Securepoint Firewall & VPN Server 4.0 Handbuch
Securepoint Firewall & VPN Server 4.0 Handbuch
Securepoint Firewall & VPN Server 4.0 Handbuch
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong><br />
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong><br />
Version <strong>4.0</strong><br />
Stand: 16.03.2004
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Inhaltsverzeichnis<br />
1 Installation und Update 7<br />
1.1 Allgemeines 8<br />
1.2 Installation des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s 4.X 9<br />
1.2.1 <strong>Server</strong>-Installation: Schritt 1 9<br />
1.2.2 <strong>Server</strong>-Installation: Schritt 2 10<br />
1.2.3 <strong>Server</strong>-Installation: Schritt 3 11<br />
1.2.4 <strong>Server</strong>-Installation: Schritt 4 12<br />
1.2.5 Abschluss <strong>Server</strong>-Installation 13<br />
1.2.6 Nachträgliche Änderungen der <strong>Server</strong>-Konfiguration 13<br />
1.3 Installation des <strong>Securepoint</strong> Security Managers (Client) 14<br />
1.3.1 Registrierung des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s 14<br />
1.4 Update von <strong>Securepoint</strong> 2.X und 3.X auf Version 4.X 15<br />
2 Bedienung des <strong>Securepoint</strong> Security Managers (Client) 17<br />
2.1 Starten des Security Managers 17<br />
2.1.1 Anmelden am Security Manger 18<br />
2.1.2 Optionen des Security-Managers bearbeiten und ändern des Schlüssels 19<br />
2.1.3 Offline-Betrieb des Security Managers 20<br />
2.2 Übersicht zum Security Manager 21<br />
2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl 23<br />
2.2.2 Bereich: <strong>Firewall</strong>-Auswahlleiste 25<br />
2.2.3 Bereich: Regelwerk der <strong>Firewall</strong> 26<br />
2.2.4 Bereich: Reports 27<br />
2.2.5 Bereich: <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen 28<br />
2.2.6 Bereich: Optionen 29<br />
2.2.7 Bereich: Informationsleiste 30<br />
2.3 Anlegen einer neuen <strong>Securepoint</strong> <strong>Firewall</strong> 4.X 31<br />
2.4 <strong>Firewall</strong>-Anmelde-Status und arbeiten mit einer <strong>Firewall</strong> 32<br />
2.5 Optionen 34<br />
Seite 2
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.1 Benutzerverwaltung 36<br />
2.5.1.1 Benutzer bearbeiten 37<br />
2.5.1.2 Benutzergruppen 38<br />
2.5.2 Backup 39<br />
2.5.3 Patch 41<br />
2.5.4 Fehlerreport 42<br />
2.5.5 <strong>Server</strong> 43<br />
2.5.6 <strong>Server</strong>-Dienste 44<br />
2.5.7 Proxy/Blocking 46<br />
2.5.7.1 Proxy: Grundkonfiguration 47<br />
2.5.7.2 Proxy: Transparent 48<br />
2.5.7.3 Proxy: Erweitert 49<br />
2.5.7.4 Proxy: Blocking 50<br />
2.5.7.5 Proxy: No Blocking 51<br />
2.5.8 Kernel-Einstellungen 52<br />
2.5.9 PPTP <strong>VPN</strong> 54<br />
2.5.9.1 PPTP-Einstellungen 54<br />
2.5.10 Dienste 56<br />
2.5.11 Dienstgruppen 58<br />
2.5.12 Rechner/Netze 59<br />
2.5.13 Rechnergruppen 61<br />
2.5.14 Netzwerk Grundkonfiguration 62<br />
2.5.15 Erweitertes Routing 64<br />
2.5.16 Virtuelle IP-Adressen 66<br />
2.5.17 NAT - Network Address Translation 68<br />
2.5.18 Reportmails Einstellungen 69<br />
2.5.19 Interfaces 70<br />
2.5.20 ISDN 72<br />
2.5.21 ADSL 73<br />
2.5.22 Viruswall 76<br />
3 Arbeiten mit <strong>Firewall</strong>-Regeln 77<br />
3.1 <strong>Firewall</strong>-Regeln (tabellarisch) 77<br />
3.1.1 <strong>Firewall</strong>-Regeln bearbeiten 79<br />
3.1.2 Regelgruppen 82<br />
3.1.3 Aktivieren von Regeln 83<br />
3.1.4 Regelwerk durch Verschieben optimieren 83<br />
3.1.5 Anzeigen/Bearbeiten der Inhalte von Rechnergruppen 84<br />
3.1.6 Anzeigen der Inhalte von Dienstgruppen 84<br />
3.2 <strong>Firewall</strong>-Regeln grafisch 85<br />
3.2.1 Darstellung von Regeln 87<br />
3.2.2 Erstellen von Regeln 90<br />
3.2.3 Bearbeiten von Regeln 91<br />
Seite 3
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
4 Netzwerk-Topologie 93<br />
4.1 Bearbeiten der Topologie 95<br />
5 Arbeiten mit <strong>VPN</strong> 97<br />
5.1 IPSec <strong>VPN</strong> 98<br />
5.1.1 RSA-Authentisierungsverfahren 99<br />
5.1.2 Preshared-Authentisierungsverfahren 100<br />
5.1.3 X509-Zertifikat-Authentisierungsverfahren 101<br />
5.1.3.1 X509-Zertifikate erstellen 101<br />
5.1.4 <strong>Firewall</strong>- und IPSec-Verbindungen erstellen 106<br />
5.1.4.1 IPSec-Verbindungen erstellen, bearbeiten und löschen 108<br />
5.1.4.2 Eigenschaften von IPSec-Verbindungen 109<br />
5.1.4.3 Sub-Netze erstellen, bearbeiten und löschen 111<br />
5.1.4.4 IPSec-Verbindung starten und stoppen 113<br />
5.1.4.5 Text auf der Arbeitsoberfläche erstellen und löschen 114<br />
5.1.5 Policy-Distributor 115<br />
5.1.5.1 Verteilung von Policies an <strong>Firewall</strong>s 116<br />
5.1.6 IPSec-Roadwarrior 117<br />
5.2 PPTP <strong>VPN</strong> 118<br />
5.2.1 PPTP-Benutzer 119<br />
5.2.2 PPTP-Konfiguration 121<br />
5.2.3 PPTP-Roadwarrior 123<br />
6 Arbeiten mit Konfigurationen 124<br />
6.1 Öffnen einer Konfigurationsdatei 124<br />
6.2 Speichern einer Konfigurationsdatei 126<br />
6.3 Drucken einer Konfiguration 127<br />
6.4 Nachträgliche Änderungen der <strong>Server</strong>-Konfiguration 128<br />
7 Arbeiten mit Reports 129<br />
7.1 Standard Reports 130<br />
7.1.1 Öffnen eines Standard Reports 131<br />
7.2 Log-Auswertung 132<br />
7.2.1 Datendurchsatz je IP (grafisch) 134<br />
7.2.2 Datendurchsatz stündlich 135<br />
7.2.3 Log-Auswertung (tabellarisch) 136<br />
7.3 IP-Traffic-Auswertung 138<br />
7.3.1 Lokale Auswertung von Traffic-Daten pro Monat 140<br />
7.3.2 Lokale Auswertung von Traffic-Daten für mehrere Monate 142<br />
7.3.3 Online Auswertung von Traffic-Daten für mehrere Monate 143<br />
7.4 Proxy-Auswertung 144<br />
7.4.1 Traffic pro Tag des ausgewählten Zeitraumes 146<br />
7.4.2 Top-Webuser und -Webseiten des ausgewählten Zeitraumes 147<br />
7.5 Traffic-Auswertung 149<br />
7.6 Accounting 151<br />
Seite 4
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
8 Testen der <strong>Firewall</strong> 153<br />
9 Arbeiten mit der <strong>Firewall</strong>-Konsole 154<br />
9.1 Debugging-Möglichkeiten / Fehlersuche 155<br />
9.2 Tools auf der <strong>Firewall</strong> 155<br />
9.3 nconfig, das Konfigurationsprogramm der Konsole 156<br />
9.3.1 Übersicht 157<br />
9.3.2 Punkt 0: DSL und ISDN Konfiguration 158<br />
9.3.3 Punkt 1: Interface Konfiguration Ethernet 159<br />
9.3.4 Punkt 2: Del Interface 160<br />
9.3.5 Punkt 3: Change Interface IP 161<br />
9.3.6 Punkt 4: Change Interface Driver 162<br />
9.3.7 Punkt 5: Change Gateway 163<br />
9.3.8 Punkt 6: Change Admin IP 164<br />
9.3.9 Punkt 7: Change Nameserver 165<br />
9.3.10 Punkt 8: Edit Static Route 166<br />
9.3.11 Punkt 9: Traffic Shaper 167<br />
9.3.12 Punkt 10: <strong>VPN</strong> Properties 168<br />
9.3.13 Punkt 11: Change Password 169<br />
9.3.14 Punkt 12: Write config 170<br />
9.3.15 Punkt 13: QUIT 171<br />
10 Arbeiten mit Fremdprodukten 172<br />
10.1 Virenscanner 172<br />
10.1.1 TrendMicro-Virenscanner 172<br />
10.2 Roadwarrior 175<br />
10.2.1 SSH-Sentinel-Roadwarrior 175<br />
10.2.2 Windows PPTP-Roadwarrior 175<br />
10.3 SSH – Secure Shell 176<br />
Seite 5
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11 Beispiele 177<br />
11.1 <strong>Firewall</strong>-Regeln: Beispiele 178<br />
11.1.1 <strong>Firewall</strong>-Regel-Beispiel: http, https und passiv ftp ins Internet 179<br />
11.1.1.1 Erstellen der Rechner / Netzwerkobjekte 180<br />
11.1.1.2 Erstellen der Rechnergruppen 181<br />
11.1.1.3 Erstellen der <strong>Firewall</strong>-Regel 182<br />
11.1.2 <strong>Firewall</strong>-Regel-Beispiel: Client Netz über Proxy ins Internet 183<br />
11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations 184<br />
11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations 185<br />
11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal 186<br />
11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal 187<br />
11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external 188<br />
11.1.2.6 Erstellen der Rechnergruppe Grp-fw external 189<br />
11.1.2.7 Erstellen der <strong>Firewall</strong>-Regel Grp-internal workstations Grp-fw internal 190<br />
11.1.2.8 Erstellen der <strong>Firewall</strong>-Regel Grp-fw external internet 191<br />
11.1.2.9 Konfigurieren des Proxys der <strong>Firewall</strong> 192<br />
11.1.3 <strong>Firewall</strong>-Regel-Beispiel: Webserver NAT (statisches NAT) 193<br />
11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface 194<br />
11.1.3.2 Erstellen der Rechner / Netzwerkobjekte 195<br />
11.1.3.3 Erstellen der Rechnergruppe webserver 196<br />
11.1.3.4 Erstellen der <strong>Firewall</strong>-Regel internet webserver 197<br />
11.1.4 <strong>Firewall</strong>-Regel-Beispiel: Anbindung des TrendMicro-Virenscanners 198<br />
11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen 198<br />
11.1.4.2 Erstellen der <strong>Firewall</strong>-Regeln 199<br />
11.2 <strong>VPN</strong> – Beispiele mit IPSec 200<br />
11.2.1 Beispiel IPsec-<strong>VPN</strong> mit Roadwarrior und X509-Authentisierung 201<br />
11.2.1.1 Erstellen von <strong>Firewall</strong>-Regeln für IPSec-Verbindungen 202<br />
11.2.1.2 X509-Zertifikate erstellen 210<br />
11.2.1.3 IPSec-Verbindung auf der <strong>Firewall</strong> konfigurieren 215<br />
11.2.1.4 IPSec-Roadwarrior konfigurieren 221<br />
11.3 <strong>VPN</strong> – Beispiele mit PPTP 225<br />
11.3.1 Beispiel PPTP-<strong>VPN</strong> mit Roadwarrior 226<br />
11.3.1.1 Erstellen von <strong>Firewall</strong>-Regeln für PPTP-Verbindungen 227<br />
11.3.1.2 Erstellen der PPTP-Benutzer 230<br />
11.3.1.3 Erstellen der PPTP-Konfiguration 231<br />
11.3.1.4 PPTP-Roadwarrior konfigurieren 234<br />
11.4 Bandbreitenbegrenzung von Diensten 235<br />
11.4.1 Bandbreitenbegrenzung-Erstellung 236<br />
11.4.2 Auswahl des Interfaces 237<br />
11.4.3 Filter für das Interface definieren 238<br />
11.4.4 Speichern der Konfiguration 240<br />
11.5 Verteilung des Datenverkehrs auf zwei Router - Source-Routing 241<br />
11.5.1 Erstellen einer neuen Route 242<br />
11.5.2 Definition der Route 243<br />
11.5.3 Speichern der Konfiguration 244<br />
12 Fragen und Probleme 245<br />
Index 246<br />
Seite 6
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1 Installation und Update<br />
Der <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> ist ein Client-/<strong>Server</strong>-System. Sie müssen mindestens folgende<br />
<strong>Securepoint</strong> Produkte installieren:<br />
• den <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> auf einem gesonderten Computer mit mindestens zwei<br />
Netzwerkkarten und angeschlossen an ein Netzwerk<br />
• den <strong>Securepoint</strong> Security Manager (Client) auf einem Windows-System. Dieses Programm dient zur<br />
eigentlichen Konfiguration des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s.<br />
Seite 7
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.1 Allgemeines<br />
Der <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> arbeitet mit einem Zonen-Konzept. Sie erhalten hier zum besseren<br />
Verständnis eine Übersicht des Zonen-Konzepts der <strong>Firewall</strong>. Sie können hieraus leicht zuordnen, wie Ihre<br />
Netzwerkkarten konfiguriert werden müssen und in welchen Verhältnissen sich die Zonen zueinander befinden.<br />
Abb. <strong>Securepoint</strong>-Zonen-Konzept<br />
Netzmasken in Bitcount<br />
Beachten Sie, dass alle Netzmasken in Bitcount angegeben werden.<br />
Hier ein paar Beispiele für gängige Bitcount-Angaben:<br />
Netz Netzmaske Bitcount Anzahl IPs<br />
Gesamtes Netz: 0.0.0.0 0 4294967296<br />
Class A Netz: 255.0.0.0 8 16777216<br />
Class B Netz: 255.255.0.0 16 65536<br />
Class C Netz: 255.255.255.0 24 256<br />
Subnetz: 255.255.255.128 25 128<br />
Subnetz: 255.255.255.192 26 64<br />
Subnetz: 255.255.255.224 27 32<br />
Subnetz: 255.255.255.240 28 16<br />
Subnetz: 255.255.255.248 29 8<br />
Subnetz: 255.255.255.252 30 4<br />
Ein Host: 255.255.255.255 32 oder Host 1<br />
Ein Bitcount-Calculator ist nach der Installation des <strong>Securepoint</strong> Security Manager (Client) verfügbar.<br />
Seite 8
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.2 Installation des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s 4.X<br />
‣Legen Sie die <strong>Securepoint</strong> CD-ROM in das CD-ROM-Laufwerk Ihres Computers, der für den <strong>Securepoint</strong><br />
<strong>Server</strong> vorgesehen ist und starten Sie ihn.<br />
Achten Sie darauf, dass Ihr Computer von CD-ROM booten kann.<br />
Beachten Sie: Alle Daten auf der Festplatte des von Ihnen ausgewählten Computers<br />
werden bei der Installation der <strong>Server</strong>-Software gelöscht.<br />
Beachten Sie: Falls Ihre Grafikkarte nicht zu 100 Prozent VESA-kompatibel ist, haben<br />
Sie auch die Möglichkeit einer textbasierten Installation. Die Konfiguration ist analog<br />
zur grafischen Installation.<br />
1.2.1 <strong>Server</strong>-Installation: Schritt 1<br />
‣Wählen Sie hier die gewünschte Sprache, Zeiteinstellung und <strong>Securepoint</strong>-Version aus.<br />
‣Speichern Sie Ihre Eingaben mit dem Button OK.<br />
Abb. Installation Schritt 1<br />
Eingabe- und Auswahlfelder<br />
Sprache:<br />
Zeitzone:<br />
Lizenz:<br />
Auswahl der Sprache. Voreinstellung ist Englisch.<br />
Auswahl der Zeitzone, in der sich die <strong>Firewall</strong> befindet.<br />
Ihnen stehen bei der Installation drei verschiedene Versionen<br />
des <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong>s 4.X zur Verfügung:<br />
- <strong>Securepoint</strong> Office (unterstützt bis 2 Netzwerkkarten)<br />
- <strong>Securepoint</strong> Business (unterstützt bis 8 Netzwerkkarten)<br />
- <strong>Securepoint</strong> Professional (unterstützt bis 16 Netzwerkkarten und <strong>VPN</strong>)<br />
Seite 9
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.2.2 <strong>Server</strong>-Installation: Schritt 2<br />
‣Wählen Sie hier die zu installierenden Software-Komponenten und Dateisysteme/RAID aus.<br />
Abb. Installation Schritt 2<br />
Eingabe- und Auswahlfelder<br />
Pakete:<br />
Sie haben hier die Möglichkeit, verschiedene zusätzliche Pakete zu installieren:<br />
• Die <strong>Firewall</strong>, das eigentliche <strong>Firewall</strong> System, das auf dem gesicherten <strong>Securepoint</strong><br />
Linux Betriebssystem installiert wird.<br />
• Die Viruswall, ein angepasstes Virenscanner System für die Protokolle http, ftp und<br />
smtp der Firma TrendMicro (Hinweis: Eine Lizenz zum Betrieb ist erforderlich).<br />
• Das Mailgateway, angepasster Virenscanner der Firma H+BEDV für das Protokoll smtp<br />
(Hinweis: Eine Lizenz zum Betrieb ist erforderlich).<br />
Filesystem:<br />
Im Weiteren haben Sie die Möglichkeit, drei verschiedene Filesysteme für das Betriebssystem<br />
auszuwählen:<br />
• EXT2<br />
• EXT3 (Journaling Filesystem)<br />
• Raiserfs (Journaling Filesystem)<br />
Software Raid:<br />
Falls auf dem System mehrere Festplatten gefunden werden, können Sie ein Software<br />
RAID (Level 1 Spiegelung) aktivieren.<br />
Hinweise zu Journaling Filesystemen<br />
Ein Journaling Filesystem protokolliert, welche Dateien zur Zeit in Bearbeitung sind. Im Falle eines Systemausfalls<br />
müssen nur die beim Ausfall geöffneten Programme und Daten geprüft bzw. repariert werden. EXT2 ist<br />
kein Journaling Filesystem und prüft bei einem Systemausfall jede Datei. Dies dauert meist wesentlich länger.<br />
Seite 10
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.2.3 <strong>Server</strong>-Installation: Schritt 3<br />
‣In diesem Bereich führen Sie die Netzwerkkarten-Konfiguration durch.<br />
Abb. Installation Schritt 3<br />
Sie haben je nach <strong>Securepoint</strong> Lizenz-Version (Office, Business, Professional) die Möglichkeit, 2 bis 16<br />
Netzwerkkarten zu installieren.<br />
Bei der ersten Netzwerkkarte besteht die Möglichkeit, zwischen einer ISDN-, ADSL- und Ethernet-Karte zu<br />
wählen. Bei Auswahl ISDN oder ADSL geht das System davon aus, dass Sie eine IP-Adresse von Ihrem Provider<br />
dynamisch zugewiesen bekommen. Die Felder für IP und Bitcount sind dann „eingegraut“. Im Falle von ADSL<br />
oder Ethernet können Sie einen Netzwerkkartentreiber auswählen.<br />
Beachten Sie bitte in dem Zusammenhang die „White Papers“.<br />
Dort ist definiert, welcher Treiber zu Ihrer Karte passt. Im Falle von ISDN beachten Sie bitte, dass der<br />
<strong>Securepoint</strong> Standard-Kernel nur Winbond ISDN-Karten unterstützt. Bei Verwendung einer anderen ISDN-Karte<br />
müssen Sie einen entsprechenden Kernel-Patch von unserer Website http://www.securepoint.de herunterladen<br />
und nach der Installation des <strong>Server</strong>s einspielen.<br />
Auswahl- und Eingabefelder<br />
Typ:<br />
IP:<br />
Bitcount:<br />
Driver:<br />
ISDN, ADSL, Ethernet<br />
IP-Adresse der jeweiligen Netzwerkkarte<br />
Netzmaske der jeweiligen Netzwerkkarte<br />
Netzwerkkartentreiber<br />
Zum besseren Verständnis beachten Sie hier das Zonen-Konzept des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> (Siehe<br />
Kapitel 1.1).<br />
Seite 11
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.2.4 <strong>Server</strong>-Installation: Schritt 4<br />
‣Hier führen Sie die Grundeinstellungen für das Routing und weitere administrative Einstellungen aus.<br />
‣Klicken Sie auf den Button START, um den <strong>Securepoint</strong> <strong>Firewall</strong>-<strong>Server</strong> zu installieren.<br />
Abb. Installation Schritt 4<br />
Eingabefelder<br />
Name:<br />
Gateway:<br />
Admin IP:<br />
Root Passwort:<br />
In den globalen Einstellungen geben Sie den Namen des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong><br />
<strong>Server</strong>s an. Beachten Sie bitte, dass Sie den hostname.fqdn (Full Qualified Domain<br />
Name), also zum Beispiel: Hostname.Yourdomain (z. B. mars.securepoint.de), eingeben.<br />
Das Feld Gateway (Default Gateway) ist nur bearbeitbar, wenn Sie nicht ADSL oder ISDN<br />
ausgewählt haben. Das Gateway ist normalerweise die IP-Adresse Ihres Routers, der die<br />
Verbindung zum Internet übernimmt.<br />
Nur von dieser IP-Adresse können Sie sich nach der Installation remote (entfernt) auf dem<br />
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> einloggen (über den <strong>Securepoint</strong> Security Manager und<br />
per SSH auf der Konsole).<br />
Hinweis: In der <strong>Securepoint</strong> Version 4.X muss die Admin IP-Adresse nicht mehr im<br />
internen Netzwerk liegen.<br />
Das Root Passwort ist das Passwort des Super Users des Betriebssystems. Mit diesem<br />
Passwort können Sie sich an der Linux Konsole bzw. über SSH (Secure Shell) einloggen.<br />
RT (Wiederholung): Root Passwort-Wiederholung.<br />
Admin Passwort:<br />
Das Admin Passwort ist das Passwort, mit dem der Admin User sich nach der Installation<br />
über dem <strong>Securepoint</strong> Security Manager auf der <strong>Firewall</strong> einloggen kann. Es ist auch das<br />
Passwort für das Konfigurations-Programm auf der ersten Linux Konsole.<br />
AP (Wiederholung): Admin Passwort-Wiederholung.<br />
Beachten Sie: Beide Passwörter (für den Admin und den Root User) sollten aus<br />
Sicherheitsgründen unterschiedlich sein!<br />
Seite 12
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.2.5 Abschluss <strong>Server</strong>-Installation<br />
Die <strong>Server</strong>-Installation und Anfangskonfiguration ist nun abgeschlossen und das <strong>Securepoint</strong> <strong>Firewall</strong> System<br />
startet danach neu. Sie können nun mit der Installation des <strong>Securepoint</strong> Security Managers von der CD-ROM<br />
auf Ihrem Arbeitsplatz fortfahren. Falls sich die CD-ROM noch im Laufwerk befindet, entfernen Sie diese.<br />
Die <strong>Securepoint</strong> <strong>Firewall</strong> ist jetzt betriebsbereit. Da noch keine weiteren Einstellungen vorgenommen sind, ist<br />
die Kommunikation der Netze miteinander automatisch gesperrt. Sie können jetzt den <strong>Securepoint</strong> <strong>Firewall</strong> &<br />
<strong>VPN</strong> <strong>Server</strong> konfigurieren.<br />
Beachten Sie: Sie stellen fest, dass kein ping und traceroute auf Interface/Netzwerkkarten<br />
möglich ist! Beachten Sie, dass für die Befehle ping und traceroute <strong>Firewall</strong>-<br />
Regeln freigeschaltet werden müssen. Nur das interne Interface ist von vornherein<br />
anpingbar.<br />
Beachten Sie: Achten Sie darauf, dass auch alle Netzwerkkarten angeschlossen<br />
(uplink) sind, und dass der Zugriff auf den <strong>Server</strong> nur über die angegebene Admin-IP-<br />
Adresse des Clienten (<strong>Securepoint</strong> Security Managers) möglich ist.<br />
1.2.6 Nachträgliche Änderungen der <strong>Server</strong>-Konfiguration<br />
Mit Hilfe des lokalen Konfigurationstools nconfig können Sie nachträglich die Parameter Ihrer Konfiguration<br />
ändern (siehe Kapitel 9.3). Das lokale Konfigurations-Programm nconfig steht Ihnen auf der ersten Linux<br />
<strong>Server</strong>-Konsole zur Verfügung. Es kann auch per SSH aufgerufen werden.<br />
Beachten Sie: Möglicherweise müssen Sie beim Aufruf über SSH die Terminal Variable<br />
anpassen (TERM = vt100).<br />
Seite 13
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.3 Installation des <strong>Securepoint</strong> Security Managers (Client)<br />
Der <strong>Securepoint</strong> Security Manager ist das Konfigurations-Programm Ihres <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s<br />
an Ihrem Arbeitsplatz. Der Security Manager muss auf einem Windows-Computer installiert werden.<br />
‣Legen Sie die CD-ROM in das CD-ROM-Laufwerk Ihres Windows-Computers, der für die <strong>Firewall</strong>-<br />
Administration vorgesehen ist.<br />
‣Wechseln Sie in das Verzeichnis tools/securepoint_client/ auf der CDROM und starten Sie das Programm<br />
client<strong>4.0</strong>.exe.<br />
Der <strong>Securepoint</strong> Security Manager wird nun automatisch installiert.<br />
Beachten Sie: Beim ersten Start des <strong>Securepoint</strong> Security Managers erscheint ein<br />
Dialog, bei dem Sie einen Schlüssel anlegen müssen. Mit Hilfe dieses Schlüssels<br />
werden alle Konfigurationsdateien der <strong>Securepoint</strong>, die lokal auf Ihrem Rechner liegen,<br />
verschlüsselt.<br />
Der Security Manager kann auch offline betrieben werden und wird mit Beispiel-Konfigurationen geliefert. Diese<br />
Konfigurationen geben Ihnen eine Hilfestellung beim Einrichten von Regeln auf der <strong>Firewall</strong> oder beim Aufbau<br />
von <strong>VPN</strong>-Verbindungen (Kapitel 2.1.3).<br />
Bitcount-Calculator<br />
Zur Umrechnung von Netzmasken steht Ihnen ebenfalls ein Bitcount-Calculator zur Verfügung. Gängige<br />
Bitcountangaben finden Sie unter Allgemeines (Kapitel 1.1).<br />
1.3.1 Registrierung des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s<br />
Falls Ihnen eine 30-Tage-Test-Version vorliegt, können Sie bei Ihrem Reseller eine Voll-Version registrieren. Um<br />
sofort eine Registrierung zur Voll-Version von der 30-Tage-Test-Version vornehmen zu können,<br />
‣senden Sie die Programm-ID im Menü Info Registrierung an Ihren Reseller oder direkt an <strong>Securepoint</strong><br />
(mit Angabe Ihres Resellers).<br />
Sie erhalten daraufhin einen Registrierungsschlüssel zurück, mit dem Sie die 30-Tage-Version zu einer Voll-<br />
Version werten können. Die Registrierung ist kostenpflichtig.<br />
Seite 14
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
1.4 Update von <strong>Securepoint</strong> 2.X und 3.X auf Version 4.X<br />
Sie können nur die <strong>Securepoint</strong> Version 3.X auf die Version 4.X updaten. Wenn Sie in Besitz einer <strong>Securepoint</strong><br />
Version 2.X sind und die Daten dieser Version auf die <strong>Securepoint</strong> Version 4.X übernehmen möchten, müssen<br />
Sie vorerst ein Update auf die Version 3.X fahren.<br />
Die Konfigurationen von Fremdprodukten (z. B. Virenscanner) werden nicht übernommen und müssen neu<br />
installiert und konfiguriert werden.<br />
Für das Update von der <strong>Securepoint</strong> Version 3.X auf Version 4.X haben Sie zwei Möglichkeiten:<br />
• Update über den Policy-Distributor<br />
• Update über das Update-Programm auf der <strong>Firewall</strong>-Konsole<br />
Update über den Policy-Distributor<br />
Bei dieser Update-Variante werden nur die Dienste/Dienstgruppen, Rechner/Rechnergruppen und das<br />
Regelwerk übernommen.<br />
Voraussetzung ist, dass das isf-File der <strong>Securepoint</strong> Version 3.X auf dem lokalen Rechner gespeichert ist und<br />
eine <strong>Securepoint</strong> Version 4.X installiert wurde.<br />
Gehen Sie folgendermaßen vor:<br />
‣Verbinden Sie sich über den Security Manager zu Ihrer neu installierten <strong>Securepoint</strong> Version 4.X.<br />
‣Öffnen Sie den Policy-Distributor über das Menü Bearbeiten <strong>Firewall</strong>s-<strong>VPN</strong> Icon Policy-Distributor<br />
öffnen.<br />
‣Öffnen Sie im Policy-Distributor (Abb. Policy-Distributor) über das Icon Sicheres Öffnen das isf-File, in dem<br />
Sie Ihre Daten der <strong>Securepoint</strong> Version 3.X gespeichert haben.<br />
‣Nach dem Einspielen der Daten sollten Sie ein Regelupdate fahren.<br />
Abb. Policy-Distributor<br />
Nähere Informationen zur Arbeit mit dem Policy-Distributor erhalten Sie unter Kapitel 5.1.5.<br />
Seite 15
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Update über das Update-Programm auf der <strong>Firewall</strong>-Konsole<br />
Bei dieser Update-Variante werden nicht nur die Dienste/Dienstgruppen, Rechner/Rechnergruppen und das<br />
Regelwerk übernommen, sondern auch IPSec- und PPTP-Konfigurationen. Ausnahme bildet die Konfiguration für<br />
den Proxy (http, https, ftp), dieser muss über den Security Manager neu konfiguriert werden.<br />
Voraussetzung ist ein Disketten-Backup Ihrer Version 3.X.<br />
Gehen Sie folgendermaßen vor:<br />
‣Legen Sie die Diskette der Update-Version 3.X in das Diskettenlaufwerk Ihrer neu installierten <strong>Firewall</strong>.<br />
‣Loggen Sie sich als root auf der zweiten Konsole ein. Drücken Sie dazu die ALT + F2-Taste, um an die<br />
zweite Konsole zu gelangen.<br />
‣Rufen Sie das Programm update3to4 auf und folgen Sie den Anweisungen.<br />
Abb. Start Update-Programm auf Konsole<br />
Seite 16
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2 Bedienung des <strong>Securepoint</strong> Security Managers (Client)<br />
Der <strong>Securepoint</strong> Security Manager ist das Konfigurations-Programm Ihres <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s.<br />
Der <strong>Securepoint</strong> Security Manager ist ein Client-System, das mit dem <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong><br />
kommuniziert. Alle Daten zwischen dem Clienten (<strong>Securepoint</strong> Security Manager) und <strong>Server</strong> werden<br />
verschlüsselt übertragen.<br />
2.1 Starten des Security Managers<br />
Für den Start des <strong>Securepoint</strong> Security Managers (Client)<br />
‣Gehen Sie über: Start Programme <strong>Securepoint</strong> <strong>4.0</strong> <strong>Securepoint</strong> Security Manager<br />
und starten Sie damit den Security Manager.<br />
Es erscheint folgender Startscreen:<br />
Abb. Security Manager Startscreen<br />
Seite 17
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.1.1 Anmelden am Security Manger<br />
Erstes Anmelden<br />
Beim ersten Start des Security Managers erscheint ein Dialog-Fenster (Abb. Erstellen des Schlüssels).<br />
‣Tragen Sie einen Schlüssel ein und wiederholen Sie die Schlüssel-Eingabe.<br />
‣Bestätigen Sie Ihre Eingabe mit dem Button OK.<br />
Mit Hilfe dieses Schlüssels werden alle Konfigurationsdateien der <strong>Securepoint</strong> <strong>Firewall</strong>, die lokal auf Ihrem<br />
Rechner liegen, aus Sicherheitsgründen verschlüsselt.<br />
Beachten Sie: Merken Sie sich den Schlüssel unbedingt gut. Mit ihm werden die<br />
lokalen Konfigurationsdateien verschlüsselt.<br />
Abb. Erstellen des Schlüssels<br />
Eingabefelder<br />
Schlüssel:<br />
Bestätigung:<br />
Schlüssel zum Verschlüsseln von Konfigurationsdateien<br />
Wiederholung des Schlüssels<br />
Späteres Anmelden<br />
Sobald Sie den Schlüssel zur Verschlüsselung der lokalen Konfigurationsdateien eingegeben und gespeichert<br />
haben, werden Sie bei jedem Aufruf des <strong>Securepoint</strong> Security Managers nach diesem Schlüssel gefragt.<br />
‣Tragen Sie Ihren Schlüssel ein.<br />
‣Bestätigen Sie die Eingabe mit dem Button OK.<br />
Abb. Späteres Anmelden<br />
Eingabefeld<br />
Schlüssel:<br />
Schlüssel zum Verschlüsseln von Konfigurationsdateien<br />
Seite 18
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.1.2 Optionen des Security-Managers bearbeiten und ändern des Schlüssels<br />
Änderungen an der Client-Einstellung können über die Client-Optionen vorgenommen werden.<br />
Abb. Menüleiste und Icons mit Icon Client-Optionen<br />
‣Klicken Sie auf das Icon Client-Optionen.<br />
Zur Eingabe der Client-Optionen öffnet sich ein Dialog-Fenster (Abb. Client-Optionen).<br />
Sprache, Timout und Schlüssel<br />
‣Über das Auswahlfeld Sprache können Sie den Security Manager auf eine andere Sprache umstellen.<br />
‣Möglicherweise ist die Kommunikation zwischen Security Manager und <strong>Firewall</strong> <strong>Server</strong> nicht schnell genug<br />
möglich, da langsame Verbindungen bestehen (z. B. über das Internet). Stellen Sie dann den Wert über das<br />
Auswahlfeld Timeout (Angaben in Sekunden) höher ein.<br />
‣Sie können den Schlüssel ändern, indem Sie auf den Button Schlüssel ändern klicken und über das sich<br />
öffnende Dialog-Fenster (Abb. Schlüssel) einen neuen Schlüssel eingeben. Der Schlüssel dient zum<br />
Verschlüsseln Ihrer Konfigurationsdateien.<br />
Abb. Client-Optionen<br />
Eingabe- und Auswahlfelder<br />
Sprache:<br />
Timeout:<br />
Schlüssel ändern:<br />
Wechsel auf andere Sprach-Einstellung des Security Managers (Client)<br />
Ändern des Timout für die Verbindung zwischen Client und <strong>Server</strong><br />
Ändern des Schlüssels zur Verschlüsselung der Konfigurationsdateien<br />
Abb. Schlüssel<br />
Seite 19
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.1.3 Offline-Betrieb des Security Managers<br />
Der Security Manager besitzt einen Offline-Modus zur Bearbeitung von <strong>Firewall</strong>-Konfigurationen, ohne dabei<br />
online mit einem <strong>Securepoint</strong> <strong>Server</strong> verbunden zu sein. Auf der <strong>Securepoint</strong> CD-ROM finden Sie verschiedene<br />
Beispiel-Konfigurationen die Sie einfach mit dem Security Manager aufrufen können. Diese Konfigurationen<br />
geben Ihnen eine Hilfestellung beim Einrichten von Regeln auf der <strong>Firewall</strong> oder beim Aufbau von <strong>VPN</strong>-<br />
Verbindungen. Sie finden diese Beispiel-Konfigurationen in Kapitel 11.<br />
Nach dem Start des Security Managers und der Eingabe des Schlüssels befindet sich der Security Manager im<br />
Offline-Modus.<br />
Öffnen einer Konfigurationsdatei<br />
Es besteht jetzt die Möglichkeit, eine gespeicherte Konfigurationsdatei zu öffnen.<br />
‣Zum Öffnen einer gespeicherten Konfigurationsdatei gehen Sie über das Menü Datei Öffnen<br />
oder klicken Sie auf das Icon Öffnen.<br />
Es öffnet sich jetzt ein Auswahl-Dialog, von dem aus die gewünschte Konfigurationsdatei ausgewählt werden<br />
kann. Die Datei-Endung ist „dateiname.isf“. Sie finden im Verzeichnis tools/securepoint_client/samples auf der<br />
<strong>Securepoint</strong> CD-ROM verschiedene Beispiele. Der Schlüssel für die Beispielkonfigurationen ist „test“.<br />
‣Auswahl der gewünschten Konfigurations-Datei über Dialog-Fenster.<br />
‣Eingabe des Schlüssels test.<br />
Abb. Öffnen einer Konfigurationsdatei<br />
Anlegen einer neuen Konfigurationsdatei<br />
Eine zweite Möglichkeit ist, eine neue Datei anzulegen.<br />
‣Zum Anlegen einer neuen Datei gehen Sie über das Menü Datei Neu<br />
oder klicken Sie auf das Icon <strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen.<br />
Es werden danach einige Standarddaten geladen, die beliebig bearbeitet und erweitert werden können.<br />
Weitere Informationen zum Thema Konfigurationen finden Sie in Kapitel 6.<br />
Seite 20
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2 Übersicht zum Security Manager<br />
Hier erhalten Sie eine kurze Übersicht über die grundlegenden Bereiche des <strong>Securepoint</strong> Security Managers.<br />
Dies hilft Ihnen zu einem schnellen Einstieg in die Vielzahl der Funktionen.<br />
Über das Icon Client-Optionen, können Sie den Security Manager auf eine andere Sprache umstellen.<br />
Möglicherweise ist die Kommunikation zwischen Security Manager und <strong>Firewall</strong> <strong>Server</strong> nicht schnell genug<br />
möglich, da langsame Verbindungen bestehen. Stellen Sie dann den Wert Timeout (sec) höher ein. (Siehe<br />
Kapitel 2.1.2)<br />
Am unteren Rand des Master-Fensters befindet sich eine Menüleiste, auf der für jedes geöffnete Fenster, z. B.<br />
Optionen, <strong>Firewall</strong>-Regeln, Reports etc. ein Feld erscheint. Über diese Felder kann zwischen den einzelnen<br />
Fenstern umgeschaltet werden.<br />
Über das Menü Fenster Überlappend anordnen bzw. Übereinander anordnen oder über die Icons Überlappend<br />
anordnen bzw. Übereinander anordnen können Sie sich die geöffneten Fenster entsprechend anordnen.<br />
a)<br />
c)<br />
d)<br />
b)<br />
e) f)<br />
Abb. Übersicht Security Manager<br />
g)<br />
Seite 21
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Kurzübersicht der Bereiche<br />
Bereich a) 2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl<br />
Hierüber rufen Sie die grundlegenden Funktionen des <strong>Securepoint</strong> <strong>Server</strong>s auf.<br />
Bereich b) 2.2.2 Bereich: <strong>Firewall</strong>-Auswahlleiste<br />
Hier erhalten Sie eine Liste aller verfügbaren <strong>Firewall</strong>s. Sie können mehrere <strong>Firewall</strong>s<br />
über den <strong>Securepoint</strong> Security Manager bedienen.<br />
Bereich c) 2.2.3 Bereich: Regelwerk der <strong>Firewall</strong><br />
Hiermit erstellen und bearbeiten Sie <strong>Firewall</strong>-Regeln.<br />
Bereich d) 2.2.4 Bereich: Reports<br />
Hier erhalten Sie eine Vielzahl von Statistiken über die verfügbaren <strong>Firewall</strong>s und <strong>VPN</strong><br />
<strong>Server</strong>.<br />
Bereich e) 2.2.5 Bereich: <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen<br />
In diesem Bereich erstellen und bearbeiten Sie <strong>Firewall</strong>- und IPSec-<strong>VPN</strong>-Verbindungen.<br />
Bereich f) 2.2.6 Bereich: Optionen<br />
Über die Optionen stellen Sie grundlegende <strong>Server</strong>-Optionen ein. Fast alle<br />
Einstellungen des <strong>Securepoint</strong> <strong>Server</strong>s sind hier durchführbar.<br />
Bereich g) 2.2.7 Bereich: Informationsleiste<br />
In diesem Bereich erhalten Sie grundlegende Informationen über die Verbindung zum<br />
<strong>Server</strong>.<br />
Seite 22
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.1 Bereich: Menüleiste und Icons für Schnellauswahl<br />
Über die Menüleiste und die Icons für die Schnellauswahl rufen Sie die grundlegenden Funktionen des<br />
<strong>Securepoint</strong> <strong>Server</strong>s auf (Abb. Menüleiste und Icons für Schnellauswahl).<br />
a)<br />
Abb. Bereich Menüleiste und Icons für Schnellauswahl<br />
Auswahl-Menüs<br />
Menü Datei<br />
Öffnen:<br />
Speichern:<br />
Speichern als:<br />
Drucken:<br />
Neu:<br />
Beenden:<br />
Öffnen einer gespeicherten Konfigurationsdatei<br />
Speichern einer Konfigurationsdatei<br />
Speichern einer Konfigurationsdatei unter anderem Namen<br />
Drucken der Konfigurationsdatei<br />
Anlegen einer neuen Konfigurationsdatei<br />
Beenden des <strong>Securepoint</strong> Security Managers<br />
Menü Bearbeiten<br />
Regeln (tabellarisch):<br />
Regeln (grafisch):<br />
Netzwerk-Topologie:<br />
<strong>Firewall</strong>s-<strong>VPN</strong>:<br />
Optionen:<br />
Öffnet das Fenster für tabellarische <strong>Firewall</strong>-Regeln<br />
Öffnet das Fenster für grafische <strong>Firewall</strong>-Regeln<br />
Öffnet das Fenster mit der Ansicht der Netzwerk-Topologie<br />
Öffnet das Fenster zum Bearbeiten von <strong>Firewall</strong>s-<strong>VPN</strong>-Verbindungen<br />
Öffnet das Fenster der <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> Optionen<br />
Menü Report<br />
Standard Reports:<br />
Log-Auswertung:<br />
Proxy-Auswertung:<br />
IP-Traffic-Auswertung:<br />
Traffic-Auswertung:<br />
Accounting:<br />
Verbindungstest:<br />
Öffnet das Fenster Standard Reports<br />
Öffnet das Fenster Log-Auswertung<br />
Öffnet das Fenster Proxy-Auswertung<br />
Öffnet das Fenster IP-Traffic-Auswertung<br />
Öffnet das Fenster Traffic-Auswertung<br />
Öffnet das Fenster Accounting<br />
Öffnet das Fenster zum Testen von Verbindungen aus Sicht der <strong>Firewall</strong><br />
Menü Fenster<br />
Überlappend anordnen:<br />
Übereinander anordnen:<br />
Die geöffneten Fenster werden überlappend angeordnet<br />
Die geöffneten Fenster werden übereinander angeordnet<br />
Menü Info<br />
Registrierung:<br />
Über <strong>Securepoint</strong>:<br />
Registrierung der <strong>Firewall</strong><br />
Kurze Information über die <strong>Securepoint</strong>-Version<br />
Seite 23
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Menü mit Auswahl-Icons für Schnellauswahl<br />
Öffnen:<br />
Speichern:<br />
Öffnen einer gespeicherten Konfigurationsdatei<br />
Speichern einer Konfigurationsdatei<br />
<strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen: Anlegen einer neuen <strong>Securepoint</strong> <strong>Firewall</strong> 4.X<br />
Regeln (grafisch):<br />
Regeln (tabellarisch):<br />
<strong>Firewall</strong>s-<strong>VPN</strong>:<br />
Netzwerk-Topologie:<br />
Standard Reports:<br />
Log-Auswertung:<br />
IP-Traffic-Auswertung:<br />
Proxy-Auswertung:<br />
Traffic-Auswertung:<br />
Accounting:<br />
Verbindungstest:<br />
Regelupdate:<br />
Überlappend anordnen:<br />
Übereinander anordnen:<br />
Optionen:<br />
Client-Optionen:<br />
Öffnet das Fenster für grafische <strong>Firewall</strong>-Regeln<br />
Öffnet das Fenster für tabellarische <strong>Firewall</strong>-Regeln<br />
Öffnet das Fenster zum Bearbeiten von <strong>Firewall</strong>s-<strong>VPN</strong>-Verbindungen<br />
Öffnet das Fenster mit der Ansicht der Netzwerk-Topologie<br />
Öffnet das Fenster Standard Reports<br />
Öffnet das Fenster Log-Auswertung<br />
Öffnet das Fenster IP-Traffic-Auswertung<br />
Öffnet das Fenster Proxy-Auswertung<br />
Öffnet das Fenster Traffic-Auswertung<br />
Öffnet das Fenster Accounting<br />
Öffnet das Fenster Verbindungstest<br />
Update der Regeln auf der aktuell verbundenen <strong>Firewall</strong><br />
Die geöffneten Fenster werden überlappend angeordnet<br />
Die geöffneten Fenster werden übereinander angeordnet<br />
Öffnet das Fenster der <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> Optionen<br />
Einstellungen des <strong>Securepoint</strong> Security Managers sowie Änderung<br />
des Schlüssels zum Verschlüsseln der Konfigurationsdateien<br />
Seite 24
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.2 Bereich: <strong>Firewall</strong>-Auswahlleiste<br />
Auf der linken Seite des Security Managers befindet sich die <strong>Firewall</strong>-Auswahlleiste, auf der alle lokal<br />
angelegten <strong>Firewall</strong>-Objekte angezeigt werden. Sie können mehrere <strong>Firewall</strong>s über den <strong>Securepoint</strong> Security<br />
Manager bedienen.<br />
Diese Auswahlleiste wird sichtbar, sobald sich der Benutzer mit dem für die Entschlüsselung der Login-Daten<br />
benötigten Passwort an den Client angemeldet hat.<br />
b)<br />
Scrollen der Leiste<br />
<strong>Firewall</strong>-<strong>Server</strong> mit LED-Anzeige: Anzeige, ob die <strong>Firewall</strong> mit<br />
dem Security Manager verbunden ist<br />
Abb. Bereich <strong>Firewall</strong>-Auswahlleiste<br />
Klick mit rechter Maus-Taste auf das <strong>Firewall</strong>-Objekt öffnet das<br />
Menü zum Verbinden oder Abmelden des <strong>Firewall</strong>-<strong>Server</strong>s. Sie<br />
können das Objekt ebenfalls hierüber Löschen. Über die<br />
Eigenschaften können die <strong>Firewall</strong>-Zugriffsdaten geändert<br />
werden.<br />
Automatisches Schließen der Auswahlleiste<br />
Ist die Checkbox autom. schließen markiert, so schließt sich die Leiste automatisch, sobald der Cursor nach<br />
rechts aus der Leiste herausbewegt wird. Ist die Checkbox nicht markiert, so schließt sich die Leiste, wenn<br />
darauf geklickt wird. Sie öffnet sich wieder, sobald der Cursor an den linken Rand des Hauptfensters bewegt<br />
wird.<br />
Beachten Sie: Ist das Fenster <strong>Firewall</strong>s-<strong>VPN</strong>-Verbindungen offen, wird die Leiste<br />
ebenfalls automatisch geschlossen. Dies ist aus Übersichtsgründen der Fall, da auch in<br />
diesem Fenster eine Objekt-Leiste vorhanden ist.<br />
Weitere Informationen zu diesem Thema finden Sie unter Kapitel 2.4.<br />
Seite 25
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.3 Bereich: Regelwerk der <strong>Firewall</strong><br />
In diesem Fenster erstellen und bearbeiten Sie Ihre <strong>Firewall</strong>-Regeln. Über die <strong>Firewall</strong>-Regeln steuern Sie, was<br />
eine Gruppe von Rechnern darf oder nicht darf. Zusätzlich können Sie loggen und die Regel zeitlich begrenzen.<br />
Dies ist eine der grundlegenden Funktionen der <strong>Firewall</strong>. Gerade bei großen Netzwerken mit einer Vielzahl von<br />
Regeln, ist es sinnvoll, Regelgruppen zu definieren, in denen Sie Regeln zusammenfassen. Sie haben so die<br />
Möglichkeit einer übersichtlicheren Darstellung.<br />
c)<br />
Abb. Fenster <strong>Firewall</strong>-Regeln mit Menüleiste und erweitertes Menü mit rechtem Mausklick<br />
Ausführliche Informationen zum Bereich Regelwerk der <strong>Firewall</strong> erhalten Sie in Kapitel 3.<br />
Seite 26
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.4 Bereich: Reports<br />
Hier erhalten Sie eine Vielzahl von Statistiken über die verfügbaren <strong>Firewall</strong>s und <strong>VPN</strong> <strong>Server</strong> sowie den Daten,<br />
die über die Systeme fließen. Ein wesentlicher Teil der <strong>Firewall</strong> sind Logging-, Überwachungs- und<br />
Alarmierungsfunktionen. Um ein Ereignis zu protokollieren, ist auch die Generierung von Emails möglich.<br />
Beispiel: Proxy-Auswertung<br />
d)<br />
Abb. Fenster Proxy-Auswertung<br />
Ausführliche Informationen zum Bereich Reports erhalten Sie in Kapitel 7.<br />
Seite 27
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.5 Bereich: <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen<br />
In diesem Bereich erstellen und bearbeiten Sie <strong>Firewall</strong>- und IPSec-<strong>VPN</strong>-Verbindungen. (PPTP-Verbindungen<br />
legen Sie über den Bereich Optionen an, Kapitel 2.5.9.)<br />
<strong>Firewall</strong>-Verbindungen<br />
Sie haben die Möglichkeit, verschiedene <strong>Firewall</strong>s über dieses Fenster anzulegen und eine Distribution von<br />
Policies durchzuführen.<br />
<strong>VPN</strong>-Verbindungen<br />
Ein <strong>VPN</strong> verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk,<br />
z. B. das Internet, als Transportweg nutzt. Die über diese Verbindung übertragenen Datenpakete werden<br />
verschlüsselt. Damit können Sie auf eine Benutzer-Authentifizierung, dynamische Adressvergabe, Datenkompression<br />
oder Datenverschlüsselung zurückgreifen.<br />
Beachten Sie: Dies betrifft nur <strong>VPN</strong>-Verbindungen mit IPSec. PPTP-Verbindungen<br />
können hierüber nicht dargestellt und bearbeitet werden.<br />
e)<br />
Abb. Fenster <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen<br />
Ausführliche Informationen zum Bereich <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen erhalten Sie in Kapitel 5.<br />
Seite 28
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.6 Bereich: Optionen<br />
Über die Optionen stellen Sie grundlegende <strong>Server</strong>-Konfigurationen ein. Fast alle Einstellungen des <strong>Securepoint</strong><br />
<strong>Server</strong>s sind hier durchführbar.<br />
f)<br />
Abb. Fenster Optionen, Darstellungsform: Buttons<br />
Ausführliche Informationen zum Bereich Optionen erhalten Sie in Kapitel 2.5.<br />
Seite 29
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.2.7 Bereich: Informationsleiste<br />
In diesem Bereich erhalten Sie grundlegende Informationen über die Verbindung zum <strong>Server</strong>.<br />
g)<br />
Abb. Bereich Informationsleiste<br />
Informationsbereiche<br />
Fenster:<br />
Benutzer:<br />
Verschlüsselungstiefe:<br />
<strong>Securepoint</strong> Lizenz:<br />
Konnektierte <strong>Firewall</strong>:<br />
Modus:<br />
Geöffnete Fenster<br />
Eingeloggter Benutzer<br />
Verschlüsselungstiefe der Security Manager-/<strong>Firewall</strong>-<strong>Server</strong>-Kommunikation<br />
Lizenz Ihrer <strong>Firewall</strong><br />
Name der derzeit konnektierten <strong>Firewall</strong><br />
Darstellung, ob die <strong>Firewall</strong> konnektiert ist.<br />
(LED grün: <strong>Firewall</strong> ist konnektiert, LED grau: <strong>Firewall</strong> ist nicht konnektiert)<br />
Seite 30
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.3 Anlegen einer neuen <strong>Securepoint</strong> <strong>Firewall</strong> 4.X<br />
Bevor Sie sich das erste Mal auf einem oder mehreren <strong>Firewall</strong> <strong>Server</strong>n einloggen können, müssen Sie den oder<br />
die <strong>Firewall</strong> <strong>Server</strong>, auf die Sie zugreifen wollen, anlegen.<br />
Abb. Menüleiste mit Icon <strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen<br />
Sie können eine neue <strong>Firewall</strong> folgendermaßen anlegen:<br />
‣Klicken Sie auf das Icon <strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen.<br />
‣Daraufhin erscheint ein Dialog-Fenster (Abb. Neue <strong>Firewall</strong>-Angaben erstellen), in dem Sie die relevanten<br />
Daten Ihrer <strong>Firewall</strong> <strong>Server</strong> eingeben. Diese Daten werden in einer Konfigurationsdatei lokal verschlüsselt<br />
abgelegt.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Abb. Neue <strong>Firewall</strong>-Angaben erstellen<br />
Eingabefelder<br />
Bezeichnung:<br />
Adresse:<br />
Port:<br />
Login:<br />
Passwort:<br />
Bestätigung:<br />
Name der <strong>Firewall</strong> Hostname der <strong>Firewall</strong> (dieser ist bei der Installation der <strong>Firewall</strong><br />
von Ihnen festgelegt worden)<br />
IP-Adresse oder auflösbarer Name des Interfaces der <strong>Firewall</strong><br />
Kommunikationsport zwischen Security Manager und der <strong>Firewall</strong><br />
Ihr Login-Name auf der <strong>Firewall</strong><br />
Ihr Passwort auf der <strong>Firewall</strong><br />
Die Passwort-Bestätigung<br />
Beachten Sie: Sie haben die Möglichkeit, mehrere <strong>Firewall</strong> <strong>Server</strong> über den Security<br />
Manager zu bedienen und zu verwalten. Tragen Sie alle <strong>Securepoint</strong> <strong>Server</strong> ein, die Sie<br />
verwalten möchten. Das Anlegen der weiteren <strong>Firewall</strong>s kann natürlich auch zu einem<br />
späteren Zeitpunkt erfolgen.<br />
Seite 31
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.4 <strong>Firewall</strong>-Anmelde-Status und arbeiten mit einer <strong>Firewall</strong><br />
Nachdem Sie ein oder mehrere <strong>Firewall</strong>-Objekte angelegt haben, erscheinen sie in einer Liste auf der linken<br />
Seite des Security Managers, im Bereich <strong>Firewall</strong>-Auswahlleiste. Sie können mehrere <strong>Firewall</strong>s über den<br />
<strong>Securepoint</strong> Security Manager bedienen.<br />
Scrollen der Leiste<br />
<strong>Firewall</strong>-<strong>Server</strong> mit LED-Anzeige: Anzeige, ob die <strong>Firewall</strong> mit<br />
dem Security Manager verbunden ist<br />
Abb. Bereich <strong>Firewall</strong>-Auswahlleiste<br />
Klick mit rechter Maus-Taste auf das <strong>Firewall</strong>-Objekt öffnet das<br />
Menü zum Verbinden oder Abmelden des <strong>Firewall</strong>-<strong>Server</strong>s. Sie<br />
können das Objekt ebenfalls hierüber Löschen. Über die<br />
Eigenschaften können die <strong>Firewall</strong>-Zugriffsdaten geändert<br />
werden.<br />
Automatisches Schließen der Auswahlleiste<br />
Anmelden an der <strong>Firewall</strong><br />
‣Durch Doppelklick auf das <strong>Firewall</strong>-Objekt auf der Auswahlleiste oder mit Klick der rechten Maustaste auf<br />
das <strong>Firewall</strong>-Objekt sowie Auswahl des Menüpunktes Verbinden<br />
wird eine Verbindung zur ausgewählten <strong>Firewall</strong> hergestellt. Damit ist die <strong>Firewall</strong> über den Security Manager<br />
konfigurierbar. Alle weiteren Arbeiten wie Reports etc. können durchgeführt werden.<br />
Darstellung des Verbindungsstatus<br />
Der Verbindungsstatus wird mittels einer LED auf dem <strong>Firewall</strong>-Objekt angezeigt:<br />
LED grau:<br />
LED gelb:<br />
LED grün:<br />
LED rot :<br />
Es wurde noch keine Verbindung zur <strong>Firewall</strong> aufgebaut<br />
Verbindung befindet sich im "Standby-Modus", die Schlüsselpaare wurden ausgetauscht,<br />
aber keine Daten übertragen<br />
Verbindung wurde aufgebaut und Daten übertragen. Die <strong>Firewall</strong> kann administriert<br />
werden<br />
Eine Verbindung zur <strong>Firewall</strong> ist nicht möglich<br />
Wenn bereits eine Verbindung zu einer <strong>Firewall</strong> besteht, so wird diese auf „standby" gesetzt (LED gelb), wenn<br />
Sie eine Verbindung zur nächsten <strong>Firewall</strong> aufbauen.<br />
Seite 32
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abmelden an der <strong>Firewall</strong><br />
Um sich von einer <strong>Firewall</strong> abzumelden,<br />
‣klicken Sie mit der rechten Maustaste auf das entsprechende <strong>Firewall</strong>-Icon und wählen Sie Abmelden aus.<br />
Beachten Sie: Erfolgt 15 Minuten lang keine Datenübertragung zu einer <strong>Firewall</strong>, die<br />
sich im Standby-Modus befindet, so wird ein neuer Anmeldevorgang automatisch<br />
ausgeführt (mit Schlüsselaustausch), wenn wieder Daten übertragen werden sollen.<br />
Werden 15 Minuten lang keine Daten zur aktiven <strong>Firewall</strong> übertragen, erfolgt eine<br />
Meldung und der Client wird nach Bestätigung geschlossen.<br />
Bearbeitung mehrerer <strong>Firewall</strong>s<br />
Mehrere <strong>Firewall</strong>s können quasi „gleichzeitig" bearbeitet werden, ohne den Security Manager neu starten zu<br />
müssen. Dazu muss nur die gewünschte <strong>Firewall</strong> auf der <strong>Firewall</strong>-Auswahlleiste doppelt angeklickt oder per<br />
rechten Mausklick das Menü geöffnet werden. Der Verbindungstatus wird mit einer LED auf dem <strong>Firewall</strong>-Objekt<br />
angezeigt. Beim Wechsel zwischen den <strong>Firewall</strong>s bleibt die Verbindung im Hintergrund bestehen (aus<br />
Sicherheitsgründen allerdings nur maximal 15 min). Es müssen keine neuen Schlüsselpaare generiert werden.<br />
Benutzerrecht erkennen<br />
Im laufenden Betrieb können <strong>Firewall</strong>s hinzugefügt und gelöscht werden. Es wird sofort geprüft, ob die <strong>Firewall</strong><br />
erreichbar ist und die Login-Daten richtig sind.<br />
Die Rechte, die der Benutzer (z. B. Administrator) hat, werden durch die Farbe des <strong>Firewall</strong>-Icons auf der<br />
Auswahlleiste angezeigt:<br />
Weiß:<br />
Normaler Benutzer<br />
Es sind nur Security Manager Benutzerrechte vorhanden. Das heißt, es können nur Logfiles<br />
und Reports gesichtet werden (Abb. Anzeige Benutzerrecht - Normaler Benutzer).<br />
Abb. Anzeige Benutzerrecht - Normaler Benutzer<br />
Rot:<br />
Benutzer ist Administrator<br />
Der Security Manager User hat Administratorrechte (Abb. Anzeige Benutzerrecht -<br />
Benutzer ist Administrator).<br />
Abb. Anzeige Benutzerrecht - Benutzer ist Administrator<br />
Seite 33
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5 Optionen<br />
Über den Bereich Optionen stellen Sie grundlegende <strong>Server</strong>-Optionen ein. Fast alle Einstellungen des<br />
<strong>Securepoint</strong> <strong>Server</strong>s sind hier durchführbar. Andernfalls nutzen Sie das Programm nconfig auf der Konsole.<br />
(Siehe Kapitel 9.3)<br />
Abb. Menüleiste mit Icon Optionen<br />
‣Der Aufruf des Bereichs Optionen erfolgt über das Menü Bearbeiten Optionen oder<br />
als Schnellauswahl über das Icon Optionen.<br />
Daraufhin öffnet sich das Fenster Optionen, in dem Sie Buttons für die ausführbaren Optionen vorfinden. Über<br />
die Menüleiste können Sie die Darstellung der Optionen verändern.<br />
Abb. Fenster Optionen, Darstellungsform: Liste mit Kurzbeschreibung<br />
Seite 34
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hier finden Sie eine kurze Übersicht der Optionen mit einem Verweis auf das Kapitel, in dem Sie näheres über<br />
die entsprechenden Optionen erfahren:<br />
Auswahl-Buttons Optionen<br />
Option Kurzbeschreibung Kapitel<br />
Benutzerverwaltung: Anlegen, bearbeiten, löschen von Benutzern 2.5.1<br />
Backup:<br />
Speichern, aufspielen von Backups und Rücksicherungen per<br />
Diskette oder USB-Stick, Aufspielen von Patches<br />
2.5.2<br />
Patch: Patchmanager zum Online-Aufspielen von Patches 2.5.3<br />
Fehlerreport:<br />
<strong>Server</strong>:<br />
Versand von <strong>Firewall</strong>-Fehlerreports inkl. Konfiguration an<br />
<strong>Securepoint</strong> Support per Email<br />
Einstellung von Verschlüsselungstiefe, Datum, Uhrzeit;<br />
Anhalten und rebooten der <strong>Firewall</strong><br />
2.5.4<br />
2.5.5<br />
<strong>Server</strong>-Dienste: Starten, anhalten, anzeigen von <strong>Server</strong>-Diensten 2.5.6<br />
Proxy/Blocking: Konfiguration des Squid-Proxies 2.5.7<br />
Kernel-Einstellungen: Änderung der statischen Linux Kernel-Einstellungen 2.5.8<br />
PPTP: Einstellung von Point-to-Point-<strong>VPN</strong>-Verbindungen 2.5.9<br />
Dienste: Anlegen, bearbeiten, löschen von Diensten 2.5.10<br />
Dienstgruppen: Zusammenfassung von Diensten in Gruppen 2.5.11<br />
Rechner/Netze: Anlegen, bearbeiten, löschen von Rechnern/Netzsegmenten 2.5.12<br />
Rechnergruppen: Zusammenfassung von Rechnern in Gruppen 2.5.13<br />
Netzwerk<br />
Grundkonfiguration:<br />
Konfiguration des Netzwerkes 2.5.14<br />
Erweitertes Routing: Anlegen, bearbeiten, löschen von erweiterten Routen 2.5.15<br />
Virtuelle IP-Adressen: Anlegen, bearbeiten, löschen von virtuellen IP-Adressen 2.5.16<br />
NAT: Festlegung von Network Address Translation 2.5.17<br />
Reportmail Einstellungen: Konfiguration von Alarm- und Report-Emails 2.5.18<br />
Interfaces: Anlegen, bearbeiten, löschen von Interfaces 2.5.19<br />
ISDN: ISDN-Konfiguration bei Nutzung einer ISDN-Karte 2.5.20<br />
ADSL: ADSL-Konfiguration bei Nutzung eines ADSL-Modems 2.5.21<br />
Viruswall: Administration einer installierten TrendMicro Viruswall 2.5.22<br />
Hinweis: Ist bestimmte Software etc. (beispielsweise Virenscanner) nicht installiert, erscheint diese Option nicht<br />
im Fenster Optionen.<br />
Seite 35
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.1 Benutzerverwaltung<br />
Über die Option Benutzerverwaltung können Sie Benutzer verwalten, d. h. anlegen, bearbeiten, löschen.<br />
‣Der Aufruf der Option Benutzerverwaltung erfolgt über das Fenster Optionen Icon Benutzerverwaltung.<br />
Abb. Fenster Benutzerverwaltung<br />
Abb. Menüleiste Benutzerverwaltung<br />
Menü: Benutzerverwaltung<br />
Hinzufügen:<br />
Löschen:<br />
Choice-Feld:<br />
Hinzufügen eines neuen Benutzers der <strong>Firewall</strong><br />
Löschen eines ausgewählten Benutzers<br />
Anzeige der Benutzergruppen<br />
Beachten Sie, dass beim Einloggen über den Security Manager (Client) auf den <strong>Firewall</strong><br />
<strong>Server</strong> Ihr Login und Passwort bei der Installation des <strong>Server</strong>s von Ihnen angegeben<br />
worden ist. Dies hat sich gegenüber vorherigen <strong>Securepoint</strong> Versionen geändert!<br />
Seite 36
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.1.1 Benutzer bearbeiten<br />
Hinzufügen eines neuen Benutzers<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Hinzufügen.<br />
Es öffnet sich das Dialog-Fenster Dateneingabe (Abb. Dialog-Fenster Hinzufügen von Benutzern).<br />
‣Tragen Sie die notwendigen Angaben in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Abb. Dialog-Fenster Hinzufügen von Benutzern<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
Login:<br />
Email:<br />
Passwort:<br />
Bestätigung:<br />
Gruppe:<br />
Name des Benutzers<br />
Login des Benutzers<br />
Email-Adresse des Benutzers<br />
Passwort des Benutzers<br />
Passwort-Bestätigung des Benutzers<br />
Es können verschiedene Benutzergruppen ausgewählt werden:<br />
Administrator, Benutzer (nur für <strong>Firewall</strong>-Reports), <strong>VPN</strong>-Benutzer (betrifft nur PPTP-<strong>VPN</strong>),<br />
Squid-Benutzer (Benutzer, die den Squid-Proxy verwenden)<br />
Beachten Sie: Wenn Sie PPTP-<strong>VPN</strong> nutzen, müssen Sie hierfür ebenfalls Benutzer<br />
eintragen (siehe Kapitel 5.2.1).<br />
Löschen von Benutzern<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den zu löschenden Benutzer aus (Abb. Fenster Benutzerverwaltung).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 37
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.1.2 Benutzergruppen<br />
Hier erhalten Sie Informationen über die Definition von Benutzergruppen.<br />
Abb. Dialog-Fenster Benutzergruppen<br />
Die Benutzergruppen bestehen aus:<br />
Administrator:<br />
Benutzer:<br />
<strong>VPN</strong>-Benutzer:<br />
Squid-Benutzer:<br />
Administratoren der <strong>Firewall</strong><br />
Einfache Benutzer, die lediglich Reports abfragen können<br />
PPTP-<strong>VPN</strong>-Benutzer (Dies betrifft nicht IPSec!)<br />
Benutzer des Squid-Proxys<br />
Administrator<br />
Administratoren sind in der Lage, die <strong>Securepoint</strong> <strong>Firewall</strong> über den Security Manager zu verwalten. Falls es in<br />
Ihrem Unternehmen mehrere Administratoren für die <strong>Firewall</strong> gibt, empfehlen wir Ihnen, diese auch einzeln auf<br />
der <strong>Firewall</strong> anzulegen, da später auch im Admin-Logfile zu sehen ist, welche Änderung, welcher Administrator,<br />
wann durchgeführt hat.<br />
Beachten Sie: Anhand der eingetragenen Email-Adresse werden auch periodisch alle<br />
24 Stunden die Logfiles an den entsprechenden Administrator geschickt.<br />
Benutzer<br />
Normale Benutzer können sich ebenfalls wie der Administrator auf der <strong>Firewall</strong> über den Security Manager<br />
einloggen. Sie können aber nur die Logfiles und Reports einsehen.<br />
<strong>VPN</strong>-Benutzer (betrifft nur das PPTP Protokoll)<br />
PPTP-Benutzer können sich per <strong>VPN</strong> auf der <strong>Firewall</strong> einloggen. Wenn Sie für den Punkt PPTP IP eine IP-Adresse<br />
eintragen, bekommt der Benutzer von der <strong>Firewall</strong> immer im Tunnel diese IP-Adresse zugewiesen. Falls Sie den<br />
Stern * (Joker) stehen lassen, bekommt er eine IP-Adresse aus einem Pool zugewiesen.<br />
Squid-Benutzer (Squid-Proxy)<br />
Mit der <strong>Firewall</strong> haben Sie auch die Möglichkeit, über einen Applikations-Proxy für http, https und ftp eine<br />
Benutzer-Authentisierung zu konfigurieren. Sie können hierfür auch lokale Benutzer anlegen.<br />
Seite 38
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.2 Backup<br />
Über die Option Backup ist es Ihnen möglich, Backups Ihrer Einstellungen einzuspielen oder zu machen.<br />
‣Der Aufruf der Option Backup erfolgt über das Fenster Optionen Icon Backup.<br />
Es öffnet sich das Dialog-Fenster Backup (Abb. Dialog-Fenster Backup).<br />
Abb. Dialog-Fenster Backup<br />
Sichern der <strong>Firewall</strong>-Konfiguration auf Diskette oder USB-Stick<br />
Sie können Ihre bestehende <strong>Firewall</strong>-Konfiguration auf Diskette oder USB-Stick sichern.<br />
Gehen Sie folgendermaßen vor:<br />
‣Die Diskette oder der USB-Stick muss dabei in den <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong> eingelegt werden.<br />
‣Wählen Sie das entsprechende Sicherungsmedium über die Backup-Funktion aus.<br />
‣Klicken Sie auf den Button Speichern, um eine Sicherung durchzuführen.<br />
Aufspielen von Sicherungen oder Patches<br />
Über die Sicherung können Sie ebenfalls Ihre Einstellungen wieder aufspielen oder Patches auf der <strong>Firewall</strong><br />
installieren. (Weitere Informationen zu Patches finden Sie unter Kapitel 2.5.3)<br />
Gehen Sie folgendermaßen vor:<br />
‣Legen Sie hierzu die erzeugte Patch- oder Sicherungs-Diskette in das Laufwerk des <strong>Firewall</strong> <strong>Server</strong>s.<br />
‣Klicken Sie auf den Button Laden oder Patch aufspielen.<br />
Beachten Sie: Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information.<br />
Seite 39
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Bedienung über die Konsole<br />
Sie können diese Sicherung auch direkt an der Konsole der <strong>Firewall</strong> durchführen.<br />
‣Wechseln Sie durch Drücken der Tasten ALT und F2 auf eine freie Konsole und loggen sich als User root ein.<br />
Führen Sie folgende Befehle bei Bedarf aus:<br />
backup.sh usb<br />
backup.sh floppy<br />
restore.sh usb<br />
restore.sh floppy<br />
Sichern der Konfiguration auf USB-Stick<br />
Sichern der Konfiguration auf Diskette<br />
Rücksichern der Konfiguration von USB-Stick<br />
Rücksichern der Konfiguration von Diskette<br />
Beachten Sie: Über den Security Manager können Sie auch von Ihrem Arbeitsplatz<br />
unterschiedliche Konfigurationen oder Backups speichern oder laden (Kapitel 6).<br />
Beachten Sie: Sie haben neben der lokalen Speicherung Ihrer Daten der <strong>Firewall</strong> auch<br />
die Möglichkeit, ein Disketten-Backup auf der <strong>Firewall</strong> über den Security Manager<br />
anzustoßen. Beachten Sie bitte, dass die Diskette hierzu in der <strong>Firewall</strong> eingelegt sein<br />
muss und nicht auf Ihrem Windows Rechner. Es empfiehlt sich, in regelmäßigen<br />
Abständen ein Backup durchzuführen.<br />
Achtung: Spielen Sie niemals ältere Backups der Versionen <strong>Securepoint</strong> 1.X, 2.X oder<br />
3.X ein. Dies kann zu Schäden an Ihrer <strong>Firewall</strong> führen.<br />
Seite 40
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.3 Patch<br />
Über die Option Patch können Sie sehr bequem aktuelle Patches und neue Software-Versionen auf der <strong>Firewall</strong><br />
installieren.<br />
‣Der Aufruf der Option Patch erfolgt über das Fenster Optionen Icon Patch.<br />
Es öffnet sich das Dialog-Fenster Patch (Abb. Dialog-Fenster Patch).<br />
Dabei wird automatisch eine Verbindung zum <strong>Securepoint</strong>-Updateserver aufgebaut. Alle verfügbaren Patches<br />
Ihres <strong>Firewall</strong> <strong>Server</strong>s sowie alle verfügbaren Patches auf dem <strong>Securepoint</strong>-Updateserver werden aufgelistet<br />
und können einfach geladen und installiert werden.<br />
Abb. Dialog-Fenster Patch<br />
Patch einspielen<br />
Falls neue Patche zur Verfügung stehen, werden sie in der linken Spalte (mögliche Patche) angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Über den Herunterladen Button können Sie den Patch auf Ihre <strong>Firewall</strong> laden.<br />
‣Über die Liesmich Funktion erfahren Sie genaueres über den Patch.<br />
‣Mit dem Button Installieren installieren Sie den Patch auf Ihrer <strong>Firewall</strong>.<br />
Beachten Sie: Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information.<br />
Eventuell ist es nötig, dass Ihr <strong>Server</strong> nach dem Einspielen eines neuen Patches neu gestartet werden muss.<br />
Wichtig: Sichern Sie vorher immer eine aktuelle <strong>Server</strong>-Konfiguration!<br />
Beachten Sie: Diese Option funktioniert nur, wenn Sie auch einen Nameserver in<br />
Ihrer <strong>Firewall</strong> Konfiguration eingetragen haben und die <strong>Firewall</strong> eine Verbindung zum<br />
Internet hat.<br />
Seite 41
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.4 Fehlerreport<br />
Über die Option Fehlerreport können Sie direkt eine Problembeschreibung an den <strong>Securepoint</strong> Support senden,<br />
die Konfiguration der <strong>Firewall</strong> wird hierbei zusätzlich übermittelt.<br />
Beachten Sie, dass als Minimumvoraussetzung eine Verbindung zum Internet besteht<br />
und ein Nameserver eingetragen sein muss, der erreichbar ist.<br />
‣Der Aufruf der Option Fehlerreport erfolgt über das Fenster Optionen Icon Fehlerreport.<br />
Es öffnet sich das Dialog-Fenster Fehlerreport (Abb. Dialog-Fenster Fehlerreport).<br />
Abb. Dialog-Fenster Fehlerreport<br />
Fehlerreport senden<br />
Gehen Sie folgendermaßen vor:<br />
‣ Tragen Sie alle notwendigen Daten und Ihre Problembeschreibung in das Dialog-Fenster ein.<br />
‣ Schicken Sie die Email, in dem Sie auf den Button Senden klicken.<br />
Beachten Sie: Führen Sie diese Option bitte nur aus, wenn Sie vom Support dazu<br />
aufgefordert werden. Ansonsten wird dieser Report nicht bearbeitet.<br />
Eingabefelder<br />
Firma:<br />
Name:<br />
Email:<br />
Problembeschrbg:<br />
Ihre Firma<br />
Ihr Name<br />
Ihre Emailadresse<br />
Ihre Problembeschreibung<br />
Seite 42
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.5 <strong>Server</strong><br />
Sie können mit der Option <strong>Server</strong> grundlegende <strong>Server</strong>-Befehle ausführen.<br />
‣Der Aufruf der Option <strong>Server</strong> erfolgt über das Fenster Optionen Icon <strong>Server</strong>.<br />
Es öffnet sich das Dialog-Fenster <strong>Server</strong> (Abb. Dialog-Fenster <strong>Server</strong>).<br />
Abb. Dialog-Fenster <strong>Server</strong><br />
Herunterfahren und Neu Starten<br />
‣ Über den Button Herunterfahren können Sie den <strong>Firewall</strong> <strong>Server</strong> herunterfahren.<br />
‣ Über den Button Neu Starten können Sie den <strong>Firewall</strong> <strong>Server</strong> neu starten.<br />
Beachten Sie, falls Sie den <strong>Server</strong> über diese Funktion herunterfahren, können Sie ihn<br />
nur vom <strong>Server</strong>-Standort wieder starten.<br />
Verschlüsselung<br />
Über die <strong>Server</strong> richten Sie ebenfalls die Verschlüsselungstiefe vom Security Manager zum <strong>Securepoint</strong> <strong>Server</strong><br />
(<strong>Server</strong>-Schlüssel) ein. Falls Sie den <strong>Firewall</strong> <strong>Server</strong> vom externen Netz/Internet administrieren, sollten Sie eine<br />
hohe Verschlüsselung eintragen. Die Datenübertragung ist dann sicherer, wird aber verlangsamt.<br />
Gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie über das Auswahlfeld die Verschlüsselungstiefe.<br />
‣ Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Einstellungen von Datum und Zeit<br />
‣ Wählen Sie über das Auswahlfeld die entsprechenden Zeit-/Datumsangaben.<br />
‣ Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
Verschlüsselung:<br />
Datum:<br />
Zeit:<br />
Auswahl der Verschlüsselung<br />
Einstellen des Datums<br />
Einstellen der Uhrzeit<br />
Seite 43
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.6 <strong>Server</strong>-Dienste<br />
Sie können über die Option <strong>Server</strong>-Dienste verschiedene Dienste auf der <strong>Firewall</strong> starten, stoppen und einen<br />
Dienst mit Autostart markieren. Dies bewirkt, dass bei jedem Neustart des <strong>Firewall</strong> <strong>Server</strong>s der Dienst<br />
automatisch mitgestartet wird. Nicht mit Autostart gekennzeichnete Dienste müssen nach einem Neustart des<br />
<strong>Server</strong>s explizit von Hand gestartet werden.<br />
‣Der Aufruf der Option <strong>Server</strong>-Dienste erfolgt über das Fenster Optionen Icon <strong>Server</strong> Dienste.<br />
Es öffnet sich das Fenster <strong>Server</strong>-Dienste (Abb. Fenster <strong>Server</strong>-Dienste).<br />
Abb. Fenster <strong>Server</strong>-Dienste<br />
Bearbeiten von <strong>Server</strong>-Diensten<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie einen Dienst aus.<br />
‣Klicken Sie auf den Button Start, um diesen Dienst zu starten.<br />
‣Klicken Sie auf den Button Autostart, damit bei einem Neustart des <strong>Server</strong>s dieser Dienst automatisch<br />
gestartet wird.<br />
Beachten Sie: Auf der <strong>Firewall</strong> befinden sich einige Applikationen (Dienste), die Sie<br />
starten und beenden können. Durch die Funktion Autostart wird der Dienst auch nach<br />
dem Neustart des <strong>Firewall</strong> <strong>Server</strong>s neu gestartet.<br />
Anzeige<br />
Dienstname:<br />
Autostart:<br />
Zustand:<br />
Name des Dienstes<br />
Kennzeichnung der Dienste, die auf Autostart gesetzt sind durch grünen Haken<br />
Darstellung der aktuellen Aktion (gestartet, gestoppt)<br />
Seite 44
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Neue <strong>Server</strong>-Dienste hinzufügen<br />
Um neue <strong>Server</strong>-Dienste hinzuzufügen, müssen Sie sich auf dem <strong>Firewall</strong> <strong>Server</strong> an der Konsole einloggen.<br />
Wechseln Sie dann in das Verzeichnis und editieren Sie die Datei:<br />
/opt/securepoint<strong>4.0</strong>/conf/services.ini<br />
Die services.ini-Datei ist folgendermaßen aufgebaut, z. B.:<br />
...<br />
Service01=squid<br />
Execute01=/etc/rc.d/init.d/squid<br />
Setstartup01=0<br />
Startup01=S25squid<br />
Process01=squid<br />
...<br />
Service02=pptp<br />
Execute02=/etc/rc.d/init.d/pptp<br />
Setstartup02=0<br />
Startup02=S26pptp<br />
Process02=pptp<br />
Wenn Sie einen neuen Dienst auf dem <strong>Firewall</strong> <strong>Server</strong> installiert haben, fügen Sie folgende Daten in die Datei<br />
services.ini ein:<br />
Service0n= "Name des Dienstes auf dem Security Manager"<br />
Execute0n= "Verzeichnis / Dienst-Programm"<br />
Setstartup0n= "1 für Autostart ja, 0 für Autostart nein"<br />
Startup0n= "Startreihenfolge der Dienste, z. B.: S80name"<br />
Process0n= "Prozessname auf dem <strong>Server</strong>"<br />
n für Zahl<br />
Beispiel für das Sendmail-Programm:<br />
Service04=sendmail<br />
Execute04=/etc/rc.d/init.d/sendmail<br />
Setstartup04=0<br />
Startup04=S80sendmail<br />
Process04=sendmail<br />
Seite 45
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7 Proxy/Blocking<br />
Der Hauptzweck des Applikations-Proxies ist die Kommunikation mit einem <strong>Server</strong> anstatt des tatsächlichen<br />
Clienten. Der Proxy steht Ihnen für die Protokolle http, https und ftp zur Verfügung. Der Proxy hat auch eine<br />
Cache-Funktion.<br />
‣Der Aufruf der Option Proxy erfolgt über das Fenster Optionen Icon Proxy/Blocking.<br />
Es öffnet sich das Dialog-Fenster Proxy (Abb. Dialog-Fenster Proxy).<br />
Abb. Dialog-Fenster Proxy<br />
Folgende Einstellungen sind nach Auswahl der einzelnen Folder (Menü) möglich:<br />
Menü: Proxy<br />
Grundkonfiguration: Basis-Einstellungen des Proxys (siehe Kapitel 2.5.7.1)<br />
Transparent: Einstellungen transparenter Proxy (siehe Kapitel 2.5.7.2)<br />
Erweitert: Einstellungen erweiterterter Proxy (siehe Kapitel 2.5.7.3)<br />
Blocking: Aktivieren/deaktivieren und anlegen von Blocking-Listen (siehe Kapitel 2.5.7.4)<br />
No Blocking: Zulassen von nur definierten URLs für Proxy-Benutzer (siehe Kapitel 2.5.7.5)<br />
Proxy über <strong>Firewall</strong>-Regel aktivieren<br />
In Kapitel 11.1.2 finden Sie ein Beispiel zur Konfiguration des Proxies der <strong>Firewall</strong>.<br />
Beachten Sie: Beim Erststart des Proxies findet eine Initialisierung statt. Dabei<br />
werden alle Verzeichnisse angelegt und der Dienst gestartet. Dies kann eventuell etwas<br />
dauern. Bei einem Reboot der <strong>Firewall</strong> wird der Proxy-Dienst nicht automatisch mit<br />
gestartet. Sie können den Start des Proxies automatisieren. (Kapitel 2.5.6)<br />
Seite 46
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7.1 Proxy: Grundkonfiguration<br />
Der Proxy steht Ihnen für die Protokolle http, https und ftp zur Verfügung.<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie den Folder Grundkonfiguration aus.<br />
‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Proxy, Grundkonfiguration).<br />
‣ Aktivieren und speichern Sie Ihre Angaben durch Klicken des Buttons Speichern.<br />
Abb. Dialog-Fenster Proxy, Grundkonfiguration<br />
Eingabe- und Auswahlfelder<br />
Proxy-Port:<br />
Email:<br />
Downloadgröße:<br />
Bei Proxy-Port können Sie den Port einstellen, auf den der Proxy hört. Wählen Sie hier die<br />
Port-Adresse 3128 oder 8080 aus. Sie können jedoch auch einen individuellen Port<br />
eintragen. Diese Ports werden bei den Clienten wie z. B. Web-Browsern für die Protokolle<br />
http, https/ssl und ftp verwendet. Diesen Port müssen Sie bei Ihrem Internet Browser als<br />
Proxy-Port eintragen.<br />
Für den FTP-User sollten Sie eine Email-Adresse eintragen. Sie dient als Passwort für das<br />
Einloggen auf einem öffentlich zugänglichen FTP <strong>Server</strong>. Die Email-Adresse des Cache-<br />
Managers erscheint im Browser des Anwenders, wenn er eine Fehlermeldung vom Proxy<br />
bekommt.<br />
Unter Punkt Downloadgröße können Sie die maximale Größe von Downloads festlegen.<br />
Blocking-Listen<br />
Wenn Sie den Punkt Blocking-Listen verwenden aktivieren, können Sie URLs nach<br />
verwenden: Schlüsselwörtern durchsuchen und sperren. (Kapitel 2.5.7.4)<br />
Anonymizer:<br />
Wenn Sie den Anonymizer aktivieren. wird der User-Agent (die Signatur) des Browsers<br />
verändert. Beachten Sie: Diese Einstellung ist mit Vorsicht zu behandeln, da es dazu<br />
führen kann, dass Webseiten, die auf bestimmte Browser optimiert sind, nicht mehr<br />
korrekt dargestellt werden können.<br />
Seite 47
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7.2 Proxy: Transparent<br />
Wenn Sie den Proxy auf transparent schalten, brauchen Sie bei den Clients (Browsern) keinen Proxy mehr<br />
explizit eintragen. Der User merkt quasi nicht, dass er über einen Proxy ins Internet geht. Sie können in diesem<br />
Folder festlegen, für welche Zone Sie den Proxy transparent schalten möchten.<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie den Folder Transparent aus.<br />
‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Proxy, Transparent).<br />
‣ Aktivieren und speichern Sie Ihre Angaben durch Klicken des Buttons Speichern.<br />
Abb. Dialog-Fenster Proxy, Transparent<br />
Eingabefelder<br />
Transparenter Proxy: Wenn Sie den Proxy auf transparent schalten, brauchen Sie bei den Clients (Browsern)<br />
keinen Proxy mehr explizit eintragen.<br />
Zonen:<br />
Auswahl der Zonen, für die der Proxy transparent geschaltet werden soll.<br />
Beachten Sie: Ist die Funktion Transparenter Proxy aktiv, steht Ihnen keine User-<br />
Authentisierung über den Proxy mehr zur Verfügung!<br />
Beachten Sie: Die Funktion Transparenter Proxy gilt nur für das http-Protokoll und<br />
nicht für https oder ftp.<br />
Seite 48
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7.3 Proxy: Erweitert<br />
In diesem Folder finden Sie erweiterte Einstellungsmöglichkeiten des Proxy.<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie den Folder Erweitert aus.<br />
‣ Tragen Sie die Daten in das Dialog-Fenster ein (Abb.Dialog-Fenster Proxy, Erweitert).<br />
‣ Aktivieren und speichern Sie Ihre Angaben durch Klicken des Buttons Speichern.<br />
Abb. Dialog-Fenster Proxy, Erweitert<br />
Eingabefelder<br />
Authentifizierung: Zur Authentifizierung können Sie einen Radius- bzw. Mircosoft2000 IAS-<strong>Server</strong><br />
verwenden. Unter WindowsNT <strong>4.0</strong> ist der IAS-<strong>Server</strong> im Option-Pack enthalten.<br />
(Genauere Beschreibungen von Einstellungen und Konfigurationen finden Sie unter<br />
http://www.securepoint.org. Hier ist ein komplettes Konfigurationsbeispiel vorhanden.)<br />
Radius-<strong>Server</strong>:<br />
IP-Adresse:<br />
Passwort:<br />
Bestätigung:<br />
Verwenden Sie einen Radius-<strong>Server</strong> (unter Windows heißt dieser IAS-<strong>Server</strong>), benutzen<br />
Sie hiermit eine externe Userdatenbank.<br />
Die IP-Adresse des Radius- bzw. IAS-<strong>Server</strong>s<br />
Ein Passwort, um sich bei dem Radius- bzw. IAS-<strong>Server</strong> <strong>Server</strong> zu authentisieren.<br />
Die Passwort-Bestätigung<br />
Lokale<br />
Userdatenbank: (Kapitel 2.5.1)<br />
Die zweite Möglichkeit ist die Verwendung der lokalen <strong>Securepoint</strong> Userdatenbank.<br />
Kaskadieren:<br />
Forwarding Proxy:<br />
Forwarding Port:<br />
Mit Kaskadieren können Sie den Proxy der <strong>Firewall</strong> auf einen anderen Proxy weiterleiten<br />
(zum Beispiel einen Virenscanner wie die TrendMicro Viruswall).<br />
Ist die IP-Adresse des Proxies, auf den kaskadiert wird.<br />
Ist der Port des Proxies, auf den kaskadiert wird.<br />
Seite 49
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7.4 Proxy: Blocking<br />
In diesem Folder können Sie Blocking-Listen anlegen und aktivieren. Falls Sie verhindern möchten, dass in<br />
Ihrem Unternehmen bestimmte Websites angesurft werden sollen, stehen Ihnen die Listen zur Sperrung von<br />
Webseiten zur Verfügung.<br />
Haben Sie im ersten Folder der Proxy-Einstellungen Blocking-Listen verwenden aktiviert (siehe Kapitel 2.5.7.1),<br />
können Sie nun hier die Blocking-Listen definieren und konfigurieren. Es gibt vordefinierte Gruppen, Sie können<br />
aber auch selbst Listen erstellen.<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder Blocking aus (Abb. Fenster Proxy, Blocking).<br />
‣Ein Doppelklick auf die Gruppe macht die Gruppe aktiv. Dies wird durch einen grünen Haken in der Tabelle<br />
gekennzeichnet.<br />
‣Zum Aktivieren einer Gruppe, drücken Sie auf den Button Aktualisieren.<br />
‣Löschen Sie eine Gruppe, indem Sie in der Gruppen-Tabelle eine Gruppe auswählen und klicken auf den<br />
Button Löschen. Die Gruppe Single file kann nicht gelöscht werden. Über den Button Hochladen können Sie<br />
eine beliebige Datei als Blocking-Liste abspeichern. Dies ist eine normale Textdatei mit Schlüsselwörtern.<br />
‣Bearbeiten Sie eine Gruppe, indem Sie auf den Button Bearbeiten drücken. Sie erhalten ein Fenster, in das<br />
Sie die Begriffe eintragen können.<br />
‣Mit dem Button Neu können Sie eine neue Gruppe anlegen.<br />
‣Über den Button Hochladen können Sie eine allgemeine Blocking-Liste auf den <strong>Server</strong> abspeichern. Die<br />
Gruppe wird als single file gekennzeichnet.<br />
Abb. Fenster Proxy, Blocking<br />
Seite 50
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.7.5 Proxy: No Blocking<br />
Über Proxy: No Blocking können Sie Webseiten bestimmen, die eine Ausnahme, zu den unter Proxy: Blocking<br />
definierten gesperrten Webseiten, darstellen.<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder Blocking aus (Abb. Fenster Proxy, No Blocking).<br />
‣Ein Doppelklick auf die Gruppe macht die Gruppe aktiv. Dies wird durch einen grünen Haken in der Tabelle<br />
gekennzeichnet.<br />
‣Zum Aktivieren einer Gruppe, drücken Sie auf den Button Aktualisieren.<br />
‣Löschen Sie eine Gruppe, indem Sie in der Gruppen-Tabelle eine Gruppe auswählen und klicken auf den<br />
Button Löschen. Die Gruppe Single file kann nicht gelöscht werden. Über den Button Hochladen können Sie<br />
eine beliebige Datei als Blocking-Liste abspeichern. Dies ist eine normale Textdatei mit Schlüsselwörtern.<br />
‣Bearbeiten Sie eine Gruppe, indem Sie auf den Button Bearbeiten drücken. Sie erhalten ein Fenster, in das<br />
Sie die Begriffe eintragen können.<br />
‣Mit dem Button Neu können Sie eine neue Gruppe anlegen.<br />
‣Über den Button Hochladen können Sie eine allgemeine Blocking-Liste auf den <strong>Server</strong> abspeichern. Die<br />
Gruppe wird als single file gekennzeichnet.<br />
Abb. Fenster Proxy, No Blocking<br />
Seite 51
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.8 Kernel-Einstellungen<br />
Die Option Kernel-Einstellungen nutzen Sie, um am Kernel des <strong>Firewall</strong> <strong>Server</strong>s Parameter zu ändern.<br />
‣Der Aufruf der Option Kernel-Einstellungen erfolgt über das Fenster Optionen Icon Kernel-Einstellungen.<br />
Daraufhin öffnet sich das Dialog-Fenster Kernel-Einstellungen (Abb. Dialog-Fenster Kernel-Einstellungen).<br />
Beachten Sie: Die Einstellungen sind in der Regel schon optimal in der Standard-<br />
Konfiguration vorgenommen. Es können jedoch Fälle eintreten, die Änderungen<br />
erfordern. Dies sollte in jedem Fall nur von einem erfahrenen Administrator durchgeführt<br />
werden.<br />
Abb. Dialog-Fenster Kernel-Einstellungen<br />
Eingabefelder<br />
ALTERED_PINGS:<br />
AUDIT_MOUNT:<br />
COREDUMP:<br />
DMESG:<br />
RAND_IP_IDS:<br />
Die icmp-Meldung echo-reply wird auf die gleiche ID des hereinkommenden echorequest<br />
geändert. Somit kann über die ID nicht ermittelt werden, um welches<br />
Betriebssystem es sich beim <strong>Firewall</strong> <strong>Server</strong> handelt.<br />
Es wird geloggt, ob ein Speichermedium (Festplatte, CD-ROM, Floppy etc.) ge- oder<br />
entmounted wird (Konsole: /var/log/messages).<br />
Ein coredump wird im BSD-Format ausgegeben.<br />
Kernel-Messages sind nur für root lesbar.<br />
Das ID-Feld eines ausgehenden Pakets wird per Zufallsgenerator generiert. Diese<br />
Funktion erschwert es einem potentiellen Angreifer, ebenfalls das Betriebsystem des<br />
<strong>Firewall</strong> <strong>Server</strong>s zu ermitteln.<br />
RAND_PIDS: Die PID-Nummern für die <strong>Server</strong>-Dienste werden über einen speziellen<br />
Zufallsgenerator generiert.<br />
RAND_TCP_SRC:<br />
Für tcp-Pakete wird der Source-Port per Zufallsgenerator ermittelt, anstatt einfach nur<br />
hochgezählt.<br />
Seite 52
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
RAND_TTL:<br />
SECURE_KBMAP:<br />
FORKFAIL_LOGGING:<br />
SIGNAL_LOGGING:<br />
SUID_ROOT_LOGGING:<br />
Das ttl (time to live) eines Pakets wird per Zufallsgenerator ermittelt. Das erschwert<br />
einem Angreifer, das Betriebssystem des <strong>Firewall</strong> <strong>Server</strong>s zu ermitteln.<br />
Änderung der Keyboardeinstellungen werden geloggt (Konsole: /var/log/messages).<br />
Überschrittene Prozess-Limits werden geloggt (Konsole: /var/log/messages).<br />
Programm-Fehler werden geloggt (Konsole: /var/log/messages).<br />
Befehlsausführungen mit root-Rechten werden geloggt (Konsole:<br />
/var/log/messages).<br />
TIMECHANGE_LOGGING: Zeitänderungen des <strong>Server</strong>s werden geloggt (Konsole: /var/log/messages).<br />
GRSEC_LOCK:<br />
Die angegeben Kernel-Parameter sind schreibgeschützt. Wenn dieser Parameter<br />
angegeben ist, sind Änderungen an den anderen Parametern erst nach einem<br />
Neustart des <strong>Firewall</strong> <strong>Server</strong>s aktiv.<br />
LASTRULE_LOGGING: "L": Alle Verbindungen, die nicht erlaubt sind, werden im vollen Umfang geloggt.<br />
"S":<br />
Es werden nur drei Abläufe einer Verbindung pro Minute geloggt.<br />
" ": Es wird keine nicht erlaubte Verbindung geloggt.<br />
TMP_BLOCKING:<br />
MULTIPLE_LOGIN:<br />
Der <strong>Firewall</strong> <strong>Server</strong> erkennt folgende Scans: nmap xmas, syn/rst, syn/fin und null<br />
scan. Ist der Punkt tmp_blocking aktiviert, wird die IP-Adresse, die diesen Scan<br />
durchführt, automatisch für 5 Minuten komplett geblockt!<br />
Ist der Parameter aktiviert, können sich mehrere Benutzer gleichzeitig mit dem<br />
Security Manager auf der <strong>Firewall</strong> einloggen. Ist er nicht aktiviert, kann sich nur ein<br />
Benutzer zur Zeit auf dem <strong>Firewall</strong> <strong>Server</strong> einloggen.<br />
Beachten Sie: Verliert der Security Manager aus irgendeinem Grund die Verbindung<br />
zum <strong>Server</strong>, kann es bis zu 15 Minuten dauern, bis eine neue Anmeldung wieder<br />
möglich ist.<br />
Seite 53
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.9 PPTP <strong>VPN</strong><br />
Bis jetzt ist die bekannteste <strong>VPN</strong>-Technologie PPTP von Microsoft. IPSec ist ein wesentlich höherer<br />
Sicherheitsstandard. PPTP unterstützt den Windows-PPTP-Client Ihres Windows Betriebssystems. Erweiterte<br />
Angaben und Beispiele zur Konfiguration finden Sie unter Kapitel 5.2.<br />
‣Der Aufruf der Option PPTP <strong>VPN</strong> erfolgt über das Fenster Optionen Icon PPTP.<br />
Es öffnet sich das Dialog-Fenster PPTP (Abb. Dialog-Fenster PPTP, Allgemeine Einstellungen).<br />
2.5.9.1 PPTP-Einstellungen<br />
Allgemeine Einstellungen<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder Allgemein aus.<br />
‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP Allgemeine Einstellungen).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Abb. Dialog-Fenster PPTP Allgemeine Einstellungen<br />
Eingabefelder<br />
PPTP-Interface:<br />
PPTP-Adresspool:<br />
Das PPTP Interface ist ein virtuelles Interface, welches beim Start des PPTP <strong>Server</strong>s<br />
hochfährt.<br />
Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP Clients ihre IP-Adresse für den<br />
Tunnel beziehen. Der Adresspool kann von – bis eingeschränkt werden.<br />
Seite 54
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Verschlüsselung<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder Verschlüsselung aus.<br />
‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP Verschlüsselung).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Abb. Dialog-Fenster PPTP Verschlüsselung<br />
Eingabe- und Auswahlfelder<br />
Verschlüsselung:<br />
Silmutane Verb.:<br />
Wählen Sie die Verschlüsselungstiefe 128 / 40 Bit.<br />
Wählen Sie die Anzahl der Verbindungen, die simultan verfügbar sind.<br />
NS / WINS<br />
Für die Einstellungen gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder NS/WINS aus.<br />
‣Tragen Sie die Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster PPTP NS/WINS).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Die Angaben werden dem PPTP-Client neben seiner IP-Adresse zugewiesen.<br />
Abb. Dialog-Fenster PPTP NS/WINS<br />
Eingabefelder<br />
erster NS:<br />
zweiter NS:<br />
erster WINS:<br />
zweiter WINS:<br />
IP-Adresse des ersten Nameservers<br />
IP-Adresse des zweiten Nameservers<br />
IP-Adresse des ersten WINS-<strong>Server</strong>s<br />
IP-Adresse des zweiten WINS-<strong>Server</strong>s<br />
Seite 55
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.10 Dienste<br />
Sollten Dienste, die Sie benötigen, noch nicht vorhanden sein, können Sie diese neu anlegen. Ein Daten-Paket<br />
hat einen Quell- und Ziel-Port bei den Protokollen tcp/udp. Der Quell-Port wird meist zufällig ermittelt und liegt<br />
häufig in den Bereichen zwischen 1024 und 65535. Wenn Sie einen neuen Dienst hinzufügen möchten, können<br />
Sie sowohl den Quell- als auch den Ziel-Bereich genau eingrenzen. Falls Sie Applikationen nutzen, die nicht<br />
eingetragen sind und die andere Ports verwenden, informieren Sie sich in den Handbüchern der jeweiligen<br />
Applikationen und erweitern Sie diese Liste. Danach stehen Ihnen diese Dienste in den <strong>Firewall</strong>-Regeln zur<br />
Verfügung.<br />
‣Der Aufruf der Option Dienste erfolgt über das Fenster Optionen Icon Dienste.<br />
Es öffnet sich das Fenster Dienste (Abb. Fenster Dienste).<br />
Abb. Fenster Dienste<br />
Abb. Menüleiste Dienste<br />
Menü: Dienste<br />
Hinzufügen:<br />
Löschen:<br />
Hinzufügen eines neuen Dienstes<br />
Löschen eines ausgewählten Dienstes<br />
Seite 56
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen eines Dienstes<br />
Falls Sie einen Dienst benötigen, den Sie hier nicht vorfinden, können Sie auch selbst Dienste erstellen.<br />
Abb. Dialog-Fenster Dienste hinzufügen<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Hinzufügen.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Dienste hinzufügen).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
Name des Dienstes<br />
Protokoll: Protokoll des Dienstes. Hier können Sie auch die Nummer des Protokolls eingeben (z. B.<br />
GRE hätte die Protokoll-Nummer 47)<br />
Quell-Port:<br />
Ziel-Port:<br />
Quell-Port des Dienstes<br />
Ziel-Port des Dienstes<br />
Protokolle definieren<br />
Sie können ebenfalls neue Protokolle definieren:<br />
Gehen Sie folgendermaßen vor:<br />
‣Geben Sie einen Namen in das Feld Name ein (Abb. Dialog-Fenster Dienste hinzufügen).<br />
‣Geben Sie die Protokoll-Nummer in das Feld Protokoll ein.<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Dienste löschen<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den zu löschenden Dienst aus (Abb. Fenster Dienste).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 57
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.11 Dienstgruppen<br />
Sie können einzelne Dienste, die zusammengehören, zu einer Dienstgruppe zusammenfassen und so die<br />
<strong>Firewall</strong>-Regeln übersichtlicher gestalten. Um Dienste im Regelwerk verwenden zu können, müssen Sie diese in<br />
eine Dienstgruppe legen.<br />
Beispielsweise ist es sinnvoll:<br />
• den dns-Dienst, der aus domain-tcp und domain-udp besteht, zu einer Gruppe dns zusammenzufassen oder<br />
• den mail-Dienst, der z. B. aus imap, pop3 und smtp besteht, zu einer Gruppe mail zusammenzufassen<br />
Diese Dienstgruppen finden Sie schon vordefiniert vor. Sie können diese jedoch einfach verändern oder neue<br />
Dienstgruppen hinzufügen.<br />
‣Der Aufruf der Option Dienstgruppen erfolgt über das Fenster Optionen Icon Dienstgruppen.<br />
Es öffnet sich das Dialog-Fenster Dienstgruppen (Abb. Dialog-Fenster Dienstgruppen).<br />
Abb. Dialog-Fenster Dienstgruppen<br />
Inhalte von Dienstgruppen ändern<br />
Sie können Dienste einfach aus der Dienstgruppe hinzufügen oder entfernen, ohne die <strong>Firewall</strong>-Regel ändern zu<br />
müssen. Die <strong>Firewall</strong>-Regeln müssen lediglich neu gestartet werden.<br />
‣Drücken Sie hierfür das Icon Regelupdate.<br />
Abb. Menüleiste mit Icon Regelupdate<br />
Informationen zur Arbeit mit <strong>Firewall</strong>-Regeln finden Sie in Kapitel 3.<br />
Seite 58
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.12 Rechner/Netze<br />
In dieser Option werden alle Rechner oder Netzsegmente Ihres Netzwerkes angelegt und verwaltet.<br />
‣Der Aufruf der Option Rechner/Netze erfolgt über das Fenster Optionen Icon Rechner/Netze.<br />
Es öffnet sich das Fenster Definition Rechner/Netze (Abb. Fenster Rechner/Netze).<br />
Abb. Fenster Rechner/Netze<br />
Abb. Menüleiste Rechner/Netze<br />
Menü: Rechner/Netze<br />
Rechner Hinzufügen:<br />
Netz Hinzufügen:<br />
Löschen:<br />
Hinzufügen eines neuen Rechners<br />
Hinzufügen eines neuen Rechner-Netzes<br />
Löschen eines ausgewählten Rechners/Netzes<br />
Seite 59
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen eines neuen Rechners/Netzes<br />
Abb. Dialog-Fenster Rechner hinzufügen<br />
Falls Sie einen Rechner oder ein neues Netz benötigen, gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Rechner hinzufügen oder Netz hinzufügen.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Rechner hinzufügen).<br />
‣Speichern Sie Ihre Angabe, indem Sie auf den Button Speichern klicken.<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
IP-Adresse:<br />
Maske:<br />
Zone:<br />
Statische NAT:<br />
Gruppe:<br />
Name des Rechners/Netzes<br />
IP-Adresse des Rechners/Netzes<br />
Netzmaske des Rechners/Netzes, d. h. die Größe des Netzes<br />
Zone (Sektor), in der sich der Rechner/das Netz befindet<br />
Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse<br />
(virtuelle IP-Adresse) auf eine private durchzuführen<br />
Das Netzwerkobjekt kann in eine bereits vorhandene Rechnergruppe importiert werden.<br />
Wählen Sie dann diese dort aus. Beachten Sie: Falls Sie gleichzeitig eine neue<br />
Rechnergruppe erzeugen wollen, wählen Sie das Feld aus. Es wird dann eine<br />
Gruppe erzeugt und das Objekt automatisch in sie gelegt.<br />
Statische NAT<br />
Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse (virtuelle IP-Adresse) auf<br />
eine private durchzuführen. Z. B. ist auf dem externen Interface der <strong>Firewall</strong> eine virtuelle IP-Adresse<br />
installiert, die auf einen Webserver in der DMZ zeigen soll. Tragen Sie in Statische NAT die öffentliche IP<br />
(virtuelle IP-Adresse) des Webservers ein. Der <strong>Firewall</strong> <strong>Server</strong> erkennt automatisch, auf welchem Interface die<br />
NAT-Adresse eingetragen ist.<br />
Den Namen, den Sie definieren, können Sie frei wählen. Wenn Sie einen einzelnen Rechner definieren, geben<br />
Sie die Netzwerkmaske Host an. Wenn Sie ein Netz definieren, die entsprechende Maske. Zum Beispiel für ein<br />
Class-C Netz die Netzwerkmaske 24. Beachten Sie bitte, dass Sie die richtige Zone der <strong>Firewall</strong> wählen (siehe<br />
Kapitel 1.1). Den Punkt Statische NAT brauchen Sie, wenn Sie zum Beispiel einen Webserver mit einer privaten<br />
Adresse in der DMZ vom Internet aus erreichbar machen wollen. (Beispiel Kapitel 11.1.3)<br />
Löschen eines Rechners/Netzes<br />
Falls Sie einen Rechner oder ein Netz löschen wollen, gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den zu löschenden Rechner/Netz aus (Abb. Fenster Rechner/Netze).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 60
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.13 Rechnergruppen<br />
Sie müssen Rechner/Netzsegmente, die zusammengehören, zu einer Gruppe zusammenfassen, um die Objekte<br />
in den <strong>Firewall</strong>-Regeln verwenden zu können.<br />
‣Der Aufruf der Option Rechnergruppen erfolgt über das Fenster Optionen Icon Rechnergruppen.<br />
Es öffnet sich das Dialog-Fenster Rechnergruppen (Abb. Dialog-Fenster Rechnergruppen).<br />
Abb. Dialog-Fenster Rechnergruppen<br />
Inhalte von Rechnergruppen ändern<br />
Sie können Rechner einfach aus der Rechnergruppe hinzufügen oder entfernen, ohne die <strong>Firewall</strong>-Regel ändern<br />
zu müssen. Die <strong>Firewall</strong>-Regeln müssen lediglich neu gestartet werden.<br />
‣Drücken Sie hierfür das Icon Regelupdate.<br />
Abb. Menüleiste mit Icon Regelupdate<br />
Informationen zur Arbeit mit <strong>Firewall</strong>-Regeln finden Sie in Kapitel 3.<br />
Seite 61
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.14 Netzwerk Grundkonfiguration<br />
In der Option Netzwerk Grundkonfiguration tragen Sie die grundlegenden Eigenschaften Ihres Netzwerkes ein.<br />
‣Der Aufruf der Option Netzwerk Grundkonfigurationen erfolgt über das Fenster Optionen Icon Netzwerk<br />
Grundkonfigurationen.<br />
Es öffnet sich das Dialog-Fenster Netzwerk Grundkonfigurationen (Abb. Dialog-Fenster Netzwerk Grundkonfiguration).<br />
Abb. Dialog-Fenster Netzwerk Grundkonfiguration<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Eingabefelder<br />
Default Route:<br />
Hostname:<br />
Domainname:<br />
erster NS:<br />
zweiter NS:<br />
IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet<br />
werden kann<br />
Eigener Rechnername der <strong>Firewall</strong><br />
Domainname bezeichnet die Internet-Domain, in der sich der <strong>Firewall</strong> <strong>Server</strong> befindet<br />
IP-Adresse eigener Nameserver, falls vorhanden<br />
IP-Adresse weiterer Nameserver, falls vorhanden<br />
Default Route<br />
Default Route ist die IP-Adresse, zu der alle Pakete geschickt werden, für die keine explizite Route zugeordnet<br />
werden kann. Das bedeutet, wenn in Ihrem Netzwerk eine Anfrage erzeugt wird, prüft die <strong>Firewall</strong>, ob die<br />
Daten ins Internet geschickt werden sollen oder z. B. in eine DMZ. Das Default Gateway / Default Route ist<br />
normalerweise der Router vor dem externen Interface der <strong>Firewall</strong>. Sollten Sie über eine eingebaute ISDN-Karte<br />
in der <strong>Firewall</strong> oder ein angeschlossenes ADSL-Modem an der <strong>Firewall</strong> in das Internet gelangen, müssen Sie in<br />
das Feld nichts eintragen, da die Default Route dann dynamisch bei jeder Einwahl der <strong>Firewall</strong> neu gesetzt wird.<br />
Seite 62
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hostname<br />
Sie können der <strong>Firewall</strong> ebenfalls einen eigenen Hostnamen geben. Hostname der <strong>Firewall</strong> ist der Rechnername.<br />
Domainname<br />
Der Domainname bezeichnet die Internet-Domain, in der sich der <strong>Firewall</strong> <strong>Server</strong> befindet.<br />
Nameserver<br />
Falls Sie in den Netz-Bereichen einen internen und/oder externen Nameserver zur Verfügung haben, können<br />
Sie diesen hier eintragen. Die Nameserver sind wichtig, falls Sie sich die Reports der <strong>Firewall</strong> periodisch alle 24<br />
Stunden zusenden lassen möchten und wenn Sie den Applikationsproxy für http, https und ftp verwenden<br />
möchten. Auch zum Online-Einspielen von Patches über die Option Patch ist der Nameserver erforderlich!<br />
Seite 63
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.15 Erweitertes Routing<br />
Unter der Option Erweitertes Routing können Sie statische Routen auf der <strong>Firewall</strong> bearbeiten. Die Option dient<br />
dazu, die internen Netze zu finden, die nicht direkt an der <strong>Firewall</strong> angeschlossen sind. Um zu ermöglichen,<br />
dass Datenpakete zu einem internen Netz gelangen können, das über ein Gateway (z. B. einen Router)<br />
angeschlossen ist, müssen der <strong>Firewall</strong> diese Informationen mitgeteilt werden, da sonst diese Daten-Pakete<br />
zum Default Gateway geschickt werden.<br />
‣Der Aufruf der Option Erweiteres Routing erfolgt über das Fenster Optionen Icon Erweiteres Routing.<br />
Es öffnet sich das Fenster Erweitertes Routing (Abb. Fenster Erweitertes Routing).<br />
Abb. Fenster Erweitertes Routing<br />
Abb. Menüleiste Erweitertes Routing<br />
Menü: Erweitertes Routing<br />
Hinzufügen:<br />
Löschen:<br />
Hinzufügen einer neuen Route<br />
Löschen einer Route<br />
Seite 64
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen einer neuen Route<br />
Abb. Dialog-Fenster Route hinzufügen<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Hinzufügen.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Route hinzufügen).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
Netzwerk:<br />
Maske:<br />
Gateway:<br />
Interface:<br />
IP-Adresse des neuen Netzes<br />
Netzmaske des Netzes<br />
IP-Adresse des Gateways<br />
Interface der <strong>Firewall</strong>, über das das Netz geroutet wird<br />
Löschen einer Route<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie die zu löschende Route aus (Abb. Fenster Erweitertes Routing).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 65
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.16 Virtuelle IP-Adressen<br />
Über die Option Virtuelle IP-Adressen haben Sie die Möglichkeit, an den Interfaces zusätzliche IP-Adressen<br />
einzurichten. Zusätzliche IP-Adressen an den Interfaces sind wichtig, wenn Sie mehrere gleichartige Dienste in<br />
den internen oder den DMZ/SSN-Netzen ansprechen möchten. Beispielsweise haben Sie in der DMZ mehrere<br />
Webserver, die über unterschiedliche IP-Adressen angesprochen werden sollen. Die <strong>Firewall</strong> kann hiermit<br />
unterscheiden, welcher Webserver gemeint ist.<br />
‣Der Aufruf der Option Virtuelle IP-Adressen erfolgt über das Fenster Optionen Icon Virtuelle IP-Adressen.<br />
Es öffnet sich das Fenster Virtuelle IP-Adressen (Abb. Fenster Virtuelle IP-Adressen).<br />
Abb. Fenster Virtuelle IP-Adressen<br />
Abb. Menüleiste Virtuelle IP-Adressen<br />
Menü: Virtuelle IP-Adressen<br />
Hinzufügen:<br />
Löschen:<br />
Hinzufügen einer neuen virtuellen IP-Adresse<br />
Löschen einer ausgewählten virtuellen IP-Adresse<br />
Seite 66
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen einer virtuellen IP-Adresse<br />
Abb. Dialog-Fenster Virtuelle IP-Adresse hinzufügen<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Hinzufügen.<br />
‣Tragen Sie die Daten in das Dialog-Fenste ein (Abb. Dialog-Fenster Virtuelle IP-Adressen hinzufügen).<br />
‣Speichern Sie Ihre Angaben mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
IP:<br />
Maske:<br />
Interface:<br />
Virtuelle IP-Adresse<br />
Netzmaske der virtuellen IP-Adresse<br />
Interface, an das die neue virtuelle IP-Adresse gebunden ist<br />
Beachten Sie: Der Name des virtuellen Interfaces wird automatisch generiert und<br />
enthält den Namen des tatsächlichen Interface sowie eine fortlaufende Nummer.<br />
Virtuelle IP-Adressen können Sie auf allen Interfaces hinzufügen. Sie werden auch im<br />
Zusammenhang für das statische NAT gebraucht.<br />
Löschen einer virtuellen IP-Adresse<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie die zu löschende IP aus (Abb. Fenster Virtuelle IP-Adresse).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 67
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.17 NAT - Network Address Translation<br />
Die Verwendung der Option NAT (Network Address Translation) ermöglicht es Ihnen, die Netze hinter der<br />
<strong>Firewall</strong> zu verbergen. Sprich: welches Netz „verstecken“ Sie durch Hide NAT (auch Masquarading genannt) vor<br />
welchem Netz.<br />
Die <strong>Securepoint</strong> <strong>Firewall</strong> übernimmt dabei automatisch die Umsetzung. Je nachdem wie viele Netzwerkkarten<br />
Sie zur Verfügung haben, können Sie regeln, zwischen welchen Netzbereichen Sie NAT betreiben. Alle<br />
möglichen Beziehungen der Netze werden Ihnen hierfür automatisch angezeigt.<br />
‣Der Aufruf der Option NAT erfolgt über das Fenster Optionen Icon NAT.<br />
Es öffnet sich das Dialog-Fenster NAT (Abb. Dialog-Fenster NAT).<br />
Abb. Dialog-Fenster NAT<br />
Festlegung NAT<br />
Gehen Sie folgendermaßen vor:<br />
‣Legen Sie fest, in welcher Richtung Sie NAT betreiben möchten.<br />
‣Zum Aktivieren speichern Sie Ihre Eingabe mit dem Button Speichern.<br />
Eingabefelder<br />
Beziehungen:<br />
Die Bedeutung von beispielsweise NAT Internal External ist, dass die IP-Adressen aus<br />
dem internen Netz vom externen Netz her nicht zu sehen sind. Umgekehrt ist dies aber<br />
der Fall.<br />
Seite 68
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.18 Reportmails Einstellungen<br />
Damit Benutzer Reports oder Alarmierungen per Email erhalten können, werden unter der Option Reportmails<br />
Einstellungen die Benutzer ausgewählt.<br />
‣Der Aufruf der Option Reportmails Einstellungen erfolgt über das Fenster Optionen Icon Reportmails<br />
Einstellungen.<br />
Es öffnet sich das Dialog-Fenster Report mailen (Abb. Dialog-Fenster Report mailen).<br />
Abb. Dialog-Fenster Mail Report<br />
Email senden<br />
Gehen Sie folgendermaßen vor:<br />
‣Geben Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingabe mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
Empfänger:<br />
Reporttypen:<br />
Email:<br />
Auswahl der Benutzergruppe<br />
Sie können einem Benutzer alle Reporttypen zuweisen, die dann direkt alle 24 Stunden an<br />
ihn gesandt werden. Alarme werden in Echtzeit versandt.<br />
Tragen Sie die Email-Adressen ein, an die der Alarm gesendet werden soll.<br />
Seite 69
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.19 Interfaces<br />
Bei der Installation Ihres <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s haben Sie die Interfaces (Netzwerkkarten) schon<br />
grundlegend eingestellt. Diese Einstellungsdaten finden Sie hier jetzt wieder.<br />
Die Interfaces sind, je nachdem, ob Sie 2 bis 16 Netzwerkkarten (<strong>Securepoint</strong> Version Office: 2 Netzwerkkarten,<br />
Version Business: 8, Professional: 16) bzw. eine ISDN-Karte verwenden, mit den Namen:<br />
• für Ethernet, 16 Netzwerkkarten: eth0, eth1, eth2, eth3, eth4... eth15<br />
• für ADSL, 16 Netzwerkkarten: PPPOE, eth1, eth2, eth3, eth4... eth15<br />
• für ISDN, 15 Netzwerkkarten: ISDN, eth0, eth1, eth2, eth3... eth14<br />
bezeichnet.<br />
Sie können hier auch explizit erlauben, welches Interface pingbar sein soll, ohne dafür eine Regel im Regelwerk<br />
zu schreiben.<br />
‣Der Aufruf der Option Interfaces erfolgt über das Fenster Optionen Icon Interfaces.<br />
Es öffnet sich das Dialog-Fenster Interfaces (Abb. Dialog-Fenster Interfaces).<br />
Abb. Dialog-Fenster Interfaces<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die notwendigen Angaben in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Eingabe- und Auswahlfelder<br />
IP Adresse:<br />
Maske:<br />
MAC Adresse:<br />
Zone:<br />
Ping erlaubt:<br />
IP-Adresse des Interfaces<br />
Auswahl der Netzmaske bzw. Eingabe<br />
kein Eintrag<br />
kein Eintrag<br />
Aktivierung, ob dieses Interface angepingt werden kann<br />
Seite 70
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Das externe Interface - externes Netz<br />
Das externe Interface (Externes Netz) kann hierbei jeweils nur eine der folgenden Bezeichnungen besitzen:<br />
• eth0<br />
• PPPOE (ADSL)<br />
• ISDN<br />
Das bedeutet, dass Sie immer nur eine Ethernet- oder eine ISDN-Karte am externen Interface betreiben<br />
können.<br />
Die internen Interfaces - interne Netz/DMZ/SSN<br />
Die internen Netze (wie internes Netz und DMZ/SSN-Netze) haben immer die Bezeichnungen:<br />
• eth1, eth2, eth3, eth4... eth15<br />
Ethernet-Konfiguration<br />
In diesem Beispiel besitzt die <strong>Firewall</strong> mehrere Ethernet-Karten. Die Bezeichnung der Interface ist: eth0, eth1,<br />
eth2. Die Zuordnung der Interface zu den Netzbereichen des <strong>Firewall</strong> <strong>Server</strong>s ist:<br />
• eth0: EXTERNAL<br />
• eth1: INTERNAL<br />
• eth2: DMZ1<br />
ADSL-Modem-/Ethernet-Konfiguration<br />
Die <strong>Firewall</strong> besitzt eine Ethernet-Karte am externen Interface, an das ein ADSL-Modem angeschlossen ist. Das<br />
Protokoll PPPOE wird dabei unterstützt. Die Zuordnung der Interfaces zu den Netzbereichen des <strong>Firewall</strong><br />
<strong>Server</strong>s ist:<br />
• ADSL: EXTERNAL<br />
• eth1: INTERNAL<br />
• eth2: DMZ1<br />
ISDN-Karte-/Ethernet-Konfiguration<br />
In diesem Beispiel besitzt die <strong>Firewall</strong> eine ISDN-Karte am externen Interface:<br />
• ISDN: EXTERNAL<br />
• eth0: INTERNAL<br />
• eth1: DMZ1<br />
Seite 71
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.20 ISDN<br />
Falls Sie eine ISDN-Karte als externes Interface der <strong>Firewall</strong> verwenden, können Sie die Einstellungen für die<br />
Einwahl Option ISDN vornehmen.<br />
‣Der Aufruf der Option ISDN erfolgt über das Fenster Optionen Icon ISDN.<br />
Es öffnet sich das Dialog-Fenster ISDN (Abb. Dialog-Fenster Interfaces).<br />
Abb. Dialog-Fenster ISDN<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Eingabefelder<br />
Vorwahl:<br />
Telefon-Nr.:<br />
EAZ-Nr.:<br />
ISP-Login:<br />
ISP-Passwort:<br />
Statische IP:<br />
Lokal:<br />
Entfernt:<br />
Inaktivitätszeit:<br />
VJ-Kompression:<br />
Vorwahl des Providers<br />
Telefonnummer des Providers<br />
Nummer des ausgehenden Anrufs<br />
Login, das Sie vom Provider erhalten haben<br />
Passwort, das Sie vom Provider erhalten haben<br />
Aktivierung, wenn Sie eine feste IP-Adresse von Provider erhalten haben<br />
IP-Adresse Ihres Rechners/<strong>Firewall</strong><br />
IP-Adresse des Providers<br />
ist die Zeit, nach der die <strong>Firewall</strong> automatisch die Verbindung zum Internet trennt, wenn<br />
keine Daten über die Leitung gesendet bzw. empfangen werden.<br />
Komprimierungsverfahren des PPP-Protokolls<br />
BSD-Kompression: Komprimierungsverfahren des PPP-Protokolls<br />
Kanalbündelung:<br />
Bündeln der Leitung zur doppelten Bandbreitennutzung<br />
Seite 72
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.21 ADSL<br />
Falls Sie die externe Netzwerkkarte Ihrer <strong>Firewall</strong> an ein ADSL-Modem angeschlossen haben, können Sie die<br />
Einwahl über die Option ADSL konfigurieren.<br />
‣Der Aufruf der Option ADSL erfolgt über das Fenster Optionen Icon ADSL.<br />
Es öffnet sich das Dialog-Fenster ADSL (Abb. Dialog-Fenster ADSL, allgemeine Einstellungen).<br />
Allgemeine Einstellungen<br />
Abb. Dialog-Fenster ADSL, allgemeine Einstellungen<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder allgemein.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Eingabefelder<br />
Inaktivitätszeit:<br />
MTU:<br />
Inaktivitätszeit ist die Zeit, nach der die <strong>Firewall</strong> automatisch die Verbindung zum Internet<br />
trennt, wenn keine Daten über die Leitung gesendet bzw. empfangen werden.<br />
Paketgröße<br />
Seite 73
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Login-Einstellungen<br />
Abb. Dialog-Fenster ADSL, Login-Einstellungen<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder Login.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Eingabefelder<br />
Login:<br />
Passwort:<br />
Login-Einstellungen werden von Ihrem Provider bereitgestellt, um sich zu authentisieren<br />
Eingabe Passwort und Bestätigung<br />
IP-Einstellungen<br />
Geben Sie zur Konfiguration des ADSL-Interfaces, die Daten, die Sie von Ihrem Provider bekommen haben, ein.<br />
Die angegebenen IP-Adressen sind nur für das Point-to-Point-Interface (ppp0), wenn es gerade nicht<br />
eingewählt ist. Die IP-Adressen sollten nur verändert werden, wenn es zu Adresskonflikten mit vorhanden IP-<br />
Adressen Ihres Netzwerks führt.<br />
Abb. Dialog-Fenster ADSL, IP-Einstellungen<br />
Eingabefelder<br />
Lokal:<br />
Entfernt:<br />
IP-Adresse des Rechners/<strong>Firewall</strong><br />
IP-Adresse des Providers<br />
Seite 74
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder IP-Adresse.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
DynDns<br />
Mit der DynDns-Funktion haben Sie die Möglichkeit, das ADSL-Interface für den DynDns-Dienst zu<br />
konfigurieren. Sie müssen sich dazu erst bei Dynamic Network Services Inc. registiereren lassen. Weitere<br />
informationen zu diesem Dienst finden Sie unter folgender Web-Adresse: http://www.dyndns.org.<br />
Abb. Dialog-Fenster ADSL, DynDns-Einstellungen<br />
Eingabefelder<br />
DynName:<br />
Passwort:<br />
Login:<br />
<strong>Server</strong>:<br />
Name, den Sie bei der Anmeldung bei „dyndns“ erhalten haben<br />
Passwort<br />
Login<br />
Auswahl des <strong>Server</strong>s<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den Folder DynDns.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Seite 75
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
2.5.22 Viruswall<br />
Die Option Viruswall dient der Konfiguration des Virenscanners Viruswall von TrendMicro.<br />
‣Der Aufruf der Option Viruswall erfolgt über das Fenster Optionen Icons Viruswall.<br />
Die Virenscanner sind meist als Pakete auf der <strong>Securepoint</strong> CD-ROM vorhanden und können bei der Installation<br />
mit angegeben werden. Falls Sie zur Installation der <strong>Securepoint</strong> einen Virenscanner ausgewählt haben, ist<br />
dieser schon vorinstalliert auf dem <strong>Server</strong> vorhanden.<br />
Sollten Sie einen anderen Virenscanner verwenden wollen, wenden Sie sich gern auch an unseren Support bzgl.<br />
der Kompatibilität.<br />
Abb. Dialog-Fenster Login Viruswall<br />
Abb. Fenster Viruswall<br />
Seite 76
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3 Arbeiten mit <strong>Firewall</strong>-Regeln<br />
In diesem Kapitel finden Sie allgemeine Informationen über den Umgang mit <strong>Firewall</strong>-Regeln. Die Beziehungen<br />
zwischen den Rechnergruppen werden hierbei geregelt. Es wird gesteuert, was eine Gruppe von Rechnern darf<br />
oder nicht darf.<br />
3.1 <strong>Firewall</strong>-Regeln (tabellarisch)<br />
Sie können sich die <strong>Firewall</strong>-Regeln in tabellarischer Form anzeigen lassen.<br />
Abb. Menüleiste mit Icon Regeln (tabellarisch)<br />
‣Der Aufruf der <strong>Firewall</strong>-Regeln (tabellarisch) erfolgt über das Menü Bearbeiten Regeln (tabellarisch) oder<br />
als Schnellauswahl über das Icon Regeln (tabellarisch).<br />
Daraufhin öffnet sich das Fenster Regeln (tabellarisch) mit der aktuellen globalen Regelübersicht in<br />
tabellarischer Form.<br />
Abb. Fenster <strong>Firewall</strong>-Regeln mit Menüleiste und erweitertem Menü<br />
Seite 77
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Sie haben die Möglichkeit, über die Menüleiste des Regel-Fensters (Abb. Menüleiste Regeln (tabellarisch))<br />
Regeln zu bearbeiten.<br />
Abb. Menüleiste Regeln (tabellarisch)<br />
Menü: Regeln (tabellarisch)<br />
Neue Regel:<br />
Regel einfügen:<br />
Regelgruppierung einfügen:<br />
Regel ändern:<br />
Regel löschen:<br />
Gruppeninhalt anzeigen:<br />
Gruppeninhalt verstecken:<br />
Erstellen einer neuen <strong>Firewall</strong>-Regel<br />
Einfügen einer <strong>Firewall</strong>-Regel vor der ausgewählten Position<br />
Einfügen einer Regelgruppe vor der ausgewählten Position<br />
Ändern einer ausgewählten Regel<br />
Löschen einer ausgewählten Regel<br />
Löschen einer ausgewählten Regelgruppe<br />
Anzeige des ausgewählten Regelgruppeninhaltes<br />
Verbergen des Regelgruppeninhaltes<br />
Auswahl erweitertes Menü<br />
‣Über die rechte Maustaste erhalten Sie das Menü zum Bearbeiten der Regeln und den Objekten<br />
(Abb. Fenster <strong>Firewall</strong>-Regeln und erweitertem Menü).<br />
Auswahl Menüpunkte<br />
Rechner/Netze:<br />
Rechnergruppen:<br />
Dienste:<br />
Dienstgruppen:<br />
Neue Regel:<br />
Regel einfügen:<br />
Regel ändern:<br />
Regel löschen:<br />
Regelgruppierung einfügen:<br />
Schnellauswahl zum Erstellen von neuen Rechnern/Netzen<br />
Schnellauswahl zum Erstellen von neuen Rechnergruppen<br />
Schnellauswahl zum Erstellen von neuen Diensten<br />
Schnellauswahl zum Erstellen von neuen Dienstgruppen<br />
Erstellen einer neuen <strong>Firewall</strong>-Regel<br />
Einfügen einer <strong>Firewall</strong>-Regel vor der ausgewählten Position<br />
Ändern einer ausgewählten Regel<br />
Löschen einer ausgewählten Regel<br />
Löschen einer ausgewählten Regelgruppe<br />
Einfügen einer Regelgruppe vor der ausgewählten Position<br />
Seite 78
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.1.1 <strong>Firewall</strong>-Regeln bearbeiten<br />
Erstellen einer neuen Regel<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Neue Regel, um eine neue Regel zu erstellen.<br />
Es öffnet sich das Dialog-Fenster (Abb. Dialog-Fenster Neue Regel).<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Regel über den Button Regel speichern.<br />
Wird einen neue Regel erstellt, können Sie sehr einfach erkennen, ob die Regel schon auf dem <strong>Firewall</strong>-<strong>Server</strong><br />
aktiv ist. In der Spalte ID (Abb. Fenster <strong>Firewall</strong>-Regeln mit Menüleiste und erweitertem Menü) wird die<br />
Nummer der Regel zusätzlich mit einem Stern * gekennzeichnet, wenn die Regel noch nicht aktiv ist.<br />
Abb. Dialog-Fenster Neue Regel<br />
Eingabe- und Auswahlfenster<br />
von Rechnergruppe:<br />
zu Rechnergruppe:<br />
Dienstgruppe:<br />
Art:<br />
Wählen Sie die Rechnergruppe aus, von der der Zugriff kommt<br />
Wählen Sie die Rechnergruppe aus, zu der der Zugriff geht<br />
Wählen Sie die Dienstgruppe aus, die den Zugriff definiert<br />
Wählen Sie die Art des Zugriffs aus. Dieser kann sein:<br />
ACCEPT:<br />
DROP:<br />
REJECT:<br />
DISABLED:<br />
Der Zugriff soll akzeptiert werden<br />
Der Zugriff soll zurückgewiesen werden<br />
Der Zugriff soll zurückgewiesen werden, wobei eine ICMP-Meldung<br />
(destination unreachable) an den Anfragenden gesendet wird<br />
Die Regel soll vorerst nicht aktiv sein (dies kann vorkommen, wenn<br />
Sie die Regel schon definiert haben, aber erst zu einem späteren<br />
Zeitpunkt aktivieren wollen)<br />
Seite 79
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Log:<br />
Hier definieren Sie, wie der Zugriff geloggt werden soll: [ ]: Es wird nicht geloggt<br />
[S]:<br />
[L]:<br />
steht für Short-Logging (3 Pakete innerhalb einer Minute pro<br />
Verbindung)<br />
steht für Long-Logging (alle Pakete werden geloggt)<br />
Zeitvorgaben:<br />
Hier können Sie definieren, ob die Regel nur zu bestimmten Zeiten aktiv sein soll<br />
oder grundsätzlich durchgeführt wird. Schalten Sie dieses Flagg auf:<br />
false:<br />
true:<br />
wenn die Regel immer aktiv sein soll<br />
wenn die Regel nur zu bestimmten Zeiten aktiv sein soll. Ist dies der<br />
Fall, erhalten Sie zusätzliche Auswahlmöglichkeiten zur Eingrenzung<br />
der Zeit, siehe (Abb. Neue Regel erstellen mit Zeiteinstellung)<br />
Bemerkung:<br />
Sie haben ebenfalls die Möglichkeit, eine Bemerkung zu jeder Regel einzufügen. Dies<br />
dient Ihnen dazu, Ihre Regeln übersichtlich zu gestalten<br />
Erstellen einer zeitabhängigen Regel<br />
Eine Regel darf möglicherweise nur zu bestimmten Zeiten aktiv sein. Dies ist durch eine einfache Einstellung<br />
möglich (Abb. Dialog-Fenster Neue Regel mit Zeiteinstellung).<br />
Gehen Sie folgendermaßen vor:<br />
‣Setzen Sie beim Punkt Zeitvorgaben das Flagg auf true. Hier können Sie definieren, ob die Regel nur zu<br />
bestimmten Zeiten aktiv sein soll oder grundsätzlich durchgeführt wird. Ist dies der Fall, erhalten Sie<br />
zusätzliche Auswahlmöglichkeiten zur Eingrenzung der Zeit.<br />
‣Definieren Sie die Zeiten, wann die Regel aktiv sein soll.<br />
‣Speichern Sie Ihre Angaben mit dem Button Regel speichern.<br />
Abb. Dialog-Fenster Neue Regel mit Zeiteinstellung<br />
Seite 80
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Einfügen einer <strong>Firewall</strong>-Regel<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie eine Regel an, vor der die neue Regel eingefügt werden soll.<br />
‣Klicken Sie auf das Icon Regel einfügen.<br />
Dann öffnet sich das Dialog-Fenster der Regel (Abb. Dialog-Fenster Neue Regel).<br />
Ändern einer <strong>Firewall</strong>-Regel<br />
Gehen Sie folgendermaßen vor.<br />
‣Klicken Sie die zu bearbeitende Regel an.<br />
‣Klicken Sie auf das Icon Regel ändern.<br />
Dann öffnet sich das Dialog-Fenster der Regel (Abb. Dialog-Fenster Regel ändern).<br />
‣Ändern Sie jetzt die Angaben entsprechend.<br />
‣Speichern Sie Ihre Angaben mit dem Button Regel speichern.<br />
Abb. Dialog-Fenster Regel ändern<br />
Löschen einer <strong>Firewall</strong>-Regel<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie die zu löschende Regel an (Abb. Fenster <strong>Firewall</strong>-Regeln mit Menüleiste und erweitertem Menü).<br />
‣Klicken Sie auf das Icon Regel löschen.<br />
Seite 81
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.1.2 Regelgruppen<br />
Zur übersichtlicheren Darstellung haben Sie die Möglichkeit, Regeln in Gruppen zusammenzustellen.<br />
Abb. Regelgruppen<br />
Einfügen einer Regelgruppe<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie eine Regel/Regelgruppe an, vor der die neue Regelgruppe eingefügt werden soll.<br />
‣Klicken Sie auf das Icon Regelgruppierung einfügen.<br />
Gruppeninhalt einer Regelgruppe anzeigen<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie eine Regelgruppe an, die Sie sich anzeigen lassen möchten.<br />
‣Klicken Sie auf das Icon Regelgruppierung anzeigen<br />
oder<br />
‣Doppelklick auf die Regelgruppe.<br />
Gruppeninhalt einer Regelgruppe verstecken<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie eine Regelgruppe an, die Sie verbergen möchten.<br />
‣Klicken Sie auf das Icon Regelgruppierung verstecken<br />
oder<br />
‣Doppelklick auf die Regelgruppe.<br />
Seite 82
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.1.3 Aktivieren von Regeln<br />
Abb. Bereich Menüleiste mit Icon Regelupdate<br />
‣Aktivieren Sie Ihre Regeln, indem Sie das Icon Regelupdate drücken. Ihre Regeln sind nun aktiv.<br />
3.1.4 Regelwerk durch Verschieben optimieren<br />
Mit dem Verschieben von Regeln haben Sie die Möglichkeit, das Regelwerk zu optimieren.<br />
‣Klicken Sie auf die ID der Regel und verschieben Sie sie an die gewünschte Position.<br />
Beachten Sie: Optimieren bedeutet in diesem Fall, dass ein Datenpaket nicht alle<br />
Regeln der <strong>Firewall</strong> durchlaufen muss. Z. B. kann eine Broadcast-Meldung, die Sie nicht<br />
durchlassen wollen, durch eine Regel, die am Anfang steht, sofort abgefangen werden.<br />
Die weiteren Regeln müssen dann nicht mehr abgearbeitet werden! Hiermit ist die<br />
Performance der <strong>Firewall</strong> besser genutzt!<br />
Seite 83
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.1.5 Anzeigen/Bearbeiten der Inhalte von Rechnergruppen<br />
‣Durch Doppelklick auf eine Rechnergruppe können Sie sich den Inhalt einer Rechnergruppe anzeigen lassen.<br />
‣Über den Button Hinzufügen können Sie weitere Rechner/Netze der Regelgruppe hinzufügen.<br />
‣Durch Doppelklick des Rechner/Netzes löschen Sie diesen.<br />
Abb. Anzeige einer Rechnergruppe<br />
3.1.6 Anzeigen der Inhalte von Dienstgruppen<br />
‣Durch Doppelklick auf eine Dienstgruppe können Sie sich den Inhalt einer Dienstgruppe anzeigen lassen.<br />
Abb. Anzeige einer Dienstgruppe<br />
Seite 84
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.2 <strong>Firewall</strong>-Regeln grafisch<br />
Sie haben die Möglichkeit, Ihr Regelwerk übersichtlich in grafischer Form darzustellen und zu bearbeiten.<br />
Abb. Menüleiste mit Icon Regeln (tabellarisch)<br />
‣Der Aufruf der Option <strong>Firewall</strong>-Regeln (grafisch) erfolgt über das Menü Bearbeiten Regeln (grafisch) oder<br />
als Schnellauswahl über das Icon Regeln (grafisch).<br />
Daraufhin öffnet sich das Fenster Regeln (grafisch) mit der aktuellen Regelübersicht in grafischer Form.<br />
Abb. Fenster <strong>Firewall</strong>-Regeln (grafisch) mit Menüleiste<br />
Das Fenster Regeln (grafisch) unterteilt sich in folgende Bereiche:<br />
Bereich<br />
Gruppierung:<br />
Neue Regeln:<br />
Darstellung:<br />
Sie können sich einzelne Regeln nach bestimmten Gruppierungen darstellen<br />
Nur die neuen Regeln werden angezeigt, die noch nicht über ein Regelupdate auf der<br />
<strong>Firewall</strong> aktiviert sind<br />
Sie können in diesem Bereich gut erkennen, welche Rechnergruppen über welche Dienste<br />
auf was zugreifen. In der Abb. <strong>Firewall</strong>-Regel (grafisch) können Sie beispielsweise<br />
ersehen, welche Rechnergruppen auf das Internet zugreifen.<br />
Seite 85
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Sie haben die Möglichkeit, über die Menüleiste des Regel-Fensters (Abb. Menüleiste Regeln (grafisch)) Regeln<br />
zu bearbeiten.<br />
Abb. Menüleiste Regeln (grafisch)<br />
Menü: Regeln (grafisch)<br />
Neue:<br />
Von:<br />
Nach:<br />
Intern:<br />
Ohne:<br />
Rechnergruppen<br />
nur neue Regeln werden angezeigt<br />
nur Regeln von der ausgewählten Gruppe werden angezeigt<br />
nur Regeln nach der ausgewählten Gruppe werden angezeigt<br />
nur interne Regeln werden angezeigt<br />
keine Gruppierung, alle Regeln werden angezeigt<br />
Erstellen von neuen Regeln, Rechnergruppen<br />
mit Choice-Feld:<br />
Dienstgruppen<br />
Erstellen von neuen Regeln, Dienstgruppen<br />
mit Choice-Feld:<br />
Eingabe beenden:<br />
Arbeitsblatt löschen:<br />
Sortieren:<br />
Beenden der Eingabe<br />
Löscht das Arbeitsblatt (es wird nur die Ansicht gelöscht)<br />
Die Regeln werden so sortiert; gleichartige Dienste werden<br />
zusammengefasst<br />
Seite 86
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.2.1 Darstellung von Regeln<br />
Button Neue<br />
‣Über den Button Neue können Sie sich alle neuen Regeln ansehen, die noch nicht über das Regelupdate auf<br />
der <strong>Firewall</strong> aktiviert sind. Diese Regeln sehen Sie im Fenster Neue Regeln (Abb. Neue Regeln).<br />
‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten.<br />
Abb. Neue Regeln<br />
Button Von<br />
‣Der Button Von aktiviert das Fenster Gruppierung [Von] (Abb. Gruppierung [Von]).<br />
‣Wählen Sie jetzt die Rechnergruppe, von der Sie alle abgehenden Verbindungen und Dienste zu Ihren<br />
Rechnergruppen sehen möchten. Diese Regeln werden nun angezeigt.<br />
‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten.<br />
Abb. Gruppierung [Von]<br />
Seite 87
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Button Nach<br />
‣Der Button Nach aktiviert das Fenster Gruppierung [Nach] (Abb. Gruppierung [Nach]).<br />
‣Wählen Sie jetzt die Rechnergruppe, zu der Sie alle abgehenden Verbindungen und Dienste von Ihren<br />
Rechnergruppen sehen möchten. Diese Regeln werden nun angezeigt.<br />
‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten.<br />
Abb. Gruppierung [Nach]<br />
Button Intern<br />
‣Der Button Intern zeigt alle Regeln, die in den internen Bereichen vorhanden sind. Externe Regeln werden<br />
nicht dargestellt.<br />
‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten.<br />
Abb. Intern<br />
Seite 88
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Button Ohne<br />
‣Der Button Ohne zeigt alle Regeln an. Alle Rechnergruppen mit den abgehenden Verbindungen und Diensten<br />
zu den definierten Rechnergruppen werden angezeigt (Abb. Ohne).<br />
‣Klicken Sie ebenfalls das Icon Sortieren, um eine noch übersichtlichere Darstellung zu erhalten.<br />
Abb. Ohne<br />
Seite 89
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.2.2 Erstellen von Regeln<br />
Sie haben in diesem Bereich die Möglichkeit, neue Regeln anzulegen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie zuerst auf das Icon Rechnergruppen und wählen Sie eine Rechnergruppe über das Choice-Feltd<br />
aus.<br />
‣Klicken Sie auf die Arbeitsfläche. Jetzt erscheint die Rechnergruppe auf der Arbeitsfläche.<br />
‣Wählen Sie die zweite Rechnergruppe aus und klicken Sie wiederum auf die Arbeitsfläche. Diese<br />
Rechnergruppe wird jetzt ebenfalls auf der Arbeitsfläche angezeigt (Abb. Neue Regel erstellen, Rechner auf<br />
der Arbeitsfläche anlegen).<br />
‣Klicken Sie auf das Icon Dienstgruppen und wählen Sie eine Dienstgruppe über das Choice-Feld aus.<br />
‣Klicken Sie auf die erste Rechnergruppe, die Sie angelegt haben (Abb. Neue Regel erstellen, Rechner auf<br />
der Arbeitsfläche anlegen) und danach auf die zweite Rechnergruppe.<br />
Die Regel ist nun angelegt.<br />
Abb. Neue Regel erstellen, Rechner auf der Arbeitsfläche anlegen<br />
Abb. Neue Regel erstellen, Dienste anlegen<br />
Seite 90
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
3.2.3 Bearbeiten von Regeln<br />
Sie haben in diesem Bereich ebenfalls die Möglichkeit, Ihr Regelwerk zu bearbeiten.<br />
‣Durch Klick mit der rechten Maustaste auf eine Dienstgruppe öffnen Sie das Menü zum Bearbeiten oder<br />
Löschen einer Regel (Abb. Menü).<br />
Abb. Menü<br />
Bearbeiten einer Regel<br />
Gehen Sie folgendermaßen vor:<br />
‣Durch Klick mit der rechten Maustaste auf eine Dienstgruppe öffnen Sie das Menü zum Bearbeiten oder<br />
Löschen einer Regel (Abb. Menü).<br />
‣Klicken Sie auf den Menü-Punkt Eigenschaften, um die Regel zu bearbeiten (Abb. Dialog-Fenster Regel<br />
ändern).<br />
‣Klicken Sie auf den Button Regel speichern, um Ihre Angaben zu speichern.<br />
Abb. Dialog-Fenster Regel ändern<br />
Löschen einer Regel<br />
Gehen Sie folgendermaßen vor:<br />
‣Durch Klick mit der rechten Maustaste auf eine Dienstgruppe öffnen Sie das Menü zum Bearbeiten oder<br />
Löschen (Abb. Menü).<br />
‣Klicken Sie auf den Menü-Punkt Löschen, um die Regel zu löschen.<br />
Seite 91
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Anzeigen/Bearbeiten der Inhalte von Rechnergruppen<br />
‣Durch Doppelklick auf eine Rechnergruppe können Sie sich den Inhalt einer Rechnergruppe anzeigen lassen.<br />
‣Durch Klicken auf den Button Hinzufügen, fügen Sie weitere Rechner/Netze der Regelgruppe hinzu.<br />
‣Durch Doppelklick des Rechner/Netzes löschen Sie diesen.<br />
Abb. Anzeige einer Rechnergruppe<br />
Anzeigen der Inhalte von Dienstgruppen<br />
‣Durch Doppelklick auf eine Dienstgruppe können Sie den Inhalt einer Dienstgruppe anzeigen.<br />
Abb. Anzeige einer Dienstgruppe<br />
Seite 92
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
4 Netzwerk-Topologie<br />
Im Bereich Netzwerk-Topologie können Sie sich von der Topologie Ihres Netzwerkes sehr einfach einen<br />
Überblick verschaffen.<br />
Abb: Menüleiste mit Icon Netzwerk-Topologie<br />
‣Der Aufruf der Bereichs Netzwerk-Topologie erfolgt über das Menü Bearbeiten Netzwerk-Topologie oder<br />
als Schnellauswahl über das Icon Netzwerk-Topologie.<br />
Daraufhin öffnet sich das Fenster Netzwerk-Topologie.<br />
Hier werden Zonen, Rechner(netze), erweitertes Routing und virtuelle IPs grafisch dargestellt. Es besteht die<br />
Möglichkeit selbige neu anzulegen, zu bearbeiten und zu löschen.<br />
Abb. Fenster Netzwerk-Topologie mit Menüleiste<br />
Seite 93
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Sie haben die Möglichkeit über die Menüleiste (Abb. Menüleiste Netzwerk-Topologie) des Fenster-Netzwerk-<br />
Topologie zu arbeiten.<br />
Abb. Menüleiste Netzwerk-Topologie<br />
Menü: Netzwerk-Topologie<br />
Drucken:<br />
Rechner hinzufügen:<br />
Netz hinzufügen:<br />
Druckt das Fenster<br />
Hinzufügen eines neuen Rechners zu einer Zone<br />
Hinzufügen eines neuen Netzes zu einer Zone<br />
Rechner in FW-Zone hinzufügen: Hinzufügen eines neuen Rechners in eine <strong>Firewall</strong>-Zone<br />
Erweitertes Routing:<br />
Virtuelle IP-Adresse:<br />
Eingabe beenden:<br />
Markiertes Objekt löschen:<br />
Rechner, der als Router fungieren soll, auswählen<br />
Virtuelle IP-Adresse einer Zone hinzufügen<br />
Beenden der Eingabe<br />
Löschen eines Rechners/Netzes<br />
Seite 94
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
4.1 Bearbeiten der Topologie<br />
Anlegen von Objekten<br />
Falls Sie einen Rechner oder ein neues Netz benötigen, gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Rechner hinzufügen oder Netz hinzufügen und danach auf die Zone.<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Rechner hinzufügen).<br />
‣Speichern Sie Ihre Angabe, indem Sie auf den Button Speichern klicken.<br />
Sie können folgende Objekte anlegen:<br />
• Netze in eine <strong>Firewall</strong>-Zone hinzufügen und in eine Rechnergruppe legen<br />
• Rechner in eine <strong>Firewall</strong>-Zone hinzufügen und in eine Rechnergruppe legen<br />
• Rechner, der als Router für das erweiterte Routing fungieren soll, auswählen<br />
• Virtuelle IPs einer Zone hinzufügen<br />
Abb. Dialog-Fenster Rechner hinzufügen<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
IP-Adresse:<br />
Maske:<br />
Zone:<br />
Statische NAT:<br />
Gruppe:<br />
Name des Rechners/Netzes<br />
IP-Adresse des Rechners/Netzes<br />
Netzmaske des Rechners/Netzes, d. h. die Größe des Netzes<br />
Zone (Sektor), in der sich das Rechners/Netzes befindet<br />
Der statische NAT-Eintrag dient dazu, ein Mapping von einer öffentlichen IP-Adresse<br />
(virtuelle IP-Adresse) auf eine tatsächliche durchzuführen.<br />
Das Netzwerkobjekt kann in eine bereits vorhandene Rechnergruppe importiert werden.<br />
Wählen Sie dann diese dort aus. Beachten Sie: Falls Sie gleichzeitig eine neue<br />
Rechnergruppe erzeugen wollen, wählen Sie das Feld aus. Es wird dann eine<br />
Gruppe erzeugt und das Objekt automatisch in sie gelegt.<br />
Seite 95
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Bearbeiten von Objekten<br />
Gehen Sie folgendermaßen vor:<br />
‣Doppelklick zum Bearbeiten auf das gewünschte Objekt.<br />
‣Es öffnet sich das entsprechende Dialog-Fenster und die benötigten Daten können modifiziert werden.<br />
‣Sollte der Button Speichern disabled sein, so ist ein Ändern der Daten nicht möglich.<br />
Löschen von Objekten<br />
Falls Sie einen Rechner oder ein neues Netz benötigen, gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den zu löschenden Rechner/Netz aus.<br />
‣Klicken Sie den Icon markiertes Item löschen an.<br />
Ausdrucken der Topologie<br />
Gehen Sie folgendermaßen vor:<br />
‣Der Ausdruck erfolgt durch Anklicken des Icons Drucken.<br />
Es wird automatisch ein Screenshot erstellt, der dann gedruckt wird.<br />
Beachten Sie: Eine Ausnahme ist das Erweiterte Routing. Hier wird nicht die Zone,<br />
sondern der Rechner, der als Router fungieren soll, angeklickt. Es öffnet sich das<br />
entsprechende Eingabefenster, in welchem die fehlenden Daten zu ergänzen sind.<br />
Seite 96
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5 Arbeiten mit <strong>VPN</strong><br />
Ein <strong>VPN</strong> verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk,<br />
z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer<br />
Filliale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist.<br />
Für den Benutzer sieht das <strong>VPN</strong> wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen<br />
Übertragungsweg sieht er nicht. Das <strong>VPN</strong> stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die<br />
durch eine tatsächliche getunnelt wird.<br />
Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom <strong>Securepoint</strong><br />
<strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> wieder entschlüsselt und umgekehrt.<br />
Die <strong>Securepoint</strong> <strong>Firewall</strong> nutzt die beiden der verbreitetsten Protokolle PPTP und IPSec. Damit können Sie auf<br />
eine Benutzer-Authentifizierung, dynamische Adressvergabe, Datenkompression oder Datenverschlüsselung<br />
zurückgreifen.<br />
Seite 97
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1 IPSec <strong>VPN</strong><br />
IPSec Grundlagen<br />
Authentifizierung und Verschlüsselung sind die Grundlagen für <strong>VPN</strong>-Verbindungen. IPSec verwendet für die<br />
sichere Kommunikation zwei Protokolle:<br />
• AH (Authentication Header) ist ein Protokoll für die Authentifizierung des Absenders sowie die Integritäts-<br />
Prüfung des Inhalts<br />
• ESP (Encapsulated Security Payload) ist ein Protokoll für die Verschlüsselung des kompletten Paketes und<br />
der Authentifizierung des Inhalts<br />
Seite 98
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.1 RSA-Authentisierungsverfahren<br />
Zur Auswahl des RSA-Authentisierungsverfahren wählen Sie unter dem Punkt Auth. Meth. das Choice-Feld RSA<br />
aus (Abb. Auswahl RSA). Für das RSA-Verfahren wird automatisch ein Schlüssel generiert. Da beim RSA-<br />
Verfahren auf den <strong>Firewall</strong>s jeweils ein öffentlicher Schlüssel generiert wird, müssen diese jeweils auf <strong>Firewall</strong>und<br />
<strong>VPN</strong>-Gateway ausgetauscht werden. Die Schlüssellänge kann hier speziell angegeben werden. Verwenden<br />
Sie hierzu die Felder Lokaler Schlüssel und Entfernter Schlüssel (Abb. Lokaler und entfernter Schlüssel).<br />
Abb. Auswahl RSA<br />
Abb. Lokaler und entfernter Schlüssel<br />
Abb. Schlüssel bearbeiten<br />
Gehen Sie folgendermaßen vor:<br />
‣Auth. Verf.: Auswahl RSA (Abb. Auswahl RSA).<br />
‣Schlüssellänge: Gewünschte Schlüssellänge auswählen (Abb. Lokaler und entfernter Schlüssel).<br />
‣Lokaler Schlüssel: Importieren des öffentlichen Schlüssels der entfernten <strong>Firewall</strong> (Abb. Schlüssel<br />
bearbeiten).<br />
Detailliert beschriebene Eigenschaften von IPSec-Verbindungen finden Sie in Kapitel 5.1.4.2. Eine komplette<br />
Beispiel-Konfiguration für IPSec (inklusive des nötigen Regelwerks) finden Sie ab Kapitel 11.2.1.<br />
Seite 99
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.2 Preshared-Authentisierungsverfahren<br />
Zur Auswahl des Preshared Key-Authentisierungsverfahren wählen Sie unter dem Punkt Auth. Meth. das<br />
Choice-Feld Preshared aus (Abb. Auswahl PSK). Bei diesem Verfahren geben Sie selbst eine Phrase an. Diese<br />
kann eine beliebige Zeichenkette sein, ähnlich eines Passwortes (Abb. Lokaler Schlüssel).<br />
Abb. Auswahl PSK<br />
Abb. Lokaler Schlüssel<br />
Gehen Sie folgendermaßen vor:<br />
‣ Auth. Verf.: Auswahl Preshared.<br />
‣ Lokaler Schlüssel: Phrase eingeben und klicken Sie auf den Button neben dem Eingabe-Feld von Lokaler<br />
Schlüssel, um diese Phrase zu importieren.<br />
Beachten Sie: Bei der Verbindung von unterschiedlichen <strong>VPN</strong>-<strong>Server</strong>n können die<br />
Keys Probleme erzeugen, da z. B. ein „Blank" unterschiedlich verschlüsselt wird. Bei<br />
Problemen sollten Sie dies deshalb überprüfen.<br />
Detailliert beschriebene Eigenschaften von IPSec-Verbindungen finden Sie in Kapitel 5.1.4.2. Eine komplette<br />
Beispiel-Konfiguration für IPSec (inklusive des nötigen Regelwerks) finden Sie ab Kapitel 11.2.1.<br />
Seite 100
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.3 X509-Zertifikat-Authentisierungsverfahren<br />
X509-Zertifikate sind ein sehr sicheres Verfahren zum Verbinden von <strong>VPN</strong>-<strong>Server</strong>n. Falls Sie X509-Zertifikate<br />
angeben möchten, müssen Sie auf dem Sercurepoint <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> diese Zertifikate erstellen. Diese<br />
werden dann automatisch im Feld Lokales Zertifikat aufgeführt.<br />
5.1.3.1 X509-Zertifikate erstellen<br />
Beim Erstellen von X509-Zertifikaten muss zuerst eine Certification Authority erzeugt werden, mit deren Hilfe<br />
die <strong>Server</strong>- und Client-Zerifikate signiert werden. Mit dem Programm nconfig auf dem <strong>Firewall</strong> <strong>Server</strong> wird ein<br />
signiertes <strong>Server</strong>-Zertifikat erzeugt, das dann über den <strong>Securepoint</strong> Security Manager auswählbar ist.<br />
Mit dem Programm nconfig können beliebig viele Client-Zertifikate, die ebenfalls durch die CA signiert sind,<br />
erzeugt werden. Diese können Sie dann per Diskette beim <strong>VPN</strong>-Client (z. B. Sentinel) einspielen. Wichtig ist,<br />
dass für jeden Client eine neue Verbindung in der IPSec-Konfiguration des <strong>Securepoint</strong> <strong>Server</strong>s erzeugt werden<br />
muss!<br />
Loggen Sie sich zum Erstellen von X509-Zertifikaten per SSH oder lokal auf der <strong>Firewall</strong> ein. Starten Sie das<br />
Programm nconfig. Das Programm nconfig gibt Ihnen die Möglichkeit, Ihre <strong>Firewall</strong>-Konfiguration zu ändern und<br />
Zertifikate zu bearbeiten.<br />
‣Wählen Sie hierzu Punkt 10 aus: <strong>VPN</strong> Properties.<br />
Abb. Programm nconfig, Hauptauswahl<br />
Seite 101
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der CA (Certification Authority)<br />
Bevor Sie jetzt die eigentliche IPSec-Verbindung mit X509-Zertifikaten erstellen, müssen Sie die CA<br />
(Certification Authority), die Ihre Zertifikate signiert, erstellen (Self-Signed-Certificates).<br />
‣Auswahl: Führen Sie Punkt 1 aus: Create new CA Cert.<br />
Abb. Programm nconfig, Create new CA Cert<br />
‣Tragen Sie die entsprechenden Daten ein und merken Sie sich das Passwort. Mit Hilfe dieses Passwortes<br />
sind Sie in der Lage, Ihre Zertifikate zu signieren.<br />
Abb. Programm nconfig, Eintragen der CA-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organization:<br />
Org. Unit:<br />
Email:<br />
Password (private key):<br />
Zertifikatsname<br />
Ländercode<br />
Staat<br />
Bundesland<br />
Organisation/Firma<br />
Abteilung<br />
Ihre Email-Adresse<br />
Ihr Passwort<br />
Seite 102
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen eines <strong>Server</strong>-Zertifikats<br />
Erstellen Sie nun das neue <strong>Server</strong>-Zertifikat.<br />
‣Auswahl: Führen Sie Punkt 2 aus: Create new <strong>Server</strong> Cert.<br />
Abb. Programm nconfig, Create new <strong>Server</strong> Cert<br />
‣Tragen Sie hier wieder Ihre entsprechenden Daten ein. Das erste Passwort müssen Sie bei Erstellung der<br />
IPSec-Verbindung im Security-Manager für Ihr <strong>Server</strong>-Zertifikat angeben. Mit dem zweiten Passwort sind<br />
Sie in der Lage, Ihr Passwort mit der Lokalen CA zu signieren.<br />
Abb. Programm nconfig, eintragen der <strong>Server</strong>-Cert-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organization:<br />
Org. Unit:<br />
Email:<br />
Password:<br />
CA Password:<br />
Zertifikatsname<br />
Ländercode<br />
Staat<br />
Bundesland<br />
Organisation/Firma<br />
Abteilung<br />
Ihre Email-Adresse<br />
Ihr <strong>Server</strong>-Zertifikats-Passwort<br />
Ihr CA-Passwort<br />
Seite 103
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen eines Client-Zertifikats<br />
Erstellen Sie nun das Client-Zertifikat für den Roadwarrior.<br />
‣Auswahl: Führen Sie Punkt 3 aus: Create new Client Cert.<br />
Abb. Programm nconfig, Create new Client Cert<br />
‣Tragen Sie hier wieder Ihre entsprechenden Daten ein. Das erste Passwort müssen Sie bei Erstellung der<br />
IPSec-Verbindung im Security-Manager für Ihr Client-Zertifikat angeben. Mit dem zweiten Passwort sind Sie<br />
in der Lage, Ihr Passwort mit der lokalen CA zu signieren.<br />
Abb. Programm nconfig, eintragen der Client-Cert-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organization:<br />
Org. Unit:<br />
Email:<br />
Password:<br />
CA Password:<br />
Zertifikatsname<br />
Ländercode<br />
Staat<br />
Bundesland<br />
Organisation/Firma<br />
Abteilung<br />
Ihre Email-Adresse<br />
Ihr Client-Zertifikat-Passwort<br />
Ihr CA-Passwort<br />
Seite 104
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Exportieren eines Zertifikats<br />
Sie können nun das Zertifikat auf einen Datenträger (Floppy oder USB) exportieren. Wenn Sie das nicht<br />
möchten, wird das Zertifikat im folgenden Pfad auf der <strong>Firewall</strong> abgespeichert:<br />
/opt/securepoint<strong>4.0</strong>/tmp/client_cert/<br />
Sie können es auch später, zum Beispiel per sftp Protokoll, von der <strong>Firewall</strong> herunterladen.<br />
Abb. Exportieren des Zertifikats auf USB-Storage oder Diskette<br />
Sperren eines Zertifikats<br />
Mit dem Punkt Revoke können Sie ein Zertifikat sperren.<br />
‣Auswahl: Führen Sie Punkt 4 aus: Revoke a Client/<strong>Server</strong> Cert.<br />
Abb. Programm nconfig, Sperren eines Zertifikats<br />
Beachten Sie: Ein Roadwarrior oder <strong>VPN</strong>-<strong>Server</strong> ist danach nicht mehr in der Lage,<br />
sich per IPSec auf der <strong>Firewall</strong> zu authentisieren.<br />
Seite 105
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4 <strong>Firewall</strong>- und IPSec-Verbindungen erstellen<br />
In diesem Bereich erstellen und bearbeiten Sie <strong>Firewall</strong>- und IPSec-<strong>VPN</strong>-Verbindungen.<br />
Abb. Menüleiste mit Icon <strong>Firewall</strong>s-<strong>VPN</strong><br />
‣Der Aufruf der Bereichs <strong>Firewall</strong>-<strong>VPN</strong> erfolgt über das Menü Bearbeiten <strong>Firewall</strong>s–<strong>VPN</strong><br />
oder als Schnellauswahl über das Icon <strong>Firewall</strong>s–<strong>VPN</strong>.<br />
Daraufhin öffnet sich das Fenster <strong>Firewall</strong>s-<strong>VPN</strong>.<br />
Abb. Fenster <strong>Firewall</strong>s-<strong>VPN</strong> mit Menüleiste und erweitertes Menü mit rechtem Mausklick<br />
Das Fenster <strong>Firewall</strong>s-<strong>VPN</strong> unterteilt sich in folgende Bereiche:<br />
Bereich<br />
<strong>Firewall</strong>-<strong>VPN</strong>-Auswahlleiste:<br />
Arbeitsfläche:<br />
Objektleiste für <strong>Firewall</strong>-, Roadwarrior und <strong>VPN</strong>-Objekte<br />
Es besteht die Möglichkeit, eine Landkarte in die Arbeitsoberfläche zu<br />
integrieren. Dies erleichtert Ihnen die Übersicht Ihres <strong>VPN</strong>-Netzes. Nähere<br />
Informationen erhalten Sie in Kapitel 11.2.1.3.<br />
Seite 106
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Sie haben die Möglichkeit, über die Menüleiste des Fensters <strong>Firewall</strong>s-<strong>VPN</strong> (Abb. Menüleiste <strong>Firewall</strong>s-<strong>VPN</strong>) zu<br />
bearbeiten.<br />
Abb. Menüleiste <strong>Firewall</strong>s-<strong>VPN</strong><br />
Menü: IPSec-Verbindungen<br />
Drucken:<br />
<strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen:<br />
Andere <strong>Firewall</strong> anlegen:<br />
Roadwarrior anlegen:<br />
Text:<br />
Eingabe beenden:<br />
IPSec-Verbindung anlegen:<br />
Choice-Feld Arbeitsoberfläche/<br />
Landkarten:<br />
IPSec-Aktualisieren:<br />
Alle <strong>Firewall</strong>s auf Karte anmelden:<br />
Policy-Distributor öffnen:<br />
Liste der Verbindungen:<br />
Drucken der Arbeitsoberfläche<br />
<strong>Securepoint</strong> 4.X anlegen<br />
Ältere <strong>Securepoint</strong> oder Fremdprodukte anlegen<br />
IPSec-<strong>VPN</strong>-Client (Roadwarrior) anlegen<br />
Hilfetext für Bemerkungen auf Arbeitsoberfläche anlegen<br />
Beenden der Eingabe<br />
IPSec-Verbindung zw. <strong>Securepoint</strong> u <strong>VPN</strong>-<strong>Server</strong>/-Client anlegen<br />
Auswahl von Arbeitsoberflächen<br />
Aktualisierung von IPSec-Verbindungen nach einer Bearbeitung<br />
Anmeldung von <strong>Firewall</strong>s<br />
Verteilung von Policies an <strong>Firewall</strong>s<br />
Liste der aktuellen <strong>VPN</strong>-Verbindungen<br />
Auswahl erweitertes Menü<br />
‣Klicken Sie mit der rechten Maustaste auf das schwarze Rechteck der Verbindung öffnet sich das Menü zum<br />
Bearbeiten der IPSec-Verbindungen (Abb. Fenster <strong>Firewall</strong>s-<strong>VPN</strong> mit Menüleiste und erweitertes Menü mit<br />
rechtem Mausklick).<br />
Auswahl Menüpunkte<br />
Subnetz bearbeiten:<br />
Eigenschaften:<br />
Verbindung starten:<br />
Verbindung stoppen:<br />
Verbindung löschen:<br />
Öffnung des Fensters zum Anzeigen/Anlegen von Subnetzen<br />
Öffnung des Fensters Eigenschaften der IPSec-Verbindungen<br />
Aufbau des Tunnels für diese IPSec-Verbindung<br />
Abbruch der IPSec-Verbindung<br />
Löschung der IPSec-Verbindung<br />
Beachten Sie: Änderungen bei IPSec werden erst dann wirksam, nachdem das Icon<br />
IPSec aktualisieren angeklickt wurde. Das Verschieben von <strong>Firewall</strong>s oder Roadwarrior<br />
wieder nach links auf die <strong>Firewall</strong>-Auswahlleiste bewirkt keine Veränderung bei den<br />
Verbindungen, diese werden nur nicht mehr auf der Arbeitsoberfläche angezeigt.<br />
Seite 107
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4.1 IPSec-Verbindungen erstellen, bearbeiten und löschen<br />
Bearbeiten von IPSec-Verbindungen<br />
Gehen Sie folgendermaßen vor:<br />
‣Doppelklick mit der linken Maustaste auf das schwarze Rechteck der Verbindung oder mit der rechten<br />
Maustaste einen Einfachklick darauf ausführen und Eigenschaften aus dem erweiterten Menü auswählen.<br />
Es öffnet sich das Fenster Dateneingabe (Abb. Dialog-Fenster Eigenschaften IPSec-Verbindungen).<br />
‣Geben Sie die notwendigen Daten in das Dialogfenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Löschen von IPSec-Verbindungen<br />
Gehen Sie folgendermaßen vor:<br />
‣Mit der rechten Maustaste einen Einfachklick auf das schwarze Rechteck der Verbindung ausführen und<br />
Verbindung löschen aus dem erweiterten Menü auswählen.<br />
‣Bestätigen Sie die Abfrage mit OK.<br />
Beachten Sie: Wird eine IPSec-Verbindung gelöscht, so werden automatisch auch alle<br />
Subnetze entfernt!<br />
Abb. Verbinden der Netze im IPSec-Tunnel<br />
Seite 108
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4.2 Eigenschaften von IPSec-Verbindungen<br />
‣Doppelklick mit der linken Maustaste auf das schwarze Rechteck der Verbindung oder mit der rechten<br />
Maustaste einen Einfachklick darauf ausführen und Eigenschaften aus dem erweiterten Menü auswählen.<br />
IPSec-Verbindungen besitzen eine Vielzahl von Eigenschaften.<br />
Abb. Dialog-Fenster Eigenschaften IPSec-Verbindungen, allgemein<br />
Allgemeine Eigenschaften<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
Art:<br />
Name der Verbindung, der automatisch aus den IPSec-Objekten erzeugt wird.<br />
Art der <strong>VPN</strong>-Verbindung wird beschrieben. Folgende Möglichkeiten gibt es:<br />
F to F: für <strong>Securepoint</strong> <strong>VPN</strong>-<strong>Server</strong> (<strong>Securepoint</strong>) <strong>VPN</strong>-<strong>Server</strong><br />
für <strong>Securepoint</strong> <strong>VPN</strong>-<strong>Server</strong> andere IPSec-<strong>VPN</strong>-<strong>Server</strong><br />
C to F: für <strong>Securepoint</strong> <strong>VPN</strong>-<strong>Server</strong> IPSec-Client (SSH Sentinel..)<br />
Authentisierungs<br />
methode:<br />
Key-Life:<br />
<strong>Securepoint</strong> unterstützt verschiedene Authentisierungsverfahren:<br />
RSA, Certificate und Preshared.<br />
Es muss ein Schlüssel erzeugt werden, der auf <strong>Firewall</strong> und <strong>VPN</strong> Gateway bekannt ist. Für<br />
Preshared geben Sie selbst einen Schlüssel an, für RSA wird automatisch ein Schlüssel<br />
generiert. Da auf den <strong>Firewall</strong>s jeweils ein öffentlicher Schlüssel generiert wird, müssen<br />
diese jeweils auf <strong>Firewall</strong> und <strong>VPN</strong> Gateway ausgetauscht werden. Die Schlüssellänge kann<br />
hier speziell angegeben werden. Falls Sie X509 Zertifikate angeben möchten, müssen Sie<br />
auf dem <strong>Firewall</strong> <strong>Server</strong> Zertifikate erstellen. Diese werden dann automatisch im Feld<br />
Lokales Zertifikat aufgeführt. Beachten Sie, dass bei der Verbindung von unterschiedlichen<br />
<strong>VPN</strong>-<strong>Server</strong>n die Keys Probleme erzeugen können, da z. B. ein "Blank" unterschiedlich<br />
verschlüsselt wird. Bei Problemen sollten Sie dies deshalb überprüfen.<br />
Beschreibt, wie lange die IPSec-Sitzung aufrecht erhalten wird, bevor sie neu initiiert wird.<br />
IKE-Life: Hier definieren Sie die Dauer der IKE-Verbindung. Die Verbindung darf zwischen 1 und 8<br />
Stunden möglich sein, danach ist ein neuer Verbindungsaufbau aus Sicherheitsgründen<br />
nötig (dies wird automatisch initiiert).<br />
Seite 109
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Schlüssellänge:<br />
PFS:<br />
Keyingtries:<br />
Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren RSA-Signatur<br />
verwenden. Die Schlüssellänge kann 1024, 2048 und 4096 Bit betragen.<br />
Die Schlüssel für die <strong>VPN</strong>-Verbindung werden mit Hilfe eines Zufallszahlengenerators<br />
erzeugt. Mit PFS (Perfect Forwarding Secrecy) wird sichergestellt, dass kein anderer<br />
Schlüssel auf der gleichen Datenbasis erstellt wird. So ist es nicht möglich, Rückschlüsse<br />
auf Grund eines Schlüssels durchführen zu können. Die Funktion benötigt zusätzliche<br />
Rechenleistung und ist möglicherweise nicht immer kompatibel zu anderen Herstellern. In<br />
Problemfällen können Sie sie deshalb ausschalten.<br />
Der Parameter Keyingtries gibt an, wie oft versucht wird eine Verbindung neu aufzubauen.<br />
"0" bedeutet laufend zu versuchen, die Verbindung aufzubauen. "1" bedeutet, die<br />
Verbindung 3 mal neu aufzubauen, danach wird der Versuch beendet.<br />
Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen<br />
Eigenschaften der <strong>VPN</strong>-<strong>Server</strong> oder –Clients<br />
Eingabe- und Auswahlfelder<br />
Lokales Gateway:<br />
Lokale Gateway ID:<br />
Lokaler Schlüssel:<br />
Lokales Zertifikat:<br />
Entfernter Host/<br />
Gateway:<br />
Entfernter Host/<br />
Gateway ID:<br />
Entfernter Schlüssel:<br />
Automatisch starten:<br />
Das lokale Gateway ist die <strong>Firewall</strong> selbst.<br />
ID: Die lokale Gateway ID ist die externe IP-Adresse der <strong>Firewall</strong>.<br />
Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren Preshared oder<br />
RSA verwenden. Für Preshared geben Sie selbst einen Schlüssel an, für RSA wird<br />
automatisch ein Schlüssel generiert. Der von Ihnen angegebene lokale Schlüssel muss<br />
auf den verbundenen <strong>VPN</strong> <strong>Server</strong>n / Clients zur Authentisierung angegeben sein. Da<br />
beim RSA-Verfahren auf den <strong>Firewall</strong>s jeweils ein öffentlicher Schlüssel generiert wird,<br />
müssen diese jeweils auf beiden <strong>Firewall</strong>s ausgetauscht werden. Die Schlüssellänge<br />
kann hier speziell angegeben werden.<br />
Dieses Feld ist nur verfügbar, wenn Sie als Authentisierungsverfahren Certificate<br />
verwenden. Dies betrifft X509-Zertifikate.<br />
<strong>VPN</strong> Gateway oder Host (Name / IP)<br />
<strong>VPN</strong> Gateway oder Host (Name / IP)<br />
Dies ist ein Preshared Key oder eine RSA Signatur (Public Key).<br />
Der Eintrag muss auf no stehen, wenn eine <strong>VPN</strong>-Client-Verbindung erwartet wird. Im<br />
Falle eines <strong>VPN</strong>-<strong>Server</strong>s wird versucht, eine Verbindung aufzubauen.<br />
Seite 110
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4.3 Sub-Netze erstellen, bearbeiten und löschen<br />
Um eine funktionierende IPSec-Verbindung anzulegen, müssen auch die Sub-Netze, die hinter den <strong>Firewall</strong>s<br />
erreichbar sein sollen, angegeben werden.<br />
Tragen Sie ein, welche Netze Sie im IPSec-Tunnel miteinander verbinden wollen (Abb. Verbinden der Netze im<br />
IPSec-Tunnel). Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie hierzu mit der rechten Maustaste auf das schwarze Rechteck, das sich auf der entstandenen<br />
Linie zwischen dem <strong>Firewall</strong>- und Roadwarrior-Objekt befindet.<br />
Abb. Verbinden der Netze im IPSec-Tunnel<br />
‣Klicken Sie auf das Menü Sub-Netz bearbeiten.<br />
Es öffnet sich das Fenster zum Bearbeiten des Sub-Netzes (Abb. Fenster Sub-Netz bearbeiten).<br />
Abb. Fenster Sub-Netz bearbeiten<br />
Seite 111
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. Menüleiste Sub-Netz<br />
Menü: Dienste<br />
Hinzufügen:<br />
Löschen:<br />
Hinzufügen eines neuen Dienstes<br />
Löschen eines ausgewählten Dienstes<br />
Sub-Netz hinzufügen<br />
Abb. Dialog-Fenster Sub-Netz hinzufügen<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Sub-Netz hinzufügen (Abb. Fenster Sub-Netz bearbeiten).<br />
‣Tragen Sie die notwendigen Daten in das Dialog-Fenster ein (Abb. Dialog-Fenster Sub-Netz hinzufügen).<br />
‣Speichern Sie Ihre Daten.<br />
Eingabe- und Auswahlfelder<br />
Verbindung:<br />
ID:<br />
Subnetz „firewall“:<br />
Maske:<br />
Subnetz „peterpriv“:<br />
Maske:<br />
Anzeige Verbindungsname<br />
Anzeige ID des Datensatzes<br />
IP-Adresse<br />
Auswahl oder Eingabe der Maske des Sub-Netzes<br />
IP-Adresse<br />
Auswahl oder Eingabe der Maske des Sub-Netzes<br />
Subnetz löschen<br />
Gehen Sie folgendermaßen vor:<br />
‣Das zu löschendes Subnetz durch Anklicken der Zeile auswählen (Abb. Fenster Sub-Netz bearbeiten).<br />
‣Icon Löschen anklicken. Nach Bestätigung der Sicherheitsabfrage wird der Datensatz gelöscht.<br />
Seite 112
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4.4 IPSec-Verbindung starten und stoppen<br />
Gehen Sie folgendermaßen vor.<br />
‣Klicken Sie hierzu mit der rechten Maustaste auf das schwarze Rechteck, das sich auf der entstandenen<br />
Linie zwischen dem <strong>Firewall</strong>- und Roadwarrior-Objekt befindet.<br />
‣Wählen Sie aus dem Menü Verbindung starten oder Verbindung stoppen.<br />
Beachten Sie: Es wird nur die betreffende Verbindung gestartet oder gestoppt. Alle<br />
anderen bleiben in dem Zustand, in dem Sie vorher waren.<br />
Abb. Verbindungen starten und stoppen<br />
Seite 113
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.4.5 Text auf der Arbeitsoberfläche erstellen und löschen<br />
Die Text-Funktion gibt Ihnen einen zusätzliche Möglichkeit, eine übersichtliche Darstellung Ihres Netzes zu<br />
erstellen.<br />
Erstellen von Texten auf der Arbeitsoberfläche<br />
Gehen Sie folgendermaßen vor:<br />
‣Icon Text anklicken.<br />
‣Auf die Stelle auf der Arbeitsoberfläche klicken, an der der Text platziert werden soll Text im gelben<br />
Eingabefeld eingeben und<br />
‣mit Return bestätigen.<br />
Löschen von Texten auf der Arbeitsoberfläche<br />
Gehen Sie folgendermaßen vor:<br />
‣Mit der rechten Maustaste einen Einfachklick auf den zu löschenden Text ausführen und Löschen auswählen.<br />
Seite 114
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.5 Policy-Distributor<br />
Mit dem Policy-Distributor sind Sie in der Lage, <strong>Firewall</strong>s upzudaten und Sicherheitspolicies zu verteilen.<br />
‣Der Aufruf des Bereichs Policy-Distributor erfolgt über das Menü <strong>Firewall</strong>s-<strong>VPN</strong> Icon Policy-Distributor.<br />
Daraufhin öffnet sich das Fenster Policy-Distributor (Abb. Policy-Distributor).<br />
Abb. Fenster Policy-Distributor<br />
Abb. Menüleiste Policy-Distributor<br />
Menü: Policy-Distributor<br />
Öffnen:<br />
Sicheres öffnen:<br />
Speichern:<br />
Sicherheitspolicy<br />
generieren:<br />
Sicherheitspolicy<br />
verteilen:<br />
Öffnen einer lokal gespeicherten Policy-Datei<br />
Öffnen einer Backup-Datei, aus der nur die Daten geladen werden, die<br />
verbindungsrelevante Daten nicht gefährden (z. B. IPSec)<br />
Lokales speichern einer Policy-Datei<br />
Generierung und Anzeige einer Policy (diese kann modifiziert, gespeichert, neu<br />
geladen werden) mit den aktuell im Client geladenen Daten (d. h., mit den<br />
Daten Ihrer aktuellen <strong>Firewall</strong> oder einer geladenen Konfigurationsdatei).<br />
Hierbei handelt es sich um Daten, die auf jeder <strong>Firewall</strong> einer Organisation<br />
gleich sein können:<br />
- [dienste]<br />
- [dienstgruppen]<br />
- [anwendungen]<br />
- [anwendungsgruppen]<br />
- [rechner_gruppe]<br />
- [regeln]<br />
Diese Daten können auf alle <strong>Firewall</strong>s, die sich auf der Arbeitsoberfläche<br />
befinden, verteilt werden und so eine schnellere Einrichtung des Netzwerks<br />
erreicht werden. Auf den einzelnen <strong>Firewall</strong>s müssen dann nur noch Rechner<br />
angelegt und den Gruppen zugeordnet werden.<br />
Seite 115
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.5.1 Verteilung von Policies an <strong>Firewall</strong>s<br />
Zur Verteilung muss das Icon Sicherheitpolicy verteilen angeklickt werden. Es erfolgt eine Syntaxprüfung und<br />
der Upload zu allen <strong>Securepoint</strong> 4.X <strong>Firewall</strong>s, die sich auf der Arbeitsoberfläche befinden. Die Policy wird an<br />
alle <strong>Firewall</strong>s verteilt, die „online“ oder „standby“ (grüne LED und gelbe LED) mit dem Security Manager<br />
verbunden sind.<br />
Beachten Sie: Bereits vorhandene Daten der angegebenen Bereiche werden auf den<br />
<strong>Firewall</strong>s überschrieben!<br />
Seite 116
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.1.6 IPSec-Roadwarrior<br />
An den <strong>Securepoint</strong> IPSec-<strong>VPN</strong>-<strong>Server</strong> können Sie einen IPSec-Client anbinden. Eine Beispielkonfiguration mit<br />
dem Sentinel IPSec-Roadwarrior finden Sie im Kapitel 11.2.1.4.<br />
Seite 117
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.2 PPTP <strong>VPN</strong><br />
Ein <strong>VPN</strong> verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk,<br />
z. B. das Internet, als Transportweg nutzt. Bis jetzt ist die bekannteste <strong>VPN</strong>-Technologie PPTP von Microsoft.<br />
IPSec ist ein wesentlich höherer Sicherheitsstandard. PPTP unterstützt den Windows-PPTP-Client Ihres Windows<br />
Betriebssystems.<br />
‣Der Aufruf der Option PPTP <strong>VPN</strong> erfolgt über das Menü Bearbeiten Optionen PPTP.<br />
Beachten Sie: Die PPTP Grundeinstellungen wurden erweitert. Es können jetzt auch<br />
NS- und Wins-<strong>Server</strong> angegeben werden.<br />
Seite 118
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.2.1 PPTP-Benutzer<br />
Im Gegensatz zu IPSec müssen Sie bei PPTP-Benutzer definieren. D. h. Sie müssen einen <strong>VPN</strong>-Benutzer<br />
erstellen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Der Aufruf der Option Benutzerverwaltung erfolgt über das Menü Bearbeiten Optionen <br />
Benutzerverwaltung.<br />
Abb. Fenster Benutzerverwaltung<br />
Abb. Menüleiste Benutzerverwaltung<br />
Menü: Benutzerverwaltung<br />
Hinzufügen:<br />
Löschen:<br />
Choice-Feld:<br />
Hinzufügen eines neuen Benutzers der <strong>Firewall</strong><br />
Löschen eines ausgewählten Benutzers<br />
Anzeige der Benutzergruppen<br />
Seite 119
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen eines neuen Benutzers<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie auf das Icon Hinzufügen.<br />
Es öffnet sich das Dialog-Fenster Dateneingabe (Abb. Dialog-Fenster Hinzufügen von Benutzern).<br />
‣Tragen Sie die notwendigen Angaben in das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben mit dem Button Speichern.<br />
Abb. Dialog-Fenster Hinzufügen von Benutzern<br />
Wenn Sie für den Punkt PPTP IP eine IP-Adresse eintragen, bekommt der Benutzer von der <strong>Firewall</strong> immer im<br />
Tunnel diese IP-Adresse zugewiesen. Falls Sie den Stern * (Joker) stehen lassen, bekommt er eine IP-Adresse<br />
aus einem Pool zugewiesen.<br />
Eingabe- und Auswahlfelder<br />
Name:<br />
Login:<br />
Passwort:<br />
Bestätigung:<br />
Name des Benutzers<br />
Login des Benutzers<br />
Passwort des Benutzers<br />
Passwort-Bestätigung des Benutzers<br />
Gruppe: Es können verschiedene Benutzergruppen ausgewählt werden (siehe Kapitel 2.5.1.2):<br />
Administrator, Benutzer (nur für <strong>Firewall</strong>-Reports), <strong>VPN</strong>-Benutzer (betrifft nur PPTP-<strong>VPN</strong>),<br />
Squid-Benutzer (Benutzer, die den Squid-Proxy verwenden)<br />
PPTP IP:<br />
IP-Adresse, die dem Benutzer zugewiesen wird; Stern * (Joker): Benutzer bekommt eine<br />
freie IP-Adresse aus dem Adresspool zugewiesen.<br />
Löschen von Benutzern<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie den zu löschenden Benutzer aus (Abb. Fenster Benutzerverwaltung).<br />
‣Klicken Sie auf das Icon Löschen.<br />
Seite 120
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.2.2 PPTP-Konfiguration<br />
Nach dem Anlegen von PPTP-<strong>VPN</strong>-Benutzern können Sie die PPTP-Konfiguration durchführen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Erstellen Sie unter Menü Bearbeiten Optionen PPTP die endgültige Konfiguration.<br />
‣Konfigurieren Sie nun das <strong>VPN</strong>-Interface und die weiteren Angaben wie PPTP-Adresspool, simultane PPTP-<br />
Verbindungen. Geben Sie dazu die notwendigen Daten über das Dialog-Fenster ein.<br />
‣Speichern Sie Ihre Eingaben durch Klick auf den Button Speichern.<br />
Der Adresspool ist aus einem Adressbereich, der dem internen oder DMZ/SSN-Netzen entsprechen muss. Sie<br />
haben folgende Einstellungsmöglichkeiten:<br />
Allgemeine Einstellungen<br />
Abb. Dialog-Fenster PPTP Allgemeine Einstellungen<br />
Tragen Sie hierzu folgende Daten ein:<br />
Eingabefelder<br />
PPTP-Interface:<br />
PPTP-Adresspool:<br />
Das PPTP-Interface ist ein virtuelles Interface, welches beim Start des PPTP <strong>Server</strong>s<br />
hochfährt.<br />
Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP-Clients ihre IP-Adresse für<br />
den Tunnel beziehen.<br />
Seite 121
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. Dialog-Fenster PPTP Verschlüsselung<br />
Eingabe- und Auswahlfelder<br />
Verschlüsselung:<br />
Simultane Verb.:<br />
Wählen Sie die Verschlüsselungstiefe 128 / 40 Bit.<br />
Wählen Sie die Anzahl der Verbindungen, die simultan gehalten werden sollen.<br />
NS / WINS<br />
Abb. Dialog-Fenster PPTP NS/WINS<br />
Im letzten Folder können Sie Nameserver und WINS <strong>Server</strong> eintragen, die dem Client neben seiner IP-Adresse<br />
mit zugewiesen werden.<br />
Eingabefelder<br />
erster NS:<br />
zweiter NS:<br />
erster WINS:<br />
zweiter WINS:<br />
IP-Adresse des ersten Nameservers<br />
IP-Adresse des zweiten Nameservers<br />
IP-Adresse des ersten WINS-<strong>Server</strong>s<br />
IP-Adresse des zweiten WINS-<strong>Server</strong>s<br />
Seite 122
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
5.2.3 PPTP-Roadwarrior<br />
An den <strong>Securepoint</strong> PPTP-<strong>VPN</strong>-<strong>Server</strong> können Sie einen Windows-PPTP-Client anbinden.<br />
Eine Beispielkonfiguration finden Sie im Kapitel 11.3.1.<br />
Seite 123
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
6 Arbeiten mit Konfigurationen<br />
<strong>Securepoint</strong> bietet im Gegensatz zu anderen <strong>Firewall</strong>- und <strong>VPN</strong>-Anbietern die Möglichkeit, den <strong>Securepoint</strong><br />
Security Manager online und offline zu betreiben.<br />
Verschiedene Konfigurationen können lokal gespeichert und auch im Offline-Modus bearbeitet werden.<br />
6.1 Öffnen einer Konfigurationsdatei<br />
Beim Öffnen einer gespeicherten Konfigurationsdatei haben Sie zwei Möglichkeiten:<br />
• Öffnen von Beispiel-Konfigurationen auf der <strong>Securepoint</strong> CD-ROM<br />
• Öffnen von von Ihnen angelegten Konfigurationsdateien<br />
Abb: Menüleiste mit Icon Öffnen<br />
‣Zum Öffnen einer gespeicherten Konfigurationsdatei wählen Sie: Menü Datei Öffnen<br />
oder als Schnellauswahl klicken Sie auf das Icon Öffnen.<br />
Seite 124
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Öffnen einer Beispiel-Konfiguration auf der <strong>Securepoint</strong> CD-ROM<br />
Es öffnet sich jetzt ein Auswahl-Dialog (Abb. Öffnen einer Konfigurationsdatei), von dem aus die gewünschte<br />
Konfigurationsdatei ausgewählt werden kann. Die Datei-Endung ist „dateiname.isf“. Sie finden im Verzeichnis<br />
tools/securepoint_client/samples auf der <strong>Securepoint</strong> CD-ROM verschiedene Beispiele.<br />
Beim Öffnen einer Konfigurationsdatei wird der Key abgefragt und die Daten werden entschlüsselt (Abb.<br />
Schlüsseleingabe) und in den Security Manager geladen. Der Schlüssel für die Beispiel-Konfigurationen ist<br />
„test“.<br />
‣Auswahl der gewünschten Konfigurations-Datei über Dialog-Fenster.<br />
‣Eingabe des Schlüssels test.<br />
Abb. Öffnen einer Konfigurationsdatei<br />
Abb. Schlüsseleingabe<br />
Öffnen einer von Ihnen angelegten Konfigurationsdatei<br />
Es öffnet sich ein Auswahl-Dialog, von dem aus die gewünschte Konfigurationsdatei ausgewählt werden kann.<br />
Die Datei-Endung ist „dateiname.isf“.<br />
Beim Öffnen einer Konfigurationsdatei wird Ihr Schlüssel abgefragt und die Daten werden entschlüsselt (Abb.<br />
Öffnen einer Konfigurationsdatei und Abb. Schlüsseleingabe) und in den Security Manager geladen.<br />
‣Auswahl der gewünschten Konfigurationsdatei über Dialog-Fenster.<br />
‣Eingabe Ihres Schlüssels.<br />
Achtung: wenn Sie sich mit einer <strong>Firewall</strong> im online-Modus befinden, wird Ihre<br />
Konfiguration nicht nur geöffnet, sondern auch auf den <strong>Firewall</strong> <strong>Server</strong> geladen. Sie<br />
überschreiben damit also eine bestehende, laufende Konfiguration!<br />
Seite 125
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
6.2 Speichern einer Konfigurationsdatei<br />
Sie können verschiedene Konfigurationen testen oder von Zeit zu Zeit einfach Sicherungskopien archivieren.<br />
Aus Sicherheitsgründen wird eine abgespeicherte Konfiguration verschlüsselt. Geben Sie deshalb einen<br />
Verschlüsselungskey beim Speichern ein (Abb. Speichern oder Speichern Als einer Konfigurationsdatei mit<br />
Eingabe eines Schlüssel).<br />
Abb: Menüleiste mit Icon Speichern<br />
‣Zum Speichern einer Konfigurationsdatei wählen Sie: Menü Datei Speichern<br />
oder klicken Sie auf das Icon Speichern.<br />
‣Eingabe des Verschlüsselungskeys.<br />
‣Zum Speichern einer Konfigurationsdatei unter neuem Namen wählen Sie: Menü Datei Speichern als.<br />
Abb. Speichern einer Konfigurationsdatei<br />
Abb: Eingabe eines Schlüssel<br />
Seite 126
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
6.3 Drucken einer Konfiguration<br />
Eine bequeme Möglichkeit neben dem Speichern einer Konfiguration ist die Druck-Möglichkeit von Regeln und<br />
kompletten <strong>Firewall</strong>-Einstellungen. So können Sie sich schnell eine Dokumentation Ihrer <strong>Firewall</strong>/<strong>VPN</strong>-<br />
Einstellung machen.<br />
‣Klicken Sie auf das Icon Drucken, um die gewünschte Auswahl auszudrucken.<br />
Abb. Regel-Übersicht drucken<br />
Menü: Text drucken<br />
Choice-Feld:<br />
Regeln (Übersicht):<br />
Regeln (detailliert):<br />
Installation komplett:<br />
Drucken:<br />
Hinzufügen eines neuen Benutzers der <strong>Firewall</strong><br />
Übersicht aller Regeln mit Rechner- und Dienstgruppen<br />
Übersicht aller Regeln mit Rechner- und Dienstgruppen sowie deren<br />
dazugehörigen Rechnern und Diensten<br />
Sämtliche Einstellungen<br />
Drucken der Konfiguration<br />
Seite 127
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
6.4 Nachträgliche Änderungen der <strong>Server</strong>-Konfiguration<br />
Mit Hilfe des lokalen Konfigurationsprogramms nconfig können Sie nachträglich die Parameter Ihrer<br />
Konfiguration ändern (Kapitel 9.3).<br />
Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der ersten Linux <strong>Server</strong>-Konsole zur Verfügung. Es<br />
kann auch per SSH aufgerufen werden.<br />
Beachten Sie: Möglicherweise müssen Sie beim Aufruf über SSH die Terminal Variable<br />
anpassen (TERM = vt100).<br />
Seite 128
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7 Arbeiten mit Reports<br />
Ein wesentlicher Teil der Funktionen der <strong>Securepoint</strong> <strong>Firewall</strong> sind Logging-, Überwachungs- und Alarmierungsfunktionen.<br />
Um über Ereignisse oder Alarme zu informieren, ist auch die Generierung von Emails möglich. Das<br />
kann auch dann sinnvoll sein, wenn große Netzwerke überwacht werden oder wenn mit dem Überschreiben der<br />
Log-Dateien durch zu viele Log-Einträge bei wechselnden Angriffsweisen gerechnet werden muss. Das<br />
Reporting besitzt einen Schutz gegen das Fluten mit tausendfach identischen Einträgen.<br />
Report-Typen:<br />
• Standard Reports (Kapitel 7.1)<br />
• Log-Auswertung (Kapitel 7.2)<br />
• IP-Traffic-Auswertung (Kapitel 7.3)<br />
• Proxy-Auswertung (Kapitel 7.4)<br />
• Traffic-Auswertung (Kapitel 7.5)<br />
• Accounting (Kapitel 7.6)<br />
Archiv-Funktion<br />
Damit die Speicherkapazität der Festplatte immer ausreicht, ist ein Schutz installiert. Dieser sorgt dafür, dass<br />
die Log-Dateien nicht zu groß werden, denn er lässt die Dateien rotieren. D. h., dass die Dateien von Anfang an<br />
wieder beschrieben werden. Beim Loggen ist es entscheidend, Meldungen, die durch fehlerhafte Konfiguration<br />
verursacht werden, von echten Angriffen zu unterscheiden.<br />
Die Logfiles werden in folgenden Zeitabständen rotiert:<br />
• Log-Auswertung: 7 Tage<br />
• Accounting: 31 Tage<br />
• alle anderen: 5 Tage<br />
Seite 129
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.1 Standard Reports<br />
Abb. Menüleiste mit Icon Standard Reports<br />
‣Der Aufruf der Standard-Reports erfolgt über das Menü Reports Standard Reports<br />
oder als Schnellauswahl über das Icon Standard Reports.<br />
Abb. Fenster Standard Reports<br />
Abb. Menüleiste Standard Reports<br />
Menü: Standard Reports<br />
Choice-Feld Report:<br />
Archiv:<br />
Dateilänge:<br />
Report ansehen:<br />
Report mailen:<br />
Report speichern:<br />
Die zur Verfügung stehenden Standard-Reports sind:<br />
IPSec:<br />
Geloggte Verbindungen über <strong>VPN</strong> IPSec<br />
System-Log: Generelle Systemmeldungen<br />
System-Status: Generelle Statusmeldungen des <strong>Firewall</strong>-Systems<br />
Proxy:<br />
Statistiken des Proxy über Zugriffe von Benutzern<br />
Administration: Grundsätzliche Systemmeldungen<br />
ISDN:<br />
Geloggte Verbindungen über ISDN<br />
PPTP:<br />
Geloggte Verbindungen über <strong>VPN</strong> PPTP<br />
Auswahl des Datums<br />
Anzeige der Dateilänge in Zeilen<br />
Auswahl des lokal gespeicherten Reports und Anzeige<br />
Versendung des ausgewählten Reports per Email<br />
Lokale Speicherung des ausgewählten Reports<br />
Seite 130
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.1.1 Öffnen eines Standard Reports<br />
‣Wählen Sie zuerst in dem Choice-Feld Report den gewünschten Report aus.<br />
‣Wählen Sie zusätzlich über das Choice-Feld Archiv das Datum aus.<br />
Abb. Standard-Reports, Bsp. IPsec<br />
Lokal gespeicherten Report ansehen<br />
Wenn Sie sich einen lokal abgespeicherten Report ansehen möchten:<br />
‣Klicken Sie auf das Icon Report ansehen klicken und den Report z. B. in Wordpad ansehen.<br />
Report mailen<br />
Das Versenden eines Reports per Email aus dem Security Manager heraus ist ebenfalls möglich.<br />
Abb. Dialog-Fenster Report mailen<br />
‣Klicken Sie auf das Icon Report mailen.<br />
‣Daraufhin haben Sie die Möglichkeit, eine Email-Adresse auszuwählen, zu der der Report gesandt wird.<br />
Diese Email-Adresse ist eine Adresse, die in der Benutzerverwaltung einem Benutzer zugewiesen wurde.<br />
Report speichern<br />
Sollten Sie einen Report lokal auf Ihrem Rechner speichern wollen:<br />
‣Klicken Sie auf den Button Report speichern.<br />
‣Danach können Sie das Verzeichnis bestimmen, in das der Report gespeichert wird.<br />
Seite 131
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.2 Log-Auswertung<br />
Diese Funktionen dient Ihnen zur Auswertung der Logfiles.<br />
Abb. Menüleiste mit Icon Log-Auswertung<br />
‣Der Aufruf der Log-Auswertung erfolgt über das Menü Reports Log-Auswertung oder<br />
als Schnellauswahl über das Icon Log-Auswertung.<br />
Abb. Fenster Log-Auswertung<br />
Abb. Menüleiste Log-Auswertung<br />
Menü: Log-Auswertung<br />
Download:<br />
Öffnen:<br />
Logfile (Tabelle):<br />
Datendurchsatz je IP<br />
(Grafik):<br />
Stündlicher Datendurchsatz<br />
(Grafik):<br />
Drucken:<br />
Auswahl des Logfiles<br />
Öffnen des Logfiles<br />
Ansicht des Logfiles als Tabelle<br />
Ansicht des Logfiles gemäß Datendurchsatz je IP als Grafik<br />
Ansicht des Logfiles gemäß stündlichem Datendurchsatz als Grafik<br />
Ausdruck des aktuellen Screens<br />
Seite 132
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Öffnen einer Log-Datei<br />
Zum Betrachten einer Log-Datei muss diese zunächst von der <strong>Firewall</strong> heruntergeladen werden. Es kann die<br />
aktuelle Log-Datei oder eine der vergangenen sechs Tage genutzt werden.<br />
‣Öffnen Sie das Download-Auswahlfeld und wählen Sie die gewünschte Datei aus (Abb. Log-Auswertung<br />
Auswahl).<br />
Daraufhin wird die Datei-Größe und die voraussichtliche Download-Zeit angezeigt. Nach Bestätigung der<br />
Auswahl wird die Datei vom <strong>Server</strong> auf Ihren lokalen Rechner heruntergeladen.<br />
‣Klicken Sie auf das Icon Öffnen, um die Datei anzeigen zu lassen.<br />
Wurde die Datei schon einmal heruntergeladen, so kann sie auch direkt mit dem Icon Öffnen lokal geöffnet und<br />
angezeigt werden.<br />
Abb. Log-Auswertung Auswahl<br />
Seite 133
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.2.1 Datendurchsatz je IP (grafisch)<br />
Datendurchsatz je IP<br />
Zur Anzeige des Datendurchsatzes in Paketen pro IP-Adresse und Paketart<br />
‣Klicken Sie auf das Icon Datendurchsatz je IP.<br />
Die Anzeige ist absteigend sortiert. Sie müssen folgendes auswählen:<br />
‣Paketart auswählen.<br />
‣Gewünschte Balkenanzahl auswählen oder eingeben.<br />
Abb. Datendurchsatz je IP<br />
Erweiterung des Menüs Log-Auswertung:<br />
Menü: Log-Auswertung (Ergänzung)<br />
Paketart:<br />
Balkenzahl:<br />
Auswahl der Paketart<br />
Auswahl der Anzahl der angezeigten IP-Adressen<br />
Seite 134
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.2.2 Datendurchsatz stündlich<br />
Zur Anzeige des stündlichen Datendurchsatzes in Paketen für alle Paketarten<br />
‣Klicken Sie auf das Icon Stündlicher Datendurchsatz.<br />
Die Anzeige ist sortiert nach Uhrzeiten (0 - 24 Uhr).<br />
Abb. Stündlicher Datendurchsatz<br />
Seite 135
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.2.3 Log-Auswertung (tabellarisch)<br />
Zur Darstellung der Daten aller Paketarten, die über die <strong>Firewall</strong> liefen.<br />
‣Klicken Sie auf das Icon Logfile tabellarisch.<br />
Eine Tabelle mit vielfältigen Filtermöglichkeiten nach Paketarten wird angezeigt (Abb. Log-Auswertung als<br />
Tabelle).<br />
Abb. Log-Auswertung als Tabelle<br />
Erweiterung des Menüs Log-Auswertung:<br />
Menü: Log-Auswertung (Ergänzung)<br />
Filterauswahl:<br />
Eingabefeld:<br />
Paketart:<br />
Auswahl des Filters<br />
Werteingabe für Filter<br />
Auswahl der Paketart<br />
Beachten Sie, wenn Filter geändert oder neu ausgewählt wurden, muss die Paketart<br />
erneut ausgewählt werden.<br />
Seite 136
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Da die Log-Datei eine Vielzahl von Einträgen haben kann, können Sie sich mit Hilfe der Buttons zum<br />
Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln).<br />
Abb. Zwischen Seiten wechseln<br />
Folgende Funktionen stehen Ihnen zur Verfügung:<br />
Button ><br />
Button >><br />
Button >>><br />
Button <<br />
Button
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.3 IP-Traffic-Auswertung<br />
Diese Funktionen dienen Ihnen dazu, Ihr Netzwerk hinsichtlich Netzwerk-Engpässen oder von Datentransfer-<br />
Kosten zu untersuchen.<br />
Abb. Menüleiste mit Icon IP-Traffic-Auswertung<br />
‣Der Aufruf der IP-Traffic-Auswertung erfolgt über das Menu Reports IP-Traffic-Auswertung oder<br />
als Schnellauswahl über das Icon IP-Traffic-Auswertung.<br />
Abb. Fenster IP-Traffic<br />
Abb. Menüleiste IP-Traffic<br />
Menü: IP-Traffic<br />
Öffnen:<br />
Wizzard:<br />
Öffnen der Log-Datei<br />
Öffnen des Report-Wizzard<br />
Traffic nach IP sortiert: Ansicht der Log-Datei gemäß Datendurchsatz je IP als Grafik<br />
Traffic nach Datum:<br />
Choice-Feld:<br />
Ansicht der Log-Datei gemäß Datendurchsatz nach Datum als Grafik sortiert<br />
Auswahl Rechner/Netz (bei Traffic nach IP sortiert),<br />
Auswahl Tag (bei Traffic nach Datum sortiert)<br />
Drucken:<br />
Ausdruck des aktuellen Screens<br />
Seite 138
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Die IP-Traffic-Auswertung stellt den IP-Traffic sortiert nach KB pro Tag oder KB je IP im ausgewählten Zeitraum<br />
dar (Abb. IP-Traffic-Auswertung).<br />
Abb. IP-Traffic-Auswertung<br />
Zoomfunktion<br />
Es besteht die Möglichkeit, einen Bereich der Grafik vergrößert darzustellen (Zoom). Hierzu markieren Sie<br />
diesen (mit gedrückter linker Maustaste von links oben, nach rechts unten ziehen). Um wieder zur<br />
Normaldarstellung zu gelangen: Mit gedrückter linker Maustaste von links unten, nach rechts oben ziehen.<br />
Der gezoomte Bereich kann auch verschoben werden. Hierzu rechte Maustaste drücken und verschieben.<br />
Seite 139
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.3.1 Lokale Auswertung von Traffic-Daten pro Monat<br />
‣Klicken Sie auf das Icon Datei Öffnen.<br />
‣Wählen Sie einen <strong>Server</strong> und eine Log-Datei aus.<br />
‣Wählen Sie die gewünschte Anzeigeart aus.<br />
Monatsweise Traffic-Auswertung<br />
‣Klicken Sie das Icon Traffic nach Datum sortiert an.<br />
In diesem Fall wird der Gesamt-Traffic des ausgewählten Monats nach Tagen sortiert ausgewertet und<br />
angezeigt (Abb. monatsweite Auswertung).<br />
Abb. monatsweise Auswertung<br />
Tagesweise Traffic-Auswertung<br />
‣Wählen Sie über das Choice-Feld den gewünschten Tag zur Ansicht.<br />
Es wird der Traffic des ausgewählten Tages für alle Rechner/Netze ausgewertet und angezeigt (Abb. tagesweite<br />
Auswertung).<br />
Abb. tageweise Auswertung<br />
Seite 140
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Auswertung Traffic der Rechner im Netzwerk<br />
Zur Ermittlung des Traffics pro Rechner im Netzwerk können Sie eine monatsweise Auswertung durchführen<br />
(Abb. Traffic pro Rechner).<br />
‣Klicken Sie das Icon Traffic nach IP sortiert an.<br />
Abb. Traffic pro Rechner<br />
Auswertung Traffic eines Rechners<br />
Zur Ermittlung des Traffic eines Rechners können Sie eine monatsweise Auswertung durchführen (Abb. Traffic<br />
eines Rechners).<br />
‣Wählen Sie hierzu über das Choice-Feld einen bestimmten Rechner aus, den Sie überprüfen möchten.<br />
Es wird der Traffics dieses Rechners/Netzes im ausgewählten Monat nach Tagen sortiert ausgewertet und<br />
angezeigt.<br />
Abb. Traffic eines Rechners<br />
Seite 141
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.3.2 Lokale Auswertung von Traffic-Daten für mehrere Monate<br />
Achten Sie darauf, dass die Log-Dateien, über die die Auswertung laufen soll, zuvor lokal auf Ihrem Rechner<br />
vorliegen müssen.<br />
‣Klicken Sie auf das Icon Wizzard.<br />
‣Wählen Sie einen <strong>Server</strong> und den Zeitraum aus (Abb. Dialog-Fenster Traffic-Wizzard, offline).<br />
Der Vorgang kann erst gestartet werden, wenn der <strong>Server</strong> ausgewählt wurde. Die möglichen Anzeigearten sind<br />
identisch mit denen in Kapitel 7.3.1.<br />
Abb. Dialog-Fenster Traffic-Wizzard, offline<br />
Eingabe- und Auswahlfelder<br />
<strong>Server</strong>:<br />
Zeitraum:<br />
Auswahl des <strong>Server</strong>s<br />
Auswahlmöglichkeiten:<br />
- Monate (mit verstellbarer Dauer)<br />
Seite 142
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.3.3 Online Auswertung von Traffic-Daten für mehrere Monate<br />
Sie haben ebenfalls die Möglichkeit, eine Online-Auswertung durchzuführen. Hierzu müssen Sie jedoch online<br />
mit einem <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong> verbunden sein.<br />
‣Klicken Sie auf das Icon Wizzard.<br />
‣Wählen Sie den Zeitraum aus (Abb. Dialog-Fenster Traffic-Wizzard, online).<br />
Abb. Dialog-Fenster Traffic-Wizzard, online<br />
Eingabe- und Auswahlfelder<br />
<strong>Server</strong>:<br />
Zeitraum:<br />
Auswahl des <strong>Server</strong>s<br />
Auswahlmöglichkeiten:<br />
- laufender Monat<br />
- Monate (mit verstellbarer Dauer)<br />
- letzten 30 Tage<br />
- letzten 7 Tage<br />
Alle benötigten Daten werden automatisch heruntergeladen und lokal gespeichert. Die möglichen Anzeigearten<br />
sind identisch mit denen in Kapitel 7.3.1.<br />
Seite 143
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.4 Proxy-Auswertung<br />
Über die Proxy-Auswertung können Sie sich über das Surfverhalten Ihrer User, wenn sie den Proxy benutzen,<br />
informieren.<br />
Abb. Menüleiste mit Icon Proxy-Auswertung<br />
‣Der Aufruf der Proxy-Auswertung erfolgt über das Menu Reports Proxy-Auswertung oder<br />
als Schnellauswahl über das Icon Proxy-Auswertung.<br />
Abb. Fenster Proxy-Auswertung<br />
Abb. Menü Proxy-Auswertung<br />
Menü: Proxy-Auswertung<br />
Öffnen:<br />
Wizzard:<br />
Traffic-Auswertung:<br />
Top XX Webuser:<br />
Choice-Feld:<br />
Öffnen der Log-Datei<br />
Öffnen des Reportwizzard<br />
Anzeige des Traffics je IP des ausgewählten Zeitraums<br />
Anzeige des Traffics je IP des ausgewählten Zeitraums absteigend sortiert<br />
Auswahl Rechner/Netz (bei Traffic nach IP sortiert),<br />
Auswahl Tag (bei Traffic nach Datum sortiert)<br />
Logfile (als Tabelle):<br />
Daten als Text:<br />
Drucken:<br />
Ansicht der Log-Auswahl als Tabelle<br />
Ansicht der Log-Auswahl als Text<br />
Ausdruck des aktuellen Screens<br />
Seite 144
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Report-Wizzard<br />
Die Proxy-Auswertung wurde gegenüber der <strong>Securepoint</strong> Version 3.X erweitert. Neben der täglichen<br />
Auswertung kann jetzt auch ein Zeitraum ausgewertet werden.<br />
‣Klicken Sie auf das Icon Wizzard, um den Report-Wizzard zu öffnen.<br />
Hierzu öffnet sich ein Dialog-Fenster, in dem ein Zeitraum ausgewählt oder explizit eingegeben werden kann<br />
(Abb. Dialog-Fenster Report-Wizzard). Das Programm prüft, welche Dateien noch nicht vom <strong>Firewall</strong> <strong>Server</strong><br />
heruntergeladen worden sind und führt den Download der fehlenden Dateien automatisch durch.<br />
Abb. Dialog-Fenster Report-Wizzard<br />
Eingabe- und Auswahlfelder<br />
<strong>Server</strong>:<br />
Zeitraum:<br />
Auswahl des <strong>Server</strong>s<br />
Auswahlmöglichkeiten:<br />
- Auswahl des Tages<br />
- letzten 7 Tage<br />
- letzten 30 Tage<br />
- laufender Monat<br />
- Frei definiert: gemäß ausgewählten Tagen<br />
Seite 145
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.4.1 Traffic pro Tag des ausgewählten Zeitraumes<br />
Traffic tageweise<br />
Um den Traffic tageweise für den gewählten Zeitraum anzeigen zu lassen (Abb. Traffic tageweise).<br />
‣Klicken Sie das Icon Traffic-Auswertung an.<br />
Abb. Traffic tageweise<br />
Traffic stundenweise<br />
Wurde nur ein Tag ausgewählt, so wird der Traffic stundenweise für diesen Tag angezeigt. Das Choice-Feld ist<br />
dann gesperrt (Abb. Traffic stundenweise).<br />
‣Wählen Sie den gewünschten Tag über das Choice-Feld aus.<br />
Abb. Traffic stundenweise<br />
Seite 146
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.4.2 Top-Webuser und -Webseiten des ausgewählten Zeitraumes<br />
Auswertung Top-Webseiten als Grafik<br />
Die Ermittlung der Top-Webseiten und Top-Webuser in Ihrem Netzwerk können Sie über diese Funktion<br />
durchführen (Abb. Top-Webseiten als Grafik).<br />
‣Klicken Sie auf das Icon Top XX Webuser. Alle Benutzer und ihr Traffic werden angezeigt.<br />
‣Klicken Sie auf einen einzelnen Benutzer, um die meistbesuchten Webseiten des Benutzers anzuzeigen.<br />
‣Wählen Sie die gewünschte Balkenanzahl über das Choice-Feld aus.<br />
Abb. Top-Webseiten als Grafik<br />
Auswertung Top-Webseiten als Text<br />
‣Klicken Sie auf das Icon Daten als Text anzeigen.<br />
Es öffnet sich ein neues Fenster mit der aktuellen Grafik als Textdarstellung (Abb. Top-Webseiten als Text).<br />
‣Diese Daten können Sie sich ausdrucken lassen. Klicken Sie auf das Icon Drucken.<br />
‣Zum Durchsuchen der Daten nach bestimmten Begriffen klicken Sie auf das Icon Suchen.<br />
Abb. Top-Webseiten als Text<br />
Seite 147
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Anzeige als Tabelle<br />
Sie haben ebenfalls die Möglichkeit, sich diese Daten als Tabelle für IP-Adressen anzeigen zu lassen.<br />
‣Klicken Sie auf das Icon Logfile (als Tabelle).<br />
Abb. Top-Webseiten als Tabelle<br />
Da die Log-Datei eine Vielzahl von Einträgen haben kann, können Sie sich mit Hilfe der Buttons zum<br />
Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln).<br />
Abb. Zwischen Seiten wechseln<br />
Folgende Funktionen stehen Ihnen zur Verfügung:<br />
Button ><br />
Button >><br />
Button >>><br />
Button <<br />
Button
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.5 Traffic-Auswertung<br />
Der Traffic-Report zeigt Logfile-Einträge an, die über die <strong>Firewall</strong> in Echtzeit laufen.<br />
Abb. Menüleiste mit Icon Traffic-Auswertung<br />
‣Der Aufruf der Log-Auswertung erfolgt über das Menü Reports Traffic-Auswertung oder<br />
als Schnellauswahl über das Icon Traffic-Auswertung.<br />
Eine Tabelle mit vielfältigen Filtermöglichkeiten nach Paketarten wird angezeigt (Abb. Traffic-Auswertung).<br />
Abb. Traffic-Auswertung<br />
Abb. Menüleiste Traffic<br />
Menü: Proxy-Auswertung<br />
Paketart:<br />
Filterauswahl:<br />
Filterwert:<br />
Auswahl der Paketart<br />
Auswahl des Filters<br />
Angabe des Filterwertes<br />
Zeitgesteuerte Anzeige: Download erfolgt je nach eingestellter Zeit<br />
Listenende anzeigen:<br />
Bei Aktivierung des Icons, wird Liste wird in der Anzeige automatisch ans Ende<br />
gescrollt<br />
Seite 149
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Da die Log-Datei eine Vielzahl von Einträgen haben kann, können Sie sich mit Hilfe der Buttons zum<br />
Seitenwechseln in der Datei fortbewegen (Abb. Zwischen Seiten wechseln). Folgende Funktionen stehen Ihnen<br />
zur Verfügung:<br />
Abb. Zwischen Seiten wechseln<br />
Folgende Funktionen stehen Ihnen zur Verfügung:<br />
Button ><br />
Button >><br />
Button >>><br />
Button <<br />
Button
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
7.6 Accounting<br />
Über den Bereich Accounting können Sie sich eine grafische Darstellung der Datentransfermenge je Interface in<br />
Bytes pro Sekunde anzeigen lassen.<br />
Abb. Menüleiste mit Icon Accounting<br />
‣Der Aufruf der Accounting-Funktion erfolgt über das Menu Reports Accounting oder<br />
als Schnellauswahl über das Icon Accounting.<br />
Die Traffic Accounting-Log-Datei wird in 31-Tages-Zeitabständen rotiert.<br />
Abb. Fenster Accounting<br />
Abb. Menüleiste Accounting<br />
Menü: Accounting<br />
Zeitfenster:<br />
Interface:<br />
Logarythmisch:<br />
Dreidimensional:<br />
Gestuft:<br />
Drucken:<br />
Auswahl des Datums<br />
Auswahl des Interfaces<br />
Logarythmische Darstellung<br />
Dreidimensionale Darstellung<br />
Gestufte Darstellung<br />
Druck des aktuellen Screens<br />
Zeitgesteuerte Anzeige: bei Aktivierung, automatische Aktualisierung der Anzeige alle 10 Minuten<br />
Seite 151
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Grafische Darstellung der Datentransfermenge<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie über das Choice-Feld den gewünschten Zeitraum aus.<br />
‣Wählen Sie über das Choice-Feld Interface das Interface aus.<br />
‣Wählen Sie Darstellungsform aus:<br />
‣Für eine logarythmische Darstellung klicken Sie auf das Icon logarythmisch.<br />
‣Für eine dreidimensionale Darstellung klicken Sie auf das Icon dreidimensional.<br />
‣Für eine gestufte Darstellung klicken Sie auf das Icon gestuft.<br />
Abb. Accounting<br />
Zoomfunktion<br />
Es besteht die Möglichkeit, einen Bereich der Grafik vergrößert darzustellen (Zoom). Hierzu markieren Sie<br />
diesen (mit gedrückter linker Maustaste von links oben, nach rechts unten ziehen). Um wieder zur<br />
Normaldarstellung zu gelangen: Mit gedrückter linker Maustaste von links unten, nach rechts oben ziehen.<br />
Der gezoomte Bereich kann auch verschoben werden. Hierzu rechte Maustaste drücken und verschieben.<br />
Seite 152
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
8 Testen der <strong>Firewall</strong><br />
Verbindungstests<br />
Sie können die von Ihnen vorgenommenen Einstellungen testen.<br />
Abb. Menüleiste mit Icon Verbindungstest<br />
‣Der Aufruf der Accounting-Funktion erfolgt über das Menu Reports Verbindungstest oder<br />
als Schnellauswahl über das Icon Verbindungstest.<br />
Diese Eingaben werden genauso ausgeführt, als wenn Sie direkt von der Konsole der <strong>Firewall</strong> ausgeführt<br />
worden wären.<br />
Sie haben folgende Möglichkeiten:<br />
Ping:<br />
Netstat:<br />
Nslookup:<br />
Traceroute:<br />
Ifconfig:<br />
Mit Ping können Sie testen, ob andere Rechner erreichbar sind<br />
Stellen Sie hiermit den Netzstatus fest<br />
Auflösen vom IP-Adressen nach Namen und umgekehrt<br />
Verfolgung der Datenpakete zum Zielrechner<br />
Mit ifconfig können Sie sich die Anzahl der initialisierten Interface und deren Status<br />
anzeigen lassen. Dazu gehört die Hardware-Adresse (Mac-Adresse), die IP-, die Netzwerkund<br />
die Broadcast-Adresse des Interfaces<br />
Abb. Verbindungstests<br />
Seite 153
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9 Arbeiten mit der <strong>Firewall</strong>-Konsole<br />
Erfahrene Linux-Anwender können auf der Konsolen-Ebene des <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s weitere<br />
Einstellungen vornehmen oder zusätzliche Dienste integrieren.<br />
An der Konsole der <strong>Firewall</strong> stehen Ihnen insgesamt sieben virtuelle Konsolen zur Verfügung. Die erste virtuelle<br />
Konsole wird vom Konfigurationsprogramm nconfig verwendet. Die virtuellen Konsolen zwei bis sechs stehen<br />
Ihnen zur Verfügung, um sich gegebenenfalls als Super User (root) auf der <strong>Firewall</strong> einzuloggen. Die siebte<br />
virtuelle Konsole zeigt den <strong>Firewall</strong> Logfile an. Der Wechsel durch die virtuellen Konsolen wird durch Drücken<br />
der Alt-Taste und den Funktionstasten auf dem Keyboard erreicht. Beachten Sie bitte, dass die siebte virtuelle<br />
Konsole nicht über die siebte sondern die zehnte Funktionstaste erreicht wird.<br />
Anmelden auf der Konsole<br />
Bei der Installation sind Sie nach einem Passwort für den Benutzer root Ihres <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong>s<br />
gefragt worden. Dies betrifft die Konsolen 2 bis 6. Sie können sich nun auf dem <strong>Server</strong> mit folgenden Daten<br />
anmelden:<br />
‣Login:<br />
root<br />
‣Passwort: ******<br />
Beachten Sie, dass das Passwort und Login für den Benutzer root aus<br />
Sicherheitsgründen nicht mit dem Passwort und Login des Administrators des Clienten<br />
identisch ist und auch später nicht sein sollte.<br />
Reports von der Konsole abrufen<br />
Sie können ebenfalls Reports von der Konsole abrufen.<br />
Gehen Sie dabei folgendermaßen vor:<br />
‣Loggen Sie sich über die Konsole auf der <strong>Firewall</strong> ein.<br />
‣Wechseln Sie in das Verzeichnis /var/log.<br />
Hier befinden sich alle Logfiles der <strong>Firewall</strong>.<br />
Seite 154
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.1 Debugging-Möglichkeiten / Fehlersuche<br />
Folgende Befehle sind über die Konsole anzuwenden:<br />
Ping:<br />
Netstat:<br />
Nslookup:<br />
Traceroute:<br />
Ifconfig:<br />
Mit Ping können Sie testen, ob andere Rechner erreichbar sind<br />
Stellen Sie hiermit den Netzstatus fest<br />
Auflösen vom IP-Adressen nach Namen und umgekehrt<br />
Verfolgung der Datenpakete zum Zielrechner<br />
Mit ifconfig können Sie sich die Anzahl der initialisierten Interface und deren Status<br />
anzeigen lassen. Dazu gehört die Hardware-Adresse (Mac-Adresse), die IP-, die Netzwerkund<br />
die Broadcast-Adresse des Interfaces<br />
Beachten Sie: Falls Sie Fragen zu diesen Befehlen haben, können Sie sich mit dem<br />
Befehl man detaillierte Information zu den Befehlen anzeigen lassen. Gehen Sie z. B.<br />
folgendermaßen vor: Tippen Sie den Befehl man ping ein. Sie erhalten danach eine<br />
Beschreibung des Befehls ping.<br />
9.2 Tools auf der <strong>Firewall</strong><br />
Befehle an der Konsole:<br />
fw up:<br />
fw down:<br />
startet das Regelwerk auf der <strong>Firewall</strong><br />
stoppt das Regelwerk auf der <strong>Firewall</strong>, die Interfaces sind dann von außen ansprechbar,<br />
aber keine Verbindung über die <strong>Firewall</strong> möglich<br />
Kein ping und traceroute auf Interface/Netzwerkkarten möglich<br />
Beachten Sie, dass für die Befehle ping und traceroute <strong>Firewall</strong>-Regeln freigeschaltet werden müssen. Nur das<br />
interne Interface ist von vornherein anpingbar.<br />
Seite 155
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3 nconfig, das Konfigurationsprogramm der Konsole<br />
Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der Linux Konsole zur Verfügung. Es kann auch per<br />
SSH aufgerufen werden. An der Konsole der <strong>Firewall</strong> stehen Ihnen insgesamt sieben virtuelle Konsolen zur<br />
Verfügung. Die erste virtuelle Konsole wird vom Konfigurationsprogramm verwendet. Der Wechsel durch die<br />
virtuellen Konsolen wird durch Drücken der Alt-Taste und den Funktionstasten auf dem Keyboard erreicht.<br />
Beachten Sie bitte, dass die siebte virtuelle Konsole nicht über die siebte sondern die zehnte Funktionstaste<br />
erreicht wird.<br />
nconfig<br />
Hier erhalten Sie eine Einführung in das Programm. Loggen Sie sich auf das lokale Konfigurationsprogramm der<br />
<strong>Firewall</strong> ein:<br />
Abb. Programm nfconfig auf der Konsole der <strong>Firewall</strong><br />
Mit Ihrem bei der Installation angegebenen Admin Passwort können Sie sich in das Programm einloggen. Mit<br />
Hilfe dieses Programms können Sie an der ersten Konsole der <strong>Firewall</strong>, ohne Linux Kenntnisse zu besitzen,<br />
einfach Grundkonfigurationen bearbeiten:<br />
Beachten Sie: Möglicherweise müssen Sie beim Aufruf über SSH die Terminal Variable<br />
anpassen (TERM = vt100).<br />
Seite 156
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.1 Übersicht<br />
Das Fenster des Programms nconfig ist in zwei Bereiche aufgeteilt: einen Informationsbereich, in dem Sie die<br />
wesentlichen Konfigurationsdaten Ihrer <strong>Firewall</strong> einsehen können, sowie das Menü mit 13 Punkten. Im Menü-<br />
Bereich haben Sie die Möglichkeit, Änderungen an der Konfiguration vorzunehmen.<br />
Abb. Übersicht nconfig<br />
Informationsbereich:<br />
eth0/DSL/ISDN, eth1.. ethn:<br />
Gateway:<br />
Admin IP:<br />
Nameserver1:<br />
Nameserver2:<br />
Static Routes:<br />
Interface Informationen<br />
Router-Informationen<br />
Security Manager Administrations-IP<br />
Erster Nameserver<br />
Zweiter Nameserver<br />
Statische Routen<br />
Menü-Bereich:<br />
0: DSL/ISDN: Umstellen auf Verbindungstyp<br />
1: Add Interfaces: Interfaces hinzufügen<br />
2: Del Interfaces: Interfaces löschen<br />
3: Change Interface IP: Interface-IP-Adressen bearbeiten<br />
4: Change Interface Driver: Netzwerkkartentreiber bearbeiten<br />
5: Change Default Gateway: Default Gateway bearbeiten<br />
6: Change Security Manager Admin IP: Administrationsclient IP-Adresse bearbeiten<br />
7: Change Nameserver: Namenserver bearbeiten<br />
8: Edit Static Routes: Statische Routen bearbeiten<br />
9: Traffic Shaper: Bandbreitenbegrenzungen erstellen<br />
10: <strong>VPN</strong> Properties (X509-Certificates): IPSec X509-Zertifikate bearbeiten<br />
11: Change Password: Admin Passwort Änderung (nur lokale User)<br />
12: Write Config: Speichern der Konfiguration<br />
13: QUIT: Beenden von nconfig<br />
Seite 157
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.3 Punkt 1: Add Interface<br />
Unter diesem Menüpunkt können Sie ein neues Netzwerkinterface anlegen. Die Interfaces werden automatisch<br />
fortlaufend nummeriert und im Informationsbereich des Fensters angezeigt.<br />
Abb. Interface Konfiguration Ethernet<br />
Eingaben:<br />
Netzwerkkartentyp: 0: ETH (Ethernet)<br />
ipaddr:<br />
bitcount:<br />
driver:<br />
IP-Adresse des Interfaces<br />
Netzmaske<br />
Nr. des Netzwerkkartentreibers<br />
Die Nummer der zur Verfügung stehenden Netzwerkkarten wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie die Nr. des Netzwerkkartentyps und drücken Sie danach RETURN.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 159
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.4 Punkt 2: Del Interface<br />
Unter diesem Menüpunkt ist es möglich, das letzte Interface zu entfernen. Die Netzwerkinterfaces sind<br />
fortlaufend nummeriert und werden im Informationsbereich des Fensters angezeigt.<br />
Abb. Del Interface<br />
Eingaben:<br />
Delete last interface (y/n [n]): y: löscht das letzte Interface<br />
n: beendet den Menüpunkt ohne Änderung<br />
Die Nummer der zur Verfügung stehenden Netzwerkkarten wird im Informationsbereich des Fensters angezeigt.<br />
Seite 160
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.5 Punkt 3: Change Interface IP<br />
Unter diesem Menüpunkt können die IP-Adresse und und Netzmaske (BitCount) der bestehenden Interfaces<br />
geändert werden.<br />
Abb. Change IP<br />
Eingaben:<br />
Netzwerkkartennummer:<br />
ipaddr:<br />
bitcount:<br />
0,1 ... n<br />
IP-Adresse des Interfaces<br />
Netzmaske<br />
Die Nummer der zur Verfügung stehenden Netzwerkkarten wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die IP-Adressen und die Netzmaske des Interfaces ein.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 161
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.6 Punkt 4: Change Interface Driver<br />
Hiermit können Sie Netzwerkkartentreiber wechseln.<br />
Abb. Interface Konfiguration Ethernet<br />
Eingaben:<br />
Netzwerkkartennummer:<br />
driver:<br />
0,1 ... n<br />
Nr. des Netzwerkkartentreibers<br />
Die Nummer der zur Verfügung stehenden Netzwerkkarten wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie die Nr. des Netzwerkkartentyps und drücken Sie danach RETURN.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 162
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.7 Punkt 5: Change Gateway<br />
Das Default Gateway ist normalerweise die LAN-seitige IP-Adresse Ihres Routers, der die Verbindung zum<br />
Internet realisiert.<br />
Abb. Change Gateway<br />
Eingaben:<br />
New Gateway IP:<br />
IP-Adresse des Routers<br />
Die Gateway IP wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die IP-Adresse Ihres Routers ein.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 163
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.8 Punkt 6: Change Admin IP<br />
Über den Punkt Change Admin IP können Sie zusätzlichen Rechnern oder Netzen den Zugriff auf den <strong>Firewall</strong><br />
<strong>Server</strong> zwecks Administration erlauben. Dies betrifft Zugriffe über SSH und den Security Manager.<br />
Beachten Sie: Die Steuerung für den administrativen Zugriff ist nur über dieses Interface möglich. Im<br />
Gegensatz zu Version 2.X oder 3.X reicht es nicht aus, eine <strong>Firewall</strong>-Regel dafür zu schreiben. Der<br />
<strong>Securepoint</strong> Security Manager kann auch bei heruntergefahrenem Regelwerk (fw down) nur von den<br />
angegebenen Hosts/Netzen die <strong>Firewall</strong> konnektieren.<br />
Wenn Sie den Zugriff von allen IP-Adressen (also auch aus dem Internet) erlauben wollten, so wäre der Eintrag<br />
0.0.0.0/0. Ein einzelner Host wird mit dem Bitcount 32 maskiert (also zum Beispiel 192.168.1.100/32). Der<br />
Bitcount 24 würde den Zugriff für ein komplettes Class-C Netz erlauben (zum Beispiel 192.168.1.0/24). Sie<br />
können natürlich auch mehreren Hosts bzw. Netzwerken gleichzeitig den Zugriff ermöglichen.<br />
Abb. Change AdminIP<br />
Eingaben:<br />
1: ADD Admin Client/Net, zum Hinzufügen einer neuen IP-Adresse/Netz für die Administration über den<br />
Security Manager; New Admin: IP-Adresse und Netzmaske (z. B. 1.2.3.4/32)<br />
2: Del Admin Client/Net, zum Löschen einer IP-Adresse/Netz für die Administration über den Security<br />
Manager; Del Admin: Nr. der zu löschenden IP-Adresse/Netz<br />
Die Admin IP wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie eine neue IP-Adresse mit Netzmaske ein, um per SSH oder Security Manager zugreifen zu<br />
können.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 164
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.9 Punkt 7: Change Nameserver<br />
Die eingetragenen Nameserver ermöglichen der <strong>Firewall</strong> die Namensauflösung von IP-Adressen bzw.<br />
umgekehrt. Sie brauchen Nameserver, falls Sie den Application Level Proxy der <strong>Firewall</strong> verwenden möchten<br />
und, wenn Sie sich automatisiert, die Reports der <strong>Firewall</strong> zustellen lassen möchten. Für die eingetragenen<br />
Nameserver muss keine spezielle Regel von Ihnen erstellt werden. Die <strong>Firewall</strong> tut dies automatisch, sobald<br />
Nameserver eingetragen wurden. Testen Sie die Funktionalität der Nameserver an der Konsole mit dem Befehl<br />
nslookup (dazu müssen Sie die lokale Konsole wechseln) oder über den Security Manager über das Menü<br />
Reports Verbindungstests.<br />
Abb. Change Nameserver<br />
Eingaben:<br />
Nameserver 1:<br />
Nameserver 2:<br />
IP-Adresse des ersten Nameservers<br />
IP-Adresse des zweiten Nameservers<br />
Die Admin IP wird im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie die IP-Adressen Ihrer Nameserver ein.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 165
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.10 Punkt 8: Edit Static Route<br />
Unter diesem Menüpunkt können Sie normale statische Routen und statische Source-Routen anlegen.<br />
Beachten Sie: Die Version 4.X unterstützt nicht nur Destination Routing sondern auch Source Routing.<br />
Abb. Edit Static Route<br />
Eingaben:<br />
1: ADD new route, zum Hinzufügen einer neuen Route:<br />
Gateway IP:<br />
Destination:<br />
Dest. Bitcount:<br />
IP-Adresse des Gateways<br />
IP-Adresse des neuen Netzes<br />
Netzmaske des Netzes<br />
2: Del route, zum Löschen einer Route:<br />
Nr. der zu löschenden Route<br />
3: Edit soure route, zum Editieren einer Route:<br />
ADD new source code<br />
Source:<br />
Destination:<br />
Router:<br />
IP-Adresse der Quelle<br />
IP-Adresse des Ziels<br />
Router<br />
Die IP-Adresse wird der Routen im Informationsbereich des Fensters angezeigt.<br />
Gehen Sie folgendermaßen vor:<br />
‣Beim Öffnen des Fensters Add new source route können Sie mit Pfeiltasten zw. den Menüpunkten wechseln.<br />
‣Tragen Sie die die jeweiligen Werte ein.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 166
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.11 Punkt 9: Traffic Shaper<br />
Unter diesem Menüpunkt können Sie die Traffic-Bandbreite für Dienste begrenzen. Dies dient dazu, wichtigeren<br />
Diensten eine größere Bandbreite zur Verfügung zu stellen oder die Kosten für bestimmte Dienste<br />
einzugrenzen.<br />
Abb. Edit Bandbreitenbegrenzung<br />
Eingaben:<br />
new:<br />
Hinzufügen einer neuen Route:<br />
Nr. des Interfaces:<br />
Rate (Kbit):<br />
Prio:<br />
Auswahl des Interfaces<br />
Beschränkung auf Bandbreite in KBit<br />
Priorität des Prozesses (0 hat höchste Priorität)<br />
Auswahl bestehender Einstellungen:<br />
Back:<br />
Del:<br />
Add new filter:<br />
src host/net:<br />
dst host/net:<br />
src port:<br />
dst port:<br />
zurück in dem höheren Menüpunkt<br />
Löschen der ausgewählten Bandbreitenbegrenzung<br />
IP-Adresse des Ziels<br />
Quell-IP-Adresse des Rechners/Netzes und Netzmaske<br />
Ziel-IP-Adresse des Rechners/Netzes und Netzmaske<br />
Quell-Port<br />
Ziel-Port<br />
Gehen Sie folgendermaßen vor:<br />
‣Beim Öffnen des Fensters Traffic Shaper können Sie mit Pfeiltasten zw. den Menüpunkten wechseln.<br />
‣Beim Ausfüllen des Feldes src host/net oder dst host/net wird jeweils der Rechner geshapt oder beim<br />
Ausfüllen der Felder src-/dst-port wird jeweils der Dienst geshapt. Wird beides ausgeführt, wird auch beides<br />
geshapt.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 167
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.12 Punkt 10: <strong>VPN</strong> Properties<br />
Hier können Sie eine CA (Certification Authority) erstellen und X509-Zertifikate erstellen und sperren. Dieses ist<br />
für IPSec erforderlich. Nähere Informationen zum Erstellen von Zertifikaten und eine Beispielkonfiguration<br />
finden Sie in Kapitel 11.2.1.2.<br />
Abb. <strong>VPN</strong> Properties<br />
Eingaben:<br />
1: Create new CA Cert: Erstellen einer Certification Authority<br />
2: Create new <strong>Server</strong> Cert: Erstellen eines <strong>Server</strong> Zertifikates<br />
3: Create new Client Cert: Erstellen eines Client Zertifikates<br />
4: Revoke a Client/<strong>Server</strong> Cert: Sperren eines Zertifikates<br />
Gehen Sie folgendermaßen vor:<br />
‣Siehe Beispiel-Konfiguration in Kapitel 11.2.1.2.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 168
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.13 Punkt 11: Change Password<br />
Unter diesem Menüpunkt ist es Ihnen möglich, das Konsolen-Anmeldekennwort (nicht das root Passwort) zu<br />
ändern.<br />
Abb. Change Password<br />
Eingaben:<br />
New Password:<br />
New Password:<br />
Passwort-Eingabe<br />
Wiederholung Passwort-Eingabe<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen Sie das neue Konsolen-Passwort ein.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 169
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.14 Punkt 12: Write config<br />
Wird dieser Menüpunkt aufgerufen, werden alle Änderungen, die Sie im Konfigurationsprogramm eingestellt<br />
haben, im System übernommen. Davon ausgenommen ist Menüpunkt 0 (DSL/ISDN) und Menüpunkt 10 (<strong>VPN</strong><br />
Properties), diese werden sofort gültig.<br />
Abb. Write config<br />
Eingaben:<br />
Save Configuration (y/n [n]):<br />
Speichern der Konfiguration<br />
Gehen Sie folgendermaßen vor:<br />
‣Tragen sie „y“ ein, um die geänderte Konfiguration zu speichern.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 170
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
9.3.15 Punkt 13: QUIT<br />
Beenden des nconfig-Programms.<br />
Abb. Quit<br />
Gehen Sie folgendermaßen vor:<br />
‣Beenden Sie das Programm durch die Eingabe von „y“.<br />
‣Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe beendet.<br />
Seite 171
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
10 Arbeiten mit Fremdprodukten<br />
Sie können verschieden Fremdprodukte auf dem <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong>-<strong>Server</strong> betreiben. Beachten Sie,<br />
dass die Produkte, die nicht in den <strong>Securepoint</strong> Handbüchern aufgeführt sind, nicht von <strong>Securepoint</strong> supportet<br />
werden.<br />
10.1 Virenscanner<br />
10.1.1 TrendMicro-Virenscanner<br />
Installation TrendMicro Viruswall<br />
Sie möchten die TrendMicro Viruswall auf der <strong>Securepoint</strong> <strong>Firewall</strong> installieren. Falls Sie beim Installieren bereits<br />
das Paket Viruswall ausgewählt haben, befindet sich das Installationsprogramm der Viruswall (isinst) im<br />
Verzeichnis /opt/trendmicro/.<br />
Möchten Sie die TrendMicro Viruswall nachträglich von der CD-ROM installieren, gehen Sie bitte wie folgt vor:<br />
‣Legen Sie die CD-ROM in das Laufwerk der <strong>Firewall</strong>.<br />
‣Loggen Sie sich als root auf der zweiten Konsole der <strong>Firewall</strong> ein.<br />
(Zum Wechseln der Konsole drücken Sie die ALT + F2 Tasten.)<br />
‣Mounten Sie die CD-ROM durch den Befehl mount /mnt/cdrom.<br />
‣Erstellen Sie im Verzeichnis opt ein Unterverzeichnis trendmicro mkdir /opt/trendmicro.<br />
‣Kopieren Sie das TrendMicro Viruswall Paket in das Verzeichnis<br />
cp /mnt/cdrom/opt/viruswall.tgz /opt/trendmicro.<br />
‣Entpacken Sie das Paket tar-xzf /opt/trendmicro/viruswall.tgz.<br />
‣Wechseln Sie in das Verzeichnis cd /opt/trendmicro/.<br />
Danach können Sie mit der Installation fortfahren. Starten Sie das Installationsprogramm:<br />
‣Tragen Sie isinst ein und drücken Sie RETURN.<br />
Abb. Start Installationsprogramm<br />
Seite 172
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
‣Wählen Sie Punkt 1 aus: „Install InterScan Viruswall sub-system“.<br />
Ihnen wird als Installationspfad /var/opt/trend vorgeschlagen. Behalten Sie diesen Pfad bei, ansonsten könnten<br />
Sie Schwierigkeiten beim Betrieb der Viruswall bekommen, da bestimmte Partitionen der <strong>Firewall</strong> aus<br />
Sicherheitsgründen nur lesbar und nicht beschreibbar sind.<br />
‣Mit Punkt 9 können Sie jetzt die Installation starten. Folgen Sie den Anweisungen.<br />
Nähere Informationen zur Installation finden Sie auch im <strong>Handbuch</strong> der TrendMicro Viruswall. Beispiel-<br />
Konfigurationen für das nötige Regelwerk finden Sie in Kapitel 11.1.4.<br />
Seite 173
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Konfiguration TrendMicro Viruswall<br />
Die Konfiguration der Viruswall wird über den Security Manager Optionen Viruswall durchgeführt.<br />
Beachten Sie, dass Sie die Viruswall zur Administration mit <strong>Firewall</strong>-Regeln freischalten<br />
müssen. Beispiel-Konfigurationen für das nötige Regelwerk finden Sie in<br />
Kapitel 11.1.4.<br />
Abb. Konfiguration Trendmicro Viruswall<br />
Beachten Sie: Falls das smtp-Modul der TrendMicro Viruswall verwendet ist, stellen<br />
sie die smtp <strong>Server</strong>-Einstellung auf daemon-mode (siehe abbildung Konfiguration<br />
TrendMicro Viruswall).<br />
Seite 174
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
10.2 Roadwarrior<br />
10.2.1 SSH-Sentinel-Roadwarrior<br />
An den <strong>Securepoint</strong> IPSec-<strong>VPN</strong>-<strong>Server</strong> können Sie einen IPSec-Client anbinden.<br />
Eine Beispiel-Konfiguration mit dem Sentinel IPSec-Roadwarrior finden Sie im Kapitel 11.2.1.4.<br />
10.2.2 Windows PPTP-Roadwarrior<br />
An den <strong>Securepoint</strong> PPTP-<strong>VPN</strong>-<strong>Server</strong> können Sie einen Windows-PPTP-Client anbinden.<br />
Eine Beispiel-Konfiguration mit dem PPTP-Roadwarrior finden Sie im Kapitel 11.3.1.<br />
Seite 175
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
10.3 SSH – Secure Shell<br />
Das Netzprotokoll SSH (Secure Shell) ist eine verbreitete, robuste und zuverlässige Lösung für zahlreiche<br />
Probleme der Netzwerksicherheit. Es sichert den Anmeldevorgang auf entfernten Systemen und den<br />
Dateitransfer zwischen verschiedenen Rechnern, ermöglicht die Erzeugung geschützter Tunnel sowie die<br />
gesicherte Ausführung von Prozessen auf anderen Maschinen. SSH ist auf dem <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong><br />
standardmäßig installiert.<br />
Ein aufwendiger abgestufter Authentisierungsmechanismus sorgt mit SSH dafür, dass sich kein Rechner im<br />
Internet mehr erfolgreich als ein anderer ausgeben kann. Weder beim Aufbau noch bei der Nutzung einer<br />
Verbindung mittels der Secure Shell werden Daten unverschlüsselt übertragen. Ein asymmetrisches<br />
Verschlüsselungsverfahren sichert die Geheimhaltung der verwendeten Schlüssel.<br />
Die Secure Shell gestattet sowohl das Absetzen von Kommandos an einen fremden Rechner als auch den<br />
Aufbau einer Sitzung an einem fremden Rechner. Der Aufruf von SSH ist (vereinfacht dargestellt):<br />
• ssh [-v] [remoteuser@]remotehost [command] oder<br />
• ssh [-v] remotehost -l remoteuser [command]<br />
nconfig über SSH aufrufen<br />
Das lokale Konfigurationsprogramm nconfig steht Ihnen auf der ersten Linux <strong>Server</strong>-Konsole zur Verfügung. Es<br />
kann per SSH aufgerufen werden. Mit Hilfe des Programms nconfig können Sie nachträglich die Parameter Ihrer<br />
<strong>Firewall</strong>-Konfiguration ändern (siehe Kapitel 9.3).<br />
Beachten Sie: Möglicherweise müssen Sie beim Aufruf über SSH die Terminal Variable<br />
anpassen (TERM = vt100).<br />
Seite 176
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11 Beispiele<br />
In diesem Kapitel finden Sie verschiedene Beispiele zur Konfiguration Ihres Netzwerkes und Bedienung des<br />
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong>s.<br />
Konfigurationsbeispiele auf CDROM<br />
Sie finden im Verzeichnis tools/securepoint_client/samples/ auf der <strong>Securepoint</strong>-CD-ROM verschiedene<br />
Beispiele, die Ihnen den Einstieg in die Konfiguration der <strong>Firewall</strong> erleichtern. Die Beispiele werden mit dem<br />
Schlüssel „test“ geöffnet.<br />
Sie können auch eigene Konfigurationen abspeichern, falls Sie verschiedene Dinge testen möchten (Kapitel 6).<br />
Seite 177
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1 <strong>Firewall</strong>-Regeln: Beispiele<br />
Da die <strong>Securepoint</strong> ein Zonen-Konzept besitzt, sollten Sie überlegen, in welchen Zonen sich die Rechner und<br />
Netze befinden. Erstellen Sie die erforderlichen Netzwerkobjekte wie:<br />
• Rechner<br />
• Rechnergruppen<br />
• Dienste (falls erforderlich, d. h., ob die Dienste sich noch nicht in der vordefinierten Liste befinden)<br />
• Dienstgruppen (falls erforderlich)<br />
• Erstellen Sie danach die Regeln, die die Beziehungen zwischen Rechnern in den Zonen definiert<br />
Abb. <strong>Securepoint</strong>-Zonen-Konzept<br />
Seite 178
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.1 <strong>Firewall</strong>-Regel-Beispiel: http, https und passiv ftp ins Internet<br />
Ihr Ziel ist es, dass einige Workstations Ihres Netzes per http, https und passiv ftp ins Internet dürfen.<br />
• Die Workstations befinden sich in der Zone Internal<br />
• Die Zone External ist das Internet<br />
Vorgehensweise in 3 Schritten:<br />
11.1.1.1 Erstellen der Rechner / Netzwerkobjekte<br />
11.1.1.2 Erstellen der Rechnergruppen<br />
11.1.1.3 Erstellen der <strong>Firewall</strong>-Regel<br />
Seite 179
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.1.1 Erstellen der Rechner / Netzwerkobjekte<br />
Erstellen Sie die Rechner Ihres Netzes, die per http, https und passiv ftp ins Internet dürfen sollen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie das Fenster Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen<br />
öffnen und die Option Rechner/Netze auswählen).<br />
‣Klicken Sie im Fenster Rechner auf das Icon Rechner hinzufügen.<br />
‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT.<br />
Abb. Workstation Default Internet<br />
‣Fügen Sie weitere Netzwerkobjekte hinzu.<br />
Abb. Rechner hinzufügen<br />
Seite 180
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.1.2 Erstellen der Rechnergruppen<br />
Erstellen Sie die Rechnergruppen Ihres Netzes, die per http, https und passiv ftp ins Internet dürfen sollen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das<br />
Fenster Optionen öffnen und die Option Rechnergruppen auswählen).<br />
‣Legen Sie eine neue Gruppe Grp-admin workstations an.<br />
‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu.<br />
Abb. Rechnergruppe erstellen<br />
Seite 181
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.1.3 Erstellen der <strong>Firewall</strong>-Regel<br />
Erstellen Sie eine neue Regel im tabellarischen Regelwerk.<br />
Gehen Sie folgendermaßen vor:<br />
‣Gehen Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ können<br />
Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü neue Regel auswählen).<br />
‣Schreiben Sie eine neue Regel und speichern Sie sie.<br />
Abb. <strong>Firewall</strong> Regel erstellen<br />
Seite 182
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2 <strong>Firewall</strong>-Regel-Beispiel: Client Netz über Proxy ins Internet<br />
Sie haben vor, dass ein bestimmter Netzbereich Ihres internen Netzwerks über den Applikationsproxy der<br />
<strong>Firewall</strong> ins Internet gelangt.<br />
• Die Workstations befinden sich in der Zone Internal<br />
• Die Zone External ist das Internet<br />
Vorgehensweise in 9 Schritten:<br />
11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations<br />
11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations<br />
11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal<br />
11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal<br />
11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external<br />
11.1.2.6 Erstellen der Rechnergruppe Grp-fw external<br />
11.1.2.7 Erstellen der <strong>Firewall</strong>-Regel Gr-internal workstations Grp fw internal<br />
11.1.2.8 Erstellen der <strong>Firewall</strong>-Regel Gr-fw externa internet<br />
11.1.2.9 Erstellen der <strong>Firewall</strong>-Regel Gr-fw external internet<br />
Seite 183
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.1 Erstellen der Rechner / Netzwerkobjekte internal workstations<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie das Fenster Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen<br />
öffnen und die Option Rechner/Netze auswählen).<br />
‣Klicken Sie im Fenster Rechner/Netze auf das Icon Rechner hinzufügen.<br />
‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT.<br />
Abb. Erstellen der Netzwerkobjekte<br />
Seite 184
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.2 Erstellen der Rechnergruppen Grp-internal workstations<br />
Erstellen Sie die Rechnergruppen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das<br />
Fenster Optionen öffnen und die Option Rechnergruppen auswählen).<br />
‣Legen Sie eine neue Gruppe Grp-internal workstations an.<br />
‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu.<br />
Abb. Rechnergruppe erstellen<br />
Seite 185
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.3 Erstellen der Rechner / Netzwerkobjekte fw internal<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie das Fenster Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen<br />
öffnen und die Option Rechner/Netze auswählen).<br />
‣Klicken Sie im Fenster Option Rechner/Netze auf das Icon Rechner hinzufügen.<br />
‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT.<br />
Abb. Erstellen der Netzwerkobjekte<br />
Seite 186
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.4 Erstellen der Rechnergruppe Grp-fw internal<br />
Erstellen Sie die Rechnergruppen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das<br />
Fenster Optionen öffnen und die Option Rechnergruppen auswählen).<br />
‣Legen Sie eine neue Gruppe Grp-fw internal an.<br />
‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu.<br />
Abb. Rechnergruppe erstellen<br />
Seite 187
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.5 Erstellen der Rechner / Netzwerkobjekte fw external<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie das Fenster Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen<br />
öffnen und die Option Rechner/Netze auswählen).<br />
‣Klicken Sie im Fenster Rechner/Netze auf das Icon Rechner hinzufügen.<br />
‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT.<br />
Abb. Erstellen der Netzwerkobjekte<br />
Seite 188
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.6 Erstellen der Rechnergruppe Grp-fw external<br />
Erstellen Sie die Rechnergruppen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das<br />
Fenster Optionen öffnen und die Option Rechnergruppen auswählen).<br />
‣Legen Sie eine neue Gruppe Grp-fw external an.<br />
‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu.<br />
Abb. Rechnergruppe erstellen<br />
Seite 189
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.7 Erstellen der <strong>Firewall</strong>-Regel Grp-internal workstations Grp-fw internal<br />
Erstellen Sie im tabellarischen Regelwerk die Regel für den Proxy-Zugriff aus dem internen Netz.<br />
Gehen Sie folgendermaßen vor:<br />
‣Gehen Sie auf das Fenster <strong>Firewall</strong>-Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ<br />
können Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü neue Regel<br />
auswählen).<br />
‣Schreiben Sie eine neue Regel und speichern Sie sie.<br />
Abb. <strong>Firewall</strong> Regel erstellen<br />
Seite 190
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.8 Erstellen der <strong>Firewall</strong>-Regel Grp-fw external internet<br />
Erstellen Sie eine Regel damit der Proxy-Zugriff auf das Internet per http, https und passiv ftp hat.<br />
Gehen Sie folgendermaßen vor:<br />
‣Gehen Sie auf das Fenster <strong>Firewall</strong>-Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ<br />
können Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü das Erstellen einer<br />
neuen Regel auswählen).<br />
‣Schreiben Sie eine neue Regel und speichern Sie sie.<br />
Abb. <strong>Firewall</strong> Regel erstellen<br />
Seite 191
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.2.9 Konfigurieren des Proxies der <strong>Firewall</strong><br />
Konfigurieren Sie nun den Proxy der <strong>Firewall</strong>.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie auf die Optionen.<br />
‣Öffnen Sie die Option Proxy.<br />
Abb. Optionen, Proxy<br />
Seite 192
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.3 <strong>Firewall</strong>-Regel-Beispiel: Webserver NAT (statisches NAT)<br />
Sie haben vor, Ihren Webserver (oder auch eine andere Resource) für den Zugriff aus dem Internet<br />
freizuschalten. Ihr Webserver befindet sich in einer DMZ und hat eine private IP-Adresse. Sie möchten den<br />
Webserver über eine zusätzliche, auf dem externen Interface der <strong>Firewall</strong> installierte IP-Adresse erreichbar<br />
machen. Diese „virtuelle IP-Adresse“ ist eine öffentliche.<br />
• Der Webserver befinden sich in der Zone DMZ<br />
• Die Zone External ist das Internet<br />
Vorgehensweise in 4 Schritten:<br />
11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface<br />
11.1.3.2 Erstellen der Rechner / Netzwerkobjekte<br />
11.1.3.3 Erstellen der Rechnergruppe webserver<br />
11.1.3.4 Erstellen der <strong>Firewall</strong>-Regel internet webserver<br />
Seite 193
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.3.1 Installieren einer virtuellen IP-Adresse am externen Interface<br />
Installieren Sie dazu auf dem externen Interface der <strong>Firewall</strong> eine öffentliche IP-Adresse aus Ihrem Adress-Pool.<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie hierzu das Fenster Optionen.<br />
‣Klicken Sie auf das Icon Virtuelle IPs.<br />
Abb. Installation einer virtuellen IP-Adresse am externen Interface<br />
Beachten Sie: Überprüfen Sie, ob diese IP-Adresse auch hochgefahren ist. Entweder<br />
an der Konsole mit dem Befehl ifconfig oder über den Security Manager (Client) über<br />
die Punkte Reports Verbindungstests ifconfig. Sollte das Interface noch nicht<br />
hochgefahren sein, können Sie es durch Öffnen der „normalen“ Interface Konfiguration<br />
unter dem Punkt Optionen erzwingen, indem Sie die gespeicherten Daten noch einmal<br />
speichern.<br />
Seite 194
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.3.2 Erstellen der Rechner / Netzwerkobjekte<br />
Gehen Sie folgendermaßen vor:<br />
‣Öffnen Sie das Fenster Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster (alternativ können Sie auch das Fenster Optionen<br />
öffnen und die Option Rechner/Netze auswählen).<br />
‣Klicken Sie im Fenster Rechner/Netze auf das Icon Rechner hinzufügen.<br />
‣Legen Sie nun den Rechner an: Name, IP, Netzmaske, Zone, static NAT.<br />
Abb. Erstellen der Netzwerkobjekte<br />
Seite 195
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.3.3 Erstellen der Rechnergruppe webserver<br />
Erstellen Sie die Rechnergruppen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Fenster Regeln (tabellarisch) (alternativ können Sie auch das<br />
Fenster Optionen öffnen und die Option Rechnergruppen auswählen).<br />
‣Legen Sie eine neue Gruppe Webserver an.<br />
‣Fügen Sie die vorher definierten Rechner zu dieser Gruppe zu.<br />
Seite 196
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.3.4 Erstellen der <strong>Firewall</strong>-Regel internet webserver<br />
Erstellen Sie eine Regel damit das Internet Zugriff auf den Webserver hat. Im Regelwerk können Sie nun die<br />
Resource mit dem statischen NAT Eintrag freischalten.<br />
Gehen Sie folgendermaßen vor:<br />
‣Gehen Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel (alternativ können<br />
Sie auch mit der rechten Maustaste auf die Tabelle klicken und über das Menü das Erstellen einer neuen<br />
Regel auswählen).<br />
‣Schreiben Sie eine neue Regel und speichern Sie sie.<br />
Abb. <strong>Firewall</strong> Regel erstellen<br />
Seite 197
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.1.4 <strong>Firewall</strong>-Regel-Beispiel: Anbindung des TrendMicro-Virenscanners<br />
Sie möchten die TrendMicro Viruswall über den <strong>Securepoint</strong> Security Manager administrieren, bzw. Ihren Usern<br />
ermöglichen über die Viruswall sicher zu surfen - d. h. http und ftp wird nach Viren gescannt.<br />
• Die Workstations befinden sich in der Zone Internal<br />
• Die Zone External ist das Internet<br />
Vorgehensweise in 3 Schritten:<br />
11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen<br />
11.1.4.2 Erstellen der <strong>Firewall</strong>-Regeln<br />
11.1.4.1 Erstellen der Rechner / Netzwerkobjekte und Rechnergruppen<br />
‣Erstellen Sie das Netzwerk Objekt für Ihre Arbeitsstation, von der aus Sie die Viruswall administrieren<br />
möchten.<br />
Bei Erstellung des Netzwerk Objekts können auch gleichzeitig die Netzwerkgruppe für das Regelwerk erzeugen<br />
(Gruppe): Grp-Admin Workstations, Grp-Internal Net, Grp-FW Internal, Grp-FW External.<br />
Abb. Erstellen 1 und 2<br />
‣Erstellen Sie das Netzwerk aus dem der Proxy der Viruswall verwendet wird<br />
‣Erstellen Sie das interne Interface der <strong>Firewall</strong>, über das die Viruswall administriert wird, bzw. das die<br />
Anwender in Ihrer Proxy-Konfiguration als IP-Adresse für den Proxy angeben.<br />
‣Erstellen Sie das externe Interface der <strong>Firewall</strong>, über das die Viruswall ins Internet gelangt.<br />
Seite 198
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
‣Erstellen Sie eine neue Dienstgruppe für den Proxy der Viruswall. Standardmäßig verwendet der Viruswall<br />
Proxy den Port 80 (http). Erstellen Sie eine neue Gruppe für den Administrations-Port der Viruswall:<br />
TrendMicro Proxy und fügen sie ihr den Dienst http zu. Um die Viruswall über die Optionen Viruswall<br />
konfigurieren zu können, muss ebenfalls eine Dienstgruppe: TrendMicro Administration erstellt werden.<br />
Fügen Sie ihr den Dienst trendmicro-ssl zu.<br />
11.1.4.2 Erstellen der <strong>Firewall</strong>-Regeln<br />
‣Öffnen Sie nun das Regelwerk und erstellen Sie eine neue Regel für die Administration der Viruswall über<br />
die Optionen Viruswall.<br />
‣Erstellen Sie eine Regel damit die internen Benutzer den Proxy der Viruswall erreichen können.<br />
‣Erstellen Sie eine Regel, damit der Proxy der Viruswall auf das Internet per http, https und ftp zugreifen<br />
kann (https wird nicht nach Viren gescannt, kann aber über den Proxy verwendet werden).<br />
‣Machen Sie ein Regelupdate nach Erstellung der Regeln.<br />
Seite 199
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2 <strong>VPN</strong> – Beispiele mit IPSec<br />
Da die <strong>Securepoint</strong> ein Zonen-Konzept besitzt, sollten Sie überlegen, in welchen Zonen sich die Rechner und<br />
Netze befinden:<br />
Abb. <strong>Securepoint</strong>-Zonen-Konzept<br />
Seite 200
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2.1 Beispiel IPsec-<strong>VPN</strong> mit Roadwarrior und X509-Authentisierung<br />
Ihr Ziel ist es, dass ein Roadwarrior mit einem <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> über X509-Authentisierung<br />
angebunden werden. Sie möchten zum Beispiel einem Notebook erlauben, von unterwegs auf interne<br />
Resourcen zuzugreifen. Der Roadwirrior soll auf den internen File-<strong>Server</strong> per NetBios (Windows Filesharing)<br />
zugreifen können. Das Ganze über eine gesicherte IPSec-Verbindung. Gehen Sie in folgenden Schritten zum<br />
Anlegen der IPSec-Verbindungen vor:<br />
Vorgehensweise in 4 Schritten:<br />
11.2.1.1 Erstellen von <strong>Firewall</strong>-Regeln für IPSec-Verbindungen<br />
11.2.1.2 X509-Zertifikate erstellen<br />
11.2.1.3 IPSec-Verbindung auf der <strong>Firewall</strong> konfigurieren<br />
11.2.1.4 IPSec-Roadwarrior konfigurieren<br />
Seite 201
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2.1.1 Erstellen von <strong>Firewall</strong>-Regeln für IPSec-Verbindungen<br />
Sie möchten einem Notebook erlauben, von unterwegs auf interne Resourcen zuzugreifen. Dies soll über eine<br />
gesicherte IPSec-Verbindung geschehen.<br />
Erstellen der Netzobjekte<br />
Damit das externe Interface der <strong>Firewall</strong> per IPSec-Protokoll (UDP/500 und ESP) erreicht werden kann, müssen<br />
Sie die entsprechenden Netzwerkobjekte erstellen (siehe Abb. Erstellen des Netzwerkobjektes fw external und<br />
Abb. Erstellen des Netzwerkobjektes fw ipsec). Kontrollieren Sie dabei die angegebenen Zonen (Sektoren),<br />
siehe auch <strong>Securepoint</strong>-Zonen-Konzept.<br />
Um die Netzwerkobjekte zu erstellen, gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie über das Menü Bearbeiten Optionen Rechner/Netze<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze.<br />
Abb. Erstellen des Netzwerkobjektes fw external<br />
Abb. Erstellen des Netzwerkobjektes fw ipsec<br />
Seite 202
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der Rechnergruppe<br />
Fügen Sie die beiden neu erstellten Netzwerkobjekte in einer gemeinsamen Gruppe zusammen.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie hierzu über das Menü Bearbeiten Optionen Rechnergruppen<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch)<br />
‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen.<br />
‣Erstellen Sie die Rechnergruppe Grp-fw external und fügen Sie die neu erstellten Netzobjekte der Gruppe<br />
hinzu.<br />
Abb. Erstellen der Rechnergruppe Grp-fw external<br />
Seite 203
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der <strong>Firewall</strong>-Regeln<br />
Schalten Sie im Regelwerk eine Regel frei, mit der jeder aus dem Internet das externe Interface der <strong>Firewall</strong><br />
per IPSec-Protokoll erreichen kann. In unserem Fall wissen wir nicht, welche IP-Adresse der Roadwarrior hat,<br />
da wahrscheinlich eine IP-Adresse von einem Provider zugewiesen wird.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel.<br />
Abb. Erstellen der <strong>Firewall</strong>-Regel<br />
Seite 204
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. Dialog-Fenster Regel ändern<br />
‣Tragen Sie folgende Daten ein:<br />
Auswahlfelder<br />
von Rechnergruppe:<br />
zu Rechnergruppe:<br />
Dienstgruppe:<br />
Art:<br />
Log:<br />
Zeitvorgaben:<br />
internet<br />
Grp-fw external<br />
ipsec<br />
ACCEPT<br />
[S]<br />
false<br />
Mit dieser Regel erlauben Sie, dass aus dem Internet auf das externe IPSec-Interface der <strong>Firewall</strong> zugegriffen<br />
werden darf.<br />
Beachten Sie: Die Dienstgruppe ipsec ist eine vordefinierte Gruppe, die Sie nicht<br />
anlegen müssen.<br />
Seite 205
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der Netzobjekte<br />
Sie müssen festlegen, auf welche Resourcen der authorisierte Roadwarrior später im internen Netzwerk<br />
zugreifen darf. Es wird davon ausgegangen, dass die Netzobjekte noch nicht existieren. Erstellen Sie deshalb<br />
zuerst die Netzwerkobjekte für den Roadwarrior und den Fileserver. Später soll der Roadwarrior auf den<br />
internen Fileserver per NetBios (Windows Filesharing) zugreifen können. Der Roadwarrior hat im IPSec-Tunnel<br />
die IP-Adresse 172.16.1.10/32.<br />
Beachten Sie dies in der IPSec-Client-Konfiguration am Beispiel Sentinel-Client. (Siehe Kapitel 11.2.1.4)<br />
Um die Netzwerkobjekte zu erstellen, gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie in über das Menü Bearbeiten Optionen Rechner/Netze<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze.<br />
Abb. Erstellen des Netzwerkobjektes RoadwarriorX.509<br />
Abb. Erstellen des Netzwerkobjektes fileserver<br />
Seite 206
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der Rechnergruppe<br />
Fügen Sie die beiden neu erstellten Netzwerkobjekte jeweils in eine neue Gruppe.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie hierzu über das Menü Bearbeiten Optionen Rechnergruppen<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch).<br />
‣Klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen.<br />
‣Erstellen Sie die Rechnergruppe Grp-roadwarriorX.509 und die Gruppe Grp-fileserver und fügen Sie die neu<br />
erstellten Netzobjekte jeweils den Gruppen hinzu.<br />
Seite 207
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der <strong>Firewall</strong>-Regeln<br />
Nun müssen Sie im Regelwerk freischalten, auf welche Resourcen der authorisierte Roadwarrior im internen<br />
Netzwerk zugreifen darf. In diesem Fall soll er auf den internen Fileserver per NetBios (Windows Filesharing)<br />
zugreifen können.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel.<br />
Abb. Erstellen der <strong>Firewall</strong>-Regel<br />
Seite 208
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. Dialog-Fenster Regel ändern<br />
‣Tragen Sie folgende Daten ein:<br />
Auswahlfelder<br />
von Rechnergruppe:<br />
zu Rechnergruppe:<br />
Dienstgruppe:<br />
Art:<br />
Log:<br />
Zeitvorgaben:<br />
Grp-roadwarriorX.509<br />
Grp-fileserver<br />
netbios<br />
ACCEPT<br />
[S]<br />
false<br />
Mit dieser Regel erlauben Sie, dass von den Roadwarrior auf den internen Fileserver zugegriffen werden darf.<br />
Beachten Sie: Die Dienstgruppe netbios ist eine vordefinierte Gruppe, die Sie nicht<br />
anlegen müssen.<br />
Seite 209
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2.1.2 X509-Zertifikate erstellen<br />
Loggen Sie sich zum Erstellen von X509-Zertifikaten per SSH oder lokal auf der <strong>Firewall</strong> ein. Starten Sie das<br />
Programm nconfig. Das Programm nconfig gibt Ihnen die Möglichkeit, Ihre <strong>Firewall</strong>-Konfiguration zu ändern und<br />
X509-Zertifikate zu erstellen.<br />
‣Wählen Sie hier zu Punkt 10 aus: <strong>VPN</strong> Properties.<br />
Abb. Programm nconfig, Hauptauswahl<br />
Seite 210
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der CA (Certification Authority)<br />
Bevor Sie die eigentliche IPSec-Verbindung mit X509-Zertifikaten erstellen, müssen Sie die CA (Certification<br />
Authority), die Ihre Zertifikate signiert, erzeugen (Self-Signed-Certificates).<br />
Abb. Programm nconfig, Create new CA Cert<br />
‣Auswahl: Führen Sie Punkt 1 aus: Create new CA Cert.<br />
‣Tragen Sie die entsprechenden Daten ein und wichtig, merken Sie sich das Passwort. Mit Hilfe dieses<br />
Passwortes sind Sie in der Lage, Ihre Zertifikate zu signieren.<br />
Abb. Programm nconfig, eintragen der CA-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organisation:<br />
Org. Unit:<br />
Email:<br />
myca<br />
DE<br />
Germany<br />
NRW<br />
YourOrg<br />
Sales<br />
sales@yourdomain<br />
Password (private key): **********<br />
Seite 211
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen eines <strong>Server</strong>-Zertifikats<br />
Erstellen Sie nun das neue <strong>Server</strong>-Zertifikat.<br />
Abb. Programm nconfig, Create new <strong>Server</strong> Cert<br />
‣Auswahl: Führen Sie Punkt 2 aus: Create new <strong>Server</strong> Cert.<br />
‣Tragen Sie hier wieder Ihre entsprechenden Daten ein. Das erste Passwort müssen Sie bei Erstellung der<br />
IPSec-Verbindung im Security-Manager für Ihr <strong>Server</strong>-Zertifikat angeben. Mit dem zweiten Passwort sind<br />
Sie in der Lage, Ihr Passwort mit der lokalen CA zu signieren.<br />
Abb. Programm nconfig, eintragen der <strong>Server</strong>-Cert-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organisation:<br />
Org. Unit:<br />
Email:<br />
my<strong>Server</strong>Cert<br />
DE<br />
Germany<br />
NDS<br />
YourOrg<br />
Sales<br />
sales@yourdomain<br />
Password: ********<br />
CA Password: ********<br />
Seite 212
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen eines Client-Zertifikats<br />
Erstellen Sie nun das Client-Zertifikat für den Roadwarrior.<br />
Abb. Programm nconfig, Create new Client Cert<br />
‣Auswahl: Führen Sie Punkt 3 aus: Create new Client Cert.<br />
‣Tragen Sie hier wieder Ihre entsprechenden Daten ein. Das erste Passwort müssen Sie bei Erstellung der<br />
IPSec-Verbindung im Security-Manager für Ihr Client-Zertifikat angeben. Mit dem zweiten Passwort sind Sie<br />
in der Lage, Ihr Passwort mit der lokalen CA zu signieren.<br />
Abb. Programm nconfig, eintragen der Client-Cert-Daten<br />
Tragen Sie folgende Daten ein:<br />
Common Name:<br />
Country:<br />
Locality:<br />
State:<br />
Organisation:<br />
Org. Unit:<br />
Email:<br />
my<strong>Server</strong>Cert<br />
DE<br />
Germany<br />
NDS<br />
YourOrg<br />
Sales<br />
sales@yourdomain<br />
Password: ********<br />
CA Password: ********<br />
Seite 213
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Exportieren eines Zertifikats<br />
‣Sie können nun das Zertifikat auf einen Datenträger (Floppy oder USB) exportieren.<br />
Wenn Sie das nicht möchten, wird das Zertifikat im folgenden Pfad auf der <strong>Firewall</strong> abgespeichert:<br />
/opt/securepoint<strong>4.0</strong>/tmp/client_cert/<br />
Sie können es auch später, zum Beispiel per sftp Protokoll, von der <strong>Firewall</strong> herunterladen.<br />
Abb. Exportieren des Zertifikats auf USB-Storage oder Diskette<br />
Seite 214
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2.1.3 IPSec-Verbindung auf der <strong>Firewall</strong> konfigurieren<br />
Wechseln Sie jetzt wieder zum Security Manager (Client) und wählen Sie den Punkt <strong>Firewall</strong>s-<strong>VPN</strong> aus. Öffnen<br />
Sie hierzu über das Menü Bearbeiten <strong>Firewall</strong>s-<strong>VPN</strong> oder das Icon <strong>Firewall</strong>s-<strong>VPN</strong> das Fenster <strong>Firewall</strong>s-<strong>VPN</strong>.<br />
Das Fenster <strong>Firewall</strong>s-<strong>VPN</strong> hat einen dreiteiligen Aufbau:<br />
• Icon-Leiste mit den Funktionen<br />
• <strong>Firewall</strong>-<strong>VPN</strong>-Liste<br />
• Arbeitsoberfläche (mit Landkarte, falls gewünscht)<br />
Abb. Fenster <strong>Firewall</strong>s-<strong>VPN</strong><br />
Die Arbeitsoberfläche<br />
Es besteht die Möglichkeit, eine Landkarte in die Arbeitsoberfläche zu integrieren. Dies erleichtert Ihnen die<br />
Übersicht Ihres <strong>VPN</strong>-Netzes. Wählen Sie die gewünschte Landkarte über das Choice-Feld aus (hier<br />
europe.bmp). Ziehen Sie per Drag und Drop die gewünschten <strong>Firewall</strong>- oder Roadwarrior-Objekte auf die<br />
Arbeitsoberfläche. Falls die benötigten <strong>Firewall</strong>s oder Roadwarrior noch nicht existieren, legen Sie diese über<br />
das Icon <strong>Securepoint</strong> <strong>Firewall</strong> 4.X und Roadwarrior anlegen.<br />
Beachten Sie: Es können beliebig viele Landkarten benutzt werden. Einfaches Kopieren der gewünschten<br />
Landkarte (als BMP-Bitmap) in den Maps-Ordner des <strong>Securepoint</strong>-Programms machen diese für den Client<br />
verfügbar.<br />
Beachten Sie: Es können beliebig vielen leere Arbeitsoberflächen angelegt werden. Dazu im Maps-Ordner eine<br />
leere Bitmapdatei mit dem Namen „gewünschter_name.bmp“ anlegen. Vorteil ist ein schnellerer Bildaufbau mit<br />
weniger Flackern.<br />
Seite 215
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Anlegen des Roadwarrior-Objektes<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie die gewünschte Arbeitsoberfläche aus (hier germany.gmp).<br />
‣Ziehen Sie das <strong>Firewall</strong>-Objekt auf die Arbeitsoberfläche (Abb. Arbeitsoberfläche mit <strong>Firewall</strong>-Objekt).<br />
‣Erstellen Sie ein Roadwarrior-Objekt mit dem Namen RoadwarriorX.509.<br />
‣Klicken Sie hierzu auf das Icon Roadwarrior anlegen.<br />
‣Da wir nicht wissen, welche IP-Adresse der Roadwarrior vom Provider zugewiesen bekommt, tragen Sie die<br />
IP 0.0.0.0 ein (Abb. Roadwarrior-Objekt anlegen).<br />
‣Das neu erstellte Roadwarrior-Objekt erscheint nun in der linken Objektliste und kann per Drag and Drop<br />
ebenfalls auf die Arbeitsoberfläche gezogen werden.<br />
Abb. Arbeitsoberfläche mit <strong>Firewall</strong>-Objekt<br />
Abb. Roadwarrior-Objekt anlegen<br />
Seite 216
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
IPSec-Verbindung anlegen<br />
Die beiden Objekte auf der Arbeitsoberfläche können nun miteinander verbunden, und eine IPSec-Verbindung<br />
kann angelegt werden.<br />
Objekte miteinander verbinden<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie hierzu auf das Icon IPSec-Verbindung anlegen der Icon-Leiste und auf das <strong>Firewall</strong>-Objekt.<br />
‣Es erscheint daraufhin eine Meldung, die Sie auffordert, das Zielobjekt – in diesem Fall das Roadwarrior-<br />
Objekt – anzuklicken (Abb. IPSec-Verbindung anlegen).<br />
‣Es öffnet sich das Fenster für die Eingabe der Verbindungsdaten (Abb. Dialog-Fenster Eigenschaften von<br />
IPSec-Verbindungen).<br />
Abb. IPSec-Verbindung anlegen<br />
Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen<br />
Seite 217
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Konfiguration der Verbindungsart<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie nun die Verbindungsart aus und geben Sie die erforderliche Daten für die IPSec-Verbindung ein.<br />
‣Tragen Sie im ersten Folder (allgemein) als Authentisierungsmethode Certificate ein.<br />
‣Wechseln Sie auf den nächsten Folder secpoint<strong>4.0</strong>. Dieser Folder hat den Namen des <strong>Firewall</strong>-Objektes.<br />
‣Wählen Sie das zu verwendende <strong>Server</strong>-Zertifikat aus (Local certificate).<br />
‣Tragen Sie das vergebende Passwort ein (Local key).<br />
‣Speichern Sie die Daten ab.<br />
Beachten Sie: Tragen Sie nicht das Passwort der CA zum Signieren Ihrer Zertifikate,<br />
sondern das Passwort des erstellten Zertifikates ein!<br />
Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen, allgemein<br />
Abb. Dialog-Fenster Eigenschaften von IPSec-Verbindungen, secpoint<strong>4.0</strong><br />
Seite 218
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Netze im IPSec-Tunnel verbinden<br />
Tragen Sie nun ein, welche Netze Sie im IPSec-Tunnel miteinander verbinden wollen (Abb. Verbinden der Netze<br />
im IPSec-Tunnel).<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie hierzu mit der rechten Maustaste auf das schwarze Rechteck, das sich auf der entstandenen<br />
Linie zwischen dem <strong>Firewall</strong>- und Roadwarrior-Objekt befindet.<br />
‣Klicken Sie auf das Menü Sub-Netz bearbeiten und tragen Sie es ein.<br />
Das Sub-Netz auf das der Roadwarrior hinter der <strong>Firewall</strong> zugreifen möchte, ist 192.168.5.0/24. Der<br />
Roadwarrior hat im IPSec-Tunnel die IP-Adresse 172.16.1.10/32 (Abb. Sub-Netz).<br />
Abb. Verbinden der Netze im IPSec-Tunnel<br />
Abb. Fenster Sub-Netz<br />
Seite 219
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Betrieb der IPSec-Verbindung<br />
Wenn Sie alle Daten korrekt eingetragen haben, erscheint die Verbindungslinie jetzt grün.<br />
Starten Sie den IPSec-Dienst auf der <strong>Firewall</strong> neu, damit die Daten übernommen werden.<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie hierzu auf das Icon mit dem grünen Haken in der Icon-Leiste<br />
oder<br />
‣klicken Sie mit der rechten Maustaste auf das schwarze Rechteck zwischen den Objekten und<br />
‣wählen Sie aus dem Menü Verbindung starten.<br />
Beachten Sie: Der Roadwarrior möchte über das Internet auf den Fileserver zugreifen. Der Fileserver hat die IP-<br />
Adresse 192.168.5.20. Dies ist nun möglich. Sowohl die <strong>Firewall</strong>-Regeln sind erstellt als auch die <strong>VPN</strong>-<br />
Konfiguration auf der <strong>Firewall</strong> ist nun abgeschlossen, es muss lediglich noch der Roadwarrior konfiguriert<br />
werden.<br />
Abb. Betrieb der Verbindung<br />
Seite 220
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.2.1.4 IPSec-Roadwarrior konfigurieren<br />
Grundsätzlich können Sie verschiedene IPSec-Clienten verwenden. In diesem Fall liegt die Konfiguration des<br />
Sentinel-IPSec-Clienten vor, den Sie auch auf der CD-ROM finden.<br />
Es wird davon ausgegangen, dass das erstellte Client-Zertifikat sich auf dem Client-Rechner befindet. Falls dies<br />
nicht der Fall ist, sollten Sie das Zertifikat vom <strong>Firewall</strong>-<strong>Server</strong> laden. Es liegt im Verzeichnis:<br />
/opt/securepoint<strong>4.0</strong>/tmp/client_cert/<br />
Falls Sie den Roadwarrior noch nicht installiert haben, sollten Sie dies nun durchführen und die folgende<br />
Konfiguration vornehmen.<br />
Seite 221
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
SSH Sentinel Policy Editor<br />
Gehen Sie folgendermaßen vor:<br />
‣Starten Sie den SSH Sentinel Policy Editor.<br />
‣Wechseln Sie auf dem Folder Key Management.<br />
‣Klicken Sie mit der rechten Maustaste auf My Keys (Abb. SSH Sentinel Policy Editor) und wählen Sie den<br />
Punkt Import aus.<br />
‣Wählen Sie Ihr Client-Zertifikat aus und öffnen es (Abb. Import des Zertifikates).<br />
Es erscheint eine Passwort-Abfrage für das Zertifikat.<br />
‣Geben Sie hier bitte das Passwort an, welches Sie bei der Erstellung auf dem <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong><br />
angegeben haben.<br />
Beachten Sie: Tragen Sie nicht das Passwort der CA zum Signieren Ihrer Zertifikate,<br />
sondern das Passwort des erstellten Zertifikates ein!<br />
Abb. SSH Sentinel Policy Editor<br />
Abb. Import des Zertifikates<br />
‣Wechseln Sie auf den Folder Security Policy und auf <strong>VPN</strong>-Connections Add (Abb. Security Policy).<br />
‣Fügen Sie eine neue <strong>VPN</strong>-Verbindung hinzu (Abb. Hinzufügen einer neuen <strong>VPN</strong>-Verbindung).<br />
‣Tragen Sie als Gateway IP-Adresse die externe IP-Adresse Ihrer <strong>Firewall</strong> ein.<br />
Beachten Sie: Der Schalter IP muss gedrückt sein.<br />
‣Wählen Sie Ihr Zertifikat aus und benutzen Sie den Modus Use legacy proposal.<br />
Der Sentinel Client verwendet dann als Verschlüsselungs-Algorithmus 3DES wie auch der <strong>Securepoint</strong> <strong>Firewall</strong><br />
<strong>Server</strong>.<br />
Seite 222
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. Security Policy<br />
Abb. Hinzufügen einer neuen <strong>VPN</strong>-Verbindung<br />
‣Erstellen Sie dann das Remote network, auf das Sie hinter der <strong>Firewall</strong> zugreifen wollen.<br />
‣Klicken Sie hierzu auf den Button hinter dem Punkt Remote network (Abb. Hinzufügen einer neuen <strong>VPN</strong>-<br />
Verbindung).<br />
In diesem Fall ist es das Netz 192.168.5.0/24, in der sich der Fileserver mit der IP-Adresse 192.168.5.20<br />
befindet.<br />
‣Fügen Sie dieses Netz hinzu, indem Sie auf den Button New klicken (Abb. Network Editor).<br />
‣Nach dem Speichern der Einstellungen und dem Drücken des OK Buttons, öffnet sich automatisch das<br />
Fenster Rule Properties (Abb. Rule Properties).<br />
Abb. Network Editor<br />
Abb. Rule Properties<br />
Seite 223
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
‣Wählen Sie jetzt den Punkt Acquire virtual IP address aus (Abb. Rule Properties).<br />
Es soll im IPSec Tunnel eine festgelegte IP-Adresse verwendet werden (Abb. Virtual IP Address).<br />
‣Tragen Sie diese IP-Adresse ein - in unserem Fall die 172.16.1.10/32.<br />
Damit ist der IPSec-Client fertig konfiguriert. Die neue <strong>VPN</strong>-Verbindung erscheint nun im Folder Security Policy<br />
unter <strong>VPN</strong>-Connections (Abb. Neue <strong>VPN</strong>-Verbindung).<br />
Beachten Sie: Damit es funktioniert, darf der Roadwarrior, wenn er den IPSec-Tunnel<br />
aufbauen soll, nicht gleichzeitig eine IP-Adresse aus dem Zielnetz besitzen (in diesem<br />
Fall das Netz 192.168.5.0/24). Aus Routing-Gründen würde der IPSec-Tunnel dann<br />
nicht aufgebaut werden können.<br />
Abb. Rule Properties<br />
Abb. Virtual IP Address<br />
Abb. Neue <strong>VPN</strong>-Verbindung<br />
Seite 224
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3 <strong>VPN</strong> – Beispiele mit PPTP<br />
Da die <strong>Securepoint</strong> ein Zonen-Konzept besitzt, sollten Sie überlegen, in welchen Zonen sich die Rechner und<br />
Netze befinden:<br />
Abb. <strong>Securepoint</strong>-Zonen-Konzept<br />
Seite 225
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3.1 Beispiel PPTP-<strong>VPN</strong> mit Roadwarrior<br />
Ihr Ziel ist es, dass ein Roadwarrior mit einem <strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> angebunden wird. Sie<br />
möchten zum Beispiel einem Notebook erlauben, von unterwegs auf interne Resourcen zuzugreifen. Das<br />
Notebook soll auf einen internen Mailserver zugreifen können. Das Ganze über eine gesicherte PPTP-<br />
Verbindung. Gehen Sie in folgenden Schritten zum Anlegen der PPTP-Verbindungen vor:<br />
Vorgehensweise in 4 Schritten:<br />
11.3.1.1 Erstellen von <strong>Firewall</strong>-Regeln für PPTP-Verbindungen<br />
11.3.1.2 Erstellen der PPTP-Benutzer<br />
11.3.1.3 Erstellen der PPTP-Konfiguration<br />
11.3.1.4 PPTP-Roadwarrior konfigurieren<br />
Seite 226
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3.1.1 Erstellen von <strong>Firewall</strong>-Regeln für PPTP-Verbindungen<br />
Sie möchten einem Notebook erlauben, von unterwegs auf interne Resourcen – einen Mailserver – zuzugreifen.<br />
Dies soll über eine gesicherte PPTP-Verbindung geschehen.<br />
Erstellen der Netzobjekte<br />
Damit das externe Interface der <strong>Firewall</strong> per PPTP-Protokoll erreicht werden kann, müssen Sie die<br />
entsprechenden Netzwerkobjekte erstellen: Siehe Abb. Erstellen des Netzwerkobjektes fw external, Abb.<br />
Erstellen des Netzwerkobjektes mailserver und Abb. Erstellen des Netzwerkobjektes fw pptp user. Kontrollieren<br />
Sie dabei die angegeben Zonen (Sektoren), siehe auch <strong>Securepoint</strong>-Zonen-Konzept. Erstellen Sie den<br />
Netzbereich, aus dem der <strong>VPN</strong>-Client seine IP-Adresse für den Tunnel von der <strong>Firewall</strong> zugewiesen bekommt.<br />
Dieser Netzbereich wird festgelegt in der PPTP Konfiguration.<br />
Um die Netzwerkobjekte zu erstellen, gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie in über das Menü Bearbeiten Optionen Rechner/Netze<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch) und<br />
‣klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechner/Netze.<br />
Abb. Erstellen des Netzwerkobjektes fw external<br />
Abb. Erstellen des Netzwerkobjektes mailserver<br />
Abb. Erstellen des Netzwerkobjektes pptp user<br />
Seite 227
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der Rechnergruppen<br />
Packen Sie die beiden neu erstellten Netzwerkobjekte in eine gemeinsame Gruppe.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie hierzu in über das Menü Bearbeiten Optionen Rechnergruppen<br />
oder<br />
‣öffnen Sie das Fenster Regeln (tabellarisch) über Bearbeiten <strong>Firewall</strong> Regeln (tabellarisch) und<br />
‣klicken Sie mit der rechten Maustaste auf die Fensteroberfläche und wählen Sie Rechnergruppen.<br />
‣Erstellen Sie die Rechnergruppe Grp-fw external (Abb. Erstellen der Rechnergruppe Grp-fw external), Grpmailserver<br />
(Abb. Erstellen der Rechnergruppe Grp-mailserver) sowie Grp-pptp user (Abb. Erstellen der<br />
Rechnergruppe Grp-pptp user) und fügen Sie die neu erstellten Netzobjekte den jeweiligen Gruppen hinzu.<br />
Abb. Erstellen der Rechnergruppe Grp-fw external<br />
Abb. Erstellen der Rechnergruppe Grp-mailserver<br />
Abb. Erstellen der Rechnergruppe Grp-pptp user<br />
Seite 228
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erstellen der <strong>Firewall</strong>-Regeln<br />
Mit dieser Regel erlauben Sie, dass über das PPTP-Protokoll aus dem Internet auf das externe Interface (Abb.<br />
Eintragen der <strong>Firewall</strong>-Regel Internet) der <strong>Firewall</strong> zugegriffen werden darf und das externe Interface (Abb.<br />
Eintragen der <strong>Firewall</strong>-Regel Interface) auf das Internet zugreifen darf. Erstellen Sie ebenfalls die Regel für den<br />
Zugriff durch den PPTP-Tunnel (Abb. Eintragen der <strong>Firewall</strong>-Regel Tunnel) auf den Mailserver.<br />
Gehen Sie folgendermaßen vor:<br />
‣Wechseln Sie auf das Fenster Regeln (tabellarisch) und klicken Sie auf das Icon Neue Regel.<br />
Abb. Eintragen der <strong>Firewall</strong>-Regel Internet<br />
Abb. Eintragen der <strong>Firewall</strong>-Regel Interface<br />
Abb. Eintragen der <strong>Firewall</strong>-Regel Tunnel<br />
‣Tragen Sie folgende Daten ein:<br />
Auswahlfelder<br />
Regel ID 11: Regel ID 12: Regel ID 15:<br />
von Rechnergruppe: internet Grp-fw external Grp-pptp user<br />
zu Rechnergruppe: Grp-fw external internet Grp-mailserver<br />
Dienstgruppe: pptp pptp mail<br />
Art: ACCEPT ACCEPT ACCEPT<br />
Log: [S] [S] [S]<br />
Zeitvorgaben: false false false<br />
Beachten Sie: Die Dienstgruppen pptp und mail sind vordefinierte Gruppen, die Sie<br />
nicht anlegen müssen.<br />
Seite 229
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3.1.2 Erstellen der PPTP-Benutzer<br />
Im Gegensatz zu IPSec müssen Sie bei PPTP Benutzer definieren.<br />
Gehen Sie folgendermaßen vor:<br />
‣Legen Sie zuerst über die Benutzerverwaltung einen PPTP-<strong>VPN</strong>-Benutzer an.<br />
‣Erstellen Sie einen <strong>VPN</strong>-Benutzer unter Optionen Benutzerverwaltung.<br />
‣Geben Sie im Feld PPTP IP einen Stern * ein (Joker). Damit wird dem PPTP-Client im Tunnel eine IP-Adresse<br />
aus dem Adresspool zugewiesen.<br />
‣Geben Sie eine IP-Adresse an, wird dem User immer diese IP-Adresse zugewiesen.<br />
Abb. PPTP-Benutzer erstellen<br />
Seite 230
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3.1.3 Erstellen der PPTP-Konfiguration<br />
Gehen Sie folgendermaßen vor:<br />
‣Erstellen Sie unter Optionen PPTP die endgültige Konfiguration.<br />
‣Nach dem Anlegen von PPTP-<strong>VPN</strong>-Benutzern, konfigurieren Sie nun das <strong>VPN</strong>-Interface und die weiteren<br />
Angaben wie PPTP-Adresspool, simultane PPTP-Verbindungen. Der Adresspool ist aus einem Adressbereich,<br />
der dem internen oder DMZ/SSN-Netzen entsprechen muss.<br />
Sie haben folgende Einstellungsmöglichkeiten:<br />
Allgemeine Einstellungen<br />
Abb. Dialog-Fenster PPTP Allgemeine Einstellungen<br />
Eingabefelder<br />
PPTP-Interface:<br />
PPTP-Adresspool:<br />
Das PPTP-Interface ist ein virtuelles Interface, welches beim Start des PPTP-<strong>Server</strong>s<br />
hochfährt.<br />
Ist der von Ihnen festgelegte Adresspool, aus dem die PPTP-Clients ihre IP-Adresse für<br />
den Tunnel beziehen.<br />
Seite 231
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Verschlüsselung<br />
Abb. Dialog-Fenster PPTP Verschlüsselung<br />
Auswahlfelder<br />
Verschlüsselung:<br />
Silmutane Verb.:<br />
Wählen Sie die Verschlüsselungstiefe 128 / 40 Bit.<br />
Wählen Sie die Anzahl der Verbindungen, die simultan verfügbar sind.<br />
NS / WINS<br />
Abb. Dialog-Fenster PPTP NS/WINS<br />
Eingabefelder<br />
erster NS:<br />
zweiter NS:<br />
erster WINS:<br />
zweiter WINS:<br />
IP-Adresse des ersten Nameservers<br />
IP-Adresse des zweiten Nameservers<br />
IP-Adresse des ersten WINS-<strong>Server</strong>s<br />
IP-Adresse des zweiten WINS-<strong>Server</strong>s<br />
Seite 232
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Abb. PPTP-Konfiguration<br />
Seite 233
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.3.1.4 PPTP-Roadwarrior konfigurieren<br />
Im folgenden wird dargestellt, wie Sie einen Windows-PPTP-Client konfigurieren können:<br />
Einwahl in das <strong>VPN</strong>-Netz einrichten<br />
Gehen Sie folgendermaßen vor:<br />
‣Wählen Sie über das Programm-Menü von Windows: Start Programme Zubehör Kommunikation<br />
DFÜ-Netzwerk.<br />
Sie können nun eine neue Verbindung erstellen.<br />
‣Klicken Sie hierzu auf den Dienst Neue Verbindung erstellen.<br />
‣Sie müssen danach den anzuwählenden <strong>VPN</strong> <strong>Server</strong> benennen und das Gerät auswählen, z. B. den Microsoft<br />
<strong>VPN</strong> Adapter.<br />
‣Tragen Sie im Anschluss unter Hostname oder IP-Adresse die IP-Adresse des externen Interfaces der<br />
<strong>Securepoint</strong> <strong>Firewall</strong> ein und beenden Sie die Konfiguration.<br />
Sicherheitseinstellungen konfigurieren<br />
Gehen Sie folgendermaßen vor:<br />
‣Klicken Sie mit der rechten Maustaste auf das Icon <strong>VPN</strong> <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong> und auf Eigenschaften<br />
im Ordner DFÜ-Netzwerk.<br />
Sie haben hier weitere Einstellungsmöglichkeiten, die aus Sicherheitsgründen unbedingt berücksichtigt werden<br />
müssen.<br />
‣Wählen Sie die Folder <strong>Server</strong>typen und kreuzen Sie im Bereich erweiterte Optionen in jedem Fall die<br />
Optionen Verschlüsseltes Kennwort fordern sowie Datenverschlüsselung fordern an.<br />
Wenn dies nicht getan wird, werden die Daten nur getunnelt, aber nicht verschlüsselt und ein Sicherheitsloch<br />
besteht.<br />
Einwahl in das <strong>VPN</strong>-Netz<br />
Um sich in das <strong>VPN</strong>-Netz einzuwählen, muss vorher eine Verbindung zum <strong>Firewall</strong> <strong>Server</strong> bestehen. Dies kann<br />
ein Internetzugang per normaler Einwahl sein oder eine bestehende Standleitung.<br />
Gehen Sie folgendermaßen vor:<br />
‣Mit einem Doppelklick auf den neuen Dienst - hier benannt <strong>VPN</strong> <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong> - wird nun<br />
automatisch der Einwahlvorgang in das <strong>VPN</strong> durchgeführt.<br />
‣Sie müssen sich nun noch mit dem Login und Passwort des <strong>VPN</strong>-Benutzers anmelden.<br />
Seite 234
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.4 Bandbreitenbegrenzung von Diensten<br />
Sie können die Traffic-Bandbreite für Dienste begrenzen. Dies dient dazu, wichtigeren Diensten eine größere<br />
Bandbreite zur Verfügung zustellen oder die Kosten für bestimmte Dienste einzugrenzen. Diese Funktion wird<br />
Ihnen durch das Programm nconfig, Menü-Punkt 9, Traffic Shaper, zur Verfügung gestellt.<br />
Beispiel:<br />
In diesem Beispiel soll der http-Verkehr aus dem internem Netz (hier: 192.168.5.0/24) in das Internet auf eine<br />
Bandbreite von 64 Kbit pro Sekunde begrenzt werden. Starten Sie das Programm nconfig auf der ersten<br />
Konsole oder über SSH.<br />
Abb. Bandbreitenbegrenzung<br />
Seite 235
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.4.1 Bandbreitenbegrenzung-Erstellung<br />
Wählen Sie den Punkt 9, Traffic Shaper, (Abb. Bandbreitenbegrenzung).<br />
Eingaben:<br />
‣Traffic Shaper: 9<br />
Abb. Filter-Erstellung<br />
Erstellen Sie einen neuen Filter.<br />
Eingaben:<br />
‣ Wechseln Sie auf den Punkt:<br />
‣ Wählen Sie jetzt das Interface aus:<br />
new<br />
eth1<br />
Hinweise:<br />
Beim Öffnen des Fensters Traffic Shaper können Sie mit den Pfeiltasten, zwischen den Menüpunkten wechseln.<br />
Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe ohne Änderung beendet.<br />
Seite 236
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.4.2 Auswahl des Interfaces<br />
Wählen Sie in diesem Fall das interne Interface eth1 aus und geben Sie dafür eine maximale Bandbreite an.<br />
Diese soll 64 Kbit pro Sekunde betragen.<br />
Abb. Bandbreite auf 64 Kbit einstellen<br />
Eingaben:<br />
‣ Beschränkung auf Bandbreite in Kbit, Rate (Kbit): 64<br />
‣ Pirorität des Prozesses (0 hat höchste Priorität), prio: 1<br />
Seite 237
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.4.3 Filter für das Interface definieren<br />
Erstellen Sie jetzt einen neuen Filter für das Interface und die Bandbreite.<br />
Abb. Filter-Erstellung<br />
Abb. Neuen Filter hinzufügen<br />
Eingaben:<br />
‣ Auswahl bestehender Einstellungen: 64Kbit on eth1 (prio 1)<br />
‣ Hinzufügen eines neuen Filters : add new filter<br />
Hinweise:<br />
Beim Öffnen des Fensters Traffic Shaper können Sie mit den Pfeiltasten, zwischen den Menüpunkten wechseln.<br />
Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe ohne Änderung beendet.<br />
Seite 238
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Die Antwort-Pakete kommen von den Webservern aus dem Internet. Source ist also 0.0.0.0/0. Ziel ist das<br />
interne Netzwerk (hier: 192.168.5.0/24). Der Filter soll sich nur auf das http-Protokoll beziehen. Stellen Sie den<br />
Source-Port auf die 80 ein.<br />
Abb. Filter-Definition<br />
Eingaben:<br />
‣ src host/net: (Quell-IP-Adresse des Rechners/ Netzmaske) 0.0.0.0/0<br />
‣ dst host/net: (Ziel-IP-Adresse des Rechners/ Netzmaske) 192.168.5.0/24<br />
‣ src port: (Quell-Port) 80<br />
Beachten Sie: Beim Ausfüllen des Feldes src host/net oder dst host/net wird jeweils der Rechner geshapt oder<br />
beim Ausfüllen der felder src-/dst-port wird jeweils der Dienst geshapt. Wird beides ausgefüllt wird auch beides<br />
geshapt.<br />
Hinweis:<br />
Wenn Sie keinen Wert eingeben und RETURN drücken, wird die Eingabe ohne Änderung beendet.<br />
Seite 239
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.4.4 Speichern der Konfiguration<br />
Speichern Sie die Konfiguration ab, der Filter ist dann sofort aktiv.<br />
Abb. Abspeichern der Konfiguration<br />
Eingaben:<br />
‣Write Config: 12<br />
Seite 240
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.5 Verteilung des Datenverkehrs auf zwei Router - Source-Routing<br />
Unter dem Menüpunkt 8 des Programm nconfig können Sie normale statische Routen und statische Source-<br />
Routen anlegen.<br />
Beispiel<br />
In diesem Beispiel soll der Datenverkehr aus dem internen Netz hinter der <strong>Firewall</strong> auf zwei Router aufgeteilt<br />
werden (Abb. Datenverkehr).<br />
Der Datenverkehr der Arbeitsstationen soll hierbei über Router A gelenkt werden und der Datenverkehr von<br />
<strong>Server</strong> Boston soll über Router B gesteuert werden. Das primäre externe Interface der <strong>Firewall</strong> hat die IP<br />
Adresse 62.153.223.244 und sein Default Gateway ist der Router A mit der LAN IP-Adresse 62.153.223.241.<br />
Router B hat die IP Adresse 194.162.130.1. Damit die <strong>Firewall</strong> diesen Router B erreichen kann, wird eine<br />
virtuelle IP Adresse auf dem externen Interface der <strong>Firewall</strong> aus der IP-Range des Routers B (z. B.<br />
194.162.130.2) installiert. Wechseln Sie zur ersten Konsole auf der <strong>Firewall</strong> und loggen sich ein, oder rufen Sie<br />
über SSH das nconfig-Programm auf.<br />
Abb. Verteilung des Datenverkehrs auf zwei Router<br />
Seite 241
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.5.1 Erstellen einer neuen Route<br />
Rufen Sie den Menü-Punkt 8, Edit Static route, vom Programm nconfig auf.<br />
Eingaben:<br />
‣Edit Static routes: 8<br />
Abb. Erstellen der Route<br />
Wählen Sie dann Punkt 3, Edit source route, zum Erstellen einer Route aus.<br />
Eingaben:<br />
‣Edit source route: 3<br />
Beachten Sie: Die IP-Adressen der Routen werden im Informationsbereich des Fenster angezeigt.<br />
Seite 242
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.5.2 Definition der Route<br />
Wählen Sie Add new source route aus und geben Sie die Source Route ein. <strong>Server</strong> Boston soll die IP-Adresse<br />
192.168.5.20 haben. Das Netz 0.0.0.0/0 bedeutet, dass sämtlicher Verkehr über Router B geroutet werden soll.<br />
Abb. Definition der Route<br />
Eingaben:<br />
‣ Add new source route<br />
‣ Source: 192.168.5.20/32<br />
‣ Destination: 0.0.0.0<br />
‣ Router: 194.162.130.1<br />
Hinweise:<br />
Beim Öffnen des Fensters Add new source route können Sie mit den Pfeiltasten, zwischen den Menüpunkten<br />
wechseln.<br />
Seite 243
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
11.5.3 Speichern der Konfiguration<br />
Speichern Sie die Konfiguration ab. Wählen Sie hierzu den Menüpunkt 12, Write Config, aus und speichern Sie<br />
die Konfiguration ab.<br />
Abb. Speichern der Konfiguration<br />
Eingabe:<br />
‣ Write Config: 12<br />
Seite 244
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
12 Fragen und Probleme<br />
Fragen und Antworten zum <strong>Securepoint</strong> <strong>Firewall</strong> <strong>Server</strong> und Clienten:<br />
Frage:<br />
Antwort:<br />
Warum bekommt der <strong>Securepoint</strong> Security Manager ein Timeout nach dem der<br />
Nameserver eingetragen wurde?<br />
Scheinbar kann die <strong>Firewall</strong> den Nameserver nicht erreichen, wahrscheinlich liegt ein<br />
Konfigurationsfehler vor. Tragen Sie bitte in die Datei /etc/hosts die IP-Adresse und den<br />
Namen des administrierenden Clienten ein (192.168.5.2 spclient): mcedit /etc/hosts<br />
(F2 Speichern, F10 Beenden).<br />
Frage:<br />
Antwort:<br />
Warum bekomme ich in Reports Verbindungstest beim Ping "Operation not permited"<br />
als Antwort zurück?<br />
Sie müssen den Ping von den jeweiligen <strong>Firewall</strong>-Interfaces zu den jeweiligen Netzen per<br />
Regel freischalten. Z. B. von Rechnergruppe "externes Interface" zu Rechnergruppe<br />
"Internet" "ping" "accept".<br />
Frage:<br />
Die IP-Adresse des Rechners, auf dem Ihr <strong>Securepoint</strong> Security Manager läuft, hat sich<br />
geändert. Was muss ich tun, um die <strong>Firewall</strong> wieder administrieren zu können?<br />
Antwort: Hinzufügen von Admin-Clients mit nconfig siehe Kapitel 10.4 nconfig, das<br />
Konfigurationsprogramm der Konsole, Punkt 6: Change Admin IP.<br />
Frage:<br />
Antwort:<br />
Reports werden nicht alle 24 Stunden verschickt oder Sie bekommen keine Alarm-<br />
Meldungen per Email?<br />
Haben Sie einen Nameserver auf der <strong>Firewall</strong> eingetragen? Wenn ja, haben Sie den<br />
sendmail-Dienst unter bearbeiten/optionen/server dienste/sendmail neu gestartet?<br />
Seite 245
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Index<br />
A Accounting, Zoomfunktion 152<br />
Admin IP 12<br />
Admin Password 12<br />
Administrator 37-38<br />
Adressen, PPTP 121<br />
Adresspool, PPTP 54, 121<br />
ADSL 70, 73<br />
ADSL-Modem 71, 73<br />
Aktivieren, <strong>Firewall</strong>-Regeln 83<br />
aktuelle, Patches 41<br />
Akzeptieren von Paketen 79<br />
Alarmieren per Email 69<br />
Allgemeine Einstellungen, ADSL 73<br />
Allgemeine PPTP-Einstellungen 54<br />
Allgemeines 8<br />
ALTERED_PINGS 52<br />
Andere <strong>Firewall</strong> anlegen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Ändern, Dienstgruppen 58<br />
Ändern, <strong>Firewall</strong>-Regeln 81<br />
Ändern, IP-Adresse Security Manager, nconfig 164<br />
Ändern, Kernel-Parameter 52<br />
Ändern, Konsolen-Passwort, nconfig 169<br />
Ändern, nachträglich, Konfiguration 128<br />
Ändern, Nameserver, nconfig 165<br />
Ändern, Rechnergruppen 61<br />
Ändern, Schlüssel Security Manager 19<br />
Anfangskonfiguration 13<br />
Angriffe erkennen 53<br />
Anlegen, IPSec-Verbindung, Beispiel 217<br />
Anlegen, Netze 95<br />
Anlegen, neue Konfigurationsdatei 20, 23<br />
Anlegen, neue <strong>Securepoint</strong> <strong>Firewall</strong> 4.X 31<br />
Anlegen, Rechner in <strong>Firewall</strong>-Zone 95<br />
Anlegen, Rechner, Router 95<br />
Anlegen, Rechnergruppen 95<br />
Anlegen, Roadwarrior-Objekt, Beispiel 216<br />
Anlegen, Virtuelle IPs 95<br />
Anmelden am Security Manager 18<br />
Anmelden an der <strong>Firewall</strong> 32<br />
Anmelden, Konsole 154<br />
Anmeldevorgang, SSH 176<br />
Anonymizer, Proxy 47<br />
Ansicht Netzwerk-Topologie 23<br />
Antworten 245<br />
Anzeigen, Dienstgruppen 84<br />
Anzeigen, Dienstgruppen, <strong>Firewall</strong>-Regeln grafisch 92<br />
Anzeigen, Gruppeninhalt, Regelgruppe 82<br />
Seite 246
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Anzeigen, Rechnergruppen 84<br />
Anzeigen, Rechnergruppen, <strong>Firewall</strong>-Regeln grafisch 92<br />
Arbeiten mit einer <strong>Firewall</strong> 32<br />
Arbeitsblatt löschen, <strong>Firewall</strong>-Regeln grafisch 86<br />
Arbeitsfläche, <strong>Firewall</strong>-<strong>VPN</strong> 106<br />
Archiv, Standard Reports 130<br />
Art, Eigenschaften, IPSec-Verbindungen 109<br />
Art, <strong>Firewall</strong>-Regeln 79<br />
AUDIT_MOUNT 52<br />
Aufspielen, Patches 39<br />
Aufspielen, restore.sh floppy 40<br />
Aufspielen, restore.sh usb 40<br />
Aufspielen, Sicherungen 39<br />
Aufteilen, Datenverkehr, Beispiel 241<br />
Auswählen, Interface, Bandbreite, Beispiel 237<br />
Auswahlleiste 32<br />
Auswahlleiste sichtbar 25<br />
Auswertungen 129-152<br />
Authentifizierung, IAS <strong>Server</strong> 49<br />
Authentifizierung, Radius <strong>Server</strong> 49<br />
Authentisierungsmethode, Eigenschaften, IPSec-Verbindungen 109<br />
Authentisierungsverfahren, Preshared 100<br />
Authentisierungsverfahren, RSA 99<br />
Authentisierungsverfahren, X509-Zertifikate 101-117<br />
Automatisch abmelden 33<br />
Automatisch schließen 25<br />
Automatisch starten, Eigenschaften, IPSec-Verbindungen 110<br />
Automatisches Schließen Auswahlleiste 25<br />
Autostart, Dienste 44<br />
B Backup 39<br />
Backup, Diskette 39<br />
Backup, USB-Stick 39<br />
backup.sh floppy 40<br />
backup.sh usb 40<br />
Balkenzahl, Log-Auswertung 134<br />
Bandbreite einstellen, Beispiel 235<br />
Bandbreite, Interface auswählen, Beispiel 237<br />
Bandbreite, Interface-Filter definieren, Beispiel 238<br />
Bandbreite, nconfig 167<br />
Bandbreitenbegrenzung, Beispiel 235<br />
Bearbeiten von <strong>VPN</strong>-Verbindungen 23<br />
Bearbeiten, <strong>Firewall</strong>-Regeln 79<br />
Bearbeiten, Kernel-Parameter 52<br />
Bearbeiten, Netzsegmente 59<br />
Bearbeiten, Objekte, Topologie 96<br />
Bearbeiten, Rechner 59<br />
Bearbeiten, Rechnergruppen 84<br />
Bearbeiten, Rechnergruppen, <strong>Firewall</strong>-Regeln grafisch 92<br />
Bearbeiten, Regeln, <strong>Firewall</strong>-Regeln grafisch 91<br />
Seite 247
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Bearbeiten, Subnetz, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Bearbeiten, Sub-Netze, IPSec-Verbindungen 111<br />
Bearbeiten, Topologie 95<br />
Bearbeitung mehrerer <strong>Firewall</strong>s 33<br />
Bearbeitung von <strong>Firewall</strong>-Konfigurationen 20<br />
Bedienung des <strong>Securepoint</strong> Security Manager 17<br />
Beenden, nconfig 171<br />
Befehlsausführungen loggen 53<br />
Beispiel <strong>Firewall</strong>-Regeln, IPSec <strong>VPN</strong> 202<br />
Beispiel ins Internet, <strong>Firewall</strong>-Regeln 179<br />
Beispiel, Bandbreite einstellen 235<br />
Beispiel, Bandbreite, Interface auswählen 237<br />
Beispiel, Bandbreite, Interface-Filter definieren 238<br />
Beispiel, Bandbreitenbegrenzung 235<br />
Beispiel, Datenverkehr auf Router verteilen 241<br />
Beispiel, Datenverkehr aufteilen 241<br />
Beispiel, Datenverkehr aufteilen, Route erstellen 242<br />
Beispiel, Datenverkehr aufteilen, Route konfigurieren 243<br />
Beispiel, Einwahl in <strong>VPN</strong>-Netz, PPTP, Windows 234<br />
Beispiel, erstellen, <strong>Firewall</strong>-Regel 182<br />
Beispiel, erstellen, Rechner, <strong>Firewall</strong>-Regeln 180<br />
Beispiel, erstellen, Rechnergruppen, <strong>Firewall</strong>-Regeln 181<br />
Beispiel, IPSec Subnetze 219<br />
Beispiel, IPSec <strong>VPN</strong> 200<br />
Beispiel, IPSec, Sentinel Policy Editor 222<br />
Beispiel, IPSec-Objekte verbinden 217<br />
Beispiel, IPSec-Roadwarrior konfigurieren 221<br />
Beispiel, IPSec-Verbindung anlegen 217<br />
Beispiel, IPSec-Verbindung Betrieb 220<br />
Beispiel, IPSec-Verbindung konfigurieren 215<br />
Beispiel, IPSec-Verbindung, Arbeitsoberfläche 215<br />
Beispiel, IPSec-Verbindungsart konfigurieren 218<br />
Beispiel, Netze im IPSec-Tunnel verbinden 219<br />
Beispiel, PPTP 225<br />
Beispiel, PPTP unter Windows konfigurieren 234<br />
Beispiel, PPTP, Nameserver 232<br />
Beispiel, PPTP, NS 232<br />
Beispiel, PPTP, NS / WINS 232<br />
Beispiel, PPTP, Roadwarrior 226<br />
Beispiel, PPTP, Roadwarrior <strong>Firewall</strong>-Regeln 227<br />
Beispiel, PPTP, Roadwarrior konfigurieren 234<br />
Beispiel, PPTP, WINS 232<br />
Beispiel, PPTP-Benutzer 230<br />
Beispiel, PPTP-Einstellungen 231<br />
Beispiel, PPTP-Konfiguration erstellen 230<br />
Beispiel, PPTP-Verschlüsselung 232<br />
Beispiel, Proxy konfigurieren, <strong>Firewall</strong>-Regeln 192<br />
Beispiel, Proxy, <strong>Firewall</strong>-Regeln 183<br />
Beispiel, Roadwarrior, IPSec <strong>VPN</strong> 201<br />
Beispiel, Roadwarrior-Objekt anlegen 216<br />
Seite 248
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Beispiel, Sentinel-Roadwarrior konfigurieren 221<br />
Beispiel, <strong>Server</strong>-Dienst hinzufügen 45<br />
Beispiel, Source-Routing 241<br />
Beispiel, Traffic Shaper 235<br />
Beispiel, Traffic-Bandbreite 235<br />
Beispiel, Virenscanner, <strong>Firewall</strong>-Regeln 198<br />
Beispiel, virtuellen IP-Adresse, <strong>Firewall</strong>-Regeln 194<br />
Beispiel, Webserver NAT, <strong>Firewall</strong>-Regeln 193<br />
Beispiel, X.509-Authentisierung, IPSec <strong>VPN</strong> 201<br />
Beispiel, X.509-Zertifikat erstellen, IPSec <strong>VPN</strong> 210<br />
Beispiel, X.509-Zertifikat, nconfig, IPSec <strong>VPN</strong> 210<br />
Beispiele 177-244<br />
Beispiele, <strong>Firewall</strong>-Regeln 178<br />
Beispielkonfiguration 14, 20, 125<br />
Bemerkung, <strong>Firewall</strong>-Regeln 80<br />
Benutzer anlegen 36<br />
Benutzer anlegen, PPTP, Beispiel 230<br />
Benutzer bearbeiten 36, 37<br />
Benutzer hinzufügen, PPTP 120<br />
Benutzer löschen 36, 37<br />
Benutzer löschen, PPTP 120<br />
Benutzer, nur <strong>Firewall</strong>-Reports 37<br />
Benutzer, nur <strong>Firewall</strong>-Reports 38<br />
Benutzer, PPTP 119<br />
Benutzer, PPTP, Beispiel 230<br />
Benutzer, Reports 69<br />
Benutzergruppe, Administrator 38<br />
Benutzergruppe, Benutzer 36, 37, 38<br />
Benutzergruppe, Benutzer, PPTP 120<br />
Benutzergruppe, Squid-Benutzer 38<br />
Benutzergruppe, <strong>VPN</strong>-Benutzer PPTP+A244 38<br />
Benutzergruppen 38<br />
Benutzerrecht erkennen 33<br />
Benutzerverwaltung 36-38<br />
Benutzerverwaltung, PPTP 119<br />
Benutzerverwaltung, PPTP, Beispiel 230<br />
Betrieb, IPSec-Verbindung, Beispiel 220<br />
Betriebssystem-Ermittlung verhindern 52, 53<br />
Beziehungen zwischen Netzen 68<br />
Bindung virtuelle IP-Adresse, Interface 67<br />
Bitcount-Calculator 8<br />
Blocking 50<br />
Blocking, Proxy 46<br />
Blocking-Listen 50<br />
Blocking-Listen konfigurieren 50<br />
Blockinglisten verwenden 47<br />
Blocking-Listen verwenden 46<br />
Broadcast-Adresse, Testen 153<br />
Browsern, Proxy 48<br />
BSD Kompression, ISDN 72<br />
Seite 249
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
C Cache 46<br />
Cache Manager, Browser 47<br />
CD-ROM 14<br />
Certification Authority 101<br />
Certification Authority erstellen 102<br />
Certification Authority, nconfig 168<br />
Change Admin IP, nconfig 164<br />
Change Driver, nconfig 162<br />
Change Gateway, nconfig 163<br />
Change IP, nconfig 161<br />
Change Nameserver, nconfig 165<br />
Change Password, nconfig 169<br />
Choice-Feld Arbeitsoberfläche/ Landkarten, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
client<strong>4.0</strong>.exe 14<br />
Client-Optionen 19<br />
Client-Zertifikat 101<br />
Client-Zertifikat erstellen 104<br />
Condition 44<br />
COREDUMP 52<br />
D Darstellung Verbindungsstatus 32<br />
Darstellung, <strong>Firewall</strong>-Regeln 87<br />
Darstellung, <strong>Firewall</strong>-Regeln grafisch 85<br />
Dateiendung ".isf" 125<br />
Datei-Größe, Log-Auswertung 133<br />
Dateilänge, Standard Reports 130<br />
Datendurchsatz je IP, Log-Auswertung 134<br />
Datendurchsatz stündlich, Log-Auswertung 135<br />
Datenpakete verfolgen, Testen 153<br />
Datentransfermenge je Interface, Accounting 151<br />
Datenübertragung, keine nach 15 Minuten 33<br />
Datenverkehr auf Router verteilen, Beispiel 241<br />
Datenverkehr aufteilen, Beispiel 241<br />
Datum, einstellen 43<br />
Debugging, Konsole 155<br />
Default Gateway 12<br />
Default Gateway 62<br />
Default-Route 62<br />
Definieren, Blocking-Listen 50<br />
Definieren, Interface-Filter, Bandbreite, Beispiel 238<br />
Definieren, no Blocking-Listen 51<br />
Definieren, Protokoll 57<br />
Del Interface, nconfig 160<br />
Destination Routing, nconfig 166<br />
Dienst, Autostart 44<br />
Dienst, starten 44<br />
Dienst, stoppen 44<br />
Dienste 56, 57<br />
Dienste hinzufügen 56, 57<br />
Seite 250
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Dienste löschen 56, 57<br />
Dienste, <strong>Firewall</strong>-Regeln 78<br />
Dienste, <strong>Firewall</strong>-Regeln grafisch 86<br />
Dienstgruppen 58<br />
Dienstgruppen ändern 58<br />
Dienstgruppen anzeigen 84<br />
Dienstgruppen anzeigen, <strong>Firewall</strong>-Regeln grafisch 92<br />
Dienstgruppen hinzufügen 58<br />
Dienstgruppen löschen 58<br />
Dienstgruppen, <strong>Firewall</strong>-Regeln 78, 79<br />
Dienst-Name 57<br />
DISABLED, <strong>Firewall</strong>-Regeln 79<br />
Disketten-BackUp 16<br />
DMESG 52<br />
Domain Name 62<br />
Domains sperren 50<br />
Domains zulassen 51<br />
Download Patch 41<br />
Downloadgröße 47<br />
Downloadgröße einschränken 47<br />
Download-Zeit, Log-Auswertung 133<br />
Dreidimensionale Darstellung, Accounting 151<br />
Driver 11<br />
DROP, <strong>Firewall</strong>-Regeln 79<br />
Droppen von Paketen 79<br />
Drucken, Accounting 151<br />
Drucken, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Drucken, IP-Traffic-Auswertung 138<br />
Drucken, Konfiguration 23<br />
Drucken, Konfigurationsdatei 127<br />
Drucken, Log-Auswertung 132<br />
Drucken, Proxy-Auswertung 144<br />
Drucken, Topologie 96<br />
DSL Konfiguration, nconfig 158<br />
DSL und ISDN Konfiguration, nconfig 158<br />
DynDns, ADSL 75<br />
DynDns-Dienst 75<br />
DynName,DynDns, ADSL 75<br />
E EAZ-Nr., ISDN 72<br />
Edit Static Route, nconfig 166<br />
Eigenschaften, <strong>Firewall</strong>-<strong>Server</strong> 25, 32<br />
Eigenschaften, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Eigenschaften, IPSec-Verbindungen 109<br />
Eigenschaften, <strong>VPN</strong>-Client 110<br />
Eigenschaften, <strong>VPN</strong>-<strong>Server</strong> 110<br />
Einfügen, <strong>Firewall</strong>-Regeln 81<br />
Einfügen, Regelgruppe 82<br />
Einloggen, Security Manager. mehrere Benutzer 53<br />
Einstellen, Bandbreite, Beispiel 235<br />
Seite 251
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Einstellen, Datum 43<br />
Einstellen, ISDN 72<br />
Einstellen, Kernel-Parameter 52<br />
Einstellen, Nameserver, PPTP 55<br />
Einstellen, Security Manager. mehrere Benutzer 53<br />
Einstellen, Traffic-Bandbreite, nconfig 167<br />
Einstellen, WINS-<strong>Server</strong>, PPTP 55<br />
Einstellen, Zeit 43<br />
Einstellen, Zeit, <strong>Firewall</strong>-Regeln 80<br />
Einstellungen, <strong>Firewall</strong> 34<br />
Einstellungen, PPTP, Beispiel 231<br />
Einwahl in <strong>VPN</strong>-Netz, PPTP, Windows, Beispiel 234<br />
Email, Benutzer 37<br />
Email, Proxy 47<br />
Email-Alarmierung 69<br />
Entfernt, ADSL 74<br />
Entfernt, ISDN 72<br />
Entfernter Host/Gateway ID, Eigenschaften, IPSec-Verbindungen 110<br />
Entfernter Host/Gateway, Eigenschaften, IPSec-Verbindungen 110<br />
Entfernter Schlüssel, Eigenschaften, IPSec-Verbindungen 110<br />
Entfernter Schlüssel, RSA 99<br />
Erkennen, Angriffe 53<br />
Erkennen, Scans 53<br />
Ermittelung Betriebssystem verhindern 52, 53<br />
Erstellen, Benutzer, PPTP, Beispiel 230<br />
Erstellen, Certification Authority 102<br />
Erstellen, Certification Authority, nconfig 168<br />
Erstellen, Client Zertifikat, nconfig 168<br />
Erstellen, Client-Zertifikat 104<br />
Erstellen, <strong>Firewall</strong>-Regel, Beispiel 182<br />
Erstellen, IPSec-Verbindungen 106<br />
Erstellen, IPSec-Verbindungen 108<br />
Erstellen, Konfiguration, PPTP, Beispiel 230<br />
Erstellen, Rechner, Beispiel, <strong>Firewall</strong>-Regeln 180<br />
Erstellen, Rechnergruppen, Beispiel, <strong>Firewall</strong>-Regeln 181<br />
Erstellen, Regel, <strong>Firewall</strong>-Regeln 79<br />
Erstellen, Regeln, <strong>Firewall</strong>-Regeln grafisch 90<br />
Erstellen, Route, Datenverkehr aufteilen, Beispiel 242<br />
Erstellen, <strong>Server</strong> Zertifikat, nconfig 168<br />
Erstellen, <strong>Server</strong>-Zertifikat 103<br />
Erstellen, Sub-Netze, IPSec-Verbindungen 111<br />
Erstellen, Text, IPSec-Verbindungen 114<br />
Erstellen, X.509-Zertifikat, Beispiel, IPSec <strong>VPN</strong> 210<br />
Erstellen, X509-Client Zertifikat, nconfig 168<br />
Erstellen, X509-<strong>Server</strong> Zertifikat, nconfig 168<br />
Erstellen, X509-Zertifikate 101<br />
Erstes Anmelden am Security Manager 18<br />
Erweiterte Einstellung, Proxy 46<br />
Erweiterterte Einstellungen, Proxy 49<br />
Erweitertes Menü 78<br />
Seite 252
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Erweitertes Menü, Eigenschaften, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Erweitertes Menü, Subnetz bearbeiten, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Erweitertes Menü, Verbindung löschen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Erweitertes Menü, Verbindung starten, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Erweitertes Routing 64-65<br />
Erweitertes Routing, Topologie 94<br />
Ethernet 70<br />
Ethernet, nconfig 159<br />
Ethernet-Konfiguration 71<br />
Exportieren, Zertifikat 105<br />
EXT2 Filesystem 10<br />
EXT3 Journaling Filesystem 10<br />
Externes Interface 71<br />
F FAQs 245<br />
Fehlerreport 42<br />
Fehlerreport senden 42<br />
Fehlerreport, Email 42<br />
Fehlerreport, Firma 42<br />
Fehlerreport, Name 42<br />
Fehlerreport, Problembeschreibung 42<br />
Fehlersuche, Konsole 155<br />
Fenster übereinander anordnen 23<br />
Fenster überlappend anordnen 23<br />
Filterauswahl, Log-Auswertung 136<br />
Filtermöglichkeiten, Log-Auswertung 136<br />
Filtermöglichkeiten, Paketart 149<br />
Filtermöglichkeiten, Traffic-Auswertung 149<br />
Filterwert, Traffic-Auswertung 149<br />
<strong>Firewall</strong> Benutzer, Administrator 33<br />
<strong>Firewall</strong> Benutzer, normaler Benutzer 33<br />
<strong>Firewall</strong> Icon rot, Auswahlleiste 33<br />
<strong>Firewall</strong> Icon weiß, Auswahlleiste 33<br />
<strong>Firewall</strong> keine Verbindung (LED grau) 32<br />
<strong>Firewall</strong> keine Verbindung möglich (LED rot) 32<br />
<strong>Firewall</strong> online (LED grün) 32<br />
<strong>Firewall</strong> standby (LED gelb) 32<br />
<strong>Firewall</strong>, Backup 39<br />
<strong>Firewall</strong>/<strong>VPN</strong> Konfigurationen 124-128<br />
<strong>Firewall</strong>-Anmelde-Status 32<br />
<strong>Firewall</strong>-Konfiguration 42<br />
<strong>Firewall</strong>-Konsole 154-171<br />
<strong>Firewall</strong>-Objekte, angelegte 25<br />
<strong>Firewall</strong>-Regeln 26, 77-92<br />
<strong>Firewall</strong>-Regeln (tabellarisch) 77<br />
<strong>Firewall</strong>-Regeln aktivieren 83<br />
<strong>Firewall</strong>-Regeln bearbeiten 79<br />
<strong>Firewall</strong>-Regeln grafisch 85, 86<br />
<strong>Firewall</strong>-Regeln, Beispiel ins Internet 179<br />
<strong>Firewall</strong>-Regeln, Beispiel Proxy 183<br />
Seite 253
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
<strong>Firewall</strong>-Regeln, Beispiel Proxy konfigurieren 192<br />
<strong>Firewall</strong>-Regeln, Beispiel Virenscanner 198<br />
<strong>Firewall</strong>-Regeln, Beispiel virtuellen IP-Adresse 194<br />
<strong>Firewall</strong>-Regeln, Beispiel Webserver NAT 193<br />
<strong>Firewall</strong>-Regeln, Beispiel, erstellen <strong>Firewall</strong>-Regel 182<br />
<strong>Firewall</strong>-Regeln, Beispiel, erstellen Rechner 180<br />
<strong>Firewall</strong>-Regeln, Beispiel, erstellen Rechnergruppen 181<br />
<strong>Firewall</strong>-Regeln, Beispiel, IPSec <strong>VPN</strong> 202<br />
<strong>Firewall</strong>-Regeln, Beispiele 178<br />
<strong>Firewall</strong>-Regeln, nicht aktiv 79<br />
<strong>Firewall</strong>-Regeln, Roadwarrior, PPTP, Beispiel 227<br />
<strong>Firewall</strong>-Regeln, zeitabhängig 80<br />
<strong>Firewall</strong>s auf Karte anmelden, alle, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
<strong>Firewall</strong>s, mehrere 25<br />
<strong>Firewall</strong>-Verbindungen 28<br />
<strong>Firewall</strong>-<strong>VPN</strong> 23<br />
<strong>Firewall</strong>-<strong>VPN</strong>-Auswahlleiste 106<br />
FORKFAIL_LOGGING 53<br />
Forwarding Port 49<br />
Forwarding Proxy 49<br />
Fragen 245<br />
Fremdprodukte 172-176<br />
Fremdprodukte betreiben 172<br />
FTP User, Proxy 47<br />
fw down, Konsole 155<br />
fw up, Konsole 155<br />
G Gateway 12<br />
Gateway ändern, nconfig 163<br />
Gateway, erweitertes Routing 65<br />
Gestufte Darstellung, Accounting 151<br />
Grafisch, <strong>Firewall</strong>-Regeln 85<br />
Grafische Darstellung, Accounting 152<br />
Grafische Darstellung,<strong>Firewall</strong>-Regeln 23<br />
GRSEC_LOCK 53<br />
Grundkonfiguration, Netzwerk 62<br />
Grundkonfiguration, Proxy 46<br />
Grünen Haken, Autostart 44<br />
Gruppe, Benutzer 37<br />
Gruppe, Benutzer, PPTP 120<br />
Gruppe, Rechner/Netze 60<br />
Gruppeninhalt anzeigen 78<br />
Gruppeninhalt verstecken 78<br />
Gruppierung, <strong>Firewall</strong>-Regeln grafisch 85<br />
H Hardware-Adresse, Testen 153<br />
Herunterfahren, <strong>Server</strong> 43<br />
Hilfe 23<br />
Hinzufügen, Benutzer 36, 37<br />
Hinzufügen, Dienste 57<br />
Seite 254
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Hinzufügen, Dienstgruppen 58<br />
Hinzufügen, IP-Adresse Security Manager, nconfig 164<br />
Hinzufügen, Netzsegmente 60<br />
Hinzufügen, PPTP-Benutzer 120<br />
Hinzufügen, Protokoll 57<br />
Hinzufügen, Rechner 60<br />
Hinzufügen, Rechner/Netze 60<br />
Hinzufügen, Rechnergruppen 61<br />
Hinzufügen, Route 65<br />
Hinzufügen, <strong>Server</strong>-Dienst 45<br />
Hinzufügen, virtuelle IP-Adressen 67<br />
Host Name 62<br />
I icmp-Meldung 52<br />
Icon Accounting 24<br />
Icon ADSL 35<br />
Icon Backup 35<br />
Icon Benutzerverwaltung 35<br />
Icon Client-Optionen 19<br />
Icon Client-Optionen 24<br />
Icon Dienste 35<br />
Icon Dienstgruppen 35<br />
Icon Erweitertes Routing 35<br />
Icon Fehler-Report 35<br />
Icon <strong>Firewall</strong>-<strong>VPN</strong> 24<br />
Icon Interfaces 35<br />
Icon IP-Traffic-Auswertung 24<br />
Icon ISDN 35<br />
Icon Kernel-Einstellungen 35<br />
Icon Log-Auswertung 24<br />
Icon NAT 35<br />
Icon Netzwerk-Grundkonfiguration 35<br />
Icon Netzwerk-Topologie 24<br />
Icon Öffnen 24<br />
Icon Optionen 24<br />
Icon Patch 35<br />
Icon PPTP 35<br />
Icon Proxy/Blocking 35<br />
Icon Proxy-Auswertung 24<br />
Icon Rechner 35<br />
Icon Rechnergruppen 35<br />
Icon Regeln (grafisch) 24<br />
Icon Regeln (tabellarisch) 24<br />
Icon Regel-Update 24<br />
Icon Reportmail Einstellungen 35<br />
Icon <strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen 24<br />
Icon <strong>Server</strong> 35<br />
Icon <strong>Server</strong>-Dienste 35<br />
Icon Speichern 24<br />
Icon Standard Reports 24<br />
Seite 255
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Icon Traffic-Auswertung 24<br />
Icon Übereinander anordnen 24<br />
Icon Überlappend anordnen 24<br />
Icon Verbindungstest 24<br />
Icon Virtuelle IP-Adressen 35<br />
Icon Viruswall 35<br />
Icons Security Manager 24<br />
Ifconfig, Konsole 155<br />
Ifconfig, Testen 153<br />
IKE-Life, Eigenschaften, IPSec-Verbindungen 109<br />
Importieren Rechner/Netze in Gruppe 60<br />
Inaktivitätszeit, ADSL 73<br />
Inaktivitätszeit, ISDN 72<br />
Individuellen Port, Proxy 47<br />
Informationsbereich, nconfig 157<br />
Inhaltsverzeichnis 2<br />
Installation 7<br />
Installation <strong>Securepoint</strong> Security Manager 14<br />
Installation, ADSL 11<br />
Installation, Ethernet 11<br />
Installation, ISDN 11<br />
Installation, Tokenring 11<br />
Installieren, Patch 41<br />
Installieren, TrendMicro-Virenscanner 173<br />
Interface auswählen, Bandbreite, Beispiel 237<br />
Interface löschen, nconfig 160<br />
Interface, Accounting 151<br />
Interface, Bindung virtuelle IP-Adresse 67<br />
Interface, erweitertes Routing 65<br />
Interface, Extern 71<br />
Interface, Interne 71<br />
Interface, Konfiguration Ethernet, nconfig 159<br />
Interface, pingen 70<br />
Interface, PPTP 121<br />
Interface-Filter definieren, Bandbreite, Beispiel 238<br />
Interfaces 70-71<br />
Intern, <strong>Firewall</strong>-Regeln grafisch 86<br />
Intern, <strong>Firewall</strong>-Regeln grafisch 88<br />
Interne Interfaces 71<br />
Internetverbindung, Fehlerreport 42<br />
IP-Adresse ändern, nconfig 161<br />
IP-Adresse automatisch sperren 53<br />
IP-Adresse, Interface 70<br />
IP-Adresse, Radius <strong>Server</strong> 49<br />
IP-Adresse, Rechner/Netze 60<br />
IP-Adresse, Testen 153<br />
IP-Adressen, PPTP 54<br />
IP-Einstellungen, ADSL 74<br />
IPSec Grundlagen 98<br />
IPSec Subnetze, Beispiel 219<br />
Seite 256
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
IPSec <strong>VPN</strong> 98<br />
IPSec <strong>VPN</strong> <strong>Firewall</strong>-Regeln, Beispiel 202<br />
IPSec <strong>VPN</strong>, Beispiel 200<br />
IPSec <strong>VPN</strong>, Beispiel Roadwarrior 201<br />
IPSec <strong>VPN</strong>, Beispiel X.509-Authentisierung 201<br />
IPSec <strong>VPN</strong>, Beispiel X.509-Zertifikat erstellen 210<br />
IPSec <strong>VPN</strong>, Beispiel X.509-Zertifikat, nconfig 210<br />
IPSec, Sentinel Policy Editor, Beispiel 222<br />
IPSec-Aktualisieren, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
IPSec-Client 117<br />
IPSec-Objekte verbinden, Beispiel 217<br />
IPSec-Roadwarrior 117<br />
IPSec-Roadwarrior konfigurieren, Beispiel 221<br />
IPSec-Verbindung anlegen, Beispiel 217<br />
IPSec-Verbindung anlegen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
IPSec-Verbindung Betrieb, Beispiel 220<br />
IPSec-Verbindung konfigurieren, Beispiel 215<br />
IPSec-Verbindung, Arbeitsoberfläche, Beispiel 215<br />
IPSec-Verbindungen bearbeiten 108<br />
IPSec-Verbindungen erstellen 106, 108<br />
IPSec-Verbindungen löschen 108<br />
IPSec-Verbindungen starten 113<br />
IPSec-Verbindungen stoppen 113<br />
IPSec-Verbindungen, Eigenschaften 109<br />
IPSec-Verbindungsart konfigurieren, Beispiel 218<br />
IP-Traffic-Auswertung 23<br />
IP-Traffic-Auswertung drucken 138<br />
IP-Traffic-Auswertung öffnen 138<br />
IP-Traffic-Auswertung, mehrere Monats-Auswertung 142<br />
IP-Traffic-Auswertung, monatsweise Auswertung 140<br />
IP-Traffic-Auswertung, Online Auswertung 143<br />
IP-Traffic-Auswertung, Rechner Auswertung monatlich 141<br />
IP-Traffic-Auswertung, Rechner Auswertung täglich 141<br />
IP-Traffic-Auswertung, <strong>Server</strong> 142, 143<br />
IP-Traffic-Auswertung, tagesweise Auswertung 140<br />
IP-Traffic-Auswertung, Traffic nach Datum sortiert 138<br />
IP-Traffic-Auswertung, Traffic nach IP sortiert 138<br />
IP-Traffic-Auswertung, Wizzard 138<br />
IP-Traffic-Auswertung, Zeitraum 142<br />
IP-Traffic-Auswertung, Zeitraum 143<br />
IP-Traffic-Auswertung, Zoomfunktion 139<br />
ISDN 70, 72<br />
ISDN einstellen 72<br />
ISDN Konfiguration, nconfig 158<br />
ISDN-Karte 71<br />
isf-File 15, 20<br />
ISP-Login, ISDN 72<br />
ISP-Passwort, ISDN 72<br />
J Journaling Filesystem 10<br />
Seite 257
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
K Kanalbündelung, ISDN 72<br />
Kaskadieren, forwarding Port 49<br />
Kaskadieren, forwarding Proxy 49<br />
Kaskadieren, Proxy 49<br />
Kernel-Einstellungen 52-53<br />
Kernel-Parameter, ALTERED_PINGS 52<br />
Kernel-Parameter, ändern 52<br />
Kernel-Parameter, AUDIT_MOUNT 52<br />
Kernel-Parameter, COREDUMP 52<br />
Kernel-Parameter, DMESG 52<br />
Kernel-Parameter, FORKFAIL_LOGGING 53<br />
Kernel-Parameter, GRSEC_LOCK 53<br />
Kernel-Parameter, LASTRULE_LOGGING 53<br />
Kernel-Parameter, MULTIPLE_LOGIN 53<br />
Kernel-Parameter, RAND_IP_IDS 52<br />
Kernel-Parameter, RAND_PIDS 52<br />
Kernel-Parameter, RAND_TCP_SRC 52<br />
Kernel-Parameter, RAND_TTL 53<br />
Kernel-Parameter, SECURE_KBMAP 53<br />
Kernel-Parameter, SIGNAL_LOGGING 53<br />
Kernel-Parameter, SUID_ROOT_LOGGING 53<br />
Kernel-Parameter, TIMECHANGE_LOGGING 53<br />
Kernel-Parameter, TMP_BLOCKING 53<br />
Kernel-Parameter,+A655 schreibgeschützt 53<br />
Keyboardeinstellungen loggen 53<br />
Keyingtries, Eigenschaften, IPSec-Verbindungen 110<br />
Key-Life, Eigenschaften, IPSec-Verbindungen 109<br />
Kommunikation <strong>Server</strong> Security Manager 19<br />
Konfiguration nachträglich ändern 128<br />
Konfiguration öffnen 124<br />
Konfiguration speichern 124<br />
Konfiguration speichern, nconfig 170<br />
Konfiguration, Fehlerreport 42<br />
Konfiguration, nconfig 170<br />
Konfiguration, PPTP 121<br />
Konfiguration, Schlüssel 125<br />
Konfiguration, Schlüssel eingeben 125<br />
Konfiguration, Verschlüsselung 125<br />
Konfigurationen 124-128<br />
Konfigurationsbeispiele 177-244<br />
Konfigurationsdatei drucken 127<br />
Konfigurationsdatei speichern 126<br />
Konfigurationsdateien verschlüsseln 14, 125<br />
Konfigurationsprogramm nconfig 156<br />
Konfigurieren, Blocking-Listen 50<br />
Konfigurieren, IPSec-Roadwarrior, Beispiel 221<br />
Konfigurieren, IPSec-Verbindung, Beispiel 215<br />
Konfigurieren, IPSec-Verbindungsart, Beispiel 218<br />
Konfigurieren, no Blocking-Listen 51<br />
Seite 258
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Konfigurieren, Proxy Beispiel, <strong>Firewall</strong>-Regeln 192<br />
Konfigurieren, Roadwarrior, PPTP, Beispiel 234<br />
Konfigurieren, Route, Datenverkehr aufteilen, Beispiel 243<br />
Konfigurieren, Sentinel-Roadwarrior, Beispiel 221<br />
Konfigurieren, unter Windows, PPTP, Beispiel 234<br />
Konfigurieren, virtuellen IP-Adresse Beispiel, <strong>Firewall</strong>-Regeln 194<br />
Konsole 154-171<br />
Konsole anmelden 154<br />
Konsole, Backup 40<br />
Konsole, backup.sh floppy 40<br />
Konsole, backup.sh usb 40<br />
Konsole, Debugging 155<br />
Konsole, Fehlersuche 155<br />
Konsole, fw down 155<br />
Konsole, fw up 155<br />
Konsole, Ifconfig 155<br />
Konsole, Login 154<br />
Konsole, nconfig 156<br />
Konsole, Netstat 155<br />
Konsole, Nslookup 155<br />
Konsole, Ping 155<br />
Konsole, Reports 154<br />
Konsole, restore.sh floppy 40<br />
Konsole, restore.sh usb 40<br />
Konsole, Tools 155<br />
Konsole, Traceroute 155<br />
Konsolen-Passwort, nconfig 169<br />
L LASTRULE_LOGGING 53<br />
LED-Anzeige 25, 32<br />
Liste der Verbindungen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Lizenz 9<br />
Log, <strong>Firewall</strong>-Regeln 80<br />
Logarithmische Darstellung, Accounting 151<br />
Log-Auswertung 23, 132<br />
Log-Auswertung drucken 132<br />
Log-Auswertung öffnen 133<br />
Log-Auswertung, Balkenzahl 134<br />
Log-Auswertung, Datendurchsatz je IP 134<br />
Log-Auswertung, Filterauswahl 137<br />
Log-Auswertung, Logfile 132<br />
Log-Auswertung, Paketart 134, 137<br />
Log-Auswertung, stündlicher Datendurchsatz 135<br />
Log-Auswertung, tabellarisch 136<br />
Logfile, Log-Auswertung 132<br />
Logfile, Proxy-Auswertung 144<br />
Loggen von Zugriffen 80<br />
Loggen, Befehlsausführungen 53<br />
Loggen, Keyboardeinstellungen 53<br />
Loggen, Programm-Fehler 53<br />
Seite 259
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Loggen, Prozess-Limits 53<br />
Loggen, Speichermedium mounten 52<br />
Loggen, Zeitänderungen 53<br />
Logging 129-152<br />
Login, ADSL 74<br />
Login, Benutzer 37<br />
Login, Benutzer, PPTP 120<br />
Login, DynDns, ADSL 75<br />
Login, Konsole 154<br />
Login-Einstellungen, ADSL 74<br />
Lokal gespeicherter Report 131<br />
Lokal, ADSL 74<br />
Lokal, ISDN 72<br />
Lokale Auswertung, IP-Traffic-Auswertung 140<br />
Lokale Gateway ID, Eigenschaften, IPSec-Verbindungen 110<br />
lokale Konfigurationsdateien 18<br />
Lokaler Schlüssel, Eigenschaften, IPSec-Verbindungen 110<br />
Lokaler Schlüssel, Preshared 100<br />
Lokaler Schlüssel, RSA 99<br />
Lokales Gateway, Eigenschaften, IPSec-Verbindungen 110<br />
Lokales Zertifikat, Eigenschaften, IPSec-Verbindungen 110<br />
Löschen, Benutzer 36<br />
Löschen, Dienste 56, 57<br />
Löschen, Dienstgruppen 58<br />
Löschen, Netzsegmente 60<br />
Löschen, Objekte, Topologie 96<br />
Löschen, PPTP-Benutzer 120<br />
Löschen, Rechner 60<br />
Löschen, Rechnergruppen 61<br />
Löschen, Regel, <strong>Firewall</strong>-Regeln grafisch 91<br />
Löschen, Route 65<br />
Löschen, Sub-Netze, IPSec-Verbindungen 112<br />
Löschen, Text, IPSec-Verbindungen 114<br />
Löschen, Verbindung, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Löschen, virtuelle IP-Adressen 67<br />
Lösungen, Probleme 245<br />
M Mac-Adresse, Interface 70<br />
Mac-Adresse, Testen 153<br />
Mailen, Standard Reports 130<br />
Mailgateway 10<br />
map xmas 53<br />
Mapping IP-Adresse 60<br />
Markiertes Item löschen, Topologie 94<br />
Maskieren, Netze 68<br />
Maskierung, Interface 70<br />
Masquarading 68<br />
Maximale Downloadgröße 47<br />
Mehrere Monats-Auswertung, IP-Traffic-Auswertung 142<br />
Menü, Bearbeiten 23<br />
Seite 260
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Menü, Datei 23<br />
Menü, Fenster 23<br />
Menü, Info 23<br />
Menü, Report 23<br />
Menü-Bereich, nconfig 157<br />
Menüleiste, <strong>Firewall</strong>-Regeln (tabellarisch) 78<br />
Menüs 23<br />
Monatsweise Auswertung, IP-Traffic-Auswertung 140<br />
MTU, ADSL 73<br />
MULTIPLE_LOGIN 53<br />
N Nach, <strong>Firewall</strong>-Regeln grafisch 86<br />
Nach, <strong>Firewall</strong>-Regeln grafisch 88<br />
Name, Benutzer 37<br />
Name, Benutzer, PPTP 120<br />
Name, Dienst 44<br />
Name, Eigenschaften, IPSec-Verbindungen 109<br />
Name, Rechner/Netze 60<br />
Nameserver 62<br />
Nameserver, Patch 41<br />
Nameserver, PPTP 55, 122<br />
Nameserver, PPTP, Beispiel 232<br />
NAT - Network Address Translation 68<br />
NAT, Richtung 68<br />
nconfig 101, 128<br />
nconfig beenden 171<br />
nconfig über SSH aufrufen 176<br />
nconfig, Admin Passwort 156<br />
nconfig, Certification Authority 168<br />
nconfig, Change Admin IP 164<br />
nconfig, Change Driver 162<br />
nconfig, Change Gateway 163<br />
nconfig, Change IP 161<br />
nconfig, Change Nameserver 165<br />
nconfig, Change Password 169<br />
nconfig, Client Zertifikat erstellen 168<br />
nconfig, Del Interface 160<br />
nconfig, DSL Konfiguration 158<br />
nconfig, DSL und ISDN Konfiguration 158<br />
nconfig, Edit Static Route 166<br />
nconfig, Ethernet 159<br />
nconfig, Gateway ändern 163<br />
nconfig, Informationsbereich 157<br />
nconfig, Interface Konfiguration Ethernet 159<br />
nconfig, Interface löschen 160<br />
nconfig, IP-Adresse ändern 161<br />
nconfig, IP-Adresse Security Manager ändern 164<br />
nconfig, IP-Adresse Security Manager hinzufügen 164<br />
nconfig, ISDN Konfiguration 158<br />
nconfig, Konfiguration speichern 170<br />
Seite 261
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
nconfig, Konfigurationsprogramm 156<br />
nconfig, Konsole 156<br />
nconfig, Konsolen-Passwort ändern 169<br />
nconfig, Menü-Bereich 157<br />
nconfig, Nameserver ändern 165<br />
nconfig, Netzmaske ändern 161<br />
nconfig, Netzwerkkartentreiber ändern 162<br />
nconfig, QUIT 171<br />
nconfig, Router ändern 163<br />
nconfig, Security Manager IP-Adresse 164<br />
nconfig, <strong>Server</strong> Zertifikat erstellen 168<br />
nconfig, SSH 156, 176<br />
nconfig, statische Routen 166<br />
nconfig, Traffic Shaper 167<br />
nconfig, Traffic-Bandbreite 167<br />
nconfig, Traffic-Bandbreite einstellen 167<br />
nconfig, Treiber ändern 162<br />
nconfig, Übersicht 157<br />
nconfig, virtuelle Konsole 156<br />
nconfig, <strong>VPN</strong> Properties 168<br />
nconfig, Write Config 170<br />
nconfig, X.509-Zertifikat, Beispiel, IPSec <strong>VPN</strong> 210<br />
nconfig, X509-Client Zertifikat erstellen 168<br />
nconfig, X509-<strong>Server</strong> Zertifikat erstellen 168<br />
nconfig, X509-Zertifikat sperren 168<br />
nconfig, X509-Zertifikate 168<br />
nconfig, Zertifikat sperren 168<br />
nconfig, Zertifikate 168<br />
nconfig, Zugriff Security Manager 164<br />
Netstat, Konsole 155<br />
Netstat, Testen 153<br />
Network Address Translation 68<br />
Netz hinzufügen, Topologie 94<br />
Netze im IPSec-Tunnel verbinden, Beispiel 219<br />
Netze maskieren 68<br />
Netzmaske ändern, nconfig 161<br />
Netzmaske, erweitertes Routing 65<br />
Netzmaske, Rechner/Netze 60<br />
Netzmasken 8<br />
Netzsegmente hinzufügen 60<br />
Netzsegmente löschen 60<br />
Netzwerk, erweitertes Routing 65<br />
Netzwerk-Adresse, Testen 153<br />
Netzwerk-Grundkonfiguration 62-63<br />
Netzwerkkarten 70-71<br />
Netzwerkkarten-Konfiguration 11<br />
Netzwerkkartentreiber 11<br />
Netzwerkkartentreiber ändern, nconfig 162<br />
Netzwerk-Topologie 23, 93-96<br />
Neu Starten, <strong>Server</strong> 43<br />
Seite 262
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Neue Regel 78<br />
Neue Regel, <strong>Firewall</strong>-Regeln 78<br />
Neue Regel, <strong>Firewall</strong>-Regeln grafisch 85<br />
neue Software-Versionen 41<br />
Neue, <strong>Firewall</strong>-Regeln grafisch<br />
Neustart nach Patch 41<br />
Neustart <strong>Server</strong> 44<br />
No Blocking, Proxy 46<br />
No Blocking-Listen konfigurieren 51<br />
NS / WINS 55<br />
NS / WINS, PPTP, Beispiel 232<br />
NS, PPTP, Beispiel 232<br />
Nslookup, Konsole 155<br />
Nslookup, Testen 153<br />
null scan 53<br />
O Objekte bearbeiten, Topologie 96<br />
Objekte löschen, Topologie 96<br />
Offline Betrieb Security Manager 20<br />
Offline-Modus 124<br />
Offline-Modus Security Manager 20<br />
Öffnen, Datei, Policy Distributor 115<br />
Öffnen, IP-Traffic-Auswertung 138<br />
Öffnen, Konfigurationen 124<br />
Öffnen, Konfigurationsdatei 20, 23<br />
Öffnen, Log-Auswertung 133<br />
Öffnen, Proxy-Auswertung 144<br />
Öffnen, Standard Reports 131<br />
Ohne, <strong>Firewall</strong>-Regeln grafisch 86, 89<br />
Online Auswertung, IP-Traffic-Auswertung 143<br />
Online-Modus 124<br />
Optimieren Regelwerk 83<br />
Optionen 23, 34-76<br />
P Paket akzeptieren 79<br />
Paket droppen 79<br />
Paket zurückweisen 79<br />
Paketart, Filtermöglichkeiten 149<br />
Paketart, Log-Auswertung 134, 136<br />
Pakete 10<br />
Passwort, ADSL 74<br />
Passwort, Benutzer 37<br />
Passwort, Benutzer, PPTP 120<br />
Passwort, DynDns, ADSL 75<br />
Passwort, nconfig 169<br />
Passwort, Radius <strong>Server</strong> 49<br />
Patch 41<br />
Patch installieren 41<br />
Patch, Nameserver 41<br />
Patch, verfügbar 41<br />
Seite 263
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Patch-Informationen 41<br />
Patch-Manager 41<br />
PFS, Eigenschaften, IPSec-Verbindungen 110<br />
Ping erlaubt, Interface 70<br />
Ping, Konsole 155<br />
Ping, Testen 153<br />
Pingen, Interface 70<br />
Policy Distributor 115<br />
Policy Distributor öffnen 115<br />
Policy Distributor speichern 115<br />
Policy Distributor, sicheres öffnen 115<br />
Policy Distributor, Sicherheitspolitik generieren 115<br />
Policy Distributor, Sicherheitspolitik verteilen 116<br />
Policy-Distributor öffnen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Port-Adresse, Proxy 47<br />
PPPOE 70<br />
PPTP Adressen 54, 121<br />
PPTP Adresspool 121<br />
PPTP Interface 54, 121<br />
PPTP Nameserver 122<br />
PPTP NS/WINS 55<br />
PPTP unter Windows konfigurieren, Beispiel 234<br />
PPTP Verschlüsselung 122<br />
PPTP <strong>VPN</strong><br />
PPTP WINS 122<br />
PPTP, Adresspool 54<br />
PPTP, Beispiel 225<br />
PPTP, Einwahl in <strong>VPN</strong>-Netz, Windows, Beispiel 234<br />
PPTP, IP-Adressen 54<br />
PPTP, Roadwarrior <strong>Firewall</strong>-Regeln, Beispiel 227<br />
PPTP, Roadwarrior konfigurieren, Beispiel 234<br />
PPTP, Roadwarrior, Beispiel 226<br />
PPTP, Simultane Verbindungen 122<br />
PPTP-Benutzer 119<br />
PPTP-Benutzer, Beispiel 230<br />
PPTP-Client 123<br />
118-123, 54-<br />
55<br />
PPTP-Einstellungen 54, 121<br />
PPTP-Konfiguration 121<br />
PPTP-Roadwarrior 123<br />
Preshared-Authentisierungsverfahren 100<br />
Problem 42<br />
Probleme, lösen 245<br />
Programm, backup.sh floppy 40<br />
Programm, backup.sh usb 40<br />
Programm, backup3to4 16<br />
Programm, Beenden 23<br />
Programm, nconfig 101<br />
Programm, restore.sh floppy 40<br />
Programm, restore.sh usb 40<br />
Programm-Fehler loggen 53<br />
Seite 264
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Programm-ID 14<br />
Protokoll 56, 57<br />
Protokoll definieren 57<br />
Proxy Beispiel, <strong>Firewall</strong>-Regeln 183<br />
Proxy kaskadieren 49<br />
Proxy über <strong>Firewall</strong>-Regel aktivieren 46<br />
Proxy, Blocking 46, 50<br />
Proxy, Cache 46<br />
Proxy, Erweiterte Einstellung 46, 49<br />
Proxy, ftp 46<br />
Proxy, Grundkonfiguration 46, 47<br />
Proxy, http 46<br />
Proxy, https 46<br />
Proxy, no Blocking 46, 51<br />
Proxy, Port 47<br />
Proxy, Transparent 46, 48<br />
Proxy/Blocking 46-50<br />
Proxy-Auswertung 23<br />
Proxy-Auswertung 144<br />
Proxy-Auswertung drucken 144<br />
Proxy-Auswertung öffnen 144<br />
Proxy-Auswertung, Logfile 144<br />
Proxy-Auswertung, Top XX Webuser 144<br />
Proxy-Auswertung, Top-Webseiten 147<br />
Proxy-Auswertung, Top-Webuser 147<br />
Proxy-Auswertung, Traffic pro Tag 146<br />
Proxy-Auswertung, Traffic stundenweise 146<br />
Proxy-Auswertung, Traffic-Auswertung 144<br />
Proxy-Auswertung, Wizzard 145<br />
Proxy-Auswertung, Wizzard <strong>Server</strong> 145<br />
Proxy-Auswertung, Wizzard Zeitraum 145<br />
Prozess-Limits loggen 53<br />
Q Quell-Port 56, 57<br />
QUIT, nconfig 171<br />
R Radius <strong>Server</strong> 49<br />
RAID 10<br />
Raiserfs Journaling Filesystem 10<br />
RAND_IP_IDS 52<br />
RAND_PIDS 52<br />
RAND_TCP_SRC 52<br />
RAND_TTL 53<br />
Rechner Auswertung monatlich, IP-Traffic-Auswertung 141<br />
Rechner Auswertung täglich, IP-Traffic-Auswertung 141<br />
Rechner hinzufügen 60<br />
Rechner hinzufügen, Topologie 94<br />
Rechner in <strong>Firewall</strong>-Zone hinzufügen, Topologie 94<br />
Rechner löschen 60<br />
Rechner/Netze 59-60<br />
Seite 265
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Rechner/Netze hinzufügen 60<br />
Rechner/Netze importieren in Gruppe 60<br />
Rechner/Netze, <strong>Firewall</strong>-Regeln 78<br />
Rechner/Netze, <strong>Firewall</strong>-Regeln grafisch 86<br />
Rechnergruppen 61<br />
Rechnergruppen ändern 61<br />
Rechnergruppen anzeigen 84<br />
Rechnergruppen anzeigen , <strong>Firewall</strong>-Regeln grafisch 92<br />
Rechnergruppen bearbeiten 84<br />
Rechnergruppen bearbeiten, <strong>Firewall</strong>-Regeln grafisch 92<br />
Rechnergruppen hinzufügen 61<br />
Rechnergruppen löschen 61<br />
Rechnergruppen, <strong>Firewall</strong>-Regeln 78<br />
Rechnergruppen, Rechner/Netze zusammenfassen 61<br />
Regel ändern 78<br />
Regel ändern, <strong>Firewall</strong>-Regeln 78<br />
Regel einfügen 78<br />
Regel einfügen, <strong>Firewall</strong>-Regeln 78<br />
Regel erstellen, <strong>Firewall</strong>-Regeln 79<br />
Regel löschen 78<br />
Regel löschen, <strong>Firewall</strong>-Regeln 78<br />
Regelgruppe, Gruppeninhalt anzeigen 82<br />
Regelgruppe, Gruppeninhalt einfügen 82<br />
Regelgruppe, Gruppeninhalt verstecken 82<br />
Regelgruppen 82<br />
Regelgruppierung einfügen 78<br />
Regelgruppierung einfügen, <strong>Firewall</strong>-Regeln 78<br />
Regeln (grafisch) 23<br />
Regeln (tabellarisch) 23<br />
Regelupdate 83<br />
Regelwerk optimieren 83<br />
Registrierung 14, 23<br />
Registrierungsschlüssel 14<br />
REJECT, <strong>Firewall</strong>-Regeln 79<br />
Reporting 129-152<br />
Reportmails Einstellungen 69<br />
Reports 129-152<br />
Reports versenden 69<br />
Reports, Konsole 154<br />
Reporttypen 69<br />
restore.sh floppy 40<br />
restore.sh usb 40<br />
Richtung, NAT 68<br />
Roadwarrior 175<br />
Roadwarrior anlegen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Roadwarrior <strong>Firewall</strong>-Regeln, PPTP, Beispiel 227<br />
Roadwarrior konfigurieren, IPSec, Beispiel 221<br />
Roadwarrior konfigurieren, PPTP, Beispiel 234<br />
Roadwarrior konfigurieren, Sentinel, Beispiel 221<br />
Roadwarrior, Beispiel, IPSec <strong>VPN</strong> 201<br />
Seite 266
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Roadwarrior, PPTP, Beispiel 226<br />
Roadwarrior-Objekt anlegen, Beispiel 216<br />
Root Passwort 12<br />
Route erstellen, Datenverkehr aufteilen, Beispiel 242<br />
Route hinzufügen 65<br />
Route konfigurieren, Datenverkehr aufteilen, Beispiel 243<br />
Route löschen 65<br />
Router ändern, nconfig 163<br />
Router, Default 62<br />
Router, erweitertes Routing 64<br />
RSA-Authentisierungsverfahren 99<br />
S Scan map xmas 53<br />
Scan null scan 53<br />
Scan syn/fin 53<br />
Scan syn/rst 53<br />
Scans erkennen 53<br />
Schlüssel 18<br />
Schlüssel eingeben, Konfiguration 125, 126<br />
Schlüssel entfernt, RSA 99<br />
Schlüssel lokal, Preshared 100<br />
Schlüssel lokal, RSA 99<br />
Schlüssel Security Manager 19<br />
Schlüssel, Konfiguration 125<br />
Schlüssellänge, Eigenschaften, IPSec-Verbindungen 110<br />
Screenshot drucken, Topologie 94<br />
Sector, Interface 70<br />
SECURE_KBMAP 53<br />
<strong>Securepoint</strong> 2.X 15<br />
<strong>Securepoint</strong> 3.X 15<br />
<strong>Securepoint</strong> <strong>Firewall</strong> 4.X anlegen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
<strong>Securepoint</strong>-Version 23<br />
Security Manager beenden 23<br />
Security Manager, IP-Adresse, nconfig 164<br />
Security Manager, Optionen 19<br />
Security Manager. mehrere Benutzer einstellen 53<br />
Sektor, Rechner/Netze 60<br />
Sentinel Policy Editor, IPSec, Beispiel 222<br />
Sentinel-Roadwarrior konfigurieren, Beispiel 221<br />
<strong>Server</strong> 43<br />
<strong>Server</strong> Datum, einstellen 43<br />
<strong>Server</strong> h+A1176erunterfahren 43<br />
<strong>Server</strong> neustarten 43<br />
<strong>Server</strong> Zeit, einstellen 43<br />
<strong>Server</strong>, DynDns, ADSL 75<br />
<strong>Server</strong>-Befehle 43<br />
<strong>Server</strong>-Befehle, grundlegende 43<br />
<strong>Server</strong>-Dienst hinzufügen 45<br />
<strong>Server</strong>-Dienst hinzufügen, Beispiel 45<br />
<strong>Server</strong>-Dienste 44<br />
Seite 267
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
<strong>Server</strong>-Installation 9<br />
<strong>Server</strong>-Installation Abschluss 13<br />
<strong>Server</strong>-Name 12<br />
<strong>Server</strong>-Zertifikat erstellen 103<br />
<strong>Server</strong>-Zertifikate 101<br />
services.ini 45<br />
Sicheres öffnen, Policy Distributor 115<br />
Sicherheitspolitik generieren, Policy Distributor 115<br />
Sicherheitspolitik verteilen, Policy Distributor 116<br />
Sichern, <strong>Firewall</strong>-Konfiguration 39<br />
SIGNAL_LOGGING 53<br />
Simultane Verbindungen, PPTP 55, 122<br />
Software Raid 10<br />
Sortieren, <strong>Firewall</strong>-Regeln grafisch 86<br />
Source-Routing, Beispiel 241<br />
Source-Routing, nconfig 166<br />
Späteres Anmelden am Security Manager 18<br />
Speichern als Konfigurationsdatei 23<br />
Speichern, Konfiguration, nconfig 170<br />
Speichern, Konfigurationsdatei 23, 126<br />
Speichern, Policy Distributor 115<br />
Speichern, Standard Reports 130, 131<br />
Sperren, Domains 50<br />
Sperren, IP-Adresse, automatisch 53<br />
Sperren, Webseiten 50<br />
Sperren, X509-Zertifikat, nconfig 168<br />
Sperren, Zertifikat 105<br />
Sperren, Zertifikat, nconfig 168<br />
Sprache, Security Manager 19<br />
Sprache, <strong>Server</strong> 9<br />
Squid 46-50<br />
Squid-Benutzer 37, 38<br />
SSH 13<br />
SSH - Secure Shell 176<br />
SSH anmelden 176<br />
SSH, nconfig 176<br />
Standard Reports 23, 130<br />
Standard Reports mailen 130<br />
Standard Reports öffnen 131<br />
Standard Reports speichern 130, 131<br />
Standard Reports, Archiv 130<br />
Standard Reports, Dateilänge 130<br />
Starten, Dienst 44<br />
Starten, <strong>Firewall</strong>-Regeln 83<br />
Starten, IPSec-Verbindungen 113<br />
Starten, Security Manager 17<br />
Starten, Verbindung, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Static NAT, Rechner/Netze 60<br />
Statische IP, ISDN 72<br />
Statische Routen 64<br />
Seite 268
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Statische Routen, nconfig 166<br />
Statische Source-Routen, nconfig 166<br />
Statisches NAT 60<br />
Status Interface, Testen 153<br />
Stoppen, Dienst 44<br />
Stoppen, IPSec-Verbindungen 113<br />
Sub-Netz bearbeiten, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Sub-Netze "firewall", IPSec-Verbindungen 112<br />
Sub-Netze bearbeiten, IPSec-Verbindungen 111<br />
Sub-Netze erstellen, IPSec-Verbindungen 111<br />
Sub-Netze ID, IPSec-Verbindungen 112<br />
Sub-Netze löschen, IPSec-Verbindungen 112<br />
Sub-Netze Maske, IPSec-Verbindungen 112<br />
Sub-Netze Verbindung, IPSec-Verbindungen 112<br />
Sub-Netze, IPSec, Beispiel 219<br />
SUID_ROOT_LOGGING 53<br />
Support 42<br />
syn/fin 53<br />
syn/rst 53<br />
T Tabellarische <strong>Firewall</strong>-Regeln 23<br />
Tabellarische Log-Auswertung 136<br />
Tagesweise Auswertung, IP-Traffic-Auswertung 140<br />
Telefon-Nr., ISDN 72<br />
Testen 153<br />
Testen der <strong>Firewall</strong> 153<br />
Testen, Datenpakete verfolgen 153<br />
Testen, Netzstatus feststellen 153<br />
Testen, Status Interface 153<br />
Text erstellen, IPSec-Verbindungen 114<br />
Text löschen, IPSec-Verbindungen 114<br />
Text, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
TIMECHANGE_LOGGING 53<br />
Timout Security Manager 19<br />
TMP_BLOCKING 53<br />
Tools, Konsole 155<br />
Topologie bearbeiten 95<br />
Topologie drucken 96<br />
Topologie, Netzwerk 93-96<br />
Top-Webseiten, Proxy-Auswertung 147<br />
Top-Webuser, Proxy-Auswertung 147<br />
Traceroute, Konsole 155<br />
Traceroute, Testen 153<br />
Traffic nach Datum sortiert, IP-Traffic-Auswertung 138<br />
Traffic nach IP sortiert, IP-Traffic-Auswertung 138<br />
Traffic pro Tag, Proxy-Auswertung 146<br />
Traffic Shaper, Beispiel 235<br />
Traffic Shaper, nconfig 167<br />
Traffic stundenweise, Proxy-Auswertung 146<br />
Traffic-Auswertung 23, 149<br />
Seite 269
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Traffic-Auswertung, Filtermöglichkeiten 149<br />
Traffic-Auswertung, Filterwert 149<br />
Traffic-Auswertung, Proxy-Auswertung 144<br />
Traffic-Auswertung, zeitgesteuerte Anzeige 149<br />
Traffic-Bandbreite, Beispiel 235<br />
Traffic-Bandbreite, nconfig 167<br />
Transparenter Proxy 46, 48<br />
Treiber ändern, nconfig 162<br />
TrendMicro-Virenscanner 173<br />
TrendMicro-Virenscanner installieren 173<br />
U Über <strong>Securepoint</strong> 23<br />
Übersicht <strong>Firewall</strong>- und <strong>VPN</strong>-Verbindungen 28<br />
Übersicht <strong>Firewall</strong>-Auswahlleiste 25<br />
Übersicht Informationsleiste 30<br />
Übersicht Menüleiste und Icons 23<br />
Übersicht nconfig 157<br />
Übersicht Optionen 29<br />
Übersicht Regel-Werk 26<br />
Übersicht Reports 27<br />
Übersicht Security Manager 21-30<br />
Übersichtliche Darstellung, <strong>Firewall</strong>-Regeln grafisch 85<br />
Update 15<br />
update3to4 16<br />
Update <strong>Securepoint</strong> 2.X 15<br />
Update <strong>Securepoint</strong> 3.X 15<br />
Update-Programm auf <strong>Firewall</strong>-Konsole 16<br />
Uptdate über Policy-Distributor 15<br />
V Verbergen von Netzen 68<br />
Verbinden, IPSec-Objekte, Beispiel 217<br />
Verbinden, Netze im IPSec-Tunnel, Beispiel 219<br />
Verbindung löschen, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Verbindung starten, <strong>Firewall</strong>-<strong>VPN</strong> 107<br />
Verbindungen loggen 53<br />
Verbindungstests 23, 153<br />
Verfügbare Patches 41<br />
Verschlüsseln von Konfigurationsdateien 19<br />
Verschlüsselung, Datenübertragung 43<br />
Verschlüsselung, Konfiguration 125<br />
Verschlüsselung, PPTP 55, 122<br />
Verschlüsselung, PPTP, Beispiel 232<br />
Verschlüsselung, <strong>Server</strong>/Client 43<br />
Verschlüsselungstiefe 43<br />
Versenden Reports 69<br />
Verstecken von Netzen 68<br />
Verstecken, Gruppeninhalt, Regelgruppe 82<br />
Verteilen, Datenverkehr auf Router, Beispiel 241<br />
Verwenden Blocking-Listen 46<br />
Virenscanner 173-174<br />
Seite 270
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Virenscanner Beispiel, <strong>Firewall</strong>-Regeln 198<br />
Virenscanner, Viruswall 76<br />
Virtuelle IP-Adressen hinzufügen 67<br />
Virtuelle IP-Adressen löschen 67<br />
Virtuelle IP-Adressen, Interface 66<br />
Virtuelle IPs 66<br />
Virtuelle IPs, Topologie 94<br />
Virtuellen IP-Adresse Beispiel, <strong>Firewall</strong>-Regeln 194<br />
Virtuelles Interface, PPTP 54<br />
Viruswall 10, 76, 173<br />
VJ Kompression, ISDN 72<br />
Voll-Version 14<br />
Von Rechnergruppe, <strong>Firewall</strong>-Regeln 79<br />
Von, <strong>Firewall</strong>-Regeln grafisch 86, 87<br />
Vordefinierte Blocking-Listen 50<br />
Vordefinierte no Blocking-Listen 51<br />
Vorwahl, ISDN 72<br />
<strong>VPN</strong> 97-123<br />
<strong>VPN</strong> Properties, nconfig 168<br />
<strong>VPN</strong>, IPSec 98<br />
<strong>VPN</strong>, PPTP 118-123<br />
<strong>VPN</strong>-Benutzer, PPTP-<strong>VPN</strong> 37, 38<br />
<strong>VPN</strong>-Client 101<br />
<strong>VPN</strong>-Client, Eigenschaften 110<br />
<strong>VPN</strong>-<strong>Server</strong>, Eigenschaften 110<br />
<strong>VPN</strong>-Verbindungen 28<br />
W Webseiten sperren 50<br />
Webserver NAT, Beispiel, <strong>Firewall</strong>-Regeln 193<br />
Webuser, Proxy-Auswertung 144<br />
Windows-Roadwarrior konfigurieren, PPTP, Beispiel 234<br />
WINS, PPTP 122<br />
WINS, PPTP, Beispiel 232<br />
WINS-<strong>Server</strong>, PPTP 55<br />
Wizzard <strong>Server</strong>, Proxy-Auswertung 145<br />
Wizzard Zeitraum, Proxy-Auswertung 145<br />
Wizzard, IP-Traffic-Auswertung 138<br />
Wizzard, Proxy-Auswertung 145<br />
Write Config, nconfig 170<br />
X X509-Authentisierung, Beispiel, IPSec <strong>VPN</strong> 201<br />
X509-Zertifikat-Authentisierungsverfahren 101-117<br />
X509-Zertifikate 101<br />
X509-Zertifikate erstellen 101<br />
X509-Zertifikate, nconfig 168<br />
Z Zeit einstellen 43<br />
Zeit einstellen, <strong>Firewall</strong>-Regeln 80<br />
Zeitabhängige <strong>Firewall</strong>-Regeln 80<br />
Zeitänderungen loggen 53<br />
Seite 271
<strong>Securepoint</strong> <strong>Firewall</strong> & <strong>VPN</strong> <strong>Server</strong> Version <strong>4.0</strong><br />
Zeitfenster, Accounting 151<br />
Zeitgesteuerte Anzeige, Traffic-Auswertung 149<br />
Zeitvorgaben, <strong>Firewall</strong>-Regeln 80<br />
Zeitzone 9<br />
Zertifikat erstellen 103-104<br />
Zertifikat exportieren 105<br />
Zertifikat sperren 105<br />
Zertifikate, nconfig 168<br />
Ziel-Port 56, 57<br />
Zone, Interface 70<br />
Zone, Rechner/Netze 60<br />
Zone, transparenter Proxy 48<br />
Zonen-Konzept 8<br />
Zoomfunktion, Accounting 152<br />
Zoomfunktion, IP-Traffic-Auswertung 139<br />
Zu Rechnergruppe, <strong>Firewall</strong>-Regeln 79<br />
Zugriff Security Manager, nconfig 164<br />
Zulassen Domains 51<br />
Zurückweisen von Paketen 79<br />
Zusammenfassen von Diensten in Gruppen 58<br />
Zusammenfassen von Rechner/Netze in Gruppen 61<br />
Zusätzliche IP-Adressen am Interface 66<br />
Zustand, Dienst 44<br />
Zuweisen PPTP-Client 55<br />
Zweiter NS 62<br />
Seite 272