tcp-Pakete wird der Source-Port per Zufallsgenerator ermittelt, anstatt einfach nur 

hochgezählt. 

Seite 52


RAND_TTL: 

SECURE_KBMAP: 

FORKFAIL_LOGGING: 

SIGNAL_LOGGING: 

SUID_ROOT_LOGGING: 

Das ttl (time to live) eines Pakets wird per Zufallsgenerator ermittelt. Das erschwert 

einem Angreifer, das Betriebssystem des Firewall Servers zu ermitteln. 

Änderung der Keyboardeinstellungen werden geloggt (Konsole: /var/log/messages). 

Überschrittene Prozess-Limits werden geloggt (Konsole: /var/log/messages). 

Programm-Fehler werden geloggt (Konsole: /var/log/messages). 

Befehlsausführungen mit root-Rechten werden geloggt (Konsole: 

/var/log/messages). 

TIMECHANGE_LOGGING: Zeitänderungen des Servers werden geloggt (Konsole: /var/log/messages). 

GRSEC_LOCK: 

Die angegeben Kernel-Parameter sind schreibgeschützt. Wenn dieser Parameter 

angegeben ist, sind Änderungen an den anderen Parametern erst nach einem 

Neustart des Firewall Servers aktiv. 

LASTRULE_LOGGING: "L": Alle Verbindungen, die nicht erlaubt sind, werden im vollen Umfang geloggt. 

"S": 

Es werden nur drei Abläufe einer Verbindung pro Minute geloggt. 

" ": Es wird keine nicht erlaubte Verbindung geloggt. 

TMP_BLOCKING: 

MULTIPLE_LOGIN: 

Der Firewall Server erkennt folgende Scans: nmap xmas, syn/rst, syn/fin und null 

scan. Ist der Punkt tmp_blocking aktiviert, wird die IP-Adresse, die diesen Scan 

durchführt, automatisch für 5 Minuten komplett geblockt! 

Ist der Parameter aktiviert, können sich mehrere Benutzer gleichzeitig mit dem 

Security Manager auf der Firewall einloggen. Ist er nicht aktiviert, kann sich nur ein 

Benutzer zur Zeit auf dem Firewall Server einloggen. 

Beachten Sie: Verliert der Security Manager aus irgendeinem Grund die Verbindung 

zum Server, kann es bis zu 15 Minuten dauern, bis eine neue Anmeldung wieder 

möglich ist. 

Seite 53


2.5.9 PPTP VPN 

Bis jetzt ist die bekannteste VPN-Technologie PPTP von Microsoft. IPSec ist ein wesentlich höherer 

Sicherheitsstandard. PPTP unterstützt den Windows-PPTP-Client Ihres Windows Betriebssystems. Erweiterte 

Angaben und Beispiele zur Konfiguration finden Sie unter Kapitel 5.2. 

‣Der Aufruf der Option PPTP VPN erfolgt über das Fenster Optionen Icon PPTP. 

Es öffnet sich das Dialog-Fenster PPTP (Abb. Dialog-Fenster PPTP, Allgemeine Einstellungen). 

2.5.9.1 PPTP-Einstellungen 

Allgemeine Einstellungen 


‣Wählen Sie den Folder Allgemein aus. 

‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP Allgemeine Einstellungen). 

‣Speichern Sie Ihre Angaben mit dem Button Speichern. 

Abb. Dialog-Fenster PPTP Allgemeine Einstellungen 

Eingabefelder 

PPTP-Interface: 

PPTP-Adresspool: 

Das PPTP Interface ist ein virtuelles Interface, welches beim Start des PPTP Servers 

hochfährt. 

Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP Clients ihre IP-Adresse für den 

Tunnel beziehen. Der Adresspool kann von – bis eingeschränkt werden. 

Seite 54




‣Wählen Sie den Folder Verschlüsselung aus. 

‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP Verschlüsselung). 


Abb. Dialog-Fenster PPTP Verschlüsselung 



Silmutane Verb.: 

Wählen Sie die Verschlüsselungstiefe 128 / 40 Bit. 

Wählen Sie die Anzahl der Verbindungen, die simultan verfügbar sind. 

NS / WINS 


‣Wählen Sie den Folder NS/WINS aus. 

‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP NS/WINS). 


Die Angaben werden dem PPTP-Client neben seiner IP-Adresse zugewiesen. 

Abb. Dialog-Fenster PPTP NS/WINS 

Eingabefelder 

erster NS: 

zweiter NS: 

erster WINS: 

zweiter WINS: 

IP-Adresse des ersten Nameservers 

IP-Adresse des zweiten Nameservers 

IP-Adresse des ersten WINS-Servers 

IP-Adresse des zweiten WINS-Servers 

Seite 55


2.5.10 Dienste 

Sollten Dienste, die Sie benötigen, noch nicht vorhanden sein, können Sie diese neu anlegen. Ein Daten-Paket 

hat einen Quell- und Ziel-Port bei den Protokollen tcp/udp. Der Quell-Port wird meist zufällig ermittelt und liegt 

häufig in den Bereichen zwischen 1024 und 65535. Wenn Sie einen neuen Dienst hinzufügen möchten, können 

Sie sowohl den Quell- als auch den Ziel-Bereich genau eingrenzen. Falls Sie Applikationen nutzen, die nicht 

eingetragen sind und die andere Ports verwenden, informieren Sie sich in den Handbüchern der jeweiligen 

Applikationen und erweitern Sie diese Liste. Danach stehen Ihnen diese Dienste in den Firewall-Regeln zur 

Verfügung. 

‣Der Aufruf der Option Dienste erfolgt über das Fenster Optionen Icon Dienste. 

Es öffnet sich das Fenster Dienste (Abb. Fenster Dienste). 

Abb. Fenster Dienste 

Abb. Menüleiste Dienste 

Menü: Dienste 

Hinzufügen: 

Löschen: 

Hinzufügen eines neuen Dienstes 

Löschen eines ausgewählten Dienstes 

Seite 56


Hinzufügen eines Dienstes 

Falls Sie einen Dienst benötigen, den Sie hier nicht vorfinden, können Sie auch selbst Dienste erstellen. 

Abb. Dialog-Fenster Dienste hinzufügen 



‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Dienste hinzufügen). 



Name: 

Name des Dienstes 

Protokoll: Protokoll des Dienstes. Hier können Sie auch die Nummer des Protokolls eingeben (z. B. 

GRE hätte die Protokoll-Nummer 47) 

Quell-Port: 

Ziel-Port: 

Quell-Port des Dienstes 

Ziel-Port des Dienstes 

Protokolle definieren 

Sie können ebenfalls neue Protokolle definieren: 


‣Geben Sie einen Namen in das Feld Name ein (Abb. Dialog-Fenster Dienste hinzufügen). 

‣Geben Sie die Protokoll-Nummer in das Feld Protokoll ein. 


Dienste löschen 


‣Wählen Sie den zu löschenden Dienst aus (Abb. Fenster Dienste). 


Seite 57


2.5.11 Dienstgruppen 

Sie können einzelne Dienste, die zusammengehören, zu einer Dienstgruppe zusammenfassen und so die 

Firewall-Regeln übersichtlicher gestalten. Um Dienste im Regelwerk verwenden zu können, müssen Sie diese in 

eine Dienstgruppe legen. 

Beispielsweise ist es sinnvoll: 

• den dns-Dienst, der aus domain-tcp und domain-udp besteht, zu einer Gruppe dns zusammenzufassen oder 

• den mail-Dienst, der z. B. aus imap, pop3 und smtp besteht, zu einer Gruppe mail zusammenzufassen 

Diese Dienstgruppen finden Sie schon vordefiniert vor. Sie können diese jedoch einfach verändern oder neue 

Dienstgruppen hinzufügen. 

‣Der Aufruf der Option Dienstgruppen erfolgt über das Fenster Optionen Icon Dienstgruppen. 

Es öffnet sich das Dialog-Fenster Dienstgruppen (Abb. Dialog-Fenster Dienstgruppen). 

Abb. Dialog-Fenster Dienstgruppen 

Inhalte von Dienstgruppen ändern 

Sie können Dienste einfach aus der Dienstgruppe hinzufügen oder entfernen, ohne die Firewall-Regel ändern zu 

müssen. Die Firewall-Regeln müssen lediglich neu gestartet werden. 

‣Drücken Sie hierfür das Icon Regelupdate. 

Abb. Menüleiste mit Icon Regelupdate 

Informationen zur Arbeit mit Firewall-Regeln finden Sie in Kapitel 3. 

Seite 58


2.5.12 Rechner/Netze 

In dieser Option werden alle Rechner oder Netzsegmente Ihres Netzwerkes angelegt und verwaltet. 

‣Der Aufruf der Option Rechner/Netze erfolgt über das Fenster Optionen Icon Rechner/Netze. 

Es öffnet sich das Fenster Definition Rechner/Netze (Abb. Fenster Rechner/Netze). 

Abb. Fenster Rechner/Netze 

Abb. Menüleiste Rechner/Netze 

Menü: Rechner/Netze 

Rechner Hinzufügen: 

Netz Hinzufügen: 

Löschen: 

Hinzufügen eines neuen Rechners 

Hinzufügen eines neuen Rechner-Netzes 

Löschen eines ausgewählten Rechners/Netzes 

Seite 59


Hinzufügen eines neuen Rechners/Netzes 

Abb. Dialog-Fenster Rechner hinzufügen 

Falls Sie einen Rechner oder ein neues Netz benötigen, gehen Sie folgendermaßen vor: 

‣Klicken Sie auf das Icon Rechner hinzufügen oder Netz hinzufügen. 

‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Rechner hinzufügen). 

‣Speichern Sie Ihre Angabe, indem Sie auf den Button Speichern klicken. 


Name: 

IP-Adresse: 

Maske: 

Zone: 

Statische NAT: 

Gruppe: 

Name des Rechners/Netzes 

IP-Adresse des Rechners/Netzes 

Netzmaske des Rechners/Netzes, d. h. die Größe des Netzes 

Zone (Sektor), in der sich der Rechner/das Netz befindet 

Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse 

(virtuelle IP-Adresse) auf eine private durchzuführen 

Das Netzwerkobjekt kann in eine bereits vorhandene Rechnergruppe importiert werden. 

Wählen Sie dann diese dort aus. Beachten Sie: Falls Sie gleichzeitig eine neue 

Rechnergruppe erzeugen wollen, wählen Sie das Feld aus. Es wird dann eine 

Gruppe erzeugt und das Objekt automatisch in sie gelegt. 

Statische NAT 

Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse (virtuelle IP-Adresse) auf 

eine private durchzuführen. Z. B. ist auf dem externen Interface der Firewall eine virtuelle IP-Adresse 

installiert, die auf einen Webserver in der DMZ zeigen soll. Tragen Sie in Statische NAT die öffentliche IP 

(virtuelle IP-Adresse) des Webservers ein. Der Firewall Server erkennt automatisch, auf welchem Interface die 

NAT-Adresse eingetragen ist. 

Den Namen, den Sie definieren, können Sie frei wählen. Wenn Sie einen einzelnen Rechner definieren, geben 

Sie die Netzwerkmaske Host an. Wenn Sie ein Netz definieren, die entsprechende Maske. Zum Beispiel für ein 

Class-C Netz die Netzwerkmaske 24. Beachten Sie bitte, dass Sie die richtige Zone der Firewall wählen (siehe 

Kapitel 1.1). Den Punkt Statische NAT brauchen Sie, wenn Sie zum Beispiel einen Webserver mit einer privaten 

Adresse in der DMZ vom Internet aus erreichbar machen wollen. (Beispiel Kapitel 11.1.3) 

Löschen eines Rechners/Netzes 

Falls Sie einen Rechner oder ein Netz löschen wollen, gehen Sie folgendermaßen vor: 

‣Wählen Sie den zu löschenden Rechner/Netz aus (Abb. Fenster Rechner/Netze). 


Seite 60


2.5.13 Rechnergruppen 

Sie müssen Rechner/Netzsegmente, die zusammengehören, zu einer Gruppe zusammenfassen, um die Objekte 

in den Firewall-Regeln verwenden zu können. 

‣Der Aufruf der Option Rechnergruppen erfolgt über das Fenster Optionen Icon Rechnergruppen. 

Es öffnet sich das Dialog-Fenster Rechnergruppen (Abb. Dialog-Fenster Rechnergruppen). 

Abb. Dialog-Fenster Rechnergruppen 

Inhalte von Rechnergruppen ändern 

Sie können Rechner einfach aus der Rechnergruppe hinzufügen oder entfernen, ohne die Firewall-Regel ändern 

zu müssen. Die Firewall-Regeln müssen lediglich neu gestartet werden. 

‣Drücken Sie hierfür das Icon Regelupdate. 

Abb. Menüleiste mit Icon Regelupdate 

Informationen zur Arbeit mit Firewall-Regeln finden Sie in Kapitel 3. 

Seite 61


2.5.14 Netzwerk Grundkonfiguration 

In der Option Netzwerk Grundkonfiguration tragen Sie die grundlegenden Eigenschaften Ihres Netzwerkes ein. 

‣Der Aufruf der Option Netzwerk Grundkonfigurationen erfolgt über das Fenster Optionen Icon Netzwerk 

Grundkonfigurationen. 

Es öffnet sich das Dialog-Fenster Netzwerk Grundkonfigurationen (Abb. Dialog-Fenster Netzwerk Grundkonfiguration). 

Abb. Dialog-Fenster Netzwerk Grundkonfiguration 


‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein. 


Eingabefelder 

Default Route: 

Hostname: 

Domainname: 

erster NS: 

zweiter NS: 

IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet 

werden kann 

Eigener Rechnername der Firewall 

Domainname bezeichnet die Internet-Domain, in der sich der Firewall Server befindet 

IP-Adresse eigener Nameserver, falls vorhanden 

IP-Adresse weiterer Nameserver, falls vorhanden 

Default Route 

Default Route ist die IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet 

werden kann. Das bedeutet, wenn in Ihrem Netzwerk eine Anfrage erzeugt wird, prüft die Firewall, ob die 

Daten ins Internet geschickt werden sollen oder z. B. in eine DMZ. Das Default Gateway / Default Route ist 

normalerweise der Router vor dem externen Interface der Firewall. Sollten Sie über eine eingebaute ISDN-Karte 

in der Firewall oder ein angeschlossenes ADSL-Modem an der Firewall in das Internet gelangen, müssen Sie in 

das Feld nichts eintragen, da die Default Route dann dynamisch bei jeder Einwahl der Firewall neu gesetzt wird. 

Seite 62


Hostname 

Sie können der Firewall ebenfalls einen eigenen Hostnamen geben. Hostname der Firewall ist der Rechnername. 

Domainname 

Der Domainname bezeichnet die Internet-Domain, in der sich der Firewall Server befindet. 

Nameserver 

Falls Sie in den Netz-Bereichen einen internen und/oder externen Nameserver zur Verfügung haben, können 

Sie diesen hier eintragen. Die Nameserver sind wichtig, falls Sie sich die Reports der Firewall periodisch alle 24 

Stunden zusenden lassen möchten und wenn Sie den Applikationsproxy für http, https und ftp verwenden 

möchten. Auch zum Online-Einspielen von Patches über die Option Patch ist der Nameserver erforderlich! 

Seite 63


2.5.15 Erweitertes Routing 

Unter der Option Erweitertes Routing können Sie statische Routen auf der Firewall bearbeiten. Die Option dient 

dazu, die internen Netze zu finden, die nicht direkt an der Firewall angeschlossen sind. Um zu ermöglichen, 

dass Datenpakete zu einem internen Netz gelangen können, das über ein Gateway (z. B. einen Router) 

angeschlossen ist, müssen der Firewall diese Informationen mitgeteilt werden, da sonst diese Daten-Pakete 

zum Default Gateway geschickt werden. 

‣Der Aufruf der Option Erweiteres Routing erfolgt über das Fenster Optionen Icon Erweiteres Routing. 

Es öffnet sich das Fenster Erweitertes Routing (Abb. Fenster Erweitertes Routing). 

Abb. Fenster Erweitertes Routing 

Abb. Menüleiste Erweitertes Routing 

Menü: Erweitertes Routing 

Hinzufügen: 

Löschen: 

Hinzufügen einer neuen Route 

Löschen einer Route 

Seite 64


Hinzufügen einer neuen Route 

Abb. Dialog-Fenster Route hinzufügen 



‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Route hinzufügen). 



Netzwerk: 

Maske: 

Gateway: 

Interface: 

IP-Adresse des neuen Netzes 

Netzmaske des Netzes 

IP-Adresse des Gateways 

Interface der Firewall, über das das Netz geroutet wird 

Löschen einer Route 


‣Wählen Sie die zu löschende Route aus (Abb. Fenster Erweitertes Routing). 


Seite 65


2.5.16 Virtuelle IP-Adressen 

Über die Option Virtuelle IP-Adressen haben Sie die Möglichkeit, an den Interfaces zusätzliche IP-Adressen 

einzurichten. Zusätzliche IP-Adressen an den Interfaces sind wichtig, wenn Sie mehrere gleichartige Dienste in 

den internen oder den DMZ/SSN-Netzen ansprechen möchten. Beispielsweise haben Sie in der DMZ mehrere 

Webserver, die über unterschiedliche IP-Adressen angesprochen werden sollen. Die Firewall kann hiermit 

unterscheiden, welcher Webserver gemeint ist. 

‣Der Aufruf der Option Virtuelle IP-Adressen erfolgt über das Fenster Optionen Icon Virtuelle IP-Adressen. 

Es öffnet sich das Fenster Virtuelle IP-Adressen (Abb. Fenster Virtuelle IP-Adressen). 

Abb. Fenster Virtuelle IP-Adressen 

Abb. Menüleiste Virtuelle IP-Adressen 

Menü: Virtuelle IP-Adressen 

Hinzufügen: 

Löschen: 

Hinzufügen einer neuen virtuellen IP-Adresse 

Löschen einer ausgewählten virtuellen IP-Adresse 

Seite 66


Hinzufügen einer virtuellen IP-Adresse 

Abb. Dialog-Fenster Virtuelle IP-Adresse hinzufügen 



‣Tragen Sie die Daten in das Dialog-Fenste ein (Abb. Dialog-Fenster Virtuelle IP-Adressen hinzufügen). 



IP: 

Maske: 

Interface: 

Virtuelle IP-Adresse 

Netzmaske der virtuellen IP-Adresse 

Interface, an das die neue virtuelle IP-Adresse gebunden ist 

Beachten Sie: Der Name des virtuellen Interfaces wird automatisch generiert und 

enthält den Namen des tatsächlichen Interface sowie eine fortlaufende Nummer. 

Virtuelle IP-Adressen können Sie auf allen Interfaces hinzufügen. Sie werden auch im 

Zusammenhang für das statische NAT gebraucht. 

Löschen einer virtuellen IP-Adresse 


‣Wählen Sie die zu löschende IP aus (Abb. Fenster Virtuelle IP-Adresse). 


Seite 67


2.5.17 NAT - Network Address Translation 

Die Verwendung der Option NAT (Network Address Translation) ermöglicht es Ihnen, die Netze hinter der 

Firewall zu verbergen. Sprich: welches Netz „verstecken“ Sie durch Hide NAT (auch Masquarading genannt) vor 

welchem Netz. 

Die Securepoint Firewall übernimmt dabei automatisch die Umsetzung. Je nachdem wie viele Netzwerkkarten 

Sie zur Verfügung haben, können Sie regeln, zwischen welchen Netzbereichen Sie NAT betreiben. Alle 

möglichen Beziehungen der Netze werden Ihnen hierfür automatisch angezeigt. 

‣Der Aufruf der Option NAT erfolgt über das Fenster Optionen Icon NAT. 

Es öffnet sich das Dialog-Fenster NAT (Abb. Dialog-Fenster NAT). 

Abb. Dialog-Fenster NAT 

Festlegung NAT 


‣Legen Sie fest, in welcher Richtung Sie NAT betreiben möchten. 

‣Zum Aktivieren speichern Sie Ihre Eingabe mit dem Button Speichern. 

Eingabefelder 

Beziehungen: 

Die Bedeutung von beispielsweise NAT Internal External ist, dass die IP-Adressen aus 

dem internen Netz vom externen Netz her nicht zu sehen sind. Umgekehrt ist dies aber 

der Fall. 

Seite 68


2.5.18 Reportmails Einstellungen 

Damit Benutzer Reports oder Alarmierungen per Email erhalten können, werden unter der Option Reportmails 

Einstellungen die Benutzer ausgewählt. 

‣Der Aufruf der Option Reportmails Einstellungen erfolgt über das Fenster Optionen Icon Reportmails 

Einstellungen. 

Es öffnet sich das Dialog-Fenster Report mailen (Abb. Dialog-Fenster Report mailen). 

Abb. Dialog-Fenster Mail Report 

Email senden 


‣Geben Sie die notwendigen Daten in das Dialog-Fenster ein. 

‣Speichern Sie Ihre Eingabe mit dem Button Speichern. 


Empfänger: 

Reporttypen: 

Email: 

Auswahl der Benutzergruppe 

Sie können einem Benutzer alle Reporttypen zuweisen, die dann direkt alle 24 Stunden an 

ihn gesandt werden. Alarme werden in Echtzeit versandt. 

Tragen Sie die Email-Adressen ein, an die der Alarm gesendet werden soll. 

Seite 69


2.5.19 Interfaces 

Bei der Installation Ihres Securepoint Firewall & VPN Servers haben Sie die Interfaces (Netzwerkkarten) schon 

grundlegend eingestellt. Diese Einstellungsdaten finden Sie hier jetzt wieder. 

Die Interfaces sind, je nachdem, ob Sie 2 bis 16 Netzwerkkarten (Securepoint Version Office: 2 Netzwerkkarten, 

Version Business: 8, Professional: 16) bzw. eine ISDN-Karte verwenden, mit den Namen: 

• für Ethernet, 16 Netzwerkkarten: eth0, eth1, eth2, eth3, eth4... eth15 

• für ADSL, 16 Netzwerkkarten: PPPOE, eth1, eth2, eth3, eth4... eth15 

• für ISDN, 15 Netzwerkkarten: ISDN, eth0, eth1, eth2, eth3... eth14 

bezeichnet. 

Sie können hier auch explizit erlauben, welches Interface pingbar sein soll, ohne dafür eine Regel im Regelwerk 

zu schreiben. 

‣Der Aufruf der Option Interfaces erfolgt über das Fenster Optionen Icon Interfaces. 

Es öffnet sich das Dialog-Fenster Interfaces (Abb. Dialog-Fenster Interfaces). 

Abb. Dialog-Fenster Interfaces 





IP Adresse: 

Maske: 

MAC Adresse: 

Zone: 

Ping erlaubt: 

IP-Adresse des Interfaces 

Auswahl der Netzmaske bzw. Eingabe 

kein Eintrag 

kein Eintrag 

Aktivierung, ob dieses Interface angepingt werden kann 

Seite 70


Das externe Interface - externes Netz 

Das externe Interface (Externes Netz) kann hierbei jeweils nur eine der folgenden Bezeichnungen besitzen: 

• eth0 

• PPPOE (ADSL) 

• ISDN 

Das bedeutet, dass Sie immer nur eine Ethernet- oder eine ISDN-Karte am externen Interface betreiben 

können. 

Die internen Interfaces - interne Netz/DMZ/SSN 

Die internen Netze (wie internes Netz und DMZ/SSN-Netze) haben immer die Bezeichnungen: 

• eth1, eth2, eth3, eth4... eth15 

Ethernet-Konfiguration 

In diesem Beispiel besitzt die Firewall mehrere Ethernet-Karten. Die Bezeichnung der Interface ist: eth0, eth1, 

eth2. Die Zuordnung der Interface zu den Netzbereichen des Firewall Servers ist: 

• eth0: EXTERNAL 

• eth1: INTERNAL 

• eth2: DMZ1 

ADSL-Modem-/Ethernet-Konfiguration 

Die Firewall besitzt eine Ethernet-Karte am externen Interface, an das ein ADSL-Modem angeschlossen ist. Das 

Protokoll PPPOE wird dabei unterstützt. Die Zuordnung der Interfaces zu den Netzbereichen des Firewall 

Servers ist: 

• ADSL: EXTERNAL 



ISDN-Karte-/Ethernet-Konfiguration 

In diesem Beispiel besitzt die Firewall eine ISDN-Karte am externen Interface: 

• ISDN: EXTERNAL 



Seite 71


2.5.20 ISDN 

Falls Sie eine ISDN-Karte als externes Interface der Firewall verwenden, können Sie die Einstellungen für die 

Einwahl Option ISDN vornehmen. 

‣Der Aufruf der Option ISDN erfolgt über das Fenster Optionen Icon ISDN. 

Es öffnet sich das Dialog-Fenster ISDN (Abb. Dialog-Fenster Interfaces). 

Abb. Dialog-Fenster ISDN 




Eingabefelder 

Vorwahl: 

Telefon-Nr.: 

EAZ-Nr.: 

ISP-Login: 

ISP-Passwort: 

Statische IP: 

Lokal: 

Entfernt: 

Inaktivitätszeit: 

VJ-Kompression: 

Vorwahl des Providers 

Telefonnummer des Providers 

Nummer des ausgehenden Anrufs 

Login, das Sie vom Provider erhalten haben 

Passwort, das Sie vom Provider erhalten haben 

Aktivierung, wenn Sie eine feste IP-Adresse von Provider erhalten haben 

IP-Adresse Ihres Rechners/Firewall 

IP-Adresse des Providers 

ist die Zeit, nach der die Firewall automatisch die Verbindung zum Internet trennt, wenn 

keine Daten über die Leitung gesendet bzw. empfangen werden. 

Komprimierungsverfahren des PPP-Protokolls 

BSD-Kompression: Komprimierungsverfahren des PPP-Protokolls 

Kanalbündelung: 

Bündeln der Leitung zur doppelten Bandbreitennutzung 

Seite 72


2.5.21 ADSL 

Falls Sie die externe Netzwerkkarte Ihrer Firewall an ein ADSL-Modem angeschlossen haben, können Sie die 

Einwahl über die Option ADSL konfigurieren. 

‣Der Aufruf der Option ADSL erfolgt über das Fenster Optionen Icon ADSL. 

Es öffnet sich das Dialog-Fenster ADSL (Abb. Dialog-Fenster ADSL, allgemeine Einstellungen). 


Abb. Dialog-Fenster ADSL, allgemeine Einstellungen 


‣Wählen Sie den Folder allgemein. 



Eingabefelder 

Inaktivitätszeit: 

MTU: 

Inaktivitätszeit ist die Zeit, nach der die Firewall automatisch die Verbindung zum Internet 

trennt, wenn keine Daten über die Leitung gesendet bzw. empfangen werden. 

Paketgröße 

Seite 73


Login-Einstellungen 

Abb. Dialog-Fenster ADSL, Login-Einstellungen 


‣Wählen Sie den Folder Login. 



Eingabefelder 

Login: 

Passwort: 

Login-Einstellungen werden von Ihrem Provider bereitgestellt, um sich zu authentisieren 

Eingabe Passwort und Bestätigung 

IP-Einstellungen 

Geben Sie zur Konfiguration des ADSL-Interfaces, die Daten, die Sie von Ihrem Provider bekommen haben, ein. 

Die angegebenen IP-Adressen sind nur für das Point-to-Point-Interface (ppp0), wenn es gerade nicht 

eingewählt ist. Die IP-Adressen sollten nur verändert werden, wenn es zu Adresskonflikten mit vorhanden IP- 

Adressen Ihres Netzwerks führt. 

Abb. Dialog-Fenster ADSL, IP-Einstellungen 

Eingabefelder 

Lokal: 

Entfernt: 

IP-Adresse des Rechners/Firewall 

IP-Adresse des Providers 

Seite 74



‣Wählen Sie den Folder IP-Adresse. 



DynDns 

Mit der DynDns-Funktion haben Sie die Möglichkeit, das ADSL-Interface für den DynDns-Dienst zu 

konfigurieren. Sie müssen sich dazu erst bei Dynamic Network Services Inc. registiereren lassen. Weitere 

informationen zu diesem Dienst finden Sie unter folgender Web-Adresse: http://www.dyndns.org. 

Abb. Dialog-Fenster ADSL, DynDns-Einstellungen 

Eingabefelder 

DynName: 

Passwort: 

Login: 


Name, den Sie bei der Anmeldung bei „dyndns“ erhalten haben 

Passwort 

Login 

Auswahl des Servers 


‣Wählen Sie den Folder DynDns. 



Seite 75


2.5.22 Viruswall 

Die Option Viruswall dient der Konfiguration des Virenscanners Viruswall von TrendMicro. 

‣Der Aufruf der Option Viruswall erfolgt über das Fenster Optionen Icons Viruswall. 

Die Virenscanner sind meist als Pakete auf der Securepoint CD-ROM vorhanden und können bei der Installation 

mit angegeben werden. Falls Sie zur Installation der Securepoint einen Virenscanner ausgewählt haben, ist 

dieser schon vorinstalliert auf dem Server vorhanden. 

Sollten Sie einen anderen Virenscanner verwenden wollen, wenden Sie sich gern auch an unseren Support bzgl. 

der Kompatibilität. 

Abb. Dialog-Fenster Login Viruswall 

Abb. Fenster Viruswall 

Seite 76


3 Arbeiten mit Firewall-Regeln 

In diesem Kapitel finden Sie allgemeine Informationen über den Umgang mit Firewall-Regeln. Die Beziehungen 

zwischen den Rechnergruppen werden hierbei geregelt. Es wird gesteuert, was eine Gruppe von Rechnern darf 

oder nicht darf. 

3.1 Firewall-Regeln (tabellarisch) 

Sie können sich die Firewall-Regeln in tabellarischer Form anzeigen lassen. 

Abb. Menüleiste mit Icon Regeln (tabellarisch) 

‣Der Aufruf der Firewall-Regeln (tabellarisch) erfolgt über das Menü Bearbeiten Regeln (tabellarisch) oder 

als Schnellauswahl über das Icon Regeln (tabellarisch). 

Daraufhin öffnet sich das Fenster Regeln (tabellarisch) mit der aktuellen globalen Regelübersicht in 

tabellarischer Form. 

Abb. Fenster Firewall-Regeln mit Menüleiste und erweitertem Menü 

Seite 77


Sie haben die Möglichkeit, über die Menüleiste des Regel-Fensters (Abb. Menüleiste Regeln (tabellarisch)) 

Regeln zu bearbeiten. 

Abb. Menüleiste Regeln (tabellarisch) 

Menü: Regeln (tabellarisch) 

Neue Regel: 

Regel einfügen: 

Regelgruppierung einfügen: 

Regel ändern: 

Regel löschen: 

Gruppeninhalt anzeigen: 

Gruppeninhalt verstecken: 

Erstellen einer neuen Firewall-Regel 

Einfügen einer Firewall-Regel vor der ausgewählten Position 

Einfügen einer Regelgruppe vor der ausgewählten Position 

Ändern einer ausgewählten Regel 

Löschen einer ausgewählten Regel 

Löschen einer ausgewählten Regelgruppe 

Anzeige des ausgewählten Regelgruppeninhaltes 

Verbergen des Regelgruppeninhaltes 

Auswahl erweitertes Menü 

‣Über die rechte Maustaste erhalten Sie das Menü zum Bearbeiten der Regeln und den Objekten 

(Abb. Fenster Firewall-Regeln und erweitertem Menü). 

Auswahl Menüpunkte 

Rechner/Netze: 

Rechnergruppen: 

Dienste: 

Dienstgruppen: 

Neue Regel: 

Regel einfügen: 

Regel ändern: 

Regel löschen: 

Regelgruppierung einfügen: 

Schnellauswahl zum Erstellen von neuen Rechnern/Netzen 

Schnellauswahl zum Erstellen von neuen Rechnergruppen 

Schnellauswahl zum Erstellen von neuen Diensten 

Schnellauswahl zum Erstellen von neuen Dienstgruppen 

Erstellen einer neuen Firewall-Regel 

Einfügen einer Firewall-Regel vor der ausgewählten Position 

Ändern einer ausgewählten Regel 

Löschen einer ausgewählten Regel 

Löschen einer ausgewählten Regelgruppe 

Einfügen einer Regelgruppe vor der ausgewählten Position 

Seite 78


3.1.1 Firewall-Regeln bearbeiten 

Erstellen einer neuen Regel 


‣Klicken Sie auf das Icon Neue Regel, um eine neue Regel zu erstellen. 

Es öffnet sich das Dialog-Fenster (Abb. Dialog-Fenster Neue Regel). 


‣Speichern Sie Ihre Regel über den Button Regel speichern. 

Wird einen neue Regel erstellt, können Sie sehr einfach erkennen, ob die Regel schon auf dem Firewall-Server 

aktiv ist. In der Spalte ID (Abb. Fenster Firewall-Regeln mit Menüleiste und erweitertem Menü) wird die 

Nummer der Regel zusätzlich mit einem Stern * gekennzeichnet, wenn die Regel noch nicht aktiv ist. 

Abb. Dialog-Fenster Neue Regel 

Eingabe- und Auswahlfenster 

von Rechnergruppe: 

zu Rechnergruppe: 

Dienstgruppe: 

Art: 

Wählen Sie die Rechnergruppe aus, von der der Zugriff kommt 

Wählen Sie die Rechnergruppe aus, zu der der Zugriff geht 

Wählen Sie die Dienstgruppe aus, die den Zugriff definiert 

Wählen Sie die Art des Zugriffs aus. Dieser kann sein: 

ACCEPT: 

DROP: 

REJECT: 

DISABLED: 

Der Zugriff soll akzeptiert werden 

Der Zugriff soll zurückgewiesen werden 

Der Zugriff soll zurückgewiesen werden, wobei eine ICMP-Meldung 

(destination unreachable) an den Anfragenden gesendet wird 

Die Regel soll vorerst nicht aktiv sein (dies kann vorkommen, wenn 

Sie die Regel schon definiert haben, aber erst zu einem späteren 

Zeitpunkt aktivieren wollen) 

Seite 79


Log: 

Hier definieren Sie, wie der Zugriff geloggt werden soll: [ ]: Es wird nicht geloggt 

[S]: 

[L]: 

steht für Short-Logging (3 Pakete innerhalb einer Minute pro 

Verbindung) 

steht für Long-Logging (alle Pakete werden geloggt) 

Zeitvorgaben: 

Hier können Sie definieren, ob die Regel nur zu bestimmten Zeiten aktiv sein soll 

oder grundsätzlich durchgeführt wird. Schalten Sie dieses Flagg auf: 

false: 

true: 

wenn die Regel immer aktiv sein soll 

wenn die Regel nur zu bestimmten Zeiten aktiv sein soll. Ist dies der 

Fall, erhalten Sie zusätzliche Auswahlmöglichkeiten zur Eingrenzung 

der Zeit, siehe (Abb. Neue Regel erstellen mit Zeiteinstellung) 

Bemerkung: 

Sie haben ebenfalls die Möglichkeit, eine Bemerkung zu jeder Regel einzufügen. Dies 

dient Ihnen dazu, Ihre Regeln übersichtlich zu gestalten 

Erstellen einer zeitabhängigen Regel 

Eine Regel darf möglicherweise nur zu bestimmten Zeiten aktiv sein. Dies ist durch eine einfache Einstellung 

möglich (Abb. Dialog-Fenster Neue Regel mit Zeiteinstellung). 


‣Setzen Sie beim Punkt Zeitvorgaben das Flagg auf true. Hier können Sie definieren, ob die Regel nur zu 

bestimmten Zeiten aktiv sein soll oder grundsätzlich durchgeführt wird. Ist dies der Fall, erhalten Sie 

zusätzliche Auswahlmöglichkeiten zur Eingrenzung der Zeit. 

‣Definieren Sie die Zeiten, wann die Regel aktiv sein soll. 

‣Speichern Sie Ihre Angaben mit dem Button Regel speichern. 

Abb. Dialog-Fenster Neue Regel mit Zeiteinstellung 

Seite 80


Einfügen einer Firewall-Regel 


‣Klicken Sie eine Regel an, vor der die neue Regel eingefügt werden soll. 

‣Klicken Sie auf das Icon Regel einfügen. 

Dann öffnet sich das Dialog-Fenster der Regel (Abb. Dialog-Fenster Neue Regel). 

Ändern einer Firewall-Regel 

Gehen Sie folgendermaßen vor. 

‣Klicken Sie die zu bearbeitende Regel an. 

‣Klicken Sie auf das Icon Regel ändern. 

Dann öffnet sich das Dialog-Fenster der Regel (Abb. Dialog-Fenster Regel ändern). 

‣Ändern Sie jetzt die Angaben entsprechend. 

‣Speichern Sie Ihre Angaben mit dem Button Regel speichern. 

Abb. Dialog-Fenster Regel ändern 

Löschen einer Firewall-Regel 


‣Klicken Sie die zu löschende Regel an (Abb. Fenster Firewall-Regeln mit Menüleiste und erweitertem Menü). 

‣Klicken Sie auf das Icon Regel löschen. 

Seite 81


3.1.2 Regelgruppen 

Zur übersichtlicheren Darstellung haben Sie die Möglichkeit, Regeln in Gruppen zusammenzustellen. 

Abb. Regelgruppen 

Einfügen einer Regelgruppe 


‣Klicken Sie eine Regel/Regelgruppe an, vor der die neue Regelgruppe eingefügt werden soll. 

‣Klicken Sie auf das Icon Regelgruppierung einfügen. 

Gruppeninhalt einer Regelgruppe anzeigen 


‣Klicken Sie eine Regelgruppe an, die Sie sich anzeigen lassen möchten. 

‣Klicken Sie auf das Icon Regelgruppierung anzeigen 

oder 

‣Doppelklick auf die Regelgruppe. 

Gruppeninhalt einer Regelgruppe verstecken 


‣Klicken Sie eine Regelgruppe an, die Sie verbergen möchten. 

‣Klicken Sie auf das Icon Regelgruppierung verstecken 

oder 

‣Doppelklick auf die Regelgruppe. 

Seite 82


3.1.3 Aktivieren von Regeln 

Abb. Bereich Menüleiste mit Icon Regelupdate 

‣Aktivieren Sie Ihre Regeln, indem Sie das Icon Regelupdate drücken. Ihre Regeln sind nun aktiv. 

3.1.4 Regelwerk durch Verschieben optimieren 

Mit dem Verschieben von Regeln haben Sie die Möglichkeit, das Regelwerk zu optimieren. 

‣Klicken Sie auf die ID der Regel und verschieben Sie sie an die gewünschte Position. 

Beachten Sie: Optimieren bedeutet in diesem Fall, dass ein Datenpaket nicht alle 

Regeln der Firewall durchlaufen muss. Z. B. kann eine Broadcast-Meldung, die Sie nicht 

durchlassen wollen, durch eine Regel, die am Anfang steht, sofort abgefangen werden. 

Die weiteren Regeln müssen dann nicht mehr abgearbeitet werden! Hiermit ist die 

Performance der Firewall besser genutzt! 

Seite 83


3.1.5 Anzeigen/Bearbeiten der Inhalte von Rechnergruppen 

‣Durch Doppelklick auf eine Rechnergruppe können Sie sich den Inhalt einer Rechnergruppe anzeigen lassen. 

‣Über den Button Hinzufügen können Sie weitere Rechner/Netze der Regelgruppe hinzufügen. 

‣Durch Doppelklick des Rechner/Netzes löschen Sie diesen. 

Abb. Anzeige einer Rechnergruppe 

3.1.6 Anzeigen der Inhalte von Dienstgruppen 

‣Durch Doppelklick auf eine Dienstgruppe können Sie sich den Inhalt einer Dienstgruppe anzeigen lassen. 

Abb. Anzeige einer Dienstgruppe 

Seite 84


3.2 Firewall-Regeln grafisch 

Sie haben die Möglichkeit, Ihr Regelwerk übersichtlich in grafischer Form darzustellen und zu bearbeiten. 

Abb. Menüleiste mit Icon Regeln (tabellarisch) 

‣Der Aufruf der Option Firewall-Regeln (grafisch) erfolgt über das Menü Bearbeiten Regeln (grafisch) oder 

als Schnellauswahl über das Icon Regeln (grafisch). 

Daraufhin öffnet sich das Fenster Regeln (grafisch) mit der aktuellen Regelübersicht in grafischer Form. 

Abb. Fenster Firewall-Regeln (grafisch) mit Menüleiste 

Das Fenster Regeln (grafisch) unterteilt sich in folgende Bereiche: 

Bereich 

Gruppierung: 

Neue Regeln: 

Darstellung: 

Sie können sich einzelne Regeln nach bestimmten Gruppierungen darstellen 

Nur die neuen Regeln werden angezeigt, die noch nicht über ein Regelupdate auf der 

Firewall aktiviert sind 

Sie können in diesem Bereich gut erkennen, welche Rechnergruppen über welche Dienste 

auf was zugreifen. In der Abb. Firewall-Regel (grafisch) können Sie beispielsweise 

ersehen, welche Rechnergruppen auf das Internet zugreifen. 

Seite 85


Sie haben die Möglichkeit, über die Menüleiste des Regel-Fensters (Abb. Menüleiste Regeln (grafisch)) Regeln 

zu bearbeiten. 

Abb. Menüleiste Regeln (grafisch) 

Menü: Regeln (grafisch) 

Neue: 

Von: 

Nach: 

Intern: 

Ohne: 

Rechnergruppen 

nur neue Regeln werden angezeigt 

nur Regeln von der ausgewählten Gruppe werden angezeigt 

nur Regeln nach der ausgewählten Gruppe werden angezeigt 

nur interne Regeln werden angezeigt 

keine Gruppierung, alle Regeln werden angezeigt 

Erstellen von neuen Regeln, Rechnergruppen 

mit Choice-Feld: 

Dienstgruppen 

Erstellen von neuen Regeln, Dienstgruppen 

mit Choice-Feld: 

Eingabe beenden: 

Arbeitsblatt löschen: 

Sortieren: 

Beenden der Eingabe 

Löscht das Arbeitsblatt (es wird nur die Ansicht gelöscht) 

Die Regeln werden so sortiert; gleichartige Dienste werden 

zusammengefasst 

Seite 86


3.2.1 Darstellung von Regeln 

Button Neue 

‣Über den Button Neue können Sie sich alle neuen Regeln ansehen, die noch nicht über das Regelupdate auf 

der Firewall aktiviert sind. Diese Regeln sehen Sie im Fenster Neue Regeln (Abb. Neue Regeln). 

‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten. 

Abb. Neue Regeln 

Button Von 

‣Der Button Von aktiviert das Fenster Gruppierung [Von] (Abb. Gruppierung [Von]). 

‣Wählen Sie jetzt die Rechnergruppe, von der Sie alle abgehenden Verbindungen und Dienste zu Ihren 

Rechnergruppen sehen möchten. Diese Regeln werden nun angezeigt. 


Abb. Gruppierung [Von] 

Seite 87


Button Nach 

‣Der Button Nach aktiviert das Fenster Gruppierung [Nach] (Abb. Gruppierung [Nach]). 

‣Wählen Sie jetzt die Rechnergruppe, zu der Sie alle abgehenden Verbindungen und Dienste von Ihren 

Rechnergruppen sehen möchten. Diese Regeln werden nun angezeigt. 


Abb. Gruppierung [Nach] 

Button Intern 

‣Der Button Intern zeigt alle Regeln, die in den internen Bereichen vorhanden sind. Externe Regeln werden 

nicht dargestellt. 


Abb. Intern 

Seite 88


Button Ohne 

‣Der Button Ohne zeigt alle Regeln an. Alle Rechnergruppen mit den abgehenden Verbindungen und Diensten 

zu den definierten Rechnergruppen werden angezeigt (Abb. Ohne). 


Abb. Ohne 

Seite 89


3.2.2 Erstellen von Regeln 

Sie haben in diesem Bereich die Möglichkeit, neue Regeln anzulegen. 


‣Klicken Sie zuerst auf das Icon Rechnergruppen und wählen Sie eine Rechnergruppe über das Choice-Feltd 

aus. 

‣Klicken Sie auf die Arbeitsfläche. Jetzt erscheint die Rechnergruppe auf der Arbeitsfläche. 

‣Wählen Sie die zweite Rechnergruppe aus und klicken Sie wiederum auf die Arbeitsfläche. Diese 

Rechnergruppe wird jetzt ebenfalls auf der Arbeitsfläche angezeigt (Abb. Neue Regel erstellen, Rechner auf 

der Arbeitsfläche anlegen). 

‣Klicken Sie auf das Icon Dienstgruppen und wählen Sie eine Dienstgruppe über das Choice-Feld aus. 

‣Klicken Sie auf die erste Rechnergruppe, die Sie angelegt haben (Abb. Neue Regel erstellen, Rechner auf 

der Arbeitsfläche anlegen) und danach auf die zweite Rechnergruppe. 

Die Regel ist nun angelegt. 

Abb. Neue Regel erstellen, Rechner auf der Arbeitsfläche anlegen 

Abb. Neue Regel erstellen, Dienste anlegen 

Seite 90


3.2.3 Bearbeiten von Regeln 

Sie haben in diesem Bereich ebenfalls die Möglichkeit, Ihr Regelwerk zu bearbeiten. 

‣Durch Klick mit der rechten Maustaste auf eine Dienstgruppe öffnen Sie das Menü zum Bearbeiten oder 

Löschen einer Regel (Abb. Menü). 

Abb. Menü 

Bearbeiten einer Regel 



Löschen einer Regel (Abb. Menü). 

‣Klicken Sie auf den Menü-Punkt Eigenschaften, um die Regel zu bearbeiten (Abb. Dialog-Fenster Regel 

ändern). 

‣Klicken Sie auf den Button Regel speichern, um Ihre Angaben zu speichern. 


Löschen einer Regel 



Löschen (Abb. Menü). 

‣Klicken Sie auf den Menü-Punkt Löschen, um die Regel zu löschen. 

Seite 91


Anzeigen/Bearbeiten der Inhalte von Rechnergruppen 

‣Durch Doppelklick auf eine Rechnergruppe können Sie sich den Inhalt einer Rechnergruppe anzeigen lassen. 

‣Durch Klicken auf den Button Hinzufügen, fügen Sie weitere Rechner/Netze der Regelgruppe hinzu. 

‣Durch Doppelklick des Rechner/Netzes löschen Sie diesen. 

Abb. Anzeige einer Rechnergruppe 

Anzeigen der Inhalte von Dienstgruppen 

‣Durch Doppelklick auf eine Dienstgruppe können Sie den Inhalt einer Dienstgruppe anzeigen. 

Abb. Anzeige einer Dienstgruppe 

Seite 92


4 Netzwerk-Topologie 

Im Bereich Netzwerk-Topologie können Sie sich von der Topologie Ihres Netzwerkes sehr einfach einen 

Überblick verschaffen. 

Abb: Menüleiste mit Icon Netzwerk-Topologie 

‣Der Aufruf der Bereichs Netzwerk-Topologie erfolgt über das Menü Bearbeiten Netzwerk-Topologie oder 

als Schnellauswahl über das Icon Netzwerk-Topologie. 

Daraufhin öffnet sich das Fenster Netzwerk-Topologie. 

Hier werden Zonen, Rechner(netze), erweitertes Routing und virtuelle IPs grafisch dargestellt. Es besteht die 

Möglichkeit selbige neu anzulegen, zu bearbeiten und zu löschen. 

Abb. Fenster Netzwerk-Topologie mit Menüleiste 

Seite 93


Sie haben die Möglichkeit über die Menüleiste (Abb. Menüleiste Netzwerk-Topologie) des Fenster-Netzwerk- 

Topologie zu arbeiten. 

Abb. Menüleiste Netzwerk-Topologie 

Menü: Netzwerk-Topologie 

Drucken: 

Rechner hinzufügen: 

Netz hinzufügen: 

Druckt das Fenster 

Hinzufügen eines neuen Rechners zu einer Zone 

Hinzufügen eines neuen Netzes zu einer Zone 

Rechner in FW-Zone hinzufügen: Hinzufügen eines neuen Rechners in eine Firewall-Zone 

Erweitertes Routing: 

Virtuelle IP-Adresse: 


Markiertes Objekt löschen: 

Rechner, der als Router fungieren soll, auswählen 

Virtuelle IP-Adresse einer Zone hinzufügen 


Löschen eines Rechners/Netzes 

Seite 94


4.1 Bearbeiten der Topologie 

Anlegen von Objekten 


‣Klicken Sie auf das Icon Rechner hinzufügen oder Netz hinzufügen und danach auf die Zone. 

‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Rechner hinzufügen). 

‣Speichern Sie Ihre Angabe, indem Sie auf den Button Speichern klicken. 

Sie können folgende Objekte anlegen: 

• Netze in eine Firewall-Zone hinzufügen und in eine Rechnergruppe legen 

• Rechner in eine Firewall-Zone hinzufügen und in eine Rechnergruppe legen 

• Rechner, der als Router für das erweiterte Routing fungieren soll, auswählen 

• Virtuelle IPs einer Zone hinzufügen 

Abb. Dialog-Fenster Rechner hinzufügen 


Name: 

IP-Adresse: 

Maske: 

Zone: 

Statische NAT: 

Gruppe: 

Name des Rechners/Netzes 

IP-Adresse des Rechners/Netzes 

Netzmaske des Rechners/Netzes, d. h. die Größe des Netzes 

Zone (Sektor), in der sich das Rechners/Netzes befindet 

Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse 

(virtuelle IP-Adresse) auf eine tatsächliche durchzuführen. 

Das Netzwerkobjekt kann in eine bereits vorhandene Rechnergruppe importiert werden. 

Wählen Sie dann diese dort aus. Beachten Sie: Falls Sie gleichzeitig eine neue 

Rechnergruppe erzeugen wollen, wählen Sie das Feld aus. Es wird dann eine 

Gruppe erzeugt und das Objekt automatisch in sie gelegt. 

Seite 95


Bearbeiten von Objekten 


‣Doppelklick zum Bearbeiten auf das gewünschte Objekt. 

‣Es öffnet sich das entsprechende Dialog-Fenster und die benötigten Daten können modifiziert werden. 

‣Sollte der Button Speichern disabled sein, so ist ein Ändern der Daten nicht möglich. 

Löschen von Objekten 


‣Wählen Sie den zu löschenden Rechner/Netz aus. 

‣Klicken Sie den Icon markiertes Item löschen an. 

Ausdrucken der Topologie 


‣Der Ausdruck erfolgt durch Anklicken des Icons Drucken. 

Es wird automatisch ein Screenshot erstellt, der dann gedruckt wird. 

Beachten Sie: Eine Ausnahme ist das Erweiterte Routing. Hier wird nicht die Zone, 

sondern der Rechner, der als Router fungieren soll, angeklickt. Es öffnet sich das 

entsprechende Eingabefenster, in welchem die fehlenden Daten zu ergänzen sind. 

Seite 96


5 Arbeiten mit VPN 


z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer 

Filliale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. 

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen 

Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die 

durch eine tatsächliche getunnelt wird. 

Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint 

Firewall & VPN Server wieder entschlüsselt und umgekehrt. 

Die Securepoint Firewall nutzt die beiden der verbreitetsten Protokolle PPTP und IPSec. Damit können Sie auf 

eine Benutzer-Authentifizierung, dynamische Adressvergabe, Datenkompression oder Datenverschlüsselung 

zurückgreifen. 

Seite 97


5.1 IPSec VPN 

IPSec Grundlagen 

Authentifizierung und Verschlüsselung sind die Grundlagen für VPN-Verbindungen. IPSec verwendet für die 

sichere Kommunikation zwei Protokolle: 

• AH (Authentication Header) ist ein Protokoll für die Authentifizierung des Absenders sowie die Integritäts- 

Prüfung des Inhalts 

• ESP (Encapsulated Security Payload) ist ein Protokoll für die Verschlüsselung des kompletten Paketes und 

der Authentifizierung des Inhalts 

Seite 98


5.1.1 RSA-Authentisierungsverfahren 

Zur Auswahl des RSA-Authentisierungsverfahren wählen Sie unter dem Punkt Auth. Meth. das Choice-Feld RSA 

aus (Abb. Auswahl RSA). Für das RSA-Verfahren wird automatisch ein Schlüssel generiert. Da beim RSA- 

Verfahren auf den Firewalls jeweils ein öffentlicher Schlüssel generiert wird, müssen diese jeweils auf Firewallund 

VPN-Gateway ausgetauscht werden. Die Schlüssellänge kann hier speziell angegeben werden. Verwenden 

Sie hierzu die Felder Lokaler Schlüssel und Entfernter Schlüssel (Abb. Lokaler und entfernter Schlüssel). 

Abb. Auswahl RSA 

Abb. Lokaler und entfernter Schlüssel 

Abb. Schlüssel bearbeiten 


‣Auth. Verf.: Auswahl RSA (Abb. Auswahl RSA). 

‣Schlüssellänge: Gewünschte Schlüssellänge auswählen (Abb. Lokaler und entfernter Schlüssel). 

‣Lokaler Schlüssel: Importieren des öffentlichen Schlüssels der entfernten Firewall (Abb. Schlüssel 

bearbeiten). 

Detailliert beschriebene Eigenschaften von IPSec-Verbindungen finden Sie in Kapitel 5.1.4.2. Eine komplette 

Beispiel-Konfiguration für IPSec (inklusive des nötigen Regelwerks) finden Sie ab Kapitel 11.2.1. 

Seite 99


5.1.2 Preshared-Authentisierungsverfahren 

Zur Auswahl des Preshared Key-Authentisierungsverfahren wählen Sie unter dem Punkt Auth. Meth. das 

Choice-Feld Preshared aus (Abb. Auswahl PSK). Bei diesem Verfahren geben Sie selbst eine Phrase an. Diese 

kann eine beliebige Zeichenkette sein, ähnlich eines Passwortes (Abb. Lokaler Schlüssel). 

Abb. Auswahl PSK 

Abb. Lokaler Schlüssel 


‣ Auth. Verf.: Auswahl Preshared. 

‣ Lokaler Schlüssel: Phrase eingeben und klicken Sie auf den Button neben dem Eingabe-Feld von Lokaler 

Schlüssel, um diese Phrase zu importieren. 

Beachten Sie: Bei der Verbindung von unterschiedlichen VPN-Servern können die 

Keys Probleme erzeugen, da z. B. ein „Blank" unterschiedlich verschlüsselt wird. Bei 

Problemen sollten Sie dies deshalb überprüfen. 

Detailliert beschriebene Eigenschaften von IPSec-Verbindungen finden Sie in Kapitel 5.1.4.2. Eine komplette 

Beispiel-Konfiguration für IPSec (inklusive des nötigen Regelwerks) finden Sie ab Kapitel 11.2.1. 

Seite 100


5.1.3 X509-Zertifikat-Authentisierungsverfahren 

X509-Zertifikate sind ein sehr sicheres Verfahren zum Verbinden von VPN-Servern. Falls Sie X509-Zertifikate 

angeben möchten, müssen Sie auf dem Sercurepoint Firewall & VPN Server diese Zertifikate erstellen. Diese 

werden dann automatisch im Feld Lokales Zertifikat aufgeführt. 

5.1.3.1 X509-Zertifikate erstellen 

Beim Erstellen von X509-Zertifikaten muss zuerst eine Certification Authority erzeugt werden, mit deren Hilfe 

die Server- und Client-Zerifikate signiert werden. Mit dem Programm nconfig auf dem Firewall Server wird ein 

signiertes Server-Zertifikat erzeugt, das dann über den Securepoint Security Manager auswählbar ist. 

Mit dem Programm nconfig können beliebig viele Client-Zertifikate, die ebenfalls durch die CA signiert sind, 

erzeugt werden. Diese können Sie dann per Diskette beim VPN-Client (z. B. Sentinel) einspielen. Wichtig ist, 

dass für jeden Client eine neue Verbindung in der IPSec-Konfiguration des Securepoint Servers erzeugt werden 

muss! 

Loggen Sie sich zum Erstellen von X509-Zertifikaten per SSH oder lokal auf der Firewall ein. Starten Sie das 

Programm nconfig. Das Programm nconfig gibt Ihnen die Möglichkeit, Ihre Firewall-Konfiguration zu ändern und 

Zertifikate zu bearbeiten. 

‣Wählen Sie hierzu Punkt 10 aus: VPN Properties. 

Abb. Programm nconfig, Hauptauswahl 

Seite 101


Erstellen der CA (Certification Authority) 

Bevor Sie jetzt die eigentliche IPSec-Verbindung mit X509-Zertifikaten erstellen, müssen Sie die CA 

(Certification Authority), die Ihre Zertifikate signiert, erstellen (Self-Signed-Certificates). 

‣Auswahl: Führen Sie Punkt 1 aus: Create new CA Cert. 

Abb. Programm nconfig, Create new CA Cert 

‣Tragen Sie die entsprechenden Daten ein und merken Sie sich das Passwort. Mit Hilfe dieses Passwortes 

sind Sie in der Lage, Ihre Zertifikate zu signieren. 

Abb. Programm nconfig, Eintragen der CA-Daten 

Tragen Sie folgende Daten ein: 

Common Name: 

Country: 

Locality: 

State: 

Organization: 

Org. Unit: 

Email: 

Password (private key): 

Zertifikatsname 

Ländercode 

Staat 

Bundesland 

Organisation/Firma 

Abteilung 

Ihre Email-Adresse 

Ihr Passwort 

Seite 102


Erstellen eines Server-Zertifikats 

Erstellen Sie nun das neue Server-Zertifikat. 

‣Auswahl: Führen Sie Punkt 2 aus: Create new Server Cert. 

Abb. Programm nconfig, Create new Server Cert 

‣Tragen Sie hier wieder Ihre entsprechenden Daten ein. Das erste Passwort müssen Sie bei Erstellung der 

IPSec-Verbindung im Security-Manager für Ihr Server-Zertifikat angeben. Mit dem zweiten Passwort sind 

Sie in der Lage, Ihr Passwort mit der Lokalen CA zu signieren. 

Abb. Programm nconfig, eintragen der Server-Cert-Daten 


Common Name: 

Country: 

Locality: 

State: 

Organization: 

Org. Unit: 

Email: 

Password: 

CA Password: 


Ländercode 

Staat 

Bundesland 


Abteilung 


Ihr Server-Zertifikats-Passwort 

Ihr CA-Passwort 

Seite 103


Erstellen eines Client-Zertifikats 

Erstellen Sie nun das Client-Zertifikat für den Roadwarrior. 

‣Auswahl: Führen Sie Punkt 3 aus: Create new Client Cert. 

Abb. Programm nconfig, Create new Client Cert 


IPSec-Verbindung im Security-Manager für Ihr Client-Zertifikat angeben. Mit dem zweiten Passwort sind Sie 

in der Lage, Ihr Passwort mit der lokalen CA zu signieren. 

Abb. Programm nconfig, eintragen der Client-Cert-Daten 


Common Name: 

Country: 

Locality: 

State: 

Organization: 

Org. Unit: 

Email: 

Password: 

CA Password: 


Ländercode 

Staat 

Bundesland 


Abteilung 


Ihr Client-Zertifikat-Passwort 

Ihr CA-Passwort 

Seite 104


Exportieren eines Zertifikats 

Sie können nun das Zertifikat auf einen Datenträger (Floppy oder USB) exportieren. Wenn Sie das nicht 

möchten, wird das Zertifikat im folgenden Pfad auf der Firewall abgespeichert: 

/opt/securepoint4.0/tmp/client_cert/ 

Sie können es auch später, zum Beispiel per sftp Protokoll, von der Firewall herunterladen. 

Abb. Exportieren des Zertifikats auf USB-Storage oder Diskette 

Sperren eines Zertifikats 

Mit dem Punkt Revoke können Sie ein Zertifikat sperren. 

‣Auswahl: Führen Sie Punkt 4 aus: Revoke a Client/Server Cert. 

Abb. Programm nconfig, Sperren eines Zertifikats 

Beachten Sie: Ein Roadwarrior oder VPN-Server ist danach nicht mehr in der Lage, 

sich per IPSec auf der Firewall zu authentisieren. 

Seite 105


5.1.4 Firewall- und IPSec-Verbindungen erstellen 

In diesem Bereich erstellen und bearbeiten Sie Firewall- und IPSec-VPN-Verbindungen. 

Abb. Menüleiste mit Icon Firewalls-VPN 

‣Der Aufruf der Bereichs Firewall-VPN erfolgt über das Menü Bearbeiten Firewalls–VPN 

oder als Schnellauswahl über das Icon Firewalls–VPN. 

Daraufhin öffnet sich das Fenster Firewalls-VPN. 

Abb. Fenster Firewalls-VPN mit Menüleiste und erweitertes Menü mit rechtem Mausklick 

Das Fenster Firewalls-VPN unterteilt sich in folgende Bereiche: 

Bereich 

Firewall-VPN-Auswahlleiste: 

Arbeitsfläche: 

Objektleiste für Firewall-, Roadwarrior und VPN-Objekte 

Es besteht die Möglichkeit, eine Landkarte in die Arbeitsoberfläche zu 

integrieren. Dies erleichtert Ihnen die Übersicht Ihres VPN-Netzes. Nähere 

Informationen erhalten Sie in Kapitel 11.2.1.3. 

Seite 106


Sie haben die Möglichkeit, über die Menüleiste des Fensters Firewalls-VPN (Abb. Menüleiste Firewalls-VPN) zu 

bearbeiten. 

Abb. Menüleiste Firewalls-VPN 

Menü: IPSec-Verbindungen 

Drucken: 

Securepoint Firewall 4.X anlegen: 

Andere Firewall anlegen: 

Roadwarrior anlegen: 

Text: 


IPSec-Verbindung anlegen: 

Choice-Feld Arbeitsoberfläche/ 

Landkarten: 

IPSec-Aktualisieren: 

Alle Firewalls auf Karte anmelden: 

Policy-Distributor öffnen: 

Liste der Verbindungen: 

Drucken der Arbeitsoberfläche 

Securepoint 4.X anlegen 

Ältere Securepoint oder Fremdprodukte anlegen 

IPSec-VPN-Client (Roadwarrior) anlegen 

Hilfetext für Bemerkungen auf Arbeitsoberfläche anlegen 


IPSec-Verbindung zw. Securepoint u VPN-Server/-Client anlegen 

Auswahl von Arbeitsoberflächen 

Aktualisierung von IPSec-Verbindungen nach einer Bearbeitung 

Anmeldung von Firewalls 

Verteilung von Policies an Firewalls 

Liste der aktuellen VPN-Verbindungen 

Auswahl erweitertes Menü 

‣Klicken Sie mit der rechten Maustaste auf das schwarze Rechteck der Verbindung öffnet sich das Menü zum 

Bearbeiten der IPSec-Verbindungen (Abb. Fenster Firewalls-VPN mit Menüleiste und erweitertes Menü mit 

rechtem Mausklick). 

Auswahl Menüpunkte 

Subnetz bearbeiten: 

Eigenschaften: 

Verbindung starten: 

Verbindung stoppen: 

Verbindung löschen: 

Öffnung des Fensters zum Anzeigen/Anlegen von Subnetzen 

Öffnung des Fensters Eigenschaften der IPSec-Verbindungen 

Aufbau des Tunnels für diese IPSec-Verbindung 

Abbruch der IPSec-Verbindung 

Löschung der IPSec-Verbindung 

Beachten Sie: Änderungen bei IPSec werden erst dann wirksam, nachdem das Icon 

IPSec aktualisieren angeklickt wurde. Das Verschieben von Firewalls oder Roadwarrior 

wieder nach links auf die Firewall-Auswahlleiste bewirkt keine Veränderung bei den 

Verbindungen, diese werden nur nicht mehr auf der Arbeitsoberfläche angezeigt. 

Seite 107


5.1.4.1 IPSec-Verbindungen erstellen, bearbeiten und löschen 

Bearbeiten von IPSec-Verbindungen 


‣Doppelklick mit der linken Maustaste auf das schwarze Rechteck der Verbindung oder mit der rechten 

Maustaste einen Einfachklick darauf ausführen und Eigenschaften aus dem erweiterten Menü auswählen. 

Es öffnet sich das Fenster Dateneingabe (Abb. Dialog-Fenster Eigenschaften IPSec-Verbindungen). 

‣Geben Sie die notwendigen Daten in das Dialogfenster ein. 


Löschen von IPSec-Verbindungen 


‣Mit der rechten Maustaste einen Einfachklick auf das schwarze Rechteck der Verbindung ausführen und 

Verbindung löschen aus dem erweiterten Menü auswählen. 

‣Bestätigen Sie die Abfrage mit OK. 

Beachten Sie: Wird eine IPSec-Verbindung gelöscht, so werden automatisch auch alle 

Subnetze entfernt! 

Abb. Verbinden der Netze im IPSec-Tunnel 

Seite 108


5.1.4.2 Eigenschaften von IPSec-Verbindungen 

‣Doppelklick mit der linken Maustaste auf das schwarze Rechteck der Verbindung oder mit der rechten 

Maustaste einen Einfachklick darauf ausführen und Eigenschaften aus dem erweiterten Menü auswählen. 

IPSec-Verbindungen besitzen eine Vielzahl von Eigenschaften. 

Abb. Dialog-Fenster Eigenschaften IPSec-Verbindungen, allgemein 

Allgemeine Eigenschaften 


Name: 

Art: 

Name der Verbindung, der automatisch aus den IPSec-Objekten erzeugt wird. 

Art der VPN-Verbindung wird beschrieben. Folgende Möglichkeiten gibt es: 

F to F: für Securepoint VPN-Server (Securepoint) VPN-Server 

für Securepoint VPN-Server andere IPSec-VPN-Server 

C to F: für Securepoint VPN-Server IPSec-Client (SSH Sentinel..) 

Authentisierungs 

methode: 

Key-Life: 

Securepoint unterstützt verschiedene Authentisierungsverfahren: 

RSA, Certificate und Preshared. 

Es muss ein Schlüssel erzeugt werden, der auf Firewall und VPN Gateway bekannt ist. Für 

Preshared geben Sie selbst einen Schlüssel an, für RSA wird automatisch ein Schlüssel 

generiert. Da auf den Firewalls jeweils ein öffentlicher Schlüssel generiert wird, müssen 

diese jeweils auf Firewall und VPN Gateway ausgetauscht werden. Die Schlüssellänge kann 

hier speziell angegeben werden. Falls Sie X509 Zertifikate angeben möchten, müssen Sie 

auf dem Firewall Server Zertifikate erstellen. Diese werden dann automatisch im Feld 

Lokales Zertifikat aufgeführt. Beachten Sie, dass bei der Verbindung von unterschiedlichen 

VPN-Servern die Keys Probleme erzeugen können, da z. B. ein "Blank" unterschiedlich 

verschlüsselt wird. Bei Problemen sollten Sie dies deshalb überprüfen. 

Beschreibt, wie lange die IPSec-Sitzung aufrecht erhalten wird, bevor sie neu initiiert wird. 

IKE-Life: Hier definieren Sie die Dauer der IKE-Verbindung. Die Verbindung darf zwischen 1 und 8 

Stunden möglich sein, danach ist ein neuer Verbindungsaufbau aus Sicherheitsgründen 

nötig (dies wird automatisch initiiert). 

Seite 109


Schlüssellänge: 

PFS: 

Keyingtries: 

Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren RSA-Signatur 

verwenden. Die Schlüssellänge kann 1024, 2048 und 4096 Bit betragen. 

Die Schlüssel für die VPN-Verbindung werden mit Hilfe eines Zufallszahlengenerators 

erzeugt. Mit PFS (Perfect Forwarding Secrecy) wird sichergestellt, dass kein anderer 

Schlüssel auf der gleichen Datenbasis erstellt wird. So ist es nicht möglich, Rückschlüsse 

auf Grund eines Schlüssels durchführen zu können. Die Funktion benötigt zusätzliche 

Rechenleistung und ist möglicherweise nicht immer kompatibel zu anderen Herstellern. In 

Problemfällen können Sie sie deshalb ausschalten. 

Der Parameter Keyingtries gibt an, wie oft versucht wird eine Verbindung neu aufzubauen. 

"0" bedeutet laufend zu versuchen, die Verbindung aufzubauen. "1" bedeutet, die 

Verbindung 3 mal neu aufzubauen, danach wird der Versuch beendet. 

Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen 

Eigenschaften der VPN-Server oder –Clients 


Lokales Gateway: 

Lokale Gateway ID: 

Lokaler Schlüssel: 

Lokales Zertifikat: 

Entfernter Host/ 

Gateway: 

Entfernter Host/ 

Gateway ID: 

Entfernter Schlüssel: 

Automatisch starten: 

Das lokale Gateway ist die Firewall selbst. 

ID: Die lokale Gateway ID ist die externe IP-Adresse der Firewall. 

Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren Preshared oder 

RSA verwenden. Für Preshared geben Sie selbst einen Schlüssel an, für RSA wird 

automatisch ein Schlüssel generiert. Der von Ihnen angegebene lokale Schlüssel muss 

auf den verbundenen VPN Servern / Clients zur Authentisierung angegeben sein. Da 

beim RSA-Verfahren auf den Firewalls jeweils ein öffentlicher Schlüssel generiert wird, 

müssen diese jeweils auf beiden Firewalls ausgetauscht werden. Die Schlüssellänge 

kann hier speziell angegeben werden. 

Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren Certificate 

verwenden. Dies betrifft X509-Zertifikate. 

VPN Gateway oder Host (Name / IP) 

VPN Gateway oder Host (Name / IP) 

Dies ist ein Preshared Key oder eine RSA Signatur (Public Key). 

Der Eintrag muss auf no stehen, wenn eine VPN-Client-Verbindung erwartet wird. Im 

Falle eines VPN-Servers wird versucht, eine Verbindung aufzubauen. 

Seite 110


5.1.4.3 Sub-Netze erstellen, bearbeiten und löschen 

Um eine funktionierende IPSec-Verbindung anzulegen, müssen auch die Sub-Netze, die hinter den Firewalls 

erreichbar sein sollen, angegeben werden. 

Tragen Sie ein, welche Netze Sie im IPSec-Tunnel miteinander verbinden wollen (Abb. Verbinden der Netze im 

IPSec-Tunnel). Gehen Sie folgendermaßen vor: 

‣Klicken Sie hierzu mit der rechten Maustaste auf das schwarze Rechteck, das sich auf der entstandenen 

Linie zwischen dem Firewall- und Roadwarrior-Objekt befindet. 


‣Klicken Sie auf das Menü Sub-Netz bearbeiten. 

Es öffnet sich das Fenster zum Bearbeiten des Sub-Netzes (Abb. Fenster Sub-Netz bearbeiten). 

Abb. Fenster Sub-Netz bearbeiten 

Seite 111


Abb. Menüleiste Sub-Netz 

Menü: Dienste 

Hinzufügen: 

Löschen: 

Hinzufügen eines neuen Dienstes 

Löschen eines ausgewählten Dienstes 

Sub-Netz hinzufügen 

Abb. Dialog-Fenster Sub-Netz hinzufügen 


‣Klicken Sie auf das Icon Sub-Netz hinzufügen (Abb. Fenster Sub-Netz bearbeiten). 

‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Sub-Netz hinzufügen). 

‣Speichern Sie Ihre Daten. 


Verbindung: 

ID: 

Subnetz „firewall“: 

Maske: 

Subnetz „peterpriv“: 

Maske: 

Anzeige Verbindungsname 

Anzeige ID des Datensatzes 

IP-Adresse 

Auswahl oder Eingabe der Maske des Sub-Netzes 

IP-Adresse 

Auswahl oder Eingabe der Maske des Sub-Netzes 

Subnetz löschen 


‣Das zu löschendes Subnetz durch Anklicken der Zeile auswählen (Abb. Fenster Sub-Netz bearbeiten). 

‣Icon Löschen anklicken. Nach Bestätigung der Sicherheitsabfrage wird der Datensatz gelöscht. 

Seite 112


5.1.4.4 IPSec-Verbindung starten und stoppen 

Gehen Sie folgendermaßen vor. 



‣Wählen Sie aus dem Menü Verbindung starten oder Verbindung stoppen. 

Beachten Sie: Es wird nur die betreffende Verbindung gestartet oder gestoppt. Alle 

anderen bleiben in dem Zustand, in dem Sie vorher waren. 

Abb. Verbindungen starten und stoppen 

Seite 113


5.1.4.5 Text auf der Arbeitsoberfläche erstellen und löschen 

Die Text-Funktion gibt Ihnen einen zusätzliche Möglichkeit, eine übersichtliche Darstellung Ihres Netzes zu 

erstellen. 

Erstellen von Texten auf der Arbeitsoberfläche 


‣Icon Text anklicken. 

‣Auf die Stelle auf der Arbeitsoberfläche klicken, an der der Text platziert werden soll Text im gelben 

Eingabefeld eingeben und 

‣mit Return bestätigen. 

Löschen von Texten auf der Arbeitsoberfläche 


‣Mit der rechten Maustaste einen Einfachklick auf den zu löschenden Text ausführen und Löschen auswählen. 

Seite 114


5.1.5 Policy-Distributor 

Mit dem Policy-Distributor sind Sie in der Lage, Firewalls upzudaten und Sicherheitspolicies zu verteilen. 

‣Der Aufruf des Bereichs Policy-Distributor erfolgt über das Menü Firewalls-VPN Icon Policy-Distributor. 

Daraufhin öffnet sich das Fenster Policy-Distributor (Abb. Policy-Distributor). 

Abb. Fenster Policy-Distributor 

Abb. Menüleiste Policy-Distributor 

Menü: Policy-Distributor 

Öffnen: 

Sicheres öffnen: 

Speichern: 

Sicherheitspolicy 

generieren: 

Sicherheitspolicy 

verteilen: 

Öffnen einer lokal gespeicherten Policy-Datei 

Öffnen einer Backup-Datei, aus der nur die Daten geladen werden, die 

verbindungsrelevante Daten nicht gefährden (z. B. IPSec) 

Lokales speichern einer Policy-Datei 

Generierung und Anzeige einer Policy (diese kann modifiziert, gespeichert, neu 

geladen werden) mit den aktuell im Client geladenen Daten (d. h., mit den 

Daten Ihrer aktuellen Firewall oder einer geladenen Konfigurationsdatei). 

Hierbei handelt es sich um Daten, die auf jeder Firewall einer Organisation 

gleich sein können: 

- [dienste] 

- [dienstgruppen] 

- [anwendungen] 

- [anwendungsgruppen] 

- [rechner_gruppe] 

- [regeln] 

Diese Daten können auf alle Firewalls, die sich auf der Arbeitsoberfläche 

befinden, verteilt werden und so eine schnellere Einrichtung des Netzwerks 

erreicht werden. Auf den einzelnen Firewalls müssen dann nur noch Rechner 

angelegt und den Gruppen zugeordnet werden. 

Seite 115


5.1.5.1 Verteilung von Policies an Firewalls 

Zur Verteilung muss das Icon Sicherheitpolicy verteilen angeklickt werden. Es erfolgt eine Syntaxprüfung und 

der Upload zu allen Securepoint 4.X Firewalls, die sich auf der Arbeitsoberfläche befinden. Die Policy wird an 

alle Firewalls verteilt, die „online“ oder „standby“ (grüne LED und gelbe LED) mit dem Security Manager 

verbunden sind. 

Beachten Sie: Bereits vorhandene Daten der angegebenen Bereiche werden auf den 

Firewalls überschrieben! 

Seite 116


5.1.6 IPSec-Roadwarrior 

An den Securepoint IPSec-VPN-Server können Sie einen IPSec-Client anbinden. Eine Beispielkonfiguration mit 

dem Sentinel IPSec-Roadwarrior finden Sie im Kapitel 11.2.1.4. 

Seite 117


5.2 PPTP VPN 


z. B. das Internet, als Transportweg nutzt. Bis jetzt ist die bekannteste VPN-Technologie PPTP von Microsoft. 

IPSec ist ein wesentlich höherer Sicherheitsstandard. PPTP unterstützt den Windows-PPTP-Client Ihres Windows 

Betriebssystems. 

‣Der Aufruf der Option PPTP VPN erfolgt über das Menü Bearbeiten Optionen PPTP. 

Beachten Sie: Die PPTP Grundeinstellungen wurden erweitert. Es können jetzt auch 

NS- und Wins-Server angegeben werden. 

Seite 118


5.2.1 PPTP-Benutzer 

Im Gegensatz zu IPSec müssen Sie bei PPTP-Benutzer definieren. D. h. Sie müssen einen VPN-Benutzer 

erstellen. 


‣Der Aufruf der Option Benutzerverwaltung erfolgt über das Menü Bearbeiten Optionen 

Benutzerverwaltung. 

Abb. Fenster Benutzerverwaltung 

Abb. Menüleiste Benutzerverwaltung 

Menü: Benutzerverwaltung 

Hinzufügen: 

Löschen: 

Choice-Feld: 


Löschen eines ausgewählten Benutzers 

Anzeige der Benutzergruppen 

Seite 119


Hinzufügen eines neuen Benutzers 



Es öffnet sich das Dialog-Fenster Dateneingabe (Abb. Dialog-Fenster Hinzufügen von Benutzern). 



Abb. Dialog-Fenster Hinzufügen von Benutzern 

Wenn Sie für den Punkt PPTP IP eine IP-Adresse eintragen, bekommt der Benutzer von der Firewall immer im 

Tunnel diese IP-Adresse zugewiesen. Falls Sie den Stern * (Joker) stehen lassen, bekommt er eine IP-Adresse 

aus einem Pool zugewiesen. 


Name: 

Login: 

Passwort: 

Bestätigung: 

Name des Benutzers 

Login des Benutzers 

Passwort des Benutzers 

Passwort-Bestätigung des Benutzers 

Gruppe: Es können verschiedene Benutzergruppen ausgewählt werden (siehe Kapitel 2.5.1.2): 

Administrator, Benutzer (nur für Firewall-Reports), VPN-Benutzer (betrifft nur PPTP-VPN), 

Squid-Benutzer (Benutzer, die den Squid-Proxy verwenden) 

PPTP IP: 

IP-Adresse, die dem Benutzer zugewiesen wird; Stern * (Joker): Benutzer bekommt eine 

freie IP-Adresse aus dem Adresspool zugewiesen. 

Löschen von Benutzern 


‣Wählen Sie den zu löschenden Benutzer aus (Abb. Fenster Benutzerverwaltung). 


Seite 120


5.2.2 PPTP-Konfiguration 

Nach dem Anlegen von PPTP-VPN-Benutzern können Sie die PPTP-Konfiguration durchführen. 


‣Erstellen Sie unter Menü Bearbeiten Optionen PPTP die endgültige Konfiguration. 

‣Konfigurieren Sie nun das VPN-Interface und die weiteren Angaben wie PPTP-Adresspool, simultane PPTP- 

Verbindungen. Geben Sie dazu die notwendigen Daten über das Dialog-Fenster ein. 

‣Speichern Sie Ihre Eingaben durch Klick auf den Button Speichern. 

Der Adresspool ist aus einem Adressbereich, der dem internen oder DMZ/SSN-Netzen entsprechen muss. Sie 

haben folgende Einstellungsmöglichkeiten: 



Tragen Sie hierzu folgende Daten ein: 

Eingabefelder 



Das PPTP-Interface ist ein virtuelles Interface, welches beim Start des PPTP Servers 

hochfährt. 

Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP-Clients ihre IP-Adresse für 

den Tunnel beziehen. 

Seite 121





Simultane Verb.: 


Wählen Sie die Anzahl der Verbindungen, die simultan gehalten werden sollen. 

NS / WINS 


Im letzten Folder können Sie Nameserver und WINS Server eintragen, die dem Client neben seiner IP-Adresse 

mit zugewiesen werden. 

Eingabefelder 

erster NS: 

zweiter NS: 

erster WINS: 

zweiter WINS: 





Seite 122


5.2.3 PPTP-Roadwarrior 

An den Securepoint PPTP-VPN-Server können Sie einen Windows-PPTP-Client anbinden. 

Eine Beispielkonfiguration finden Sie im Kapitel 11.3.1. 

Seite 123


6 Arbeiten mit Konfigurationen 

Securepoint bietet im Gegensatz zu anderen Firewall- und VPN-Anbietern die Möglichkeit, den Securepoint 

Security Manager online und offline zu betreiben. 

Verschiedene Konfigurationen können lokal gespeichert und auch im Offline-Modus bearbeitet werden. 

6.1 Öffnen einer Konfigurationsdatei 

Beim Öffnen einer gespeicherten Konfigurationsdatei haben Sie zwei Möglichkeiten: 

• Öffnen von Beispiel-Konfigurationen auf der Securepoint CD-ROM 

• Öffnen von von Ihnen angelegten Konfigurationsdateien 

Abb: Menüleiste mit Icon Öffnen 

‣Zum Öffnen einer gespeicherten Konfigurationsdatei wählen Sie: Menü Datei Öffnen 

oder als Schnellauswahl klicken Sie auf das Icon Öffnen. 

Seite 124


Öffnen einer Beispiel-Konfiguration auf der Securepoint CD-ROM 

Es öffnet sich jetzt ein Auswahl-Dialog (Abb. Öffnen einer Konfigurationsdatei), von dem aus die gewünschte 

Konfigurationsdatei ausgewählt werden kann. Die Datei-Endung ist „dateiname.isf“. Sie finden im Verzeichnis 

tools/securepoint_client/samples auf der Securepoint CD-ROM verschiedene Beispiele. 

Beim Öffnen einer Konfigurationsdatei wird der Key abgefragt und die Daten werden entschlüsselt (Abb. 

Schlüsseleingabe) und in den Security Manager geladen. Der Schlüssel für die Beispiel-Konfigurationen ist 

„test“. 

‣Auswahl der gewünschten Konfigurations-Datei über Dialog-Fenster. 

‣Eingabe des Schlüssels test. 

Abb. Öffnen einer Konfigurationsdatei 

Abb. Schlüsseleingabe 

Öffnen einer von Ihnen angelegten Konfigurationsdatei 

Es öffnet sich ein Auswahl-Dialog, von dem aus die gewünschte Konfigurationsdatei ausgewählt werden kann. 

Die Datei-Endung ist „dateiname.isf“. 

Beim Öffnen einer Konfigurationsdatei wird Ihr Schlüssel abgefragt und die Daten werden entschlüsselt (Abb. 

Öffnen einer Konfigurationsdatei und Abb. Schlüsseleingabe) und in den Security Manager geladen. 

‣Auswahl der gewünschten Konfigurationsdatei über Dialog-Fenster. 

‣Eingabe Ihres Schlüssels. 

Achtung: wenn Sie sich mit einer Firewall im online-Modus befinden, wird Ihre 

Konfiguration nicht nur geöffnet, sondern auch auf den Firewall Server geladen. Sie 

überschreiben damit also eine bestehende, laufende Konfiguration! 

Seite 125


6.2 Speichern einer Konfigurationsdatei 

Sie können verschiedene Konfigurationen testen oder von Zeit zu Zeit einfach Sicherungskopien archivieren. 

Aus Sicherheitsgründen wird eine abgespeicherte Konfiguration verschlüsselt. Geben Sie deshalb einen 

Verschlüsselungskey beim Speichern ein (Abb. Speichern oder Speichern Als einer Konfigurationsdatei mit 

Eingabe eines Schlüssel). 

Abb: Menüleiste mit Icon Speichern 

‣Zum Speichern einer Konfigurationsdatei wählen Sie: Menü Datei Speichern 

oder klicken Sie auf das Icon Speichern. 

‣Eingabe des Verschlüsselungskeys. 

‣Zum Speichern einer Konfigurationsdatei unter neuem Namen wählen Sie: Menü Datei Speichern als. 

Abb. Speichern einer Konfigurationsdatei 

Abb: Eingabe eines Schlüssel 

Seite 126


6.3 Drucken einer Konfiguration 

Eine bequeme Möglichkeit neben dem Speichern einer Konfiguration ist die Druck-Möglichkeit von Regeln und 

kompletten Firewall-Einstellungen. So können Sie sich schnell eine Dokumentation Ihrer Firewall/VPN- 

Einstellung machen. 

‣Klicken Sie auf das Icon Drucken, um die gewünschte Auswahl auszudrucken. 

Abb. Regel-Übersicht drucken 

Menü: Text drucken 

Choice-Feld: 

Regeln (Übersicht): 

Regeln (detailliert): 

Installation komplett: 

Drucken: 


Übersicht aller Regeln mit Rechner- und Dienstgruppen 

Übersicht aller Regeln mit Rechner- und Dienstgruppen sowie deren 

dazugehörigen Rechnern und Diensten 

Sämtliche Einstellungen 

Drucken der Konfiguration 

Seite 127


6.4 Nachträgliche Änderungen der Server-Konfiguration 

Mit Hilfe des lokalen Konfigurationsprogramms nconfig können Sie nachträglich die Parameter Ihrer 

Konfiguration ändern (Kapitel 9.3). 

Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der ersten Linux Server-Konsole zur Verfügung. Es 

kann auch per SSH aufgerufen werden. 



Seite 128


7 Arbeiten mit Reports 

Ein wesentlicher Teil der Funktionen der Securepoint Firewall sind Logging-, Überwachungs- und Alarmierungsfunktionen. 

Um über Ereignisse oder Alarme zu informieren, ist auch die Generierung von Emails möglich. Das 

kann auch dann sinnvoll sein, wenn große Netzwerke überwacht werden oder wenn mit dem Überschreiben der 

Log-Dateien durch zu viele Log-Einträge bei wechselnden Angriffsweisen gerechnet werden muss. Das 

Reporting besitzt einen Schutz gegen das Fluten mit tausendfach identischen Einträgen. 

Report-Typen: 

• Standard Reports (Kapitel 7.1) 

• Log-Auswertung (Kapitel 7.2) 

• IP-Traffic-Auswertung (Kapitel 7.3) 

• Proxy-Auswertung (Kapitel 7.4) 

• Traffic-Auswertung (Kapitel 7.5) 

• Accounting (Kapitel 7.6) 

Archiv-Funktion 

Damit die Speicherkapazität der Festplatte immer ausreicht, ist ein Schutz installiert. Dieser sorgt dafür, dass 

die Log-Dateien nicht zu groß werden, denn er lässt die Dateien rotieren. D. h., dass die Dateien von Anfang an 

wieder beschrieben werden. Beim Loggen ist es entscheidend, Meldungen, die durch fehlerhafte Konfiguration 

verursacht werden, von echten Angriffen zu unterscheiden. 

Die Logfiles werden in folgenden Zeitabständen rotiert: 

• Log-Auswertung: 7 Tage 

• Accounting: 31 Tage 

• alle anderen: 5 Tage 

Seite 129


7.1 Standard Reports 

Abb. Menüleiste mit Icon Standard Reports 

‣Der Aufruf der Standard-Reports erfolgt über das Menü Reports Standard Reports 

oder als Schnellauswahl über das Icon Standard Reports. 

Abb. Fenster Standard Reports 

Abb. Menüleiste Standard Reports 

Menü: Standard Reports 

Choice-Feld Report: 

Archiv: 

Dateilänge: 

Report ansehen: 

Report mailen: 

Report speichern: 

Die zur Verfügung stehenden Standard-Reports sind: 

IPSec: 

Geloggte Verbindungen über VPN IPSec 

System-Log: Generelle Systemmeldungen 

System-Status: Generelle Statusmeldungen des Firewall-Systems 

Proxy: 

Statistiken des Proxy über Zugriffe von Benutzern 

Administration: Grundsätzliche Systemmeldungen 

ISDN: 

Geloggte Verbindungen über ISDN 

PPTP: 

Geloggte Verbindungen über VPN PPTP 

Auswahl des Datums 

Anzeige der Dateilänge in Zeilen 

Auswahl des lokal gespeicherten Reports und Anzeige 

Versendung des ausgewählten Reports per Email 

Lokale Speicherung des ausgewählten Reports 

Seite 130


7.1.1 Öffnen eines Standard Reports 

‣Wählen Sie zuerst in dem Choice-Feld Report den gewünschten Report aus. 

‣Wählen Sie zusätzlich über das Choice-Feld Archiv das Datum aus. 

Abb. Standard-Reports, Bsp. IPsec 

Lokal gespeicherten Report ansehen 

Wenn Sie sich einen lokal abgespeicherten Report ansehen möchten: 

‣Klicken Sie auf das Icon Report ansehen klicken und den Report z. B. in Wordpad ansehen. 

Report mailen 

Das Versenden eines Reports per Email aus dem Security Manager heraus ist ebenfalls möglich. 

Abb. Dialog-Fenster Report mailen 

‣Klicken Sie auf das Icon Report mailen. 

‣Daraufhin haben Sie die Möglichkeit, eine Email-Adresse auszuwählen, zu der der Report gesandt wird. 

Diese Email-Adresse ist eine Adresse, die in der Benutzerverwaltung einem Benutzer zugewiesen wurde. 

Report speichern 

Sollten Sie einen Report lokal auf Ihrem Rechner speichern wollen: 

‣Klicken Sie auf den Button Report speichern. 

‣Danach können Sie das Verzeichnis bestimmen, in das der Report gespeichert wird. 

Seite 131


7.2 Log-Auswertung 

Diese Funktionen dient Ihnen zur Auswertung der Logfiles. 

Abb. Menüleiste mit Icon Log-Auswertung 

‣Der Aufruf der Log-Auswertung erfolgt über das Menü Reports Log-Auswertung oder 

als Schnellauswahl über das Icon Log-Auswertung. 

Abb. Fenster Log-Auswertung 

Abb. Menüleiste Log-Auswertung 

Menü: Log-Auswertung 

Download: 

Öffnen: 

Logfile (Tabelle): 

Datendurchsatz je IP 

(Grafik): 

Stündlicher Datendurchsatz 

(Grafik): 

Drucken: 

Auswahl des Logfiles 

Öffnen des Logfiles 

Ansicht des Logfiles als Tabelle 

Ansicht des Logfiles gemäß Datendurchsatz je IP als Grafik 

Ansicht des Logfiles gemäß stündlichem Datendurchsatz als Grafik 

Ausdruck des aktuellen Screens 

Seite 132


Öffnen einer Log-Datei 

Zum Betrachten einer Log-Datei muss diese zunächst von der Firewall heruntergeladen werden. Es kann die 

aktuelle Log-Datei oder eine der vergangenen sechs Tage genutzt werden. 

‣Öffnen Sie das Download-Auswahlfeld und wählen Sie die gewünschte Datei aus (Abb. Log-Auswertung 

Auswahl). 

Daraufhin wird die Datei-Größe und die voraussichtliche Download-Zeit angezeigt. Nach Bestätigung der 

Auswahl wird die Datei vom Server auf Ihren lokalen Rechner heruntergeladen. 

‣Klicken Sie auf das Icon Öffnen, um die Datei anzeigen zu lassen. 

Wurde die Datei schon einmal heruntergeladen, so kann sie auch direkt mit dem Icon Öffnen lokal geöffnet und 

angezeigt werden. 

Abb. Log-Auswertung Auswahl 

Seite 133


7.2.1 Datendurchsatz je IP (grafisch) 

Datendurchsatz je IP 

Zur Anzeige des Datendurchsatzes in Paketen pro IP-Adresse und Paketart 

‣Klicken Sie auf das Icon Datendurchsatz je IP. 

Die Anzeige ist absteigend sortiert. Sie müssen folgendes auswählen: 

‣Paketart auswählen. 

‣Gewünschte Balkenanzahl auswählen oder eingeben. 

Abb. Datendurchsatz je IP 

Erweiterung des Menüs Log-Auswertung: 

Menü: Log-Auswertung (Ergänzung) 

Paketart: 

Balkenzahl: 

Auswahl der Paketart 

Auswahl der Anzahl der angezeigten IP-Adressen 

Seite 134


7.2.2 Datendurchsatz stündlich 

Zur Anzeige des stündlichen Datendurchsatzes in Paketen für alle Paketarten 

‣Klicken Sie auf das Icon Stündlicher Datendurchsatz. 

Die Anzeige ist sortiert nach Uhrzeiten (0 - 24 Uhr). 

Abb. Stündlicher Datendurchsatz 

Seite 135


7.2.3 Log-Auswertung (tabellarisch) 

Zur Darstellung der Daten aller Paketarten, die über die Firewall liefen. 

‣Klicken Sie auf das Icon Logfile tabellarisch. 

Eine Tabelle mit vielfältigen Filtermöglichkeiten nach Paketarten wird angezeigt (Abb. Log-Auswertung als 

Tabelle). 

Abb. Log-Auswertung als Tabelle 

Erweiterung des Menüs Log-Auswertung: 

Menü: Log-Auswertung (Ergänzung) 

Filterauswahl: 

Eingabefeld: 

Paketart: 

Auswahl des Filters 

Werteingabe für Filter 


Beachten Sie, wenn Filter geändert oder neu ausgewählt wurden, muss die Paketart 

erneut ausgewählt werden. 

Seite 136


Da die Log-Datei eine Vielzahl von Einträgen haben kann, können Sie sich mit Hilfe der Buttons zum 

Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln). 

Abb. Zwischen Seiten wechseln 

Folgende Funktionen stehen Ihnen zur Verfügung: 

Button > 

Button >> 

Button >>> 

Button < 

Button


7.3 IP-Traffic-Auswertung 

Diese Funktionen dienen Ihnen dazu, Ihr Netzwerk hinsichtlich Netzwerk-Engpässen oder von Datentransfer- 

Kosten zu untersuchen. 

Abb. Menüleiste mit Icon IP-Traffic-Auswertung 

‣Der Aufruf der IP-Traffic-Auswertung erfolgt über das Menu Reports IP-Traffic-Auswertung oder 

als Schnellauswahl über das Icon IP-Traffic-Auswertung. 

Abb. Fenster IP-Traffic 

Abb. Menüleiste IP-Traffic 

Menü: IP-Traffic 

Öffnen: 

Wizzard: 

Öffnen der Log-Datei 

Öffnen des Report-Wizzard 

Traffic nach IP sortiert: Ansicht der Log-Datei gemäß Datendurchsatz je IP als Grafik 

Traffic nach Datum: 

Choice-Feld: 

Ansicht der Log-Datei gemäß Datendurchsatz nach Datum als Grafik sortiert 

Auswahl Rechner/Netz (bei Traffic nach IP sortiert), 

Auswahl Tag (bei Traffic nach Datum sortiert) 

Drucken: 


Seite 138


Die IP-Traffic-Auswertung stellt den IP-Traffic sortiert nach KB pro Tag oder KB je IP im ausgewählten Zeitraum 

dar (Abb. IP-Traffic-Auswertung). 

Abb. IP-Traffic-Auswertung 

Zoomfunktion 

Es besteht die Möglichkeit, einen Bereich der Grafik vergrößert darzustellen (Zoom). Hierzu markieren Sie 

diesen (mit gedrückter linker Maustaste von links oben, nach rechts unten ziehen). Um wieder zur 

Normaldarstellung zu gelangen: Mit gedrückter linker Maustaste von links unten, nach rechts oben ziehen. 

Der gezoomte Bereich kann auch verschoben werden. Hierzu rechte Maustaste drücken und verschieben. 

Seite 139


7.3.1 Lokale Auswertung von Traffic-Daten pro Monat 

‣Klicken Sie auf das Icon Datei Öffnen. 

‣Wählen Sie einen Server und eine Log-Datei aus. 

‣Wählen Sie die gewünschte Anzeigeart aus. 

Monatsweise Traffic-Auswertung 

‣Klicken Sie das Icon Traffic nach Datum sortiert an. 

In diesem Fall wird der Gesamt-Traffic des ausgewählten Monats nach Tagen sortiert ausgewertet und 

angezeigt (Abb. monatsweite Auswertung). 

Abb. monatsweise Auswertung 

Tagesweise Traffic-Auswertung 

‣Wählen Sie über das Choice-Feld den gewünschten Tag zur Ansicht. 

Es wird der Traffic des ausgewählten Tages für alle Rechner/Netze ausgewertet und angezeigt (Abb. tagesweite 

Auswertung). 

Abb. tageweise Auswertung 

Seite 140


Auswertung Traffic der Rechner im Netzwerk 

Zur Ermittlung des Traffics pro Rechner im Netzwerk können Sie eine monatsweise Auswertung durchführen 

(Abb. Traffic pro Rechner). 

‣Klicken Sie das Icon Traffic nach IP sortiert an. 

Abb. Traffic pro Rechner 

Auswertung Traffic eines Rechners 

Zur Ermittlung des Traffic eines Rechners können Sie eine monatsweise Auswertung durchführen (Abb. Traffic 

eines Rechners). 

‣Wählen Sie hierzu über das Choice-Feld einen bestimmten Rechner aus, den Sie überprüfen möchten. 

Es wird der Traffics dieses Rechners/Netzes im ausgewählten Monat nach Tagen sortiert ausgewertet und 

angezeigt. 

Abb. Traffic eines Rechners 

Seite 141


7.3.2 Lokale Auswertung von Traffic-Daten für mehrere Monate 

Achten Sie darauf, dass die Log-Dateien, über die die Auswertung laufen soll, zuvor lokal auf Ihrem Rechner 

vorliegen müssen. 

‣Klicken Sie auf das Icon Wizzard. 

‣Wählen Sie einen Server und den Zeitraum aus (Abb. Dialog-Fenster Traffic-Wizzard, offline). 

Der Vorgang kann erst gestartet werden, wenn der Server ausgewählt wurde. Die möglichen Anzeigearten sind 

identisch mit denen in Kapitel 7.3.1. 

Abb. Dialog-Fenster Traffic-Wizzard, offline 



Zeitraum: 


Auswahlmöglichkeiten: 

- Monate (mit verstellbarer Dauer) 

Seite 142


7.3.3 Online Auswertung von Traffic-Daten für mehrere Monate 

Sie haben ebenfalls die Möglichkeit, eine Online-Auswertung durchzuführen. Hierzu müssen Sie jedoch online 

mit einem Securepoint Firewall Server verbunden sein. 

‣Klicken Sie auf das Icon Wizzard. 

‣Wählen Sie den Zeitraum aus (Abb. Dialog-Fenster Traffic-Wizzard, online). 

Abb. Dialog-Fenster Traffic-Wizzard, online 



Zeitraum: 



- laufender Monat 

- Monate (mit verstellbarer Dauer) 

- letzten 30 Tage 


Alle benötigten Daten werden automatisch heruntergeladen und lokal gespeichert. Die möglichen Anzeigearten 

sind identisch mit denen in Kapitel 7.3.1. 

Seite 143


7.4 Proxy-Auswertung 

Über die Proxy-Auswertung können Sie sich über das Surfverhalten Ihrer User, wenn sie den Proxy benutzen, 

informieren. 

Abb. Menüleiste mit Icon Proxy-Auswertung 

‣Der Aufruf der Proxy-Auswertung erfolgt über das Menu Reports Proxy-Auswertung oder 

als Schnellauswahl über das Icon Proxy-Auswertung. 

Abb. Fenster Proxy-Auswertung 

Abb. Menü Proxy-Auswertung 

Menü: Proxy-Auswertung 

Öffnen: 

Wizzard: 


Top XX Webuser: 

Choice-Feld: 

Öffnen der Log-Datei 

Öffnen des Reportwizzard 

Anzeige des Traffics je IP des ausgewählten Zeitraums 

Anzeige des Traffics je IP des ausgewählten Zeitraums absteigend sortiert 

Auswahl Rechner/Netz (bei Traffic nach IP sortiert), 

Auswahl Tag (bei Traffic nach Datum sortiert) 

Logfile (als Tabelle): 

Daten als Text: 

Drucken: 

Ansicht der Log-Auswahl als Tabelle 

Ansicht der Log-Auswahl als Text 


Seite 144


Report-Wizzard 

Die Proxy-Auswertung wurde gegenüber der Securepoint Version 3.X erweitert. Neben der täglichen 

Auswertung kann jetzt auch ein Zeitraum ausgewertet werden. 

‣Klicken Sie auf das Icon Wizzard, um den Report-Wizzard zu öffnen. 

Hierzu öffnet sich ein Dialog-Fenster, in dem ein Zeitraum ausgewählt oder explizit eingegeben werden kann 

(Abb. Dialog-Fenster Report-Wizzard). Das Programm prüft, welche Dateien noch nicht vom Firewall Server 

heruntergeladen worden sind und führt den Download der fehlenden Dateien automatisch durch. 

Abb. Dialog-Fenster Report-Wizzard 



Zeitraum: 



- Auswahl des Tages 



- laufender Monat 

- Frei definiert: gemäß ausgewählten Tagen 

Seite 145


7.4.1 Traffic pro Tag des ausgewählten Zeitraumes 

Traffic tageweise 

Um den Traffic tageweise für den gewählten Zeitraum anzeigen zu lassen (Abb. Traffic tageweise). 

‣Klicken Sie das Icon Traffic-Auswertung an. 

Abb. Traffic tageweise 

Traffic stundenweise 

Wurde nur ein Tag ausgewählt, so wird der Traffic stundenweise für diesen Tag angezeigt. Das Choice-Feld ist 

dann gesperrt (Abb. Traffic stundenweise). 

‣Wählen Sie den gewünschten Tag über das Choice-Feld aus. 

Abb. Traffic stundenweise 

Seite 146


7.4.2 Top-Webuser und -Webseiten des ausgewählten Zeitraumes 

Auswertung Top-Webseiten als Grafik 

Die Ermittlung der Top-Webseiten und Top-Webuser in Ihrem Netzwerk können Sie über diese Funktion 

durchführen (Abb. Top-Webseiten als Grafik). 

‣Klicken Sie auf das Icon Top XX Webuser. Alle Benutzer und ihr Traffic werden angezeigt. 

‣Klicken Sie auf einen einzelnen Benutzer, um die meistbesuchten Webseiten des Benutzers anzuzeigen. 

‣Wählen Sie die gewünschte Balkenanzahl über das Choice-Feld aus. 

Abb. Top-Webseiten als Grafik 

Auswertung Top-Webseiten als Text 

‣Klicken Sie auf das Icon Daten als Text anzeigen. 

Es öffnet sich ein neues Fenster mit der aktuellen Grafik als Textdarstellung (Abb. Top-Webseiten als Text). 

‣Diese Daten können Sie sich ausdrucken lassen. Klicken Sie auf das Icon Drucken. 

‣Zum Durchsuchen der Daten nach bestimmten Begriffen klicken Sie auf das Icon Suchen. 

Abb. Top-Webseiten als Text 

Seite 147


Anzeige als Tabelle 

Sie haben ebenfalls die Möglichkeit, sich diese Daten als Tabelle für IP-Adressen anzeigen zu lassen. 

‣Klicken Sie auf das Icon Logfile (als Tabelle). 

Abb. Top-Webseiten als Tabelle 


Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln). 



Button > 

Button >> 

Button >>> 

Button < 

Button


7.5 Traffic-Auswertung 

Der Traffic-Report zeigt Logfile-Einträge an, die über die Firewall in Echtzeit laufen. 

Abb. Menüleiste mit Icon Traffic-Auswertung 

‣Der Aufruf der Log-Auswertung erfolgt über das Menü Reports Traffic-Auswertung oder 

als Schnellauswahl über das Icon Traffic-Auswertung. 

Eine Tabelle mit vielfältigen Filtermöglichkeiten nach Paketarten wird angezeigt (Abb. Traffic-Auswertung). 

Abb. Traffic-Auswertung 

Abb. Menüleiste Traffic 

Menü: Proxy-Auswertung 

Paketart: 

Filterauswahl: 

Filterwert: 


Auswahl des Filters 

Angabe des Filterwertes 

Zeitgesteuerte Anzeige: Download erfolgt je nach eingestellter Zeit 

Listenende anzeigen: 

Bei Aktivierung des Icons, wird Liste wird in der Anzeige automatisch ans Ende 

gescrollt 

Seite 149



Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln). Folgende Funktionen stehen Ihnen 

zur Verfügung: 



Button > 

Button >> 

Button >>> 

Button < 

Button


7.6 Accounting 

Über den Bereich Accounting können Sie sich eine grafische Darstellung der Datentransfermenge je Interface in 

Bytes pro Sekunde anzeigen lassen. 

Abb. Menüleiste mit Icon Accounting 

‣Der Aufruf der Accounting-Funktion erfolgt über das Menu Reports Accounting oder 

als Schnellauswahl über das Icon Accounting. 

Die Traffic Accounting-Log-Datei wird in 31-Tages-Zeitabständen rotiert. 

Abb. Fenster Accounting 

Abb. Menüleiste Accounting 

Menü: Accounting 

Zeitfenster: 

Interface: 

Logarythmisch: 

Dreidimensional: 

Gestuft: 

Drucken: 

Auswahl des Datums 

Auswahl des Interfaces 

Logarythmische Darstellung 

Dreidimensionale Darstellung 

Gestufte Darstellung 

Druck des aktuellen Screens 

Zeitgesteuerte Anzeige: bei Aktivierung, automatische Aktualisierung der Anzeige alle 10 Minuten 

Seite 151


Grafische Darstellung der Datentransfermenge 


‣Wählen Sie über das Choice-Feld den gewünschten Zeitraum aus. 

‣Wählen Sie über das Choice-Feld Interface das Interface aus. 

‣Wählen Sie Darstellungsform aus: 

‣Für eine logarythmische Darstellung klicken Sie auf das Icon logarythmisch. 

‣Für eine dreidimensionale Darstellung klicken Sie auf das Icon dreidimensional. 

‣Für eine gestufte Darstellung klicken Sie auf das Icon gestuft. 

Abb. Accounting 

Zoomfunktion 

Es besteht die Möglichkeit, einen Bereich der Grafik vergrößert darzustellen (Zoom). Hierzu markieren Sie 

diesen (mit gedrückter linker Maustaste von links oben, nach rechts unten ziehen). Um wieder zur 

Normaldarstellung zu gelangen: Mit gedrückter linker Maustaste von links unten, nach rechts oben ziehen. 

Der gezoomte Bereich kann auch verschoben werden. Hierzu rechte Maustaste drücken und verschieben. 

Seite 152


8 Testen der Firewall 

Verbindungstests 

Sie können die von Ihnen vorgenommenen Einstellungen testen. 

Abb. Menüleiste mit Icon Verbindungstest 

‣Der Aufruf der Accounting-Funktion erfolgt über das Menu Reports Verbindungstest oder 

als Schnellauswahl über das Icon Verbindungstest. 

Diese Eingaben werden genauso ausgeführt, als wenn Sie direkt von der Konsole der Firewall ausgeführt 

worden wären. 

Sie haben folgende Möglichkeiten: 

Ping: 

Netstat: 

Nslookup: 

Traceroute: 

Ifconfig: 

Mit Ping können Sie testen, ob andere Rechner erreichbar sind 

Stellen Sie hiermit den Netzstatus fest 

Auflösen vom IP-Adressen nach Namen und umgekehrt 

Verfolgung der Datenpakete zum Zielrechner 

Mit ifconfig können Sie sich die Anzahl der initialisierten Interface und deren Status 

anzeigen lassen. Dazu gehört die Hardware-Adresse (Mac-Adresse), die IP-, die Netzwerkund 

die Broadcast-Adresse des Interfaces 

Abb. Verbindungstests 

Seite 153


9 Arbeiten mit der Firewall-Konsole 

Erfahrene Linux-Anwender können auf der Konsolen-Ebene des Securepoint Firewall & VPN Servers weitere 

Einstellungen vornehmen oder zusätzliche Dienste integrieren. 

An der Konsole der Firewall stehen Ihnen insgesamt sieben virtuelle Konsolen zur Verfügung. Die erste virtuelle 

Konsole wird vom Konfigurationsprogramm nconfig verwendet. Die virtuellen Konsolen zwei bis sechs stehen 

Ihnen zur Verfügung, um sich gegebenenfalls als Super User (root) auf der Firewall einzuloggen. Die siebte 

virtuelle Konsole zeigt den Firewall Logfile an. Der Wechsel durch die virtuellen Konsolen wird durch Drücken 

der Alt-Taste und den Funktionstasten auf dem Keyboard erreicht. Beachten Sie bitte, dass die siebte virtuelle 

Konsole nicht über die siebte sondern die zehnte Funktionstaste erreicht wird. 

Anmelden auf der Konsole 

Bei der Installation sind Sie nach einem Passwort für den Benutzer root Ihres Securepoint Firewall Servers 

gefragt worden. Dies betrifft die Konsolen 2 bis 6. Sie können sich nun auf dem Server mit folgenden Daten 

anmelden: 

‣Login: 

root 

‣Passwort: ****** 

Beachten Sie, dass das Passwort und Login für den Benutzer root aus 

Sicherheitsgründen nicht mit dem Passwort und Login des Administrators des Clienten 

identisch ist und auch später nicht sein sollte. 

Reports von der Konsole abrufen 

Sie können ebenfalls Reports von der Konsole abrufen. 

Gehen Sie dabei folgendermaßen vor: 

‣Loggen Sie sich über die Konsole auf der Firewall ein. 

‣Wechseln Sie in das Verzeichnis /var/log. 

Hier befinden sich alle Logfiles der Firewall. 

Seite 154


9.1 Debugging-Möglichkeiten / Fehlersuche 

Folgende Befehle sind über die Konsole anzuwenden: 

Ping: 

Netstat: 

Nslookup: 

Traceroute: 

Ifconfig: 

Mit Ping können Sie testen, ob andere Rechner erreichbar sind 

Stellen Sie hiermit den Netzstatus fest 

Auflösen vom IP-Adressen nach Namen und umgekehrt 

Verfolgung der Datenpakete zum Zielrechner 

Mit ifconfig können Sie sich die Anzahl der initialisierten Interface und deren Status 

anzeigen lassen. Dazu gehört die Hardware-Adresse (Mac-Adresse), die IP-, die Netzwerkund 

die Broadcast-Adresse des Interfaces 

Beachten Sie: Falls Sie Fragen zu diesen Befehlen haben, können Sie sich mit dem 

Befehl man detaillierte Information zu den Befehlen anzeigen lassen. Gehen Sie z. B. 

folgendermaßen vor: Tippen Sie den Befehl man ping ein. Sie erhalten danach eine 

Beschreibung des Befehls ping. 

9.2 Tools auf der Firewall 

Befehle an der Konsole: 

fw up: 

fw down: 

startet das Regelwerk auf der Firewall 

stoppt das Regelwerk auf der Firewall, die Interfaces sind dann von außen ansprechbar, 

aber keine Verbindung über die Firewall möglich 

Kein ping und traceroute auf Interface/Netzwerkkarten möglich 

Beachten Sie, dass für die Befehle ping und traceroute Firewall-Regeln freigeschaltet werden müssen. Nur das 

interne Interface ist von vornherein anpingbar. 

Seite 155


9.3 nconfig, das Konfigurationsprogramm der Konsole 

Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der Linux Konsole zur Verfügung. Es kann auch per 

SSH aufgerufen werden. An der Konsole der Firewall stehen Ihnen insgesamt sieben virtuelle Konsolen zur 

Verfügung. Die erste virtuelle Konsole wird vom Konfigurationsprogramm verwendet. Der Wechsel durch die 

virtuellen Konsolen wird durch Drücken der Alt-Taste und den Funktionstasten auf dem Keyboard erreicht. 

Beachten Sie bitte, dass die siebte virtuelle Konsole nicht über die siebte sondern die zehnte Funktionstaste 

erreicht wird. 

nconfig 

Hier erhalten Sie eine Einführung in das Programm. Loggen Sie sich auf das lokale Konfigurationsprogramm der 

Firewall ein: 

Abb. Programm nfconfig auf der Konsole der Firewall 

Mit Ihrem bei der Installation angegebenen Admin Passwort können Sie sich in das Programm einloggen. Mit 

Hilfe dieses Programms können Sie an der ersten Konsole der Firewall, ohne Linux Kenntnisse zu besitzen, 

einfach Grundkonfigurationen bearbeiten: 



Seite 156


9.3.1 Übersicht 

Das Fenster des Programms nconfig ist in zwei Bereiche aufgeteilt: einen Informationsbereich, in dem Sie die 

wesentlichen Konfigurationsdaten Ihrer Firewall einsehen können, sowie das Menü mit 13 Punkten. Im Menü- 

Bereich haben Sie die Möglichkeit, Änderungen an der Konfiguration vorzunehmen. 

Abb. Übersicht nconfig 

Informationsbereich: 

eth0/DSL/ISDN, eth1.. ethn: 

Gateway: 

Admin IP: 

Nameserver1: 

Nameserver2: 

Static Routes: 

Interface Informationen 

Router-Informationen 

Security Manager Administrations-IP 

Erster Nameserver 

Zweiter Nameserver 

Statische Routen 

Menü-Bereich: 

0: DSL/ISDN: Umstellen auf Verbindungstyp 

1: Add Interfaces: Interfaces hinzufügen 

2: Del Interfaces: Interfaces löschen 

3: Change Interface IP: Interface-IP-Adressen bearbeiten 

4: Change Interface Driver: Netzwerkkartentreiber bearbeiten 

5: Change Default Gateway: Default Gateway bearbeiten 

6: Change Security Manager Admin IP: Administrationsclient IP-Adresse bearbeiten 

7: Change Nameserver: Namenserver bearbeiten 

8: Edit Static Routes: Statische Routen bearbeiten 

9: Traffic Shaper: Bandbreitenbegrenzungen erstellen 

10: VPN Properties (X509-Certificates): IPSec X509-Zertifikate bearbeiten 

11: Change Password: Admin Passwort Änderung (nur lokale User) 

12: Write Config: Speichern der Konfiguration 

13: QUIT: Beenden von nconfig 

Seite 157


9.3.3 Punkt 1: Add Interface 

Unter diesem Menüpunkt können Sie ein neues Netzwerkinterface anlegen. Die Interfaces werden automatisch 

fortlaufend nummeriert und im Informationsbereich des Fensters angezeigt. 

Abb. Interface Konfiguration Ethernet 

Eingaben: 

Netzwerkkartentyp: 0: ETH (Ethernet) 

ipaddr: 

bitcount: 

driver: 


Netzmaske 

Nr. des Netzwerkkartentreibers 

Die Nummer der zur Verfügung stehenden Netzwerkkarten wird im Informationsbereich des Fensters angezeigt. 


‣Wählen Sie die Nr. des Netzwerkkartentyps und drücken Sie danach RETURN. 

‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet. 

Seite 159


9.3.4 Punkt 2: Del Interface 

Unter diesem Menüpunkt ist es möglich, das letzte Interface zu entfernen. Die Netzwerkinterfaces sind 

fortlaufend nummeriert und werden im Informationsbereich des Fensters angezeigt. 

Abb. Del Interface 

Eingaben: 

Delete last interface (y/n [n]): y: löscht das letzte Interface 

n: beendet den Menüpunkt ohne Änderung 


Seite 160


9.3.5 Punkt 3: Change Interface IP 

Unter diesem Menüpunkt können die IP-Adresse und und Netzmaske (BitCount) der bestehenden Interfaces 

geändert werden. 

Abb. Change IP 

Eingaben: 

Netzwerkkartennummer: 

ipaddr: 

bitcount: 

0,1 ... n 


Netzmaske 



‣Tragen Sie die IP-Adressen und die Netzmaske des Interfaces ein. 


Seite 161


9.3.6 Punkt 4: Change Interface Driver 

Hiermit können Sie Netzwerkkartentreiber wechseln. 

Abb. Interface Konfiguration Ethernet 

Eingaben: 

Netzwerkkartennummer: 

driver: 

0,1 ... n 

Nr. des Netzwerkkartentreibers 



‣Wählen Sie die Nr. des Netzwerkkartentyps und drücken Sie danach RETURN. 


Seite 162


9.3.7 Punkt 5: Change Gateway 

Das Default Gateway ist normalerweise die LAN-seitige IP-Adresse Ihres Routers, der die Verbindung zum 

Internet realisiert. 

Abb. Change Gateway 

Eingaben: 

New Gateway IP: 

IP-Adresse des Routers 

Die Gateway IP wird im Informationsbereich des Fensters angezeigt. 


‣Tragen Sie die IP-Adresse Ihres Routers ein. 


Seite 163


9.3.8 Punkt 6: Change Admin IP 

Über den Punkt Change Admin IP können Sie zusätzlichen Rechnern oder Netzen den Zugriff auf den Firewall 

Server zwecks Administration erlauben. Dies betrifft Zugriffe über SSH und den Security Manager. 

Beachten Sie: Die Steuerung für den administrativen Zugriff ist nur über dieses Interface möglich. Im 

Gegensatz zu Version 2.X oder 3.X reicht es nicht aus, eine Firewall-Regel dafür zu schreiben. Der 

Securepoint Security Manager kann auch bei heruntergefahrenem Regelwerk (fw down) nur von den 

angegebenen Hosts/Netzen die Firewall konnektieren. 

Wenn Sie den Zugriff von allen IP-Adressen (also auch aus dem Internet) erlauben wollten, so wäre der Eintrag 

0.0.0.0/0. Ein einzelner Host wird mit dem Bitcount 32 maskiert (also zum Beispiel 192.168.1.100/32). Der 

Bitcount 24 würde den Zugriff für ein komplettes Class-C Netz erlauben (zum Beispiel 192.168.1.0/24). Sie 

können natürlich auch mehreren Hosts bzw. Netzwerken gleichzeitig den Zugriff ermöglichen. 

Abb. Change AdminIP 

Eingaben: 

1: ADD Admin Client/Net, zum Hinzufügen einer neuen IP-Adresse/Netz für die Administration über den 

Security Manager; New Admin: IP-Adresse und Netzmaske (z. B. 1.2.3.4/32) 

2: Del Admin Client/Net, zum Löschen einer IP-Adresse/Netz für die Administration über den Security 

Manager; Del Admin: Nr. der zu löschenden IP-Adresse/Netz 

Die Admin IP wird im Informationsbereich des Fensters angezeigt. 


‣Tragen Sie eine neue IP-Adresse mit Netzmaske ein, um per SSH oder Security Manager zugreifen zu 

können. 


Seite 164


9.3.9 Punkt 7: Change Nameserver 

Die eingetragenen Nameserver ermöglichen der Firewall die Namensauflösung von IP-Adressen bzw. 

umgekehrt. Sie brauchen Nameserver, falls Sie den Application Level Proxy der Firewall verwenden möchten 

und, wenn Sie sich automatisiert, die Reports der Firewall zustellen lassen möchten. Für die eingetragenen 

Nameserver muss keine spezielle Regel von Ihnen erstellt werden. Die Firewall tut dies automatisch, sobald 

Nameserver eingetragen wurden. Testen Sie die Funktionalität der Nameserver an der Konsole mit dem Befehl 

nslookup (dazu müssen Sie die lokale Konsole wechseln) oder über den Security Manager über das Menü 

Reports Verbindungstests. 

Abb. Change Nameserver 

Eingaben: 

Nameserver 1: 

Nameserver 2: 



Die Admin IP wird im Informationsbereich des Fensters angezeigt. 


‣Tragen Sie die IP-Adressen Ihrer Nameserver ein. 


Seite 165


9.3.10 Punkt 8: Edit Static Route 

Unter diesem Menüpunkt können Sie normale statische Routen und statische Source-Routen anlegen. 

Beachten Sie: Die Version 4.X unterstützt nicht nur Destination Routing sondern auch Source Routing. 

Abb. Edit Static Route 

Eingaben: 

1: ADD new route, zum Hinzufügen einer neuen Route: 

Gateway IP: 

Destination: 

Dest. Bitcount: 

IP-Adresse des Gateways 

IP-Adresse des neuen Netzes 

Netzmaske des Netzes 

2: Del route, zum Löschen einer Route: 

Nr. der zu löschenden Route 

3: Edit soure route, zum Editieren einer Route: 

ADD new source code 

Source: 

Destination: 

Router: 

IP-Adresse der Quelle 

IP-Adresse des Ziels 

Router 

Die IP-Adresse wird der Routen im Informationsbereich des Fensters angezeigt. 


‣Beim Öffnen des Fensters Add new source route können Sie mit Pfeiltasten zw. den Menüpunkten wechseln. 

‣Tragen Sie die die jeweiligen Werte ein. 


Seite 166


9.3.11 Punkt 9: Traffic Shaper 

Unter diesem Menüpunkt können Sie die Traffic-Bandbreite für Dienste begrenzen. Dies dient dazu, wichtigeren 

Diensten eine größere Bandbreite zur Verfügung zu stellen oder die Kosten für bestimmte Dienste 

einzugrenzen. 

Abb. Edit Bandbreitenbegrenzung 

Eingaben: 

new: 

Hinzufügen einer neuen Route: 

Nr. des Interfaces: 

Rate (Kbit): 

Prio: 

Auswahl des Interfaces 

Beschränkung auf Bandbreite in KBit 

Priorität des Prozesses (0 hat höchste Priorität) 

Auswahl bestehender Einstellungen: 

Back: 

Del: 

Add new filter: 

src host/net: 

dst host/net: 

src port: 

dst port: 

zurück in dem höheren Menüpunkt 

Löschen der ausgewählten Bandbreitenbegrenzung 

IP-Adresse des Ziels 

Quell-IP-Adresse des Rechners/Netzes und Netzmaske 

Ziel-IP-Adresse des Rechners/Netzes und Netzmaske 

Quell-Port 

Ziel-Port 


‣Beim Öffnen des Fensters Traffic Shaper können Sie mit Pfeiltasten zw. den Menüpunkten wechseln. 

‣Beim Ausfüllen des Feldes src host/net oder dst host/net wird jeweils der Rechner geshapt oder beim 

Ausfüllen der Felder src-/dst-port wird jeweils der Dienst geshapt. Wird beides ausgeführt, wird auch beides 

geshapt. 


Seite 167


9.3.12 Punkt 10: VPN Properties 

Hier können Sie eine CA (Certification Authority) erstellen und X509-Zertifikate erstellen und sperren. Dieses ist 

für IPSec erforderlich. Nähere Informationen zum Erstellen von Zertifikaten und eine Beispielkonfiguration 

finden Sie in Kapitel 11.2.1.2. 

Abb. VPN Properties 

Eingaben: 

1: Create new CA Cert: Erstellen einer Certification Authority 

2: Create new Server Cert: Erstellen eines Server Zertifikates 

3: Create new Client Cert: Erstellen eines Client Zertifikates 

4: Revoke a Client/Server Cert: Sperren eines Zertifikates 


‣Siehe Beispiel-Konfiguration in Kapitel 11.2.1.2. 


Seite 168


9.3.13 Punkt 11: Change Password 

Unter diesem Menüpunkt ist es Ihnen möglich, das Konsolen-Anmeldekennwort (nicht das root Passwort) zu 

ändern. 

Abb. Change Password 

Eingaben: 

New Password: 

New Password: 

Passwort-Eingabe 

Wiederholung Passwort-Eingabe 


‣Tragen Sie das neue Konsolen-Passwort ein. 


Seite 169


9.3.14 Punkt 12: Write config 

Wird dieser Menüpunkt aufgerufen, werden alle Änderungen, die Sie im Konfigurationsprogramm eingestellt 

haben, im System übernommen. Davon ausgenommen ist Menüpunkt 0 (DSL/ISDN) und Menüpunkt 10 (VPN 

Properties), diese werden sofort gültig. 

Abb. Write config 

Eingaben: 

Save Configuration (y/n [n]): 

Speichern der Konfiguration 


‣Tragen sie „y“ ein, um die geänderte Konfiguration zu speichern. 


Seite 170


9.3.15 Punkt 13: QUIT 

Beenden des nconfig-Programms. 

Abb. Quit 


‣Beenden Sie das Programm durch die Eingabe von „y“. 


Seite 171


10 Arbeiten mit Fremdprodukten 

Sie können verschieden Fremdprodukte auf dem Securepoint Firewall & VPN-Server betreiben. Beachten Sie, 

dass die Produkte, die nicht in den Securepoint Handbüchern aufgeführt sind, nicht von Securepoint supportet 

werden. 

10.1 Virenscanner 

10.1.1 TrendMicro-Virenscanner 

Installation TrendMicro Viruswall 

Sie möchten die TrendMicro Viruswall auf der Securepoint Firewall installieren. Falls Sie beim Installieren bereits 

das Paket Viruswall ausgewählt haben, befindet sich das Installationsprogramm der Viruswall (isinst) im 

Verzeichnis /opt/trendmicro/. 

Möchten Sie die TrendMicro Viruswall nachträglich von der CD-ROM installieren, gehen Sie bitte wie folgt vor: 

‣Legen Sie die CD-ROM in das Laufwerk der Firewall. 

‣Loggen Sie sich als root auf der zweiten Konsole der Firewall ein. 

(Zum Wechseln der Konsole drücken Sie die ALT + F2 Tasten.) 

‣Mounten Sie die CD-ROM durch den Befehl mount /mnt/cdrom. 

‣Erstellen Sie im Verzeichnis opt ein Unterverzeichnis trendmicro mkdir /opt/trendmicro. 

‣Kopieren Sie das TrendMicro Viruswall Paket in das Verzeichnis 

cp /mnt/cdrom/opt/viruswall.tgz /opt/trendmicro. 

‣Entpacken Sie das Paket tar-xzf /opt/trendmicro/viruswall.tgz. 

‣Wechseln Sie in das Verzeichnis cd /opt/trendmicro/. 

Danach können Sie mit der Installation fortfahren. Starten Sie das Installationsprogramm: 

‣Tragen Sie isinst ein und drücken Sie RETURN. 

Abb. Start Installationsprogramm 

Seite 172


‣Wählen Sie Punkt 1 aus: „Install InterScan Viruswall sub-system“. 

Ihnen wird als Installationspfad /var/opt/trend vorgeschlagen. Behalten Sie diesen Pfad bei, ansonsten könnten 

Sie Schwierigkeiten beim Betrieb der Viruswall bekommen, da bestimmte Partitionen der Firewall aus 

Sicherheitsgründen nur lesbar und nicht beschreibbar sind. 

‣Mit Punkt 9 können Sie jetzt die Installation starten. Folgen Sie den Anweisungen. 

Nähere Informationen zur Installation finden Sie auch im Handbuch der TrendMicro Viruswall. Beispiel- 

Konfigurationen für das nötige Regelwerk finden Sie in Kapitel 11.1.4. 

Seite 173


Konfiguration TrendMicro Viruswall 

Die Konfiguration der Viruswall wird über den Security Manager Optionen Viruswall durchgeführt. 

Beachten Sie, dass Sie die Viruswall zur Administration mit Firewall-Regeln freischalten 

müssen. Beispiel-Konfigurationen für das nötige Regelwerk finden Sie in 

Kapitel 11.1.4. 

Abb. Konfiguration Trendmicro Viruswall 

Beachten Sie: Falls das smtp-Modul der TrendMicro Viruswall verwendet ist, stellen 

sie die smtp Server-Einstellung auf daemon-mode (siehe abbildung Konfiguration 

TrendMicro Viruswall). 

Seite 174


10.2 Roadwarrior 

10.2.1 SSH-Sentinel-Roadwarrior 

An den Securepoint IPSec-VPN-Server können Sie einen IPSec-Client anbinden. 

Eine Beispiel-Konfiguration mit dem Sentinel IPSec-Roadwarrior finden Sie im Kapitel 11.2.1.4. 

10.2.2 Windows PPTP-Roadwarrior 

An den Securepoint PPTP-VPN-Server können Sie einen Windows-PPTP-Client anbinden. 

Eine Beispiel-Konfiguration mit dem PPTP-Roadwarrior finden Sie im Kapitel 11.3.1. 

Seite 175


10.3 SSH – Secure Shell 

Das Netzprotokoll SSH (Secure Shell) ist eine verbreitete, robuste und zuverlässige Lösung für zahlreiche 

Probleme der Netzwerksicherheit. Es sichert den Anmeldevorgang auf entfernten Systemen und den 

Dateitransfer zwischen verschiedenen Rechnern, ermöglicht die Erzeugung geschützter Tunnel sowie die 

gesicherte Ausführung von Prozessen auf anderen Maschinen. SSH ist auf dem Securepoint Firewall Server 

standardmäßig installiert. 

Ein aufwendiger abgestufter Authentisierungsmechanismus sorgt mit SSH dafür, dass sich kein Rechner im 

Internet mehr erfolgreich als ein anderer ausgeben kann. Weder beim Aufbau noch bei der Nutzung einer 

Verbindung mittels der Secure Shell werden Daten unverschlüsselt übertragen. Ein asymmetrisches 

Verschlüsselungsverfahren sichert die Geheimhaltung der verwendeten Schlüssel. 

Die Secure Shell gestattet sowohl das Absetzen von Kommandos an einen fremden Rechner als auch den 

Aufbau einer Sitzung an einem fremden Rechner. Der Aufruf von SSH ist (vereinfacht dargestellt): 

• ssh [-v] [remoteuser@]remotehost [command] oder 

• ssh [-v] remotehost -l remoteuser [command] 

nconfig über SSH aufrufen 

Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der ersten Linux Server-Konsole zur Verfügung. Es 

kann per SSH aufgerufen werden. Mit Hilfe des Programms nconfig können Sie nachträglich die Parameter Ihrer 

Firewall-Konfiguration ändern (siehe Kapitel 9.3). 



Seite 176


11 Beispiele 

In diesem Kapitel finden Sie verschiedene Beispiele zur Konfiguration Ihres Netzwerkes und Bedienung des 

Securepoint Firewall & VPN Servers. 

Konfigurationsbeispiele auf CDROM 

Sie finden im Verzeichnis tools/securepoint_client/samples/ auf der Securepoint-CD-ROM verschiedene 

Beispiele, die Ihnen den Einstieg in die Konfiguration der Firewall erleichtern. Die Beispiele werden mit dem 

Schlüssel „test“ geöffnet. 

Sie können auch eigene Konfigurationen abspeichern, falls Sie verschiedene Dinge testen möchten (Kapitel 6). 

Seite 177


11.1 Firewall-Regeln: Beispiele 

Da die Securepoint ein Zonen-Konzept besitzt, sollten Sie überlegen, in welchen Zonen sich die Rechner und 

Netze befinden. Erstellen Sie die erforderlichen Netzwerkobjekte wie: 

• Rechner 

• Rechnergruppen 

• Dienste (falls erforderlich, d. h., ob die Dienste sich noch nicht in der vordefinierten Liste befinden) 

• Dienstgruppen (falls erforderlich) 

• Erstellen Sie danach die Regeln, die die Beziehungen zwischen Rechnern in den Zonen definiert 


Seite 178


11.1.1 Firewall-Regel-Beispiel: http, https und passiv ftp ins Internet 

Ihr Ziel ist es, dass einige Workstations Ihres Netzes per http, https und passiv ftp ins Internet dürfen. 

• Die Workstations befinden sich in der Zone Internal 

• Die Zone External ist das Internet 

Vorgehensweise in 3 Schritten: 

11.1.1.1 Erstellen der Rechner / Netzwerkobjekte 

11.1.1.2 Erstellen der Rechnergruppen 

11.1.1.3 Erstellen der Firewall-Regel 

Seite 179



Erstellen Sie die Rechner Ihres Netzes, die per http, https und passiv ftp ins Internet dürfen sollen. 


‣Öffnen Sie das Fenster Regeln (tabellarisch). 

‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen 

öffnen und die Option Rechner/Netze auswählen). 

‣Klicken Sie im Fenster Rechner auf das Icon Rechner hinzufügen. 

‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT. 

Abb. Workstation Default Internet 

‣Fügen Sie weitere Netzwerkobjekte hinzu. 

Abb. Rechner hinzufügen 

Seite 180


11.1.1.2 Erstellen der Rechnergruppen 

Erstellen Sie die Rechnergruppen Ihres Netzes, die per http, https und passiv ftp ins Internet dürfen sollen. 


‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das 

Fenster Optionen öffnen und die Option Rechnergruppen auswählen). 

‣Legen Sie eine neue Gruppe Grp-admin workstations an. 

‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu. 

Abb. Rechnergruppe erstellen 

Seite 181


11.1.1.3 Erstellen der Firewall-Regel 

Erstellen Sie eine neue Regel im tabellarischen Regelwerk. 


‣Gehen Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ können 

Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü neue Regel auswählen). 

‣Schreiben Sie eine neue Regel und speichern Sie sie. 

Abb. Firewall Regel erstellen 

Seite 182


11.1.2 Firewall-Regel-Beispiel: Client Netz über Proxy ins Internet 

Sie haben vor, dass ein bestimmter Netzbereich Ihres internen Netzwerks über den Applikationsproxy der 

Firewall ins Internet gelangt. 




11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations 

11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations 

11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal 

11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal 

11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external 

11.1.2.6 Erstellen der Rechnergruppe Grp-fw external 

11.1.2.7 Erstellen der Firewall-Regel Gr-internal workstations Grp fw internal 

11.1.2.8 Erstellen der Firewall-Regel Gr-fw externa internet 

11.1.2.9 Erstellen der Firewall-Regel Gr-fw external internet 

Seite 183


11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations 





‣Klicken Sie im Fenster Rechner/Netze auf das Icon Rechner hinzufügen. 


Abb. Erstellen der Netzwerkobjekte 

Seite 184


11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations 

Erstellen Sie die Rechnergruppen. 




‣Legen Sie eine neue Gruppe Grp-internal workstations an. 



Seite 185


11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal 





‣Klicken Sie im Fenster Option Rechner/Netze auf das Icon Rechner hinzufügen. 



Seite 186


11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal 





‣Legen Sie eine neue Gruppe Grp-fw internal an. 



Seite 187


11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external 








Seite 188


11.1.2.6 Erstellen der Rechnergruppe Grp-fw external 





‣Legen Sie eine neue Gruppe Grp-fw external an. 



Seite 189


11.1.2.7 Erstellen der Firewall-Regel Grp-internal workstations Grp-fw internal 

Erstellen Sie im tabellarischen Regelwerk die Regel für den Proxy-Zugriff aus dem internen Netz. 


‣Gehen Sie auf das Fenster Firewall-Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ 

können Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü neue Regel 

auswählen). 



Seite 190


11.1.2.8 Erstellen der Firewall-Regel Grp-fw external internet 

Erstellen Sie eine Regel damit der Proxy-Zugriff auf das Internet per http, https und passiv ftp hat. 


‣Gehen Sie auf das Fenster Firewall-Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ 

können Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü das Erstellen einer 

neuen Regel auswählen). 



Seite 191


11.1.2.9 Konfigurieren des Proxies der Firewall 

Konfigurieren Sie nun den Proxy der Firewall. 


‣Wechseln Sie auf die Optionen. 

‣Öffnen Sie die Option Proxy. 

Abb. Optionen, Proxy 

Seite 192


11.1.3 Firewall-Regel-Beispiel: Webserver NAT (statisches NAT) 

Sie haben vor, Ihren Webserver (oder auch eine andere Resource) für den Zugriff aus dem Internet 

freizuschalten. Ihr Webserver befindet sich in einer DMZ und hat eine private IP-Adresse. Sie möchten den 

Webserver über eine zusätzliche, auf dem externen Interface der Firewall installierte IP-Adresse erreichbar 

machen. Diese „virtuelle IP-Adresse“ ist eine öffentliche. 

• Der Webserver befinden sich in der Zone DMZ 



11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface 


11.1.3.3 Erstellen der Rechnergruppe webserver 

11.1.3.4 Erstellen der Firewall-Regel internet webserver 

Seite 193


11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface 

Installieren Sie dazu auf dem externen Interface der Firewall eine öffentliche IP-Adresse aus Ihrem Adress-Pool. 


‣Öffnen Sie hierzu das Fenster Optionen. 

‣Klicken Sie auf das Icon Virtuelle IPs. 

Abb. Installation einer virtuellen IP-Adresse am externen Interface 

Beachten Sie: Überprüfen Sie, ob diese IP-Adresse auch hochgefahren ist. Entweder 

an der Konsole mit dem Befehl ifconfig oder über den Security Manager (Client) über 

die Punkte Reports Verbindungstests ifconfig. Sollte das Interface noch nicht 

hochgefahren sein, können Sie es durch Öffnen der „normalen“ Interface Konfiguration 

unter dem Punkt Optionen erzwingen, indem Sie die gespeicherten Daten noch einmal 

speichern. 

Seite 194










Seite 195


11.1.3.3 Erstellen der Rechnergruppe webserver 





‣Legen Sie eine neue Gruppe Webserver an. 


Seite 196


11.1.3.4 Erstellen der Firewall-Regel internet webserver 

Erstellen Sie eine Regel damit das Internet Zugriff auf den Webserver hat. Im Regelwerk können Sie nun die 

Resource mit dem statischen NAT Eintrag freischalten. 


‣Gehen Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ können 

Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü das Erstellen einer neuen 

Regel auswählen). 



Seite 197


11.1.4 Firewall-Regel-Beispiel: Anbindung des TrendMicro-Virenscanners 

Sie möchten die TrendMicro Viruswall über den Securepoint Security Manager administrieren, bzw. Ihren Usern 

ermöglichen über die Viruswall sicher zu surfen - d. h. http und ftp wird nach Viren gescannt. 




11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen 

11.1.4.2 Erstellen der Firewall-Regeln 

11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen 

‣Erstellen Sie das Netzwerk Objekt für Ihre Arbeitsstation, von der aus Sie die Viruswall administrieren 

möchten. 

Bei Erstellung des Netzwerk Objekts können auch gleichzeitig die Netzwerkgruppe für das Regelwerk erzeugen 

(Gruppe): Grp-Admin Workstations, Grp-Internal Net, Grp-FW Internal, Grp-FW External. 

Abb. Erstellen 1 und 2 

‣Erstellen Sie das Netzwerk aus dem der Proxy der Viruswall verwendet wird 

‣Erstellen Sie das interne Interface der Firewall, über das die Viruswall administriert wird, bzw. das die 

Anwender in Ihrer Proxy-Konfiguration als IP-Adresse für den Proxy angeben. 

‣Erstellen Sie das externe Interface der Firewall, über das die Viruswall ins Internet gelangt. 

Seite 198


‣Erstellen Sie eine neue Dienstgruppe für den Proxy der Viruswall. Standardmäßig verwendet der Viruswall 

Proxy den Port 80 (http). Erstellen Sie eine neue Gruppe für den Administrations-Port der Viruswall: 

TrendMicro Proxy und fügen sie ihr den Dienst http zu. Um die Viruswall über die Optionen Viruswall 

konfigurieren zu können, muss ebenfalls eine Dienstgruppe: TrendMicro Administration erstellt werden. 

Fügen Sie ihr den Dienst trendmicro-ssl zu. 

11.1.4.2 Erstellen der Firewall-Regeln 

‣Öffnen Sie nun das Regelwerk und erstellen Sie eine neue Regel für die Administration der Viruswall über 

die Optionen Viruswall. 

‣Erstellen Sie eine Regel damit die internen Benutzer den Proxy der Viruswall erreichen können. 

‣Erstellen Sie eine Regel, damit der Proxy der Viruswall auf das Internet per http, https und ftp zugreifen 

kann (https wird nicht nach Viren gescannt, kann aber über den Proxy verwendet werden). 

‣Machen Sie ein Regelupdate nach Erstellung der Regeln. 

Seite 199


11.2 VPN – Beispiele mit IPSec 


Netze befinden: 


Seite 200


11.2.1 Beispiel IPsec-VPN mit Roadwarrior und X509-Authentisierung 

Ihr Ziel ist es, dass ein Roadwarrior mit einem Securepoint Firewall & VPN Server über X509-Authentisierung 

angebunden werden. Sie möchten zum Beispiel einem Notebook erlauben, von unterwegs auf interne 

Resourcen zuzugreifen. Der Roadwirrior soll auf den internen File-Server per NetBios (Windows Filesharing) 

zugreifen können. Das Ganze über eine gesicherte IPSec-Verbindung. Gehen Sie in folgenden Schritten zum 

Anlegen der IPSec-Verbindungen vor: 


11.2.1.1 Erstellen von Firewall-Regeln für IPSec-Verbindungen 


11.2.1.3 IPSec-Verbindung auf der Firewall konfigurieren 

11.2.1.4 IPSec-Roadwarrior konfigurieren 

Seite 201


11.2.1.1 Erstellen von Firewall-Regeln für IPSec-Verbindungen 

Sie möchten einem Notebook erlauben, von unterwegs auf interne Resourcen zuzugreifen. Dies soll über eine 

gesicherte IPSec-Verbindung geschehen. 

Erstellen der Netzobjekte 

Damit das externe Interface der Firewall per IPSec-Protokoll (UDP/500 und ESP) erreicht werden kann, müssen 

Sie die entsprechenden Netzwerkobjekte erstellen (siehe Abb. Erstellen des Netzwerkobjektes fw external und 

Abb. Erstellen des Netzwerkobjektes fw ipsec). Kontrollieren Sie dabei die angegebenen Zonen (Sektoren), 

siehe auch Securepoint-Zonen-Konzept. 

Um die Netzwerkobjekte zu erstellen, gehen Sie folgendermaßen vor: 

‣Wechseln Sie über das Menü Bearbeiten Optionen Rechner/Netze 

oder 

‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten Firewall Regeln (tabellarisch). 

‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze. 

Abb. Erstellen des Netzwerkobjektes fw external 

Abb. Erstellen des Netzwerkobjektes fw ipsec 

Seite 202


Erstellen der Rechnergruppe 

Fügen Sie die beiden neu erstellten Netzwerkobjekte in einer gemeinsamen Gruppe zusammen. 


‣Wechseln Sie hierzu über das Menü Bearbeiten Optionen Rechnergruppen 

oder 

‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten Firewall Regeln (tabellarisch) 

‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen. 

‣Erstellen Sie die Rechnergruppe Grp-fw external und fügen Sie die neu erstellten Netzobjekte der Gruppe 

hinzu. 

Abb. Erstellen der Rechnergruppe Grp-fw external 

Seite 203


Erstellen der Firewall-Regeln 

Schalten Sie im Regelwerk eine Regel frei, mit der jeder aus dem Internet das externe Interface der Firewall 

per IPSec-Protokoll erreichen kann. In unserem Fall wissen wir nicht, welche IP-Adresse der Roadwarrior hat, 

da wahrscheinlich eine IP-Adresse von einem Provider zugewiesen wird. 


‣Wechseln Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel. 

Abb. Erstellen der Firewall-Regel 

Seite 204



‣Tragen Sie folgende Daten ein: 

Auswahlfelder 



Dienstgruppe: 

Art: 

Log: 

Zeitvorgaben: 

internet 

Grp-fw external 

ipsec 

ACCEPT 

[S] 

false 

Mit dieser Regel erlauben Sie, dass aus dem Internet auf das externe IPSec-Interface der Firewall zugegriffen 

werden darf. 

Beachten Sie: Die Dienstgruppe ipsec ist eine vordefinierte Gruppe, die Sie nicht 

anlegen müssen. 

Seite 205



Sie müssen festlegen, auf welche Resourcen der authorisierte Roadwarrior später im internen Netzwerk 

zugreifen darf. Es wird davon ausgegangen, dass die Netzobjekte noch nicht existieren. Erstellen Sie deshalb 

zuerst die Netzwerkobjekte für den Roadwarrior und den Fileserver. Später soll der Roadwarrior auf den 

internen Fileserver per NetBios (Windows Filesharing) zugreifen können. Der Roadwarrior hat im IPSec-Tunnel 

die IP-Adresse 172.16.1.10/32. 

Beachten Sie dies in der IPSec-Client-Konfiguration am Beispiel Sentinel-Client. (Siehe Kapitel 11.2.1.4) 


‣Wechseln Sie in über das Menü Bearbeiten Optionen Rechner/Netze 

oder 


‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze. 

Abb. Erstellen des Netzwerkobjektes RoadwarriorX.509 

Abb. Erstellen des Netzwerkobjektes fileserver 

Seite 206


Erstellen der Rechnergruppe 

Fügen Sie die beiden neu erstellten Netzwerkobjekte jeweils in eine neue Gruppe. 


‣Wechseln Sie hierzu über das Menü Bearbeiten Optionen Rechnergruppen 

oder 


‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen. 

‣Erstellen Sie die Rechnergruppe Grp-roadwarriorX.509 und die Gruppe Grp-fileserver und fügen Sie die neu 

erstellten Netzobjekte jeweils den Gruppen hinzu. 

Seite 207



Nun müssen Sie im Regelwerk freischalten, auf welche Resourcen der authorisierte Roadwarrior im internen 

Netzwerk zugreifen darf. In diesem Fall soll er auf den internen Fileserver per NetBios (Windows Filesharing) 

zugreifen können. 



Abb. Erstellen der Firewall-Regel 

Seite 208




Auswahlfelder 



Dienstgruppe: 

Art: 

Log: 

Zeitvorgaben: 

Grp-roadwarriorX.509 

Grp-fileserver 

netbios 

ACCEPT 

[S] 

false 

Mit dieser Regel erlauben Sie, dass von den Roadwarrior auf den internen Fileserver zugegriffen werden darf. 

Beachten Sie: Die Dienstgruppe netbios ist eine vordefinierte Gruppe, die Sie nicht 

anlegen müssen. 

Seite 209



Loggen Sie sich zum Erstellen von X509-Zertifikaten per SSH oder lokal auf der Firewall ein. Starten Sie das 

Programm nconfig. Das Programm nconfig gibt Ihnen die Möglichkeit, Ihre Firewall-Konfiguration zu ändern und 

X509-Zertifikate zu erstellen. 

‣Wählen Sie hier zu Punkt 10 aus: VPN Properties. 

Abb. Programm nconfig, Hauptauswahl 

Seite 210


Erstellen der CA (Certification Authority) 

Bevor Sie die eigentliche IPSec-Verbindung mit X509-Zertifikaten erstellen, müssen Sie die CA (Certification 

Authority), die Ihre Zertifikate signiert, erzeugen (Self-Signed-Certificates). 

Abb. Programm nconfig, Create new CA Cert 

‣Auswahl: Führen Sie Punkt 1 aus: Create new CA Cert. 

‣Tragen Sie die entsprechenden Daten ein und wichtig, merken Sie sich das Passwort. Mit Hilfe dieses 

Passwortes sind Sie in der Lage, Ihre Zertifikate zu signieren. 

Abb. Programm nconfig, eintragen der CA-Daten 


Common Name: 

Country: 

Locality: 

State: 

Organisation: 

Org. Unit: 

Email: 

myca 

DE 

Germany 

NRW 

YourOrg 

Sales 

sales@yourdomain 

Password (private key): ********** 

Seite 211


Erstellen eines Server-Zertifikats 

Erstellen Sie nun das neue Server-Zertifikat. 

Abb. Programm nconfig, Create new Server Cert 

‣Auswahl: Führen Sie Punkt 2 aus: Create new Server Cert. 


IPSec-Verbindung im Security-Manager für Ihr Server-Zertifikat angeben. Mit dem zweiten Passwort sind 

Sie in der Lage, Ihr Passwort mit der lokalen CA zu signieren. 

Abb. Programm nconfig, eintragen der Server-Cert-Daten 


Common Name: 

Country: 

Locality: 

State: 

Organisation: 

Org. Unit: 

Email: 

myServerCert 

DE 

Germany 

NDS 

YourOrg 

Sales 


Password: ******** 

CA Password: ******** 

Seite 212


Erstellen eines Client-Zertifikats 

Erstellen Sie nun das Client-Zertifikat für den Roadwarrior. 

Abb. Programm nconfig, Create new Client Cert 

‣Auswahl: Führen Sie Punkt 3 aus: Create new Client Cert. 


IPSec-Verbindung im Security-Manager für Ihr Client-Zertifikat angeben. Mit dem zweiten Passwort sind Sie 

in der Lage, Ihr Passwort mit der lokalen CA zu signieren. 

Abb. Programm nconfig, eintragen der Client-Cert-Daten 


Common Name: 

Country: 

Locality: 

State: 

Organisation: 

Org. Unit: 

Email: 

myServerCert 

DE 

Germany 

NDS 

YourOrg 

Sales 


Password: ******** 

CA Password: ******** 

Seite 213


Exportieren eines Zertifikats 

‣Sie können nun das Zertifikat auf einen Datenträger (Floppy oder USB) exportieren. 

Wenn Sie das nicht möchten, wird das Zertifikat im folgenden Pfad auf der Firewall abgespeichert: 


Sie können es auch später, zum Beispiel per sftp Protokoll, von der Firewall herunterladen. 

Abb. Exportieren des Zertifikats auf USB-Storage oder Diskette 

Seite 214


11.2.1.3 IPSec-Verbindung auf der Firewall konfigurieren 

Wechseln Sie jetzt wieder zum Security Manager (Client) und wählen Sie den Punkt Firewalls-VPN aus. Öffnen 

Sie hierzu über das Menü Bearbeiten Firewalls-VPN oder das Icon Firewalls-VPN das Fenster Firewalls-VPN. 

Das Fenster Firewalls-VPN hat einen dreiteiligen Aufbau: 

• Icon-Leiste mit den Funktionen 

• Firewall-VPN-Liste 

• Arbeitsoberfläche (mit Landkarte, falls gewünscht) 

Abb. Fenster Firewalls-VPN 

Die Arbeitsoberfläche 

Es besteht die Möglichkeit, eine Landkarte in die Arbeitsoberfläche zu integrieren. Dies erleichtert Ihnen die 

Übersicht Ihres VPN-Netzes. Wählen Sie die gewünschte Landkarte über das Choice-Feld aus (hier 

europe.bmp). Ziehen Sie per Drag und Drop die gewünschten Firewall- oder Roadwarrior-Objekte auf die 

Arbeitsoberfläche. Falls die benötigten Firewalls oder Roadwarrior noch nicht existieren, legen Sie diese über 

das Icon Securepoint Firewall 4.X und Roadwarrior anlegen. 

Beachten Sie: Es können beliebig viele Landkarten benutzt werden. Einfaches Kopieren der gewünschten 

Landkarte (als BMP-Bitmap) in den Maps-Ordner des Securepoint-Programms machen diese für den Client 

verfügbar. 

Beachten Sie: Es können beliebig vielen leere Arbeitsoberflächen angelegt werden. Dazu im Maps-Ordner eine 

leere Bitmapdatei mit dem Namen „gewünschter_name.bmp“ anlegen. Vorteil ist ein schnellerer Bildaufbau mit 

weniger Flackern. 

Seite 215


Anlegen des Roadwarrior-Objektes 


‣Wählen Sie die gewünschte Arbeitsoberfläche aus (hier germany.gmp). 

‣Ziehen Sie das Firewall-Objekt auf die Arbeitsoberfläche (Abb. Arbeitsoberfläche mit Firewall-Objekt). 

‣Erstellen Sie ein Roadwarrior-Objekt mit dem Namen RoadwarriorX.509. 

‣Klicken Sie hierzu auf das Icon Roadwarrior anlegen. 

‣Da wir nicht wissen, welche IP-Adresse der Roadwarrior vom Provider zugewiesen bekommt, tragen Sie die 

IP 0.0.0.0 ein (Abb. Roadwarrior-Objekt anlegen). 

‣Das neu erstellte Roadwarrior-Objekt erscheint nun in der linken Objektliste und kann per Drag and Drop 

ebenfalls auf die Arbeitsoberfläche gezogen werden. 

Abb. Arbeitsoberfläche mit Firewall-Objekt 

Abb. Roadwarrior-Objekt anlegen 

Seite 216


IPSec-Verbindung anlegen 

Die beiden Objekte auf der Arbeitsoberfläche können nun miteinander verbunden, und eine IPSec-Verbindung 

kann angelegt werden. 

Objekte miteinander verbinden 


‣Klicken Sie hierzu auf das Icon IPSec-Verbindung anlegen der Icon-Leiste und auf das Firewall-Objekt. 

‣Es erscheint daraufhin eine Meldung, die Sie auffordert, das Zielobjekt – in diesem Fall das Roadwarrior- 

Objekt – anzuklicken (Abb. IPSec-Verbindung anlegen). 

‣Es öffnet sich das Fenster für die Eingabe der Verbindungsdaten (Abb. Dialog-Fenster Eigenschaften von 

IPSec-Verbindungen). 

Abb. IPSec-Verbindung anlegen 

Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen 

Seite 217


Konfiguration der Verbindungsart 


‣Wählen Sie nun die Verbindungsart aus und geben Sie die erforderliche Daten für die IPSec-Verbindung ein. 

‣Tragen Sie im ersten Folder (allgemein) als Authentisierungsmethode Certificate ein. 

‣Wechseln Sie auf den nächsten Folder secpoint4.0. Dieser Folder hat den Namen des Firewall-Objektes. 

‣Wählen Sie das zu verwendende Server-Zertifikat aus (Local certificate). 

‣Tragen Sie das vergebende Passwort ein (Local key). 

‣Speichern Sie die Daten ab. 

Beachten Sie: Tragen Sie nicht das Passwort der CA zum Signieren Ihrer Zertifikate, 

sondern das Passwort des erstellten Zertifikates ein! 

Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen, allgemein 

Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen, secpoint4.0 

Seite 218


Netze im IPSec-Tunnel verbinden 

Tragen Sie nun ein, welche Netze Sie im IPSec-Tunnel miteinander verbinden wollen (Abb. Verbinden der Netze 

im IPSec-Tunnel). 




‣Klicken Sie auf das Menü Sub-Netz bearbeiten und tragen Sie es ein. 

Das Sub-Netz auf das der Roadwarrior hinter der Firewall zugreifen möchte, ist 192.168.5.0/24. Der 

Roadwarrior hat im IPSec-Tunnel die IP-Adresse 172.16.1.10/32 (Abb. Sub-Netz). 


Abb. Fenster Sub-Netz 

Seite 219


Betrieb der IPSec-Verbindung 

Wenn Sie alle Daten korrekt eingetragen haben, erscheint die Verbindungslinie jetzt grün. 

Starten Sie den IPSec-Dienst auf der Firewall neu, damit die Daten übernommen werden. 


‣Klicken Sie hierzu auf das Icon mit dem grünen Haken in der Icon-Leiste 

oder 

‣klicken Sie mit der rechten Maustaste auf das schwarze Rechteck zwischen den Objekten und 

‣wählen Sie aus dem Menü Verbindung starten. 

Beachten Sie: Der Roadwarrior möchte über das Internet auf den Fileserver zugreifen. Der Fileserver hat die IP- 

Adresse 192.168.5.20. Dies ist nun möglich. Sowohl die Firewall-Regeln sind erstellt als auch die VPN- 

Konfiguration auf der Firewall ist nun abgeschlossen, es muss lediglich noch der Roadwarrior konfiguriert 

werden. 

Abb. Betrieb der Verbindung 

Seite 220


11.2.1.4 IPSec-Roadwarrior konfigurieren 

Grundsätzlich können Sie verschiedene IPSec-Clienten verwenden. In diesem Fall liegt die Konfiguration des 

Sentinel-IPSec-Clienten vor, den Sie auch auf der CD-ROM finden. 

Es wird davon ausgegangen, dass das erstellte Client-Zertifikat sich auf dem Client-Rechner befindet. Falls dies 

nicht der Fall ist, sollten Sie das Zertifikat vom Firewall-Server laden. Es liegt im Verzeichnis: 


Falls Sie den Roadwarrior noch nicht installiert haben, sollten Sie dies nun durchführen und die folgende 

Konfiguration vornehmen. 

Seite 221


SSH Sentinel Policy Editor 


‣Starten Sie den SSH Sentinel Policy Editor. 

‣Wechseln Sie auf dem Folder Key Management. 

‣Klicken Sie mit der rechten Maustaste auf My Keys (Abb. SSH Sentinel Policy Editor) und wählen Sie den 

Punkt Import aus. 

‣Wählen Sie Ihr Client-Zertifikat aus und öffnen es (Abb. Import des Zertifikates). 

Es erscheint eine Passwort-Abfrage für das Zertifikat. 

‣Geben Sie hier bitte das Passwort an, welches Sie bei der Erstellung auf dem Securepoint Firewall Server 

angegeben haben. 

Beachten Sie: Tragen Sie nicht das Passwort der CA zum Signieren Ihrer Zertifikate, 

sondern das Passwort des erstellten Zertifikates ein! 

Abb. SSH Sentinel Policy Editor 

Abb. Import des Zertifikates 

‣Wechseln Sie auf den Folder Security Policy und auf VPN-Connections Add (Abb. Security Policy). 

‣Fügen Sie eine neue VPN-Verbindung hinzu (Abb. Hinzufügen einer neuen VPN-Verbindung). 

‣Tragen Sie als Gateway IP-Adresse die externe IP-Adresse Ihrer Firewall ein. 

Beachten Sie: Der Schalter IP muss gedrückt sein. 

‣Wählen Sie Ihr Zertifikat aus und benutzen Sie den Modus Use legacy proposal. 

Der Sentinel Client verwendet dann als Verschlüsselungs-Algorithmus 3DES wie auch der Securepoint Firewall 


Seite 222


Abb. Security Policy 

Abb. Hinzufügen einer neuen VPN-Verbindung 

‣Erstellen Sie dann das Remote network, auf das Sie hinter der Firewall zugreifen wollen. 

‣Klicken Sie hierzu auf den Button hinter dem Punkt Remote network (Abb. Hinzufügen einer neuen VPN- 

Verbindung). 

In diesem Fall ist es das Netz 192.168.5.0/24, in der sich der Fileserver mit der IP-Adresse 192.168.5.20 

befindet. 

‣Fügen Sie dieses Netz hinzu, indem Sie auf den Button New klicken (Abb. Network Editor). 

‣Nach dem Speichern der Einstellungen und dem Drücken des OK Buttons, öffnet sich automatisch das 

Fenster Rule Properties (Abb. Rule Properties). 

Abb. Network Editor 

Abb. Rule Properties 

Seite 223


‣Wählen Sie jetzt den Punkt Acquire virtual IP address aus (Abb. Rule Properties). 

Es soll im IPSec Tunnel eine festgelegte IP-Adresse verwendet werden (Abb. Virtual IP Address). 

‣Tragen Sie diese IP-Adresse ein - in unserem Fall die 172.16.1.10/32. 

Damit ist der IPSec-Client fertig konfiguriert. Die neue VPN-Verbindung erscheint nun im Folder Security Policy 

unter VPN-Connections (Abb. Neue VPN-Verbindung). 

Beachten Sie: Damit es funktioniert, darf der Roadwarrior, wenn er den IPSec-Tunnel 

aufbauen soll, nicht gleichzeitig eine IP-Adresse aus dem Zielnetz besitzen (in diesem 

Fall das Netz 192.168.5.0/24). Aus Routing-Gründen würde der IPSec-Tunnel dann 

nicht aufgebaut werden können. 

Abb. Rule Properties 

Abb. Virtual IP Address 

Abb. Neue VPN-Verbindung 

Seite 224


11.3 VPN – Beispiele mit PPTP 


Netze befinden: 


Seite 225


11.3.1 Beispiel PPTP-VPN mit Roadwarrior 

Ihr Ziel ist es, dass ein Roadwarrior mit einem Securepoint Firewall & VPN Server angebunden wird. Sie 

möchten zum Beispiel einem Notebook erlauben, von unterwegs auf interne Resourcen zuzugreifen. Das 

Notebook soll auf einen internen Mailserver zugreifen können. Das Ganze über eine gesicherte PPTP- 

Verbindung. Gehen Sie in folgenden Schritten zum Anlegen der PPTP-Verbindungen vor: 


11.3.1.1 Erstellen von Firewall-Regeln für PPTP-Verbindungen 

11.3.1.2 Erstellen der PPTP-Benutzer 

11.3.1.3 Erstellen der PPTP-Konfiguration 

11.3.1.4 PPTP-Roadwarrior konfigurieren 

Seite 226


11.3.1.1 Erstellen von Firewall-Regeln für PPTP-Verbindungen 

Sie möchten einem Notebook erlauben, von unterwegs auf interne Resourcen – einen Mailserver – zuzugreifen. 

Dies soll über eine gesicherte PPTP-Verbindung geschehen. 


Damit das externe Interface der Firewall per PPTP-Protokoll erreicht werden kann, müssen Sie die 

entsprechenden Netzwerkobjekte erstellen: Siehe Abb. Erstellen des Netzwerkobjektes fw external, Abb. 

Erstellen des Netzwerkobjektes mailserver und Abb. Erstellen des Netzwerkobjektes fw pptp user. Kontrollieren 

Sie dabei die angegeben Zonen (Sektoren), siehe auch Securepoint-Zonen-Konzept. Erstellen Sie den 

Netzbereich, aus dem der VPN-Client seine IP-Adresse für den Tunnel von der Firewall zugewiesen bekommt. 

Dieser Netzbereich wird festgelegt in der PPTP Konfiguration. 


‣Wechseln Sie in über das Menü Bearbeiten Optionen Rechner/Netze 

oder 

‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten Firewall Regeln (tabellarisch) und 

‣klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze. 

Abb. Erstellen des Netzwerkobjektes fw external 

Abb. Erstellen des Netzwerkobjektes mailserver 

Abb. Erstellen des Netzwerkobjektes pptp user 

Seite 227


Erstellen der Rechnergruppen 

Packen Sie die beiden neu erstellten Netzwerkobjekte in eine gemeinsame Gruppe. 


‣Wechseln Sie hierzu in über das Menü Bearbeiten Optionen Rechnergruppen 

oder 

‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten Firewall Regeln (tabellarisch) und 

‣klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen. 

‣Erstellen Sie die Rechnergruppe Grp-fw external (Abb. Erstellen der Rechnergruppe Grp-fw external), Grpmailserver 

(Abb. Erstellen der Rechnergruppe Grp-mailserver) sowie Grp-pptp user (Abb. Erstellen der 

Rechnergruppe Grp-pptp user) und fügen Sie die neu erstellten Netzobjekte den jeweiligen Gruppen hinzu. 

Abb. Erstellen der Rechnergruppe Grp-fw external 

Abb. Erstellen der Rechnergruppe Grp-mailserver 

Abb. Erstellen der Rechnergruppe Grp-pptp user 

Seite 228



Mit dieser Regel erlauben Sie, dass über das PPTP-Protokoll aus dem Internet auf das externe Interface (Abb. 

Eintragen der Firewall-Regel Internet) der Firewall zugegriffen werden darf und das externe Interface (Abb. 

Eintragen der Firewall-Regel Interface) auf das Internet zugreifen darf. Erstellen Sie ebenfalls die Regel für den 

Zugriff durch den PPTP-Tunnel (Abb. Eintragen der Firewall-Regel Tunnel) auf den Mailserver. 



Abb. Eintragen der Firewall-Regel Internet 

Abb. Eintragen der Firewall-Regel Interface 

Abb. Eintragen der Firewall-Regel Tunnel 


Auswahlfelder 

Regel ID 11: Regel ID 12: Regel ID 15: 

von Rechnergruppe: internet Grp-fw external Grp-pptp user 

zu Rechnergruppe: Grp-fw external internet Grp-mailserver 

Dienstgruppe: pptp pptp mail 

Art: ACCEPT ACCEPT ACCEPT 

Log: [S] [S] [S] 

Zeitvorgaben: false false false 

Beachten Sie: Die Dienstgruppen pptp und mail sind vordefinierte Gruppen, die Sie 

nicht anlegen müssen. 

Seite 229


11.3.1.2 Erstellen der PPTP-Benutzer 

Im Gegensatz zu IPSec müssen Sie bei PPTP Benutzer definieren. 


‣Legen Sie zuerst über die Benutzerverwaltung einen PPTP-VPN-Benutzer an. 

‣Erstellen Sie einen VPN-Benutzer unter Optionen Benutzerverwaltung. 

‣Geben Sie im Feld PPTP IP einen Stern * ein (Joker). Damit wird dem PPTP-Client im Tunnel eine IP-Adresse 

aus dem Adresspool zugewiesen. 

‣Geben Sie eine IP-Adresse an, wird dem User immer diese IP-Adresse zugewiesen. 

Abb. PPTP-Benutzer erstellen 

Seite 230


11.3.1.3 Erstellen der PPTP-Konfiguration 


‣Erstellen Sie unter Optionen PPTP die endgültige Konfiguration. 

‣Nach dem Anlegen von PPTP-VPN-Benutzern, konfigurieren Sie nun das VPN-Interface und die weiteren 

Angaben wie PPTP-Adresspool, simultane PPTP-Verbindungen. Der Adresspool ist aus einem Adressbereich, 

der dem internen oder DMZ/SSN-Netzen entsprechen muss. 

Sie haben folgende Einstellungsmöglichkeiten: 



Eingabefelder 



Das PPTP-Interface ist ein virtuelles Interface, welches beim Start des PPTP-Servers 

hochfährt. 

Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP-Clients ihre IP-Adresse für 

den Tunnel beziehen. 

Seite 231




Auswahlfelder 


Silmutane Verb.: 


Wählen Sie die Anzahl der Verbindungen, die simultan verfügbar sind. 

NS / WINS 


Eingabefelder 

erster NS: 

zweiter NS: 

erster WINS: 

zweiter WINS: 





Seite 232


Abb. PPTP-Konfiguration 

Seite 233


11.3.1.4 PPTP-Roadwarrior konfigurieren 

Im folgenden wird dargestellt, wie Sie einen Windows-PPTP-Client konfigurieren können: 

Einwahl in das VPN-Netz einrichten 


‣Wählen Sie über das Programm-Menü von Windows: Start Programme Zubehör Kommunikation 

DFÜ-Netzwerk. 

Sie können nun eine neue Verbindung erstellen. 

‣Klicken Sie hierzu auf den Dienst Neue Verbindung erstellen. 

‣Sie müssen danach den anzuwählenden VPN Server benennen und das Gerät auswählen, z. B. den Microsoft 

VPN Adapter. 

‣Tragen Sie im Anschluss unter Hostname oder IP-Adresse die IP-Adresse des externen Interfaces der 

Securepoint Firewall ein und beenden Sie die Konfiguration. 

Sicherheitseinstellungen konfigurieren 


‣Klicken Sie mit der rechten Maustaste auf das Icon VPN Securepoint Firewall Server und auf Eigenschaften 

im Ordner DFÜ-Netzwerk. 

Sie haben hier weitere Einstellungsmöglichkeiten, die aus Sicherheitsgründen unbedingt berücksichtigt werden 

müssen. 

‣Wählen Sie die Folder Servertypen und kreuzen Sie im Bereich erweiterte Optionen in jedem Fall die 

Optionen Verschlüsseltes Kennwort fordern sowie Datenverschlüsselung fordern an. 

Wenn dies nicht getan wird, werden die Daten nur getunnelt, aber nicht verschlüsselt und ein Sicherheitsloch 

besteht. 

Einwahl in das VPN-Netz 

Um sich in das VPN-Netz einzuwählen, muss vorher eine Verbindung zum Firewall Server bestehen. Dies kann 

ein Internetzugang per normaler Einwahl sein oder eine bestehende Standleitung. 


‣Mit einem Doppelklick auf den neuen Dienst - hier benannt VPN Securepoint Firewall Server - wird nun 

automatisch der Einwahlvorgang in das VPN durchgeführt. 

‣Sie müssen sich nun noch mit dem Login und Passwort des VPN-Benutzers anmelden. 

Seite 234


11.4 Bandbreitenbegrenzung von Diensten 

Sie können die Traffic-Bandbreite für Dienste begrenzen. Dies dient dazu, wichtigeren Diensten eine größere 

Bandbreite zur Verfügung zustellen oder die Kosten für bestimmte Dienste einzugrenzen. Diese Funktion wird 

Ihnen durch das Programm nconfig, Menü-Punkt 9, Traffic Shaper, zur Verfügung gestellt. 

Beispiel: 

In diesem Beispiel soll der http-Verkehr aus dem internem Netz (hier: 192.168.5.0/24) in das Internet auf eine 

Bandbreite von 64 Kbit pro Sekunde begrenzt werden. Starten Sie das Programm nconfig auf der ersten 

Konsole oder über SSH. 

Abb. Bandbreitenbegrenzung 

Seite 235


11.4.1 Bandbreitenbegrenzung-Erstellung 

Wählen Sie den Punkt 9, Traffic Shaper, (Abb. Bandbreitenbegrenzung). 

Eingaben: 

‣Traffic Shaper: 9 

Abb. Filter-Erstellung 

Erstellen Sie einen neuen Filter. 

Eingaben: 

‣ Wechseln Sie auf den Punkt: 

‣ Wählen Sie jetzt das Interface aus: 

new 

eth1 

Hinweise: 

Beim Öffnen des Fensters Traffic Shaper können Sie mit den Pfeiltasten, zwischen den Menüpunkten wechseln. 

Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe ohne Änderung beendet. 

Seite 236


11.4.2 Auswahl des Interfaces 

Wählen Sie in diesem Fall das interne Interface eth1 aus und geben Sie dafür eine maximale Bandbreite an. 

Diese soll 64 Kbit pro Sekunde betragen. 

Abb. Bandbreite auf 64 Kbit einstellen 

Eingaben: 

‣ Beschränkung auf Bandbreite in Kbit, Rate (Kbit): 64 

‣ Pirorität des Prozesses (0 hat höchste Priorität), prio: 1 

Seite 237


11.4.3 Filter für das Interface definieren 

Erstellen Sie jetzt einen neuen Filter für das Interface und die Bandbreite. 

Abb. Filter-Erstellung 

Abb. Neuen Filter hinzufügen 

Eingaben: 

‣ Auswahl bestehender Einstellungen: 64Kbit on eth1 (prio 1) 

‣ Hinzufügen eines neuen Filters : add new filter 

Hinweise: 

Beim Öffnen des Fensters Traffic Shaper können Sie mit den Pfeiltasten, zwischen den Menüpunkten wechseln. 


Seite 238


Die Antwort-Pakete kommen von den Webservern aus dem Internet. Source ist also 0.0.0.0/0. Ziel ist das 

interne Netzwerk (hier: 192.168.5.0/24). Der Filter soll sich nur auf das http-Protokoll beziehen. Stellen Sie den 

Source-Port auf die 80 ein. 

Abb. Filter-Definition 

Eingaben: 

‣ src host/net: (Quell-IP-Adresse des Rechners/ Netzmaske) 0.0.0.0/0 

‣ dst host/net: (Ziel-IP-Adresse des Rechners/ Netzmaske) 192.168.5.0/24 

‣ src port: (Quell-Port) 80 

Beachten Sie: Beim Ausfüllen des Feldes src host/net oder dst host/net wird jeweils der Rechner geshapt oder 

beim Ausfüllen der felder src-/dst-port wird jeweils der Dienst geshapt. Wird beides ausgefüllt wird auch beides 

geshapt. 

Hinweis: 


Seite 239


11.4.4 Speichern der Konfiguration 

Speichern Sie die Konfiguration ab, der Filter ist dann sofort aktiv. 

Abb. Abspeichern der Konfiguration 

Eingaben: 

‣Write Config: 12 

Seite 240


11.5 Verteilung des Datenverkehrs auf zwei Router - Source-Routing 

Unter dem Menüpunkt 8 des Programm nconfig können Sie normale statische Routen und statische Source- 

Routen anlegen. 

Beispiel 

In diesem Beispiel soll der Datenverkehr aus dem internen Netz hinter der Firewall auf zwei Router aufgeteilt 

werden (Abb. Datenverkehr). 

Der Datenverkehr der Arbeitsstationen soll hierbei über Router A gelenkt werden und der Datenverkehr von 

Server Boston soll über Router B gesteuert werden. Das primäre externe Interface der Firewall hat die IP 

Adresse 62.153.223.244 und sein Default Gateway ist der Router A mit der LAN IP-Adresse 62.153.223.241. 

Router B hat die IP Adresse 194.162.130.1. Damit die Firewall diesen Router B erreichen kann, wird eine 

virtuelle IP Adresse auf dem externen Interface der Firewall aus der IP-Range des Routers B (z. B. 

194.162.130.2) installiert. Wechseln Sie zur ersten Konsole auf der Firewall und loggen sich ein, oder rufen Sie 

über SSH das nconfig-Programm auf. 

Abb. Verteilung des Datenverkehrs auf zwei Router 

Seite 241


11.5.1 Erstellen einer neuen Route 

Rufen Sie den Menü-Punkt 8, Edit Static route, vom Programm nconfig auf. 

Eingaben: 

‣Edit Static routes: 8 

Abb. Erstellen der Route 

Wählen Sie dann Punkt 3, Edit source route, zum Erstellen einer Route aus. 

Eingaben: 

‣Edit source route: 3 

Beachten Sie: Die IP-Adressen der Routen werden im Informationsbereich des Fenster angezeigt. 

Seite 242


11.5.2 Definition der Route 

Wählen Sie Add new source route aus und geben Sie die Source Route ein. Server Boston soll die IP-Adresse 

192.168.5.20 haben. Das Netz 0.0.0.0/0 bedeutet, dass sämtlicher Verkehr über Router B geroutet werden soll. 

Abb. Definition der Route 

Eingaben: 

‣ Add new source route 

‣ Source: 192.168.5.20/32 

‣ Destination: 0.0.0.0 

‣ Router: 194.162.130.1 

Hinweise: 

Beim Öffnen des Fensters Add new source route können Sie mit den Pfeiltasten, zwischen den Menüpunkten 

wechseln. 

Seite 243


11.5.3 Speichern der Konfiguration 

Speichern Sie die Konfiguration ab. Wählen Sie hierzu den Menüpunkt 12, Write Config, aus und speichern Sie 

die Konfiguration ab. 

Abb. Speichern der Konfiguration 

Eingabe: 

‣ Write Config: 12 

Seite 244


12 Fragen und Probleme 

Fragen und Antworten zum Securepoint Firewall Server und Clienten: 

Frage: 

Antwort: 

Warum bekommt der Securepoint Security Manager ein Timeout nach dem der 

Nameserver eingetragen wurde? 

Scheinbar kann die Firewall den Nameserver nicht erreichen, wahrscheinlich liegt ein 

Konfigurationsfehler vor. Tragen Sie bitte in die Datei /etc/hosts die IP-Adresse und den 

Namen des administrierenden Clienten ein (192.168.5.2 spclient): mcedit /etc/hosts 

(F2 Speichern, F10 Beenden). 

Frage: 

Antwort: 

Warum bekomme ich in Reports Verbindungstest beim Ping "Operation not permited" 

als Antwort zurück? 

Sie müssen den Ping von den jeweiligen Firewall-Interfaces zu den jeweiligen Netzen per 

Regel freischalten. Z. B. von Rechnergruppe "externes Interface" zu Rechnergruppe 

"Internet" "ping" "accept". 

Frage: 

Die IP-Adresse des Rechners, auf dem Ihr Securepoint Security Manager läuft, hat sich 

geändert. Was muss ich tun, um die Firewall wieder administrieren zu können? 

Antwort: Hinzufügen von Admin-Clients mit nconfig siehe Kapitel 10.4 nconfig, das 

Konfigurationsprogramm der Konsole, Punkt 6: Change Admin IP. 

Frage: 

Antwort: 

Reports werden nicht alle 24 Stunden verschickt oder Sie bekommen keine Alarm- 

Meldungen per Email? 

Haben Sie einen Nameserver auf der Firewall eingetragen? Wenn ja, haben Sie den 

sendmail-Dienst unter bearbeiten/optionen/server dienste/sendmail neu gestartet? 

Seite 245


Index 

A Accounting, Zoomfunktion 152 

Admin IP 12 

Admin Password 12 

Administrator 37-38 

Adressen, PPTP 121 

Adresspool, PPTP 54, 121 

ADSL 70, 73 

ADSL-Modem 71, 73 

Aktivieren, Firewall-Regeln 83 

aktuelle, Patches 41 

Akzeptieren von Paketen 79 

Alarmieren per Email 69 

Allgemeine Einstellungen, ADSL 73 

Allgemeine PPTP-Einstellungen 54 

Allgemeines 8 

ALTERED_PINGS 52 

Andere Firewall anlegen, Firewall-VPN 107 

Ändern, Dienstgruppen 58 

Ändern, Firewall-Regeln 81 

Ändern, IP-Adresse Security Manager, nconfig 164 

Ändern, Kernel-Parameter 52 

Ändern, Konsolen-Passwort, nconfig 169 

Ändern, nachträglich, Konfiguration 128 

Ändern, Nameserver, nconfig 165 

Ändern, Rechnergruppen 61 

Ändern, Schlüssel Security Manager 19 

Anfangskonfiguration 13 

Angriffe erkennen 53 

Anlegen, IPSec-Verbindung, Beispiel 217 

Anlegen, Netze 95 

Anlegen, neue Konfigurationsdatei 20, 23 

Anlegen, neue Securepoint Firewall 4.X 31 

Anlegen, Rechner in Firewall-Zone 95 

Anlegen, Rechner, Router 95 

Anlegen, Rechnergruppen 95 

Anlegen, Roadwarrior-Objekt, Beispiel 216 

Anlegen, Virtuelle IPs 95 

Anmelden am Security Manager 18 

Anmelden an der Firewall 32 

Anmelden, Konsole 154 

Anmeldevorgang, SSH 176 

Anonymizer, Proxy 47 

Ansicht Netzwerk-Topologie 23 

Antworten 245 

Anzeigen, Dienstgruppen 84 

Anzeigen, Dienstgruppen, Firewall-Regeln grafisch 92 

Anzeigen, Gruppeninhalt, Regelgruppe 82 

Seite 246


Anzeigen, Rechnergruppen 84 

Anzeigen, Rechnergruppen, Firewall-Regeln grafisch 92 

Arbeiten mit einer Firewall 32 

Arbeitsblatt löschen, Firewall-Regeln grafisch 86 

Arbeitsfläche, Firewall-VPN 106 

Archiv, Standard Reports 130 

Art, Eigenschaften, IPSec-Verbindungen 109 

Art, Firewall-Regeln 79 

AUDIT_MOUNT 52 

Aufspielen, Patches 39 

Aufspielen, restore.sh floppy 40 

Aufspielen, restore.sh usb 40 

Aufspielen, Sicherungen 39 

Aufteilen, Datenverkehr, Beispiel 241 

Auswählen, Interface, Bandbreite, Beispiel 237 

Auswahlleiste 32 

Auswahlleiste sichtbar 25 

Auswertungen 129-152 

Authentifizierung, IAS Server 49 

Authentifizierung, Radius Server 49 

Authentisierungsmethode, Eigenschaften, IPSec-Verbindungen 109 

Authentisierungsverfahren, Preshared 100 

Authentisierungsverfahren, RSA 99 

Authentisierungsverfahren, X509-Zertifikate 101-117 

Automatisch abmelden 33 

Automatisch schließen 25 

Automatisch starten, Eigenschaften, IPSec-Verbindungen 110 

Automatisches Schließen Auswahlleiste 25 

Autostart, Dienste 44 

B Backup 39 

Backup, Diskette 39 

Backup, USB-Stick 39 

backup.sh floppy 40 

backup.sh usb 40 

Balkenzahl, Log-Auswertung 134 

Bandbreite einstellen, Beispiel 235 

Bandbreite, Interface auswählen, Beispiel 237 

Bandbreite, Interface-Filter definieren, Beispiel 238 

Bandbreite, nconfig 167 

Bandbreitenbegrenzung, Beispiel 235 

Bearbeiten von VPN-Verbindungen 23 

Bearbeiten, Firewall-Regeln 79 

Bearbeiten, Kernel-Parameter 52 

Bearbeiten, Netzsegmente 59 

Bearbeiten, Objekte, Topologie 96 

Bearbeiten, Rechner 59 

Bearbeiten, Rechnergruppen 84 

Bearbeiten, Rechnergruppen, Firewall-Regeln grafisch 92 

Bearbeiten, Regeln, Firewall-Regeln grafisch 91 

Seite 247


Bearbeiten, Subnetz, Firewall-VPN 107 

Bearbeiten, Sub-Netze, IPSec-Verbindungen 111 

Bearbeiten, Topologie 95 

Bearbeitung mehrerer Firewalls 33 

Bearbeitung von Firewall-Konfigurationen 20 

Bedienung des Securepoint Security Manager 17 

Beenden, nconfig 171 

Befehlsausführungen loggen 53 

Beispiel Firewall-Regeln, IPSec VPN 202 

Beispiel ins Internet, Firewall-Regeln 179 

Beispiel, Bandbreite einstellen 235 

Beispiel, Bandbreite, Interface auswählen 237 

Beispiel, Bandbreite, Interface-Filter definieren 238 

Beispiel, Bandbreitenbegrenzung 235 

Beispiel, Datenverkehr auf Router verteilen 241 

Beispiel, Datenverkehr aufteilen 241 

Beispiel, Datenverkehr aufteilen, Route erstellen 242 

Beispiel, Datenverkehr aufteilen, Route konfigurieren 243 

Beispiel, Einwahl in VPN-Netz, PPTP, Windows 234 

Beispiel, erstellen, Firewall-Regel 182 

Beispiel, erstellen, Rechner, Firewall-Regeln 180 

Beispiel, erstellen, Rechnergruppen, Firewall-Regeln 181 

Beispiel, IPSec Subnetze 219 

Beispiel, IPSec VPN 200 

Beispiel, IPSec, Sentinel Policy Editor 222 

Beispiel, IPSec-Objekte verbinden 217 

Beispiel, IPSec-Roadwarrior konfigurieren 221 

Beispiel, IPSec-Verbindung anlegen 217 

Beispiel, IPSec-Verbindung Betrieb 220 

Beispiel, IPSec-Verbindung konfigurieren 215 

Beispiel, IPSec-Verbindung, Arbeitsoberfläche 215 

Beispiel, IPSec-Verbindungsart konfigurieren 218 

Beispiel, Netze im IPSec-Tunnel verbinden 219 

Beispiel, PPTP 225 

Beispiel, PPTP unter Windows konfigurieren 234 

Beispiel, PPTP, Nameserver 232 

Beispiel, PPTP, NS 232 

Beispiel, PPTP, NS / WINS 232 

Beispiel, PPTP, Roadwarrior 226 

Beispiel, PPTP, Roadwarrior Firewall-Regeln 227 

Beispiel, PPTP, Roadwarrior konfigurieren 234 

Beispiel, PPTP, WINS 232 

Beispiel, PPTP-Benutzer 230 

Beispiel, PPTP-Einstellungen 231 

Beispiel, PPTP-Konfiguration erstellen 230 

Beispiel, PPTP-Verschlüsselung 232 

Beispiel, Proxy konfigurieren, Firewall-Regeln 192 

Beispiel, Proxy, Firewall-Regeln 183 

Beispiel, Roadwarrior, IPSec VPN 201 

Beispiel, Roadwarrior-Objekt anlegen 216 

Seite 248


Beispiel, Sentinel-Roadwarrior konfigurieren 221 

Beispiel, Server-Dienst hinzufügen 45 

Beispiel, Source-Routing 241 

Beispiel, Traffic Shaper 235 

Beispiel, Traffic-Bandbreite 235 

Beispiel, Virenscanner, Firewall-Regeln 198 

Beispiel, virtuellen IP-Adresse, Firewall-Regeln 194 

Beispiel, Webserver NAT, Firewall-Regeln 193 

Beispiel, X.509-Authentisierung, IPSec VPN 201 

Beispiel, X.509-Zertifikat erstellen, IPSec VPN 210 

Beispiel, X.509-Zertifikat, nconfig, IPSec VPN 210 

Beispiele 177-244 

Beispiele, Firewall-Regeln 178 

Beispielkonfiguration 14, 20, 125 

Bemerkung, Firewall-Regeln 80 

Benutzer anlegen 36 

Benutzer anlegen, PPTP, Beispiel 230 

Benutzer bearbeiten 36, 37 

Benutzer hinzufügen, PPTP 120 

Benutzer löschen 36, 37 

Benutzer löschen, PPTP 120 

Benutzer, nur Firewall-Reports 37 

Benutzer, nur Firewall-Reports 38 

Benutzer, PPTP 119 

Benutzer, PPTP, Beispiel 230 

Benutzer, Reports 69 

Benutzergruppe, Administrator 38 

Benutzergruppe, Benutzer 36, 37, 38 

Benutzergruppe, Benutzer, PPTP 120 

Benutzergruppe, Squid-Benutzer 38 

Benutzergruppe, VPN-Benutzer PPTP+A244 38 

Benutzergruppen 38 

Benutzerrecht erkennen 33 

Benutzerverwaltung 36-38 

Benutzerverwaltung, PPTP 119 

Benutzerverwaltung, PPTP, Beispiel 230 

Betrieb, IPSec-Verbindung, Beispiel 220 

Betriebssystem-Ermittlung verhindern 52, 53 

Beziehungen zwischen Netzen 68 

Bindung virtuelle IP-Adresse, Interface 67 

Bitcount-Calculator 8 

Blocking 50 

Blocking, Proxy 46 

Blocking-Listen 50 

Blocking-Listen konfigurieren 50 

Blockinglisten verwenden 47 

Blocking-Listen verwenden 46 

Broadcast-Adresse, Testen 153 

Browsern, Proxy 48 

BSD Kompression, ISDN 72 

Seite 249


C Cache 46 

Cache Manager, Browser 47 

CD-ROM 14 

Certification Authority 101 

Certification Authority erstellen 102 

Certification Authority, nconfig 168 

Change Admin IP, nconfig 164 

Change Driver, nconfig 162 

Change Gateway, nconfig 163 

Change IP, nconfig 161 

Change Nameserver, nconfig 165 

Change Password, nconfig 169 

Choice-Feld Arbeitsoberfläche/ Landkarten, Firewall-VPN 107 

client4.0.exe 14 

Client-Optionen 19 

Client-Zertifikat 101 

Client-Zertifikat erstellen 104 

Condition 44 

COREDUMP 52 

D Darstellung Verbindungsstatus 32 

Darstellung, Firewall-Regeln 87 

Darstellung, Firewall-Regeln grafisch 85 

Dateiendung ".isf" 125 

Datei-Größe, Log-Auswertung 133 

Dateilänge, Standard Reports 130 

Datendurchsatz je IP, Log-Auswertung 134 

Datendurchsatz stündlich, Log-Auswertung 135 

Datenpakete verfolgen, Testen 153 

Datentransfermenge je Interface, Accounting 151 

Datenübertragung, keine nach 15 Minuten 33 

Datenverkehr auf Router verteilen, Beispiel 241 

Datenverkehr aufteilen, Beispiel 241 

Datum, einstellen 43 

Debugging, Konsole 155 

Default Gateway 12 

Default Gateway 62 

Default-Route 62 

Definieren, Blocking-Listen 50 

Definieren, Interface-Filter, Bandbreite, Beispiel 238 

Definieren, no Blocking-Listen 51 

Definieren, Protokoll 57 

Del Interface, nconfig 160 

Destination Routing, nconfig 166 

Dienst, Autostart 44 

Dienst, starten 44 

Dienst, stoppen 44 

Dienste 56, 57 

Dienste hinzufügen 56, 57 

Seite 250


Dienste löschen 56, 57 

Dienste, Firewall-Regeln 78 

Dienste, Firewall-Regeln grafisch 86 

Dienstgruppen 58 

Dienstgruppen ändern 58 

Dienstgruppen anzeigen 84 

Dienstgruppen anzeigen, Firewall-Regeln grafisch 92 

Dienstgruppen hinzufügen 58 

Dienstgruppen löschen 58 

Dienstgruppen, Firewall-Regeln 78, 79 

Dienst-Name 57 

DISABLED, Firewall-Regeln 79 

Disketten-BackUp 16 

DMESG 52 

Domain Name 62 

Domains sperren 50 

Domains zulassen 51 

Download Patch 41 

Downloadgröße 47 

Downloadgröße einschränken 47 

Download-Zeit, Log-Auswertung 133 

Dreidimensionale Darstellung, Accounting 151 

Driver 11 

DROP, Firewall-Regeln 79 

Droppen von Paketen 79 

Drucken, Accounting 151 

Drucken, Firewall-VPN 107 

Drucken, IP-Traffic-Auswertung 138 

Drucken, Konfiguration 23 

Drucken, Konfigurationsdatei 127 

Drucken, Log-Auswertung 132 

Drucken, Proxy-Auswertung 144 

Drucken, Topologie 96 

DSL Konfiguration, nconfig 158 

DSL und ISDN Konfiguration, nconfig 158 

DynDns, ADSL 75 

DynDns-Dienst 75 

DynName,DynDns, ADSL 75 

E EAZ-Nr., ISDN 72 

Edit Static Route, nconfig 166 

Eigenschaften, Firewall-Server 25, 32 

Eigenschaften, Firewall-VPN 107 

Eigenschaften, IPSec-Verbindungen 109 

Eigenschaften, VPN-Client 110 

Eigenschaften, VPN-Server 110 

Einfügen, Firewall-Regeln 81 

Einfügen, Regelgruppe 82 

Einloggen, Security Manager. mehrere Benutzer 53 

Einstellen, Bandbreite, Beispiel 235 

Seite 251


Einstellen, Datum 43 

Einstellen, ISDN 72 

Einstellen, Kernel-Parameter 52 

Einstellen, Nameserver, PPTP 55 

Einstellen, Security Manager. mehrere Benutzer 53 

Einstellen, Traffic-Bandbreite, nconfig 167 

Einstellen, WINS-Server, PPTP 55 

Einstellen, Zeit 43 

Einstellen, Zeit, Firewall-Regeln 80 

Einstellungen, Firewall 34 

Einstellungen, PPTP, Beispiel 231 

Einwahl in VPN-Netz, PPTP, Windows, Beispiel 234 

Email, Benutzer 37 

Email, Proxy 47 

Email-Alarmierung 69 

Entfernt, ADSL 74 

Entfernt, ISDN 72 

Entfernter Host/Gateway ID, Eigenschaften, IPSec-Verbindungen 110 

Entfernter Host/Gateway, Eigenschaften, IPSec-Verbindungen 110 

Entfernter Schlüssel, Eigenschaften, IPSec-Verbindungen 110 

Entfernter Schlüssel, RSA 99 

Erkennen, Angriffe 53 

Erkennen, Scans 53 

Ermittelung Betriebssystem verhindern 52, 53 

Erstellen, Benutzer, PPTP, Beispiel 230 

Erstellen, Certification Authority 102 

Erstellen, Certification Authority, nconfig 168 

Erstellen, Client Zertifikat, nconfig 168 

Erstellen, Client-Zertifikat 104 

Erstellen, Firewall-Regel, Beispiel 182 

Erstellen, IPSec-Verbindungen 106 

Erstellen, IPSec-Verbindungen 108 

Erstellen, Konfiguration, PPTP, Beispiel 230 

Erstellen, Rechner, Beispiel, Firewall-Regeln 180 

Erstellen, Rechnergruppen, Beispiel, Firewall-Regeln 181 

Erstellen, Regel, Firewall-Regeln 79 

Erstellen, Regeln, Firewall-Regeln grafisch 90 

Erstellen, Route, Datenverkehr aufteilen, Beispiel 242 

Erstellen, Server Zertifikat, nconfig 168 

Erstellen, Server-Zertifikat 103 

Erstellen, Sub-Netze, IPSec-Verbindungen 111 

Erstellen, Text, IPSec-Verbindungen 114 

Erstellen, X.509-Zertifikat, Beispiel, IPSec VPN 210 

Erstellen, X509-Client Zertifikat, nconfig 168 

Erstellen, X509-Server Zertifikat, nconfig 168 

Erstellen, X509-Zertifikate 101 

Erstes Anmelden am Security Manager 18 

Erweiterte Einstellung, Proxy 46 

Erweiterterte Einstellungen, Proxy 49 

Erweitertes Menü 78 

Seite 252


Erweitertes Menü, Eigenschaften, Firewall-VPN 107 

Erweitertes Menü, Subnetz bearbeiten, Firewall-VPN 107 

Erweitertes Menü, Verbindung löschen, Firewall-VPN 107 

Erweitertes Menü, Verbindung starten, Firewall-VPN 107 

Erweitertes Routing 64-65 

Erweitertes Routing, Topologie 94 

Ethernet 70 

Ethernet, nconfig 159 

Ethernet-Konfiguration 71 

Exportieren, Zertifikat 105 

EXT2 Filesystem 10 

EXT3 Journaling Filesystem 10 

Externes Interface 71 

F FAQs 245 

Fehlerreport 42 

Fehlerreport senden 42 

Fehlerreport, Email 42 

Fehlerreport, Firma 42 

Fehlerreport, Name 42 

Fehlerreport, Problembeschreibung 42 

Fehlersuche, Konsole 155 

Fenster übereinander anordnen 23 

Fenster überlappend anordnen 23 

Filterauswahl, Log-Auswertung 136 

Filtermöglichkeiten, Log-Auswertung 136 

Filtermöglichkeiten, Paketart 149 

Filtermöglichkeiten, Traffic-Auswertung 149 

Filterwert, Traffic-Auswertung 149 

Firewall Benutzer, Administrator 33 

Firewall Benutzer, normaler Benutzer 33 

Firewall Icon rot, Auswahlleiste 33 

Firewall Icon weiß, Auswahlleiste 33 

Firewall keine Verbindung (LED grau) 32 

Firewall keine Verbindung möglich (LED rot) 32 

Firewall online (LED grün) 32 

Firewall standby (LED gelb) 32 

Firewall, Backup 39 

Firewall/VPN Konfigurationen 124-128 

Firewall-Anmelde-Status 32 

Firewall-Konfiguration 42 

Firewall-Konsole 154-171 

Firewall-Objekte, angelegte 25 

Firewall-Regeln 26, 77-92 

Firewall-Regeln (tabellarisch) 77 

Firewall-Regeln aktivieren 83 

Firewall-Regeln bearbeiten 79 

Firewall-Regeln grafisch 85, 86 

Firewall-Regeln, Beispiel ins Internet 179 

Firewall-Regeln, Beispiel Proxy 183 

Seite 253


Firewall-Regeln, Beispiel Proxy konfigurieren 192 

Firewall-Regeln, Beispiel Virenscanner 198 

Firewall-Regeln, Beispiel virtuellen IP-Adresse 194 

Firewall-Regeln, Beispiel Webserver NAT 193 

Firewall-Regeln, Beispiel, erstellen Firewall-Regel 182 

Firewall-Regeln, Beispiel, erstellen Rechner 180 

Firewall-Regeln, Beispiel, erstellen Rechnergruppen 181 

Firewall-Regeln, Beispiel, IPSec VPN 202 

Firewall-Regeln, Beispiele 178 

Firewall-Regeln, nicht aktiv 79 

Firewall-Regeln, Roadwarrior, PPTP, Beispiel 227 

Firewall-Regeln, zeitabhängig 80 

Firewalls auf Karte anmelden, alle, Firewall-VPN 107 

Firewalls, mehrere 25 

Firewall-Verbindungen 28 

Firewall-VPN 23 

Firewall-VPN-Auswahlleiste 106 

FORKFAIL_LOGGING 53 

Forwarding Port 49 

Forwarding Proxy 49 

Fragen 245 

Fremdprodukte 172-176 

Fremdprodukte betreiben 172 

FTP User, Proxy 47 

fw down, Konsole 155 

fw up, Konsole 155 

G Gateway 12 

Gateway ändern, nconfig 163 

Gateway, erweitertes Routing 65 

Gestufte Darstellung, Accounting 151 

Grafisch, Firewall-Regeln 85 

Grafische Darstellung, Accounting 152 

Grafische Darstellung,Firewall-Regeln 23 

GRSEC_LOCK 53 

Grundkonfiguration, Netzwerk 62 

Grundkonfiguration, Proxy 46 

Grünen Haken, Autostart 44 

Gruppe, Benutzer 37 

Gruppe, Benutzer, PPTP 120 

Gruppe, Rechner/Netze 60 

Gruppeninhalt anzeigen 78 

Gruppeninhalt verstecken 78 

Gruppierung, Firewall-Regeln grafisch 85 

H Hardware-Adresse, Testen 153 

Herunterfahren, Server 43 

Hilfe 23 

Hinzufügen, Benutzer 36, 37 

Hinzufügen, Dienste 57 

Seite 254


Hinzufügen, Dienstgruppen 58 

Hinzufügen, IP-Adresse Security Manager, nconfig 164 

Hinzufügen, Netzsegmente 60 

Hinzufügen, PPTP-Benutzer 120 

Hinzufügen, Protokoll 57 

Hinzufügen, Rechner 60 

Hinzufügen, Rechner/Netze 60 

Hinzufügen, Rechnergruppen 61 

Hinzufügen, Route 65 

Hinzufügen, Server-Dienst 45 

Hinzufügen, virtuelle IP-Adressen 67 

Host Name 62 

I icmp-Meldung 52 

Icon Accounting 24 

Icon ADSL 35 

Icon Backup 35 

Icon Benutzerverwaltung 35 

Icon Client-Optionen 19 

Icon Client-Optionen 24 

Icon Dienste 35 

Icon Dienstgruppen 35 

Icon Erweitertes Routing 35 

Icon Fehler-Report 35 

Icon Firewall-VPN 24 

Icon Interfaces 35 

Icon IP-Traffic-Auswertung 24 

Icon ISDN 35 

Icon Kernel-Einstellungen 35 

Icon Log-Auswertung 24 

Icon NAT 35 

Icon Netzwerk-Grundkonfiguration 35 

Icon Netzwerk-Topologie 24 

Icon Öffnen 24 

Icon Optionen 24 

Icon Patch 35 

Icon PPTP 35 

Icon Proxy/Blocking 35 

Icon Proxy-Auswertung 24 

Icon Rechner 35 

Icon Rechnergruppen 35 

Icon Regeln (grafisch) 24 

Icon Regeln (tabellarisch) 24 

Icon Regel-Update 24 

Icon Reportmail Einstellungen 35 

Icon Securepoint Firewall 4.X anlegen 24 

Icon Server 35 

Icon Server-Dienste 35 

Icon Speichern 24 

Icon Standard Reports 24 

Seite 255


Icon Traffic-Auswertung 24 

Icon Übereinander anordnen 24 

Icon Überlappend anordnen 24 

Icon Verbindungstest 24 

Icon Virtuelle IP-Adressen 35 

Icon Viruswall 35 

Icons Security Manager 24 

Ifconfig, Konsole 155 

Ifconfig, Testen 153 

IKE-Life, Eigenschaften, IPSec-Verbindungen 109 

Importieren Rechner/Netze in Gruppe 60 

Inaktivitätszeit, ADSL 73 

Inaktivitätszeit, ISDN 72 

Individuellen Port, Proxy 47 

Informationsbereich, nconfig 157 

Inhaltsverzeichnis 2 

Installation 7 

Installation Securepoint Security Manager 14 

Installation, ADSL 11 

Installation, Ethernet 11 

Installation, ISDN 11 

Installation, Tokenring 11 

Installieren, Patch 41 

Installieren, TrendMicro-Virenscanner 173 

Interface auswählen, Bandbreite, Beispiel 237 

Interface löschen, nconfig 160 

Interface, Accounting 151 

Interface, Bindung virtuelle IP-Adresse 67 

Interface, erweitertes Routing 65 

Interface, Extern 71 

Interface, Interne 71 

Interface, Konfiguration Ethernet, nconfig 159 

Interface, pingen 70 

Interface, PPTP 121 

Interface-Filter definieren, Bandbreite, Beispiel 238 

Interfaces 70-71 

Intern, Firewall-Regeln grafisch 86 

Intern, Firewall-Regeln grafisch 88 

Interne Interfaces 71 

Internetverbindung, Fehlerreport 42 

IP-Adresse ändern, nconfig 161 

IP-Adresse automatisch sperren 53 

IP-Adresse, Interface 70 

IP-Adresse, Radius Server 49 

IP-Adresse, Rechner/Netze 60 

IP-Adresse, Testen 153 

IP-Adressen, PPTP 54 

IP-Einstellungen, ADSL 74 

IPSec Grundlagen 98 

IPSec Subnetze, Beispiel 219 

Seite 256


IPSec VPN 98 

IPSec VPN Firewall-Regeln, Beispiel 202 

IPSec VPN, Beispiel 200 

IPSec VPN, Beispiel Roadwarrior 201 

IPSec VPN, Beispiel X.509-Authentisierung 201 

IPSec VPN, Beispiel X.509-Zertifikat erstellen 210 

IPSec VPN, Beispiel X.509-Zertifikat, nconfig 210 

IPSec, Sentinel Policy Editor, Beispiel 222 

IPSec-Aktualisieren, Firewall-VPN 107 

IPSec-Client 117 

IPSec-Objekte verbinden, Beispiel 217 

IPSec-Roadwarrior 117 

IPSec-Roadwarrior konfigurieren, Beispiel 221 

IPSec-Verbindung anlegen, Beispiel 217 

IPSec-Verbindung anlegen, Firewall-VPN 107 

IPSec-Verbindung Betrieb, Beispiel 220 

IPSec-Verbindung konfigurieren, Beispiel 215 

IPSec-Verbindung, Arbeitsoberfläche, Beispiel 215 

IPSec-Verbindungen bearbeiten 108 

IPSec-Verbindungen erstellen 106, 108 

IPSec-Verbindungen löschen 108 

IPSec-Verbindungen starten 113 

IPSec-Verbindungen stoppen 113 

IPSec-Verbindungen, Eigenschaften 109 

IPSec-Verbindungsart konfigurieren, Beispiel 218 

IP-Traffic-Auswertung 23 

IP-Traffic-Auswertung drucken 138 

IP-Traffic-Auswertung öffnen 138 

IP-Traffic-Auswertung, mehrere Monats-Auswertung 142 

IP-Traffic-Auswertung, monatsweise Auswertung 140 

IP-Traffic-Auswertung, Online Auswertung 143 

IP-Traffic-Auswertung, Rechner Auswertung monatlich 141 

IP-Traffic-Auswertung, Rechner Auswertung täglich 141 

IP-Traffic-Auswertung, Server 142, 143 

IP-Traffic-Auswertung, tagesweise Auswertung 140 

IP-Traffic-Auswertung, Traffic nach Datum sortiert 138 

IP-Traffic-Auswertung, Traffic nach IP sortiert 138 

IP-Traffic-Auswertung, Wizzard 138 

IP-Traffic-Auswertung, Zeitraum 142 

IP-Traffic-Auswertung, Zeitraum 143 

IP-Traffic-Auswertung, Zoomfunktion 139 

ISDN 70, 72 

ISDN einstellen 72 

ISDN Konfiguration, nconfig 158 

ISDN-Karte 71 

isf-File 15, 20 

ISP-Login, ISDN 72 

ISP-Passwort, ISDN 72 

J Journaling Filesystem 10 

Seite 257


K Kanalbündelung, ISDN 72 

Kaskadieren, forwarding Port 49 

Kaskadieren, forwarding Proxy 49 

Kaskadieren, Proxy 49 

Kernel-Einstellungen 52-53 

Kernel-Parameter, ALTERED_PINGS 52 

Kernel-Parameter, ändern 52 

Kernel-Parameter, AUDIT_MOUNT 52 

Kernel-Parameter, COREDUMP 52 

Kernel-Parameter, DMESG 52 

Kernel-Parameter, FORKFAIL_LOGGING 53 

Kernel-Parameter, GRSEC_LOCK 53 

Kernel-Parameter, LASTRULE_LOGGING 53 

Kernel-Parameter, MULTIPLE_LOGIN 53 

Kernel-Parameter, RAND_IP_IDS 52 

Kernel-Parameter, RAND_PIDS 52 

Kernel-Parameter, RAND_TCP_SRC 52 

Kernel-Parameter, RAND_TTL 53 

Kernel-Parameter, SECURE_KBMAP 53 

Kernel-Parameter, SIGNAL_LOGGING 53 

Kernel-Parameter, SUID_ROOT_LOGGING 53 

Kernel-Parameter, TIMECHANGE_LOGGING 53 

Kernel-Parameter, TMP_BLOCKING 53 

Kernel-Parameter,+A655 schreibgeschützt 53 

Keyboardeinstellungen loggen 53 

Keyingtries, Eigenschaften, IPSec-Verbindungen 110 

Key-Life, Eigenschaften, IPSec-Verbindungen 109 

Kommunikation Server Security Manager 19 

Konfiguration nachträglich ändern 128 

Konfiguration öffnen 124 

Konfiguration speichern 124 

Konfiguration speichern, nconfig 170 

Konfiguration, Fehlerreport 42 

Konfiguration, nconfig 170 

Konfiguration, PPTP 121 

Konfiguration, Schlüssel 125 

Konfiguration, Schlüssel eingeben 125 

Konfiguration, Verschlüsselung 125 

Konfigurationen 124-128 

Konfigurationsbeispiele 177-244 

Konfigurationsdatei drucken 127 

Konfigurationsdatei speichern 126 

Konfigurationsdateien verschlüsseln 14, 125 

Konfigurationsprogramm nconfig 156 

Konfigurieren, Blocking-Listen 50 

Konfigurieren, IPSec-Roadwarrior, Beispiel 221 

Konfigurieren, IPSec-Verbindung, Beispiel 215 

Konfigurieren, IPSec-Verbindungsart, Beispiel 218 

Konfigurieren, no Blocking-Listen 51 

Seite 258


Konfigurieren, Proxy Beispiel, Firewall-Regeln 192 

Konfigurieren, Roadwarrior, PPTP, Beispiel 234 

Konfigurieren, Route, Datenverkehr aufteilen, Beispiel 243 

Konfigurieren, Sentinel-Roadwarrior, Beispiel 221 

Konfigurieren, unter Windows, PPTP, Beispiel 234 

Konfigurieren, virtuellen IP-Adresse Beispiel, Firewall-Regeln 194 

Konsole 154-171 

Konsole anmelden 154 

Konsole, Backup 40 

Konsole, backup.sh floppy 40 

Konsole, backup.sh usb 40 

Konsole, Debugging 155 

Konsole, Fehlersuche 155 

Konsole, fw down 155 

Konsole, fw up 155 

Konsole, Ifconfig 155 

Konsole, Login 154 

Konsole, nconfig 156 

Konsole, Netstat 155 

Konsole, Nslookup 155 

Konsole, Ping 155 

Konsole, Reports 154 

Konsole, restore.sh floppy 40 

Konsole, restore.sh usb 40 

Konsole, Tools 155 

Konsole, Traceroute 155 

Konsolen-Passwort, nconfig 169 

L LASTRULE_LOGGING 53 

LED-Anzeige 25, 32 

Liste der Verbindungen, Firewall-VPN 107 

Lizenz 9 

Log, Firewall-Regeln 80 

Logarithmische Darstellung, Accounting 151 

Log-Auswertung 23, 132 

Log-Auswertung drucken 132 

Log-Auswertung öffnen 133 

Log-Auswertung, Balkenzahl 134 

Log-Auswertung, Datendurchsatz je IP 134 

Log-Auswertung, Filterauswahl 137 

Log-Auswertung, Logfile 132 

Log-Auswertung, Paketart 134, 137 

Log-Auswertung, stündlicher Datendurchsatz 135 

Log-Auswertung, tabellarisch 136 

Logfile, Log-Auswertung 132 

Logfile, Proxy-Auswertung 144 

Loggen von Zugriffen 80 

Loggen, Befehlsausführungen 53 

Loggen, Keyboardeinstellungen 53 

Loggen, Programm-Fehler 53 

Seite 259


Loggen, Prozess-Limits 53 

Loggen, Speichermedium mounten 52 

Loggen, Zeitänderungen 53 

Logging 129-152 

Login, ADSL 74 

Login, Benutzer 37 

Login, Benutzer, PPTP 120 

Login, DynDns, ADSL 75 

Login, Konsole 154 

Login-Einstellungen, ADSL 74 

Lokal gespeicherter Report 131 

Lokal, ADSL 74 

Lokal, ISDN 72 

Lokale Auswertung, IP-Traffic-Auswertung 140 

Lokale Gateway ID, Eigenschaften, IPSec-Verbindungen 110 

lokale Konfigurationsdateien 18 

Lokaler Schlüssel, Eigenschaften, IPSec-Verbindungen 110 

Lokaler Schlüssel, Preshared 100 

Lokaler Schlüssel, RSA 99 

Lokales Gateway, Eigenschaften, IPSec-Verbindungen 110 

Lokales Zertifikat, Eigenschaften, IPSec-Verbindungen 110 

Löschen, Benutzer 36 

Löschen, Dienste 56, 57 

Löschen, Dienstgruppen 58 

Löschen, Netzsegmente 60 

Löschen, Objekte, Topologie 96 

Löschen, PPTP-Benutzer 120 

Löschen, Rechner 60 

Löschen, Rechnergruppen 61 

Löschen, Regel, Firewall-Regeln grafisch 91 

Löschen, Route 65 

Löschen, Sub-Netze, IPSec-Verbindungen 112 

Löschen, Text, IPSec-Verbindungen 114 

Löschen, Verbindung, Firewall-VPN 107 

Löschen, virtuelle IP-Adressen 67 

Lösungen, Probleme 245 

M Mac-Adresse, Interface 70 

Mac-Adresse, Testen 153 

Mailen, Standard Reports 130 

Mailgateway 10 

map xmas 53 

Mapping IP-Adresse 60 

Markiertes Item löschen, Topologie 94 

Maskieren, Netze 68 

Maskierung, Interface 70 

Masquarading 68 

Maximale Downloadgröße 47 

Mehrere Monats-Auswertung, IP-Traffic-Auswertung 142 

Menü, Bearbeiten 23 

Seite 260


Menü, Datei 23 

Menü, Fenster 23 

Menü, Info 23 

Menü, Report 23 

Menü-Bereich, nconfig 157 

Menüleiste, Firewall-Regeln (tabellarisch) 78 

Menüs 23 

Monatsweise Auswertung, IP-Traffic-Auswertung 140 

MTU, ADSL 73 

MULTIPLE_LOGIN 53 

N Nach, Firewall-Regeln grafisch 86 

Nach, Firewall-Regeln grafisch 88 

Name, Benutzer 37 

Name, Benutzer, PPTP 120 

Name, Dienst 44 

Name, Eigenschaften, IPSec-Verbindungen 109 

Name, Rechner/Netze 60 

Nameserver 62 

Nameserver, Patch 41 

Nameserver, PPTP 55, 122 

Nameserver, PPTP, Beispiel 232 

NAT - Network Address Translation 68 

NAT, Richtung 68 

nconfig 101, 128 

nconfig beenden 171 

nconfig über SSH aufrufen 176 

nconfig, Admin Passwort 156 

nconfig, Certification Authority 168 

nconfig, Change Admin IP 164 

nconfig, Change Driver 162 

nconfig, Change Gateway 163 

nconfig, Change IP 161 

nconfig, Change Nameserver 165 

nconfig, Change Password 169 

nconfig, Client Zertifikat erstellen 168 

nconfig, Del Interface 160 

nconfig, DSL Konfiguration 158 

nconfig, DSL und ISDN Konfiguration 158 

nconfig, Edit Static Route 166 

nconfig, Ethernet 159 

nconfig, Gateway ändern 163 

nconfig, Informationsbereich 157 

nconfig, Interface Konfiguration Ethernet 159 

nconfig, Interface löschen 160 

nconfig, IP-Adresse ändern 161 

nconfig, IP-Adresse Security Manager ändern 164 

nconfig, IP-Adresse Security Manager hinzufügen 164 

nconfig, ISDN Konfiguration 158 

nconfig, Konfiguration speichern 170 

Seite 261


nconfig, Konfigurationsprogramm 156 

nconfig, Konsole 156 

nconfig, Konsolen-Passwort ändern 169 

nconfig, Menü-Bereich 157 

nconfig, Nameserver ändern 165 

nconfig, Netzmaske ändern 161 

nconfig, Netzwerkkartentreiber ändern 162 

nconfig, QUIT 171 

nconfig, Router ändern 163 

nconfig, Security Manager IP-Adresse 164 

nconfig, Server Zertifikat erstellen 168 

nconfig, SSH 156, 176 

nconfig, statische Routen 166 

nconfig, Traffic Shaper 167 

nconfig, Traffic-Bandbreite 167 

nconfig, Traffic-Bandbreite einstellen 167 

nconfig, Treiber ändern 162 

nconfig, Übersicht 157 

nconfig, virtuelle Konsole 156 

nconfig, VPN Properties 168 

nconfig, Write Config 170 

nconfig, X.509-Zertifikat, Beispiel, IPSec VPN 210 

nconfig, X509-Client Zertifikat erstellen 168 

nconfig, X509-Server Zertifikat erstellen 168 

nconfig, X509-Zertifikat sperren 168 

nconfig, X509-Zertifikate 168 

nconfig, Zertifikat sperren 168 

nconfig, Zertifikate 168 

nconfig, Zugriff Security Manager 164 

Netstat, Konsole 155 

Netstat, Testen 153 

Network Address Translation 68 

Netz hinzufügen, Topologie 94 

Netze im IPSec-Tunnel verbinden, Beispiel 219 

Netze maskieren 68 

Netzmaske ändern, nconfig 161 

Netzmaske, erweitertes Routing 65 

Netzmaske, Rechner/Netze 60 

Netzmasken 8 

Netzsegmente hinzufügen 60 

Netzsegmente löschen 60 

Netzwerk, erweitertes Routing 65 

Netzwerk-Adresse, Testen 153 

Netzwerk-Grundkonfiguration 62-63 

Netzwerkkarten 70-71 

Netzwerkkarten-Konfiguration 11 

Netzwerkkartentreiber 11 

Netzwerkkartentreiber ändern, nconfig 162 

Netzwerk-Topologie 23, 93-96 

Neu Starten, Server 43 

Seite 262


Neue Regel 78 

Neue Regel, Firewall-Regeln 78 

Neue Regel, Firewall-Regeln grafisch 85 

neue Software-Versionen 41 

Neue, Firewall-Regeln grafisch 

Neustart nach Patch 41 

Neustart Server 44 

No Blocking, Proxy 46 

No Blocking-Listen konfigurieren 51 

NS / WINS 55 

NS / WINS, PPTP, Beispiel 232 

NS, PPTP, Beispiel 232 

Nslookup, Konsole 155 

Nslookup, Testen 153 

null scan 53 

O Objekte bearbeiten, Topologie 96 

Objekte löschen, Topologie 96 

Offline Betrieb Security Manager 20 

Offline-Modus 124 

Offline-Modus Security Manager 20 

Öffnen, Datei, Policy Distributor 115 

Öffnen, IP-Traffic-Auswertung 138 

Öffnen, Konfigurationen 124 

Öffnen, Konfigurationsdatei 20, 23 

Öffnen, Log-Auswertung 133 

Öffnen, Proxy-Auswertung 144 

Öffnen, Standard Reports 131 

Ohne, Firewall-Regeln grafisch 86, 89 

Online Auswertung, IP-Traffic-Auswertung 143 

Online-Modus 124 

Optimieren Regelwerk 83 

Optionen 23, 34-76 

P Paket akzeptieren 79 

Paket droppen 79 

Paket zurückweisen 79 

Paketart, Filtermöglichkeiten 149 

Paketart, Log-Auswertung 134, 136 

Pakete 10 

Passwort, ADSL 74 

Passwort, Benutzer 37 

Passwort, Benutzer, PPTP 120 

Passwort, DynDns, ADSL 75 

Passwort, nconfig 169 

Passwort, Radius Server 49 

Patch 41 

Patch installieren 41 

Patch, Nameserver 41 

Patch, verfügbar 41 

Seite 263


Patch-Informationen 41 

Patch-Manager 41 

PFS, Eigenschaften, IPSec-Verbindungen 110 

Ping erlaubt, Interface 70 

Ping, Konsole 155 

Ping, Testen 153 

Pingen, Interface 70 

Policy Distributor 115 

Policy Distributor öffnen 115 

Policy Distributor speichern 115 

Policy Distributor, sicheres öffnen 115 

Policy Distributor, Sicherheitspolitik generieren 115 

Policy Distributor, Sicherheitspolitik verteilen 116 

Policy-Distributor öffnen, Firewall-VPN 107 

Port-Adresse, Proxy 47 

PPPOE 70 

PPTP Adressen 54, 121 

PPTP Adresspool 121 

PPTP Interface 54, 121 

PPTP Nameserver 122 

PPTP NS/WINS 55 

PPTP unter Windows konfigurieren, Beispiel 234 

PPTP Verschlüsselung 122 

PPTP VPN 

PPTP WINS 122 

PPTP, Adresspool 54 

PPTP, Beispiel 225 

PPTP, Einwahl in VPN-Netz, Windows, Beispiel 234 

PPTP, IP-Adressen 54 

PPTP, Roadwarrior Firewall-Regeln, Beispiel 227 

PPTP, Roadwarrior konfigurieren, Beispiel 234 

PPTP, Roadwarrior, Beispiel 226 

PPTP, Simultane Verbindungen 122 

PPTP-Benutzer 119 

PPTP-Benutzer, Beispiel 230 

PPTP-Client 123 

118-123, 54- 

55 

PPTP-Einstellungen 54, 121 

PPTP-Konfiguration 121 

PPTP-Roadwarrior 123 

Preshared-Authentisierungsverfahren 100 

Problem 42 

Probleme, lösen 245 

Programm, backup.sh floppy 40 

Programm, backup.sh usb 40 

Programm, backup3to4 16 

Programm, Beenden 23 

Programm, nconfig 101 

Programm, restore.sh floppy 40 

Programm, restore.sh usb 40 

Programm-Fehler loggen 53 

Seite 264


Programm-ID 14 

Protokoll 56, 57 

Protokoll definieren 57 

Proxy Beispiel, Firewall-Regeln 183 

Proxy kaskadieren 49 

Proxy über Firewall-Regel aktivieren 46 

Proxy, Blocking 46, 50 

Proxy, Cache 46 

Proxy, Erweiterte Einstellung 46, 49 

Proxy, ftp 46 

Proxy, Grundkonfiguration 46, 47 

Proxy, http 46 

Proxy, https 46 

Proxy, no Blocking 46, 51 

Proxy, Port 47 

Proxy, Transparent 46, 48 

Proxy/Blocking 46-50 

Proxy-Auswertung 23 

Proxy-Auswertung 144 

Proxy-Auswertung drucken 144 

Proxy-Auswertung öffnen 144 

Proxy-Auswertung, Logfile 144 

Proxy-Auswertung, Top XX Webuser 144 

Proxy-Auswertung, Top-Webseiten 147 

Proxy-Auswertung, Top-Webuser 147 

Proxy-Auswertung, Traffic pro Tag 146 

Proxy-Auswertung, Traffic stundenweise 146 

Proxy-Auswertung, Traffic-Auswertung 144 

Proxy-Auswertung, Wizzard 145 

Proxy-Auswertung, Wizzard Server 145 

Proxy-Auswertung, Wizzard Zeitraum 145 

Prozess-Limits loggen 53 

Q Quell-Port 56, 57 

QUIT, nconfig 171 

R Radius Server 49 

RAID 10 

Raiserfs Journaling Filesystem 10 

RAND_IP_IDS 52 

RAND_PIDS 52 

RAND_TCP_SRC 52 

RAND_TTL 53 

Rechner Auswertung monatlich, IP-Traffic-Auswertung 141 

Rechner Auswertung täglich, IP-Traffic-Auswertung 141 

Rechner hinzufügen 60 

Rechner hinzufügen, Topologie 94 

Rechner in Firewall-Zone hinzufügen, Topologie 94 

Rechner löschen 60 

Rechner/Netze 59-60 

Seite 265


Rechner/Netze hinzufügen 60 

Rechner/Netze importieren in Gruppe 60 

Rechner/Netze, Firewall-Regeln 78 

Rechner/Netze, Firewall-Regeln grafisch 86 

Rechnergruppen 61 

Rechnergruppen ändern 61 

Rechnergruppen anzeigen 84 

Rechnergruppen anzeigen , Firewall-Regeln grafisch 92 

Rechnergruppen bearbeiten 84 

Rechnergruppen bearbeiten, Firewall-Regeln grafisch 92 

Rechnergruppen hinzufügen 61 

Rechnergruppen löschen 61 

Rechnergruppen, Firewall-Regeln 78 

Rechnergruppen, Rechner/Netze zusammenfassen 61 

Regel ändern 78 

Regel ändern, Firewall-Regeln 78 

Regel einfügen 78 

Regel einfügen, Firewall-Regeln 78 

Regel erstellen, Firewall-Regeln 79 

Regel löschen 78 

Regel löschen, Firewall-Regeln 78 

Regelgruppe, Gruppeninhalt anzeigen 82 

Regelgruppe, Gruppeninhalt einfügen 82 

Regelgruppe, Gruppeninhalt verstecken 82 

Regelgruppen 82 

Regelgruppierung einfügen 78 

Regelgruppierung einfügen, Firewall-Regeln 78 

Regeln (grafisch) 23 

Regeln (tabellarisch) 23 

Regelupdate 83 

Regelwerk optimieren 83 

Registrierung 14, 23 

Registrierungsschlüssel 14 

REJECT, Firewall-Regeln 79 

Reporting 129-152 

Reportmails Einstellungen 69 

Reports 129-152 

Reports versenden 69 

Reports, Konsole 154 

Reporttypen 69 

restore.sh floppy 40 

restore.sh usb 40 

Richtung, NAT 68 

Roadwarrior 175 

Roadwarrior anlegen, Firewall-VPN 107 

Roadwarrior Firewall-Regeln, PPTP, Beispiel 227 

Roadwarrior konfigurieren, IPSec, Beispiel 221 

Roadwarrior konfigurieren, PPTP, Beispiel 234 

Roadwarrior konfigurieren, Sentinel, Beispiel 221 

Roadwarrior, Beispiel, IPSec VPN 201 

Seite 266


Roadwarrior, PPTP, Beispiel 226 

Roadwarrior-Objekt anlegen, Beispiel 216 

Root Passwort 12 

Route erstellen, Datenverkehr aufteilen, Beispiel 242 

Route hinzufügen 65 

Route konfigurieren, Datenverkehr aufteilen, Beispiel 243 

Route löschen 65 

Router ändern, nconfig 163 

Router, Default 62 

Router, erweitertes Routing 64 

RSA-Authentisierungsverfahren 99 

S Scan map xmas 53 

Scan null scan 53 

Scan syn/fin 53 

Scan syn/rst 53 

Scans erkennen 53 

Schlüssel 18 

Schlüssel eingeben, Konfiguration 125, 126 

Schlüssel entfernt, RSA 99 

Schlüssel lokal, Preshared 100 

Schlüssel lokal, RSA 99 

Schlüssel Security Manager 19 

Schlüssel, Konfiguration 125 

Schlüssellänge, Eigenschaften, IPSec-Verbindungen 110 

Screenshot drucken, Topologie 94 

Sector, Interface 70 

SECURE_KBMAP 53 

Securepoint 2.X 15 

Securepoint 3.X 15 

Securepoint Firewall 4.X anlegen, Firewall-VPN 107 

Securepoint-Version 23 

Security Manager beenden 23 

Security Manager, IP-Adresse, nconfig 164 

Security Manager, Optionen 19 

Security Manager. mehrere Benutzer einstellen 53 

Sektor, Rechner/Netze 60 

Sentinel Policy Editor, IPSec, Beispiel 222 

Sentinel-Roadwarrior konfigurieren, Beispiel 221 

Server 43 

Server Datum, einstellen 43 

Server h+A1176erunterfahren 43 

Server neustarten 43 

Server Zeit, einstellen 43 

Server, DynDns, ADSL 75 

Server-Befehle 43 

Server-Befehle, grundlegende 43 

Server-Dienst hinzufügen 45 

Server-Dienst hinzufügen, Beispiel 45 

Server-Dienste 44 

Seite 267


Server-Installation 9 

Server-Installation Abschluss 13 

Server-Name 12 

Server-Zertifikat erstellen 103 

Server-Zertifikate 101 

services.ini 45 

Sicheres öffnen, Policy Distributor 115 

Sicherheitspolitik generieren, Policy Distributor 115 

Sicherheitspolitik verteilen, Policy Distributor 116 

Sichern, Firewall-Konfiguration 39 

SIGNAL_LOGGING 53 

Simultane Verbindungen, PPTP 55, 122 

Software Raid 10 

Sortieren, Firewall-Regeln grafisch 86 

Source-Routing, Beispiel 241 

Source-Routing, nconfig 166 

Späteres Anmelden am Security Manager 18 

Speichern als Konfigurationsdatei 23 

Speichern, Konfiguration, nconfig 170 

Speichern, Konfigurationsdatei 23, 126 

Speichern, Policy Distributor 115 

Speichern, Standard Reports 130, 131 

Sperren, Domains 50 

Sperren, IP-Adresse, automatisch 53 

Sperren, Webseiten 50 

Sperren, X509-Zertifikat, nconfig 168 

Sperren, Zertifikat 105 

Sperren, Zertifikat, nconfig 168 

Sprache, Security Manager 19 

Sprache, Server 9 

Squid 46-50 

Squid-Benutzer 37, 38 

SSH 13 

SSH - Secure Shell 176 

SSH anmelden 176 

SSH, nconfig 176 

Standard Reports 23, 130 

Standard Reports mailen 130 

Standard Reports öffnen 131 

Standard Reports speichern 130, 131 

Standard Reports, Archiv 130 

Standard Reports, Dateilänge 130 

Starten, Dienst 44 

Starten, Firewall-Regeln 83 

Starten, IPSec-Verbindungen 113 

Starten, Security Manager 17 

Starten, Verbindung, Firewall-VPN 107 

Static NAT, Rechner/Netze 60 

Statische IP, ISDN 72 

Statische Routen 64 

Seite 268


Statische Routen, nconfig 166 

Statische Source-Routen, nconfig 166 

Statisches NAT 60 

Status Interface, Testen 153 

Stoppen, Dienst 44 

Stoppen, IPSec-Verbindungen 113 

Sub-Netz bearbeiten, Firewall-VPN 107 

Sub-Netze "firewall", IPSec-Verbindungen 112 

Sub-Netze bearbeiten, IPSec-Verbindungen 111 

Sub-Netze erstellen, IPSec-Verbindungen 111 

Sub-Netze ID, IPSec-Verbindungen 112 

Sub-Netze löschen, IPSec-Verbindungen 112 

Sub-Netze Maske, IPSec-Verbindungen 112 

Sub-Netze Verbindung, IPSec-Verbindungen 112 

Sub-Netze, IPSec, Beispiel 219 

SUID_ROOT_LOGGING 53 

Support 42 

syn/fin 53 

syn/rst 53 

T Tabellarische Firewall-Regeln 23 

Tabellarische Log-Auswertung 136 

Tagesweise Auswertung, IP-Traffic-Auswertung 140 

Telefon-Nr., ISDN 72 

Testen 153 

Testen der Firewall 153 

Testen, Datenpakete verfolgen 153 

Testen, Netzstatus feststellen 153 

Testen, Status Interface 153 

Text erstellen, IPSec-Verbindungen 114 

Text löschen, IPSec-Verbindungen 114 

Text, Firewall-VPN 107 

TIMECHANGE_LOGGING 53 

Timout Security Manager 19 

TMP_BLOCKING 53 

Tools, Konsole 155 

Topologie bearbeiten 95 

Topologie drucken 96 

Topologie, Netzwerk 93-96 

Top-Webseiten, Proxy-Auswertung 147 

Top-Webuser, Proxy-Auswertung 147 

Traceroute, Konsole 155 

Traceroute, Testen 153 

Traffic nach Datum sortiert, IP-Traffic-Auswertung 138 

Traffic nach IP sortiert, IP-Traffic-Auswertung 138 

Traffic pro Tag, Proxy-Auswertung 146 

Traffic Shaper, Beispiel 235 

Traffic Shaper, nconfig 167 

Traffic stundenweise, Proxy-Auswertung 146 

Traffic-Auswertung 23, 149 

Seite 269


Traffic-Auswertung, Filtermöglichkeiten 149 

Traffic-Auswertung, Filterwert 149 

Traffic-Auswertung, Proxy-Auswertung 144 

Traffic-Auswertung, zeitgesteuerte Anzeige 149 

Traffic-Bandbreite, Beispiel 235 

Traffic-Bandbreite, nconfig 167 

Transparenter Proxy 46, 48 

Treiber ändern, nconfig 162 

TrendMicro-Virenscanner 173 

TrendMicro-Virenscanner installieren 173 

U Über Securepoint 23 

Übersicht Firewall- und VPN-Verbindungen 28 

Übersicht Firewall-Auswahlleiste 25 

Übersicht Informationsleiste 30 

Übersicht Menüleiste und Icons 23 

Übersicht nconfig 157 

Übersicht Optionen 29 

Übersicht Regel-Werk 26 

Übersicht Reports 27 

Übersicht Security Manager 21-30 

Übersichtliche Darstellung, Firewall-Regeln grafisch 85 

Update 15 

update3to4 16 

Update Securepoint 2.X 15 

Update Securepoint 3.X 15 

Update-Programm auf Firewall-Konsole 16 

Uptdate über Policy-Distributor 15 

V Verbergen von Netzen 68 

Verbinden, IPSec-Objekte, Beispiel 217 

Verbinden, Netze im IPSec-Tunnel, Beispiel 219 

Verbindung löschen, Firewall-VPN 107 

Verbindung starten, Firewall-VPN 107 

Verbindungen loggen 53 

Verbindungstests 23, 153 

Verfügbare Patches 41 

Verschlüsseln von Konfigurationsdateien 19 

Verschlüsselung, Datenübertragung 43 

Verschlüsselung, Konfiguration 125 

Verschlüsselung, PPTP 55, 122 

Verschlüsselung, PPTP, Beispiel 232 

Verschlüsselung, Server/Client 43 

Verschlüsselungstiefe 43 

Versenden Reports 69 

Verstecken von Netzen 68 

Verstecken, Gruppeninhalt, Regelgruppe 82 

Verteilen, Datenverkehr auf Router, Beispiel 241 

Verwenden Blocking-Listen 46 

Virenscanner 173-174 

Seite 270


Virenscanner Beispiel, Firewall-Regeln 198 

Virenscanner, Viruswall 76 

Virtuelle IP-Adressen hinzufügen 67 

Virtuelle IP-Adressen löschen 67 

Virtuelle IP-Adressen, Interface 66 

Virtuelle IPs 66 

Virtuelle IPs, Topologie 94 

Virtuellen IP-Adresse Beispiel, Firewall-Regeln 194 

Virtuelles Interface, PPTP 54 

Viruswall 10, 76, 173 

VJ Kompression, ISDN 72 

Voll-Version 14 

Von Rechnergruppe, Firewall-Regeln 79 

Von, Firewall-Regeln grafisch 86, 87 

Vordefinierte Blocking-Listen 50 

Vordefinierte no Blocking-Listen 51 

Vorwahl, ISDN 72 

VPN 97-123 

VPN Properties, nconfig 168 

VPN, IPSec 98 

VPN, PPTP 118-123 

VPN-Benutzer, PPTP-VPN 37, 38 

VPN-Client 101 

VPN-Client, Eigenschaften 110 

VPN-Server, Eigenschaften 110 

VPN-Verbindungen 28 

W Webseiten sperren 50 

Webserver NAT, Beispiel, Firewall-Regeln 193 

Webuser, Proxy-Auswertung 144 

Windows-Roadwarrior konfigurieren, PPTP, Beispiel 234 

WINS, PPTP 122 

WINS, PPTP, Beispiel 232 

WINS-Server, PPTP 55 

Wizzard Server, Proxy-Auswertung 145 

Wizzard Zeitraum, Proxy-Auswertung 145 

Wizzard, IP-Traffic-Auswertung 138 

Wizzard, Proxy-Auswertung 145 

Write Config, nconfig 170 

X X509-Authentisierung, Beispiel, IPSec VPN 201 

X509-Zertifikat-Authentisierungsverfahren 101-117 

X509-Zertifikate 101 

X509-Zertifikate erstellen 101 

X509-Zertifikate, nconfig 168 

Z Zeit einstellen 43 

Zeit einstellen, Firewall-Regeln 80 

Zeitabhängige Firewall-Regeln 80 

Zeitänderungen loggen 53 

Seite 271


Zeitfenster, Accounting 151 

Zeitgesteuerte Anzeige, Traffic-Auswertung 149 

Zeitvorgaben, Firewall-Regeln 80 

Zeitzone 9 

Zertifikat erstellen 103-104 

Zertifikat exportieren 105 

Zertifikat sperren 105 

Zertifikate, nconfig 168 

Ziel-Port 56, 57 

Zone, Interface 70 

Zone, Rechner/Netze 60 

Zone, transparenter Proxy 48 

Zonen-Konzept 8 

Zoomfunktion, Accounting 152 

Zoomfunktion, IP-Traffic-Auswertung 139 

Zu Rechnergruppe, Firewall-Regeln 79 

Zugriff Security Manager, nconfig 164 

Zulassen Domains 51 

Zurückweisen von Paketen 79 

Zusammenfassen von Diensten in Gruppen 58 

Zusammenfassen von Rechner/Netze in Gruppen 61 

Zusätzliche IP-Adressen am Interface 66 

Zustand, Dienst 44 

Zuweisen PPTP-Client 55 

Zweiter NS 62 

Seite 272

Securepoint Firewall & VPN Server 4.0 Handbuch

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?