Securepoint 11
Securepoint 11
Securepoint 11
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Securepoint</strong> <strong>11</strong><br />
Handbuch zur <strong>Securepoint</strong> UTM Software Version <strong>11</strong>.1<br />
Version des Handbuchs 0.9.2<br />
<strong>Securepoint</strong> GmbH, Lüneburg<br />
Security Solutions
Änderungsnachweise<br />
Version Freigabedatum Kapitel Änderungen<br />
0.9 03.<strong>11</strong>.2012 alle Neuerstellung<br />
0.9.1 14.<strong>11</strong>.2012 6, 8.1, 9.2, 10.5,<br />
12.1<br />
0.9.2 06.12.2012 12.2, 12.3, 12.4<br />
13, 14, 15<br />
Aktualisierung<br />
Aktualisierung<br />
<strong>Securepoint</strong> <strong>11</strong><br />
<strong>Securepoint</strong><br />
Security Solutions 2
Inhaltsverzeichnis<br />
<strong>Securepoint</strong> <strong>11</strong><br />
1 Einleitung .......................................................................................................... 8<br />
2 Zur Version <strong>11</strong> .................................................................................................. 9<br />
3 Die Appliances .................................................................................................10<br />
4 Anschluss der Appliance ..................................................................................<strong>11</strong><br />
4.1 Piranja und RC 100 .......................................................................................... <strong>11</strong><br />
4.2 RC 200 ............................................................................................................ 12<br />
4.3 RC 300 ............................................................................................................ 12<br />
4.4 RC 400 ............................................................................................................ 13<br />
5 Administrator-Interface .....................................................................................14<br />
5.1 Mit der Appliance verbinden ............................................................................. 14<br />
5.2 Systemanforderung an den Client-Rechner ..................................................... 15<br />
6 <strong>Securepoint</strong> Cockpit .........................................................................................16<br />
7 Menü Konfiguration ..........................................................................................17<br />
7.1 Konfigurationen verwalten ................................................................................ 18<br />
7.1.1 Konfiguration importieren ................................................................................. 19<br />
7.1.2 Konfiguration hinzufügen ................................................................................. 20<br />
7.1.3 Cloud Backup .................................................................................................. 20<br />
7.2 Setup Wizard ................................................................................................... 21<br />
7.3 Herunterfahren ................................................................................................. 24<br />
7.4 Werkseinstellungen .......................................................................................... 24<br />
7.5 Neu starten ...................................................................................................... 24<br />
7.6 Abmelden ........................................................................................................ 24<br />
8 Netzwerk ..........................................................................................................25<br />
8.1 Servereinstellungen ......................................................................................... 26<br />
8.1.1 Registerkarte Servereinstellungen ................................................................... 26<br />
8.1.2 Registerkarte Administration ............................................................................ 27<br />
8.1.3 Registerkarte Syslog ........................................................................................ 28<br />
8.1.4 Registerkarte SNMP ........................................................................................ 29<br />
<strong>Securepoint</strong><br />
Security Solutions 3
<strong>Securepoint</strong> <strong>11</strong><br />
8.2 Netzwerkkonfiguration ..................................................................................... 30<br />
8.2.1 Netzwerkschnittstellen ..................................................................................... 30<br />
8.2.2 WLAN .............................................................................................................. 35<br />
8.2.3 Routing ............................................................................................................ 35<br />
8.2.4 DHCP .............................................................................................................. 36<br />
8.2.5 DHCP-Leases .................................................................................................. 37<br />
8.2.6 DHCP-Relay .................................................................................................... 38<br />
8.3 Zonen .............................................................................................................. 39<br />
8.4 Netzwerk Werkzeuge ....................................................................................... 40<br />
8.4.1 Registerkarte Route ......................................................................................... 40<br />
8.4.2 Registerkarte Ping ........................................................................................... 40<br />
8.4.3 Registerkarte Host ........................................................................................... 41<br />
8.4.4 Registerkarte Traceroute ................................................................................. 43<br />
9 Menü Firewall ..................................................................................................44<br />
9.1 Portfilter ........................................................................................................... 45<br />
9.1.1 Neue Regel anlegen ........................................................................................ 46<br />
9.1.2 Regelgruppe anlegen ....................................................................................... 48<br />
9.1.3 Registerkarte Netzwerkobjekte ........................................................................ 48<br />
9.1.4 Registerkarte Dienste ...................................................................................... 51<br />
9.1.5 Registerkarte Zeitprofile ................................................................................... 53<br />
9.1.6 Registerkarte QOS ........................................................................................... 54<br />
9.2 Implizite Regeln ............................................................................................... 55<br />
9.2.1 Silent Services Drop ........................................................................................ 55<br />
9.2.2 IPSec Traffic .................................................................................................... 56<br />
9.2.3 IPSec HideNAT ................................................................................................ 56<br />
9.2.4 VPN ................................................................................................................. 57<br />
10 Menü Anwendungen ........................................................................................58<br />
10.1 HTTP Proxy ..................................................................................................... 59<br />
10.1.1 Allgemein ......................................................................................................... 59<br />
10.1.2 Virusscan ......................................................................................................... 60<br />
<strong>Securepoint</strong><br />
Security Solutions 4
<strong>Securepoint</strong> <strong>11</strong><br />
10.1.3 Bandbreite ....................................................................................................... 61<br />
10.1.4 Application Blocking ......................................................................................... 62<br />
10.1.5 SSL-Interception .............................................................................................. 63<br />
10.1.6 Webfilter .......................................................................................................... 64<br />
10.1.7 Transparent Mode............................................................................................ 69<br />
10.2 Reverse Proxy ................................................................................................. 70<br />
10.2.1 Servergruppen ................................................................................................. 70<br />
10.2.2 ACL Sets ......................................................................................................... 71<br />
10.2.3 Sites ................................................................................................................ 73<br />
10.2.4 Einstellungen ................................................................................................... 74<br />
10.3 POP3 Proxy ..................................................................................................... 75<br />
10.4 Mailrelay .......................................................................................................... 76<br />
10.4.1 Allgemein ......................................................................................................... 77<br />
10.4.2 Smarthost ........................................................................................................ 77<br />
10.4.3 Relaying ........................................................................................................... 78<br />
10.4.4 SMTP Routen .................................................................................................. 79<br />
10.4.5 Greylisting ........................................................................................................ 80<br />
10.4.6 Domain Mapping .............................................................................................. 84<br />
10.4.7 Erweitert .......................................................................................................... 85<br />
10.5 Mailfilter ........................................................................................................... 87<br />
10.5.1 Filterregeln ....................................................................................................... 87<br />
10.5.2 Content-Filter ................................................................................................... 89<br />
10.5.3 URL-Filter ........................................................................................................ 90<br />
10.5.4 Mailfilter Einstellungen ..................................................................................... 91<br />
10.6 VoIP Proxy ....................................................................................................... 92<br />
10.6.1 Allgemein ......................................................................................................... 92<br />
10.6.2 Provider ........................................................................................................... 92<br />
10.7 IDS .................................................................................................................. 93<br />
10.7.1 Ungültige TCP Flags ........................................................................................ 93<br />
10.7.2 Trojaner ........................................................................................................... 93<br />
<strong>Securepoint</strong><br />
Security Solutions 5
<strong>Securepoint</strong> <strong>11</strong><br />
10.8 Anwendungsstatus........................................................................................... 94<br />
<strong>11</strong> Menü VPN .......................................................................................................95<br />
<strong>11</strong>.1 Globale VPN Einstellungen .............................................................................. 96<br />
<strong>11</strong>.1.1 Allgemein ......................................................................................................... 96<br />
<strong>11</strong>.1.2 Nameserver ..................................................................................................... 96<br />
<strong>11</strong>.2 IPSec ............................................................................................................... 97<br />
<strong>11</strong>.2.1 Site-to-Site ....................................................................................................... 97<br />
<strong>11</strong>.2.2 Site-to-End (Roadwarrior) .............................................................................. 100<br />
<strong>11</strong>.3 SSL VPN ....................................................................................................... 103<br />
<strong>11</strong>.3.1 Roadwarrior-Server ........................................................................................ 104<br />
<strong>11</strong>.3.2 Site-to-Site-Client ........................................................................................... 105<br />
<strong>11</strong>.3.3 Site-to-Site Server.......................................................................................... 106<br />
<strong>11</strong>.4 PPTP ............................................................................................................. 107<br />
<strong>11</strong>.5 L2TP .............................................................................................................. 108<br />
<strong>11</strong>.6 Clientless VPN ............................................................................................... 109<br />
12 Menü Authentifizierung .................................................................................. <strong>11</strong>0<br />
12.1 Benutzer ........................................................................................................ <strong>11</strong>1<br />
12.1.1 Neuen Benutzer hinzufügen ........................................................................... <strong>11</strong>1<br />
12.2 Externe Authentifizierung ............................................................................... <strong>11</strong>5<br />
12.2.1 Radius ........................................................................................................... <strong>11</strong>5<br />
12.2.2 LDAP ............................................................................................................. <strong>11</strong>5<br />
12.2.3 Active Directory .............................................................................................. <strong>11</strong>6<br />
12.3 Zertifikate ....................................................................................................... <strong>11</strong>7<br />
12.3.1 CA erstellen ................................................................................................... <strong>11</strong>8<br />
12.3.2 Zertifikat erstellen........................................................................................... <strong>11</strong>9<br />
12.3.3 CA und Zertifikate importieren ....................................................................... 120<br />
12.3.4 CA und Zertifikate exportieren ....................................................................... 120<br />
12.3.5 CA und Zertifikate löschen ............................................................................. 121<br />
12.4 RSA-Schlüssel ............................................................................................... 122<br />
12.4.1 Liste der RSA Schlüssel................................................................................. 123<br />
<strong>Securepoint</strong><br />
Security Solutions 6
<strong>Securepoint</strong> <strong>11</strong><br />
12.4.2 RSA Schlüssel anlegen ................................................................................. 123<br />
12.4.3 RSA Schlüssel exportieren ............................................................................ 124<br />
12.4.4 RSA Schlüssel importieren ............................................................................ 124<br />
13 Menü Extras................................................................................................... 125<br />
13.1 CLI ................................................................................................................. 125<br />
13.2 Registrieren ................................................................................................... 126<br />
13.3 Firmware Updates.......................................................................................... 127<br />
13.4 Erweiterte Einstellungen ................................................................................ 128<br />
13.4.1 Registerkarte Allgemein ................................................................................. 128<br />
13.4.2 Registerkarte Templates ................................................................................ 129<br />
14 Live Log ......................................................................................................... 130<br />
15 Abbildungsverzeichnis ................................................................................... 131<br />
<strong>Securepoint</strong><br />
Security Solutions 7
1 Einleitung Piranja und RC 100 <strong>Securepoint</strong> <strong>11</strong><br />
1 Einleitung<br />
Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag<br />
nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine<br />
Dauerverbindung des Computers oder des Netzwerkes zum Internet.<br />
Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals<br />
außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer-<br />
den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet<br />
werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust<br />
kommt; zum Beispiel hervorgerufen durch einen Computervirus.<br />
Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die<br />
Schadprogramme dann schon im lokalen Netz sind.<br />
Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz-<br />
werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt<br />
und die Kommunikation mit dem Internet überwacht.<br />
Das <strong>Securepoint</strong> Unified Threat Management (UTM) bietet eine Komplettlösung mit vie-<br />
len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet<br />
das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan-<br />
ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath –<br />
Routing-Funktionalität. Außerdem wird WLAN mit virtuellen Netzen und UTMS Anbin-<br />
dung unterstützt.<br />
Die Verbindung in einem System verringert den administrativen und integrativen Auf-<br />
wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen<br />
dient ein klar strukturiertes Administrator-Interface.<br />
Die <strong>Securepoint</strong> UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi-<br />
ell abgestimmten Appliances erhältlich. So deckt <strong>Securepoint</strong> verschiedenste Anforde-<br />
rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit<br />
mehreren hundert Rechnern ab.<br />
<strong>Securepoint</strong><br />
Security Solutions 8
2 Zur Version <strong>11</strong> Piranja und RC 100 <strong>Securepoint</strong> <strong>11</strong><br />
2 Zur Version <strong>11</strong><br />
Die Version <strong>11</strong> der <strong>Securepoint</strong> UTM Software ist komplett neu entwickelt. Das Basissystem<br />
ist neu und die gesamte Befehlsreferenz erneuert. Dies bemerken Sie nur, wenn Sie die<br />
Konfiguration der Appliance auch über das Command Line Interface (CLI) vorgenommen<br />
haben.<br />
Auch die Konfigurationsoberfläche ist neu aufgesetzt. Ein erweiterter Funktionsumfang und<br />
Neuerungen, die die Konfiguration weiter vereinfachen haben in der Oberfläche Einzug er-<br />
halten. Bei einem Upgrade auf die neue Version werden Sie sich aber schnell zurechtfinden,<br />
weil die Anordnung der Funktionen erhalten geblieben ist.<br />
<strong>Securepoint</strong><br />
Security Solutions 9
3 Die Appliances Piranja und RC 100 <strong>Securepoint</strong> <strong>11</strong><br />
3 Die Appliances<br />
Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz-<br />
werkschutzes konzipiert sind. Im Produktangebot von <strong>Securepoint</strong> sind 7 Appliances erhält-<br />
lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei-<br />
tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen<br />
der Geräte.<br />
Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz<br />
Piranja<br />
RC 100<br />
RC 200<br />
RC 300<br />
RC 310<br />
RC 400<br />
RC 410<br />
bis 5 100 Mbit/s 70 Mbit/s<br />
10 bis 25 100 Mbit/s 100 Mbit/s<br />
25 bis 50 400 Mbit/s 260 Mbit/s<br />
50 bis 100 1000 Mbit/s 700 Mbit/s<br />
50 bis 100 1000 Mbit/s 1000 Mbit/s<br />
100 bis 500 1000 Mbit/s 1000 Mbit/s<br />
100 bis 500 1000 Mbit/s 1000 Mbit/s<br />
Gerät CPU RAM HDD Interfaces USB Ports<br />
Piranja VIA C3 / Eden 533<br />
MHz<br />
1 GB Compact Flash<br />
512 MB<br />
3 x 10/100 Ether-<br />
net Ports<br />
RC 100 VIA C7 1 GHz 1 GB 80 GB 3 x 10/100 Ether-<br />
net Ports<br />
RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x 10/100/1000<br />
RC 300 Intel Core2 Duo E4500<br />
2 x 2,2 GHz<br />
RC 310 Pentium D<br />
2 x 3,4 GHz<br />
RC 400 Xeon 5335<br />
1,8 GHz<br />
Ethernet Ports<br />
1 GB 80 GB 6 x 10/1000<br />
Ethernet Ports<br />
1 GB 2 x 80 GB 6 x 10/1000<br />
Ethernet Ports<br />
2 GB 2 x 73 GB 10 x 10/1000<br />
Ethernet Ports<br />
RC 410 Xeon 1,8 GHz 2 GB 2 x 73 GB 10 x 10/1000<br />
Ethernet Ports<br />
<strong>Securepoint</strong><br />
Security Solutions 10<br />
1<br />
1<br />
5<br />
4<br />
4<br />
4<br />
4
4 Anschluss der Appliance Piranja und RC 100 <strong>Securepoint</strong> <strong>11</strong><br />
4 Anschluss der Appliance<br />
Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der<br />
Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischenge-<br />
schaltet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit<br />
der Appliance verbunden werden.<br />
Internet<br />
Modem <strong>Securepoint</strong><br />
Appliance<br />
Abb. 1 Position der Appliance im Netzwerk<br />
4.1 Piranja und RC 100<br />
Switch<br />
Computer 1<br />
Computer 2<br />
Computer n<br />
Die Piranja und die RC 100 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3),<br />
eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse.<br />
Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk-<br />
adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2<br />
spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port<br />
LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge-<br />
sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss<br />
benutzt werden.<br />
Abb. 2 Rückansicht der Piranja bzw. der RC 100<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>
4 Anschluss der Appliance RC 200 <strong>Securepoint</strong> <strong>11</strong><br />
4.2 RC 200<br />
Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch<br />
mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3<br />
gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter-<br />
nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden.<br />
Abb. 3 Rückansicht einer RC 200<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
4.3 RC 300<br />
Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen-<br />
sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports<br />
nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern.<br />
Abb. 4 Frontansicht der RC 300 (schematisch)<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
LAN 5 eth4 freie Verfügung<br />
LAN 6 eth5 freie Verfügung<br />
<strong>Securepoint</strong><br />
Security Solutions 12
4 Anschluss der Appliance RC 400 <strong>Securepoint</strong> <strong>11</strong><br />
4.4 RC 400<br />
Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken<br />
angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts.<br />
LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports<br />
am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung.<br />
LAN 1 LAN 3<br />
Abb. 5 Frontansicht der RC 400 (schematisch)<br />
LAN 5 LAN 7<br />
LAN 2 LAN 4 LAN 6 LAN 8<br />
Anschluss Interface Netz<br />
LAN 1 eth0 extern (Internet)<br />
LAN 2 eth1 intern<br />
LAN 3 eth2 DMZ<br />
LAN 4 eth3 freie Verfügung<br />
LAN 5 eth4 freie Verfügung<br />
LAN 6 eth5 freie Verfügung<br />
LAN 7 eth6 freie Verfügung<br />
LAN 8 eth7 freie Verfügung<br />
<strong>Securepoint</strong><br />
Security Solutions 13
5 Administrator-Interface Mit der Appliance verbinden <strong>Securepoint</strong> <strong>11</strong><br />
5 Administrator-Interface<br />
5.1 Mit der Appliance verbinden<br />
Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces<br />
auf den Port <strong>11</strong><strong>11</strong>5 mit dem https (SSL) Protokoll.<br />
Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf<br />
192.168.175.1 eingestellt. Der Port <strong>11</strong><strong>11</strong>5 wird nicht geändert und ist für die Administration<br />
reserviert.<br />
Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt.<br />
Benutzername: admin<br />
Kennwort: insecure<br />
Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein:<br />
https://192.168.175.1:<strong>11</strong><strong>11</strong>5/<br />
Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die<br />
IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse.<br />
Es erscheint der Dialog LOGIN.<br />
Abb. 6 Login Dialog<br />
Geben Sie im Feld Benutzername admin ein.<br />
Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den<br />
Benutzer admin schon geändert haben das neue Kennwort.<br />
Klicken Sie anschließend auf Login.<br />
Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm.<br />
Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authenti-<br />
fizierung, Menüpunkt Benutzer.<br />
Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und<br />
Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein.<br />
<strong>Securepoint</strong><br />
Security Solutions 14
5 Administrator-Interface Systemanforderung an den Client-Rechner <strong>Securepoint</strong> <strong>11</strong><br />
5.2 Systemanforderung an den Client-Rechner<br />
Betriebssystem: ab MS Windows XP und Linux<br />
Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend<br />
Speicher: 512 MB oder mehr<br />
Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3<br />
<strong>Securepoint</strong><br />
Security Solutions 15
6 <strong>Securepoint</strong> Cockpit Systemanforderung an den Client-Rechner <strong>Securepoint</strong> <strong>11</strong><br />
6 <strong>Securepoint</strong> Cockpit<br />
Über einen Webbrowser erreichen Sie das Administrationsinterface der <strong>Securepoint</strong> Appli-<br />
ance. Dieses Interface ist die zentrale Oberfläche zur Verwaltung der Appliance. Die Ober-<br />
fläche ist schon von der <strong>Securepoint</strong> 10 bekannt, wurde aber in vielfältiger Hinsicht verbes-<br />
sert.<br />
Abb. 7 <strong>Securepoint</strong> <strong>11</strong> Cockpit<br />
Die Anzeige des Administrationsinterface ist fast uneingeschränkt anpassbar. Das Interface<br />
umfasst fünf Arbeitsoberflächen, auf die die Fenster, die den Status und die Einstellungen<br />
der Dienste und Hardware anzeigen, verteilt werden können. So können z.B. zusammenge-<br />
hörige Fenster gruppiert werden.<br />
Am unteren Bildschirmrand ist eine Auswahl an Statusanzeigen aufgelistet, die per Ziehen<br />
und Ablegen (Drag-and-drop) auf der Arbeitsoberfläche positioniert werden können. Die An-<br />
ordnung erfolgt dabei zeilenweise. In einer Zeile werden immer zwei Fenster nebeneinander<br />
angeordnet.<br />
Die Auswahl der Statusanzeigen ist standardmäßig verborgen und nur als schmaler Balken<br />
dargestellt. Die Auswahl wird durch das Betätigen des Pfeilsymbols auf der linken Seite des<br />
Balkens geöffnet.<br />
Über die Hauptmenüleiste gelangt man zu Konfigurations- und Verwaltungsfenster, die als<br />
Popupfenster geöffnet werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 16
7 Menü Konfiguration Systemanforderung an den Client-Rechner <strong>Securepoint</strong> <strong>11</strong><br />
7 Menü Konfiguration<br />
Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di-<br />
rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi-<br />
guration zu finden. Außerdem kann hier das System aus den Auslieferungszustand zu-<br />
rückgesetzt werden.<br />
Abb. 8 Dropdownmenü des Menüpunktes Konfiguration<br />
Bezeichnung Erklärung<br />
Konfigurationsverwal-<br />
ten<br />
Installations-<br />
assistent<br />
Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfigurati-<br />
onsdateien auf. Hier hat man die Möglichkeit die Dateien zu exportieren, zu<br />
drucken und zu löschen. Außerdem kann man Konfigurationen laden, Start-<br />
konfigurationen setzen und Konfigurationen importieren oder aktuelle Ein-<br />
stellungen in einer neuen Datei speichern.<br />
Der Installationsassistent hilft Ihnen bei der Einrichtung der grundlegenden<br />
Einstellungen.<br />
Neu starten Fährt die Appliance runter und startet sie anschließend neu.<br />
Herunterfahren Das System wird gestoppt und heruntergefahren.<br />
Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück.<br />
Abmelden Abmeldung vom Administrator-Interface.<br />
<strong>Securepoint</strong><br />
Security Solutions 17
7 Menü Konfiguration Konfigurationen verwalten <strong>Securepoint</strong> <strong>11</strong><br />
7.1 Konfigurationen verwalten<br />
Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem<br />
Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer<br />
Liste aller gespeicherten Konfigurationsdateien.<br />
Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im<br />
Dropdownmenü auf den Eintrag Konfigurationen verwalten.<br />
Es öffnet sich der Dialog Konfigurationen.<br />
Abb. 9 Konfigurationsverwaltung<br />
Das Fenster Konfigurationsverwaltung verfügt über die zwei Registerkarten Lokale Konfi-<br />
gurationen und Cloud Backup. Die Registerkarte Lokale Konfigurationen zeigt die<br />
auf der Appliance gespeicherte Konfigurationen.<br />
Die Konfigurationen werden in einer Tabelle aufgelistet. Die Konfigurationen sind nach dem<br />
Namen sortiert aufgelistet. Direkt oberhalb der Tabelle wird angezeigt, wie viele Einträge ein<br />
Tabellenblatt aufnimmt. Außerdem kann über die Suchoption auf der rechten Seite nach ei-<br />
ner Konfiguration gesucht werden.<br />
Unterhalb der Tabelle wird die Gesamtanzahl der Konfigurationen angezeigt, sowie Naviga-<br />
tionsschaltfläche für die Tabellenblätter.<br />
In der Spalte Status werden Eigenschaften der jeweiligen Konfiguration angezeigt.<br />
Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist<br />
die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem<br />
Reboot).<br />
Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration.<br />
<strong>Securepoint</strong><br />
Security Solutions 18
7 Menü Konfiguration Konfigurationen verwalten <strong>Securepoint</strong> <strong>11</strong><br />
Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die<br />
Konfigurationsdateien anwenden kann.<br />
Schaltfläche Bedeutung Beschreibung<br />
Speichern Speichert die aktuelle Konfiguration in diese Datei.<br />
Export Exportiert die Konfiguration und speichert diese im DAT Format ab.<br />
Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration.<br />
Laden Lädt die jeweilige Konfiguration.<br />
Löschen Löscht die jeweilige Konfiguration.<br />
Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen<br />
+ Konfiguration importieren und + Konfiguration hinzufügen.<br />
7.1.1 Konfiguration importieren<br />
Eine bestehende Konfiguration kann auf das System importieren werden. Einzige Bedingung<br />
dafür ist, dass die externe Datei im DAT Format vorliegen muss.<br />
Abb. 10 Konfiguration importieren<br />
Klicken Sie auf den Schaltfläche + Konfiguration importieren.<br />
Es öffnet sich der Dialog Import.<br />
Klicken Sie auf Datei auswählen und wählen Sie die gewünschte Datei aus.<br />
Geben Sie im Feld Name einen Namen ein, unter der die Konfiguration gespeichert<br />
werden soll.<br />
Klicken Sie danach auf Import.<br />
Die Konfigurationsdatei wird auf der Appliance gespeichert.<br />
<strong>Securepoint</strong><br />
Security Solutions 19
7 Menü Konfiguration Konfigurationen verwalten <strong>Securepoint</strong> <strong>11</strong><br />
7.1.2 Konfiguration hinzufügen<br />
Durch das Hinzufügen einer Konfiguration wird eine „leere“ Konfiguration im System ange-<br />
legt. Ändert man die Einstellungen der Appliance können diese unter der neuen Konfigurati-<br />
on gespeichert werden, ohne die bestehende Konfiguration zu überschreiben.<br />
Bevor Sie die Einstellungen ändern, sollten Sie die aktuelle Konfiguration unter der neu er-<br />
stellten Datei speichern. Anschließend laden Sie die neue Konfiguration und nehmen die<br />
gewünschten Änderungen vor. So wird sichergestellt, dass die vorherige Konfiguration nicht<br />
verändert wird.<br />
Abb. <strong>11</strong> neue Konfiguration anlegen<br />
Klicken Sie auf den Schaltfläche + Konfiguration hinzufügen.<br />
Es öffnet sich der Dialog Hinzufügen.<br />
Geben Sie im Feld Name einen Namen für die neue Konfiguration ein.<br />
Klicken Sie danach auf Speichern.<br />
Die Konfigurationsdatei wird auf der Appliance gespeichert.<br />
7.1.3 Cloud Backup<br />
Unter der Registerkarte Cloud Backup im Fenster Konfigurationsverwaltung, können<br />
Sie ein Backup der Konfiguration in der <strong>Securepoint</strong> Cloud ablegen. Die Backups werden<br />
also auf einen <strong>Securepoint</strong> Server gespeichert und sind von überall verfügbar.<br />
Einstellungen zum Server und Authentifizierung müssen nicht vorgenommen werden. Diese<br />
Daten werden dem Lizenzzertifikat entnommen. Das Zertifikat wird auch zur Authentifizie-<br />
rung benutzt.<br />
<strong>Securepoint</strong><br />
Security Solutions 20
7 Menü Konfiguration Setup Wizard <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 12 Registerkarte Cloud Backup<br />
Zum Anlegen eines Backups klicken Sie auf die Schaltfläche Backup der aktuellen<br />
Konfiguration erstellen.<br />
Als Name des Backups werden das Speicherdatum und die Uhrzeit benutzt.<br />
Die Backups können mit einem Kennwort gesichert werden.<br />
Klicken sie dazu auf die Schaltfläche Kennwort setzen. Geben Sie in den Dialog<br />
das Kennwort ein und bestätigen Sie dieses durch nochmalige Eingabe. Schließen<br />
Sie den Vorgang mit Speichern ab.<br />
7.2 Setup Wizard<br />
Die Administratoroberfläche bietet einen Setup Assistenten an, der Ihnen bei der Anpassung<br />
der Appliance an Ihre Netzwerkumgebung behilflich ist.<br />
Der Assistent legt in sechs Schritten die wichtigsten Netzwerkverbindungen an.<br />
Abb. 13 intere Firewall IP-Adresse<br />
Starten Sie den Setup Assistenten über den Eintrag Setup Assistent im Menüpunkt<br />
Konfiguration.<br />
Im ersten Schritt geben Sie die interne IP-Adresse der Firewall an.<br />
<strong>Securepoint</strong><br />
Security Solutions 21
7 Menü Konfiguration Setup Wizard <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 14 Auswahl der Internetverbindung<br />
Im zweiten Schritt geben Sie an, wie die Firewall mit dem Internet verbunden ist.<br />
Zur Auswahl stehen:<br />
DSL-PPPoE Die Verbindung wird über ein DSL Modem<br />
hergestellt. Die Firewall übernimmt die Anmeldung.<br />
Ethernet mit statischer IP Die Firewall ist in ein Ethernet Netzwerk<br />
eingebunden und verfügt über eine statische<br />
IP-Adresse.<br />
Kabel-Modem mit DHCP Die Verbindung wird über ein Kabel-Modem<br />
hergestellt. Dieses weißt der Firewall eine<br />
IP-Adresse per DHCP zu.<br />
Abb. 15 Daten für die Internetverbindung angeben<br />
Der dritte Schritt ist der Verbindungsart aus Schritt zwei angepasst.<br />
Bei einer DSL PPPoE Verbindung wird nach dem Benutzernamen und dem<br />
Kennwort gefragt, welches vom Internet Provider zugewiesen wurde.<br />
Bei einer Ethernet Verbindung muss die statische externe IP-Adresse der<br />
Firewall und die IP-Adresse des Default Gateways angegeben werden. Das<br />
Default Gateway ist die IP-Adresse des Geräts, was die Verbindung zum Internet<br />
herstellt.<br />
Da der dritten Methode wird die IP-Adresse automatisch bezogen. Der Assistent<br />
wechselt zu Schritt vier.<br />
<strong>Securepoint</strong><br />
Security Solutions 22
7 Menü Konfiguration Setup Wizard <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 16 Netzwerkbereich der DMZ<br />
Im vierten Schritt können Sie einen Adressbereich für die demilitarisierte Zone (DMZ)<br />
anlegen.<br />
Geben Sie die IP-Adresse und den Bitcount für den Netzwerkbereich der DMZ an.<br />
Abb. 17 Ändern des Adminstrotorkennworts<br />
Der fünfte Schritt verlangt die Änderung des Administrator Kennworts. welches bei Ausliefe-<br />
rungszustand insecure lautet.<br />
Geben Sie im Feld Benutzer den Namen des Nutzernamen des Administrators an.<br />
Vorgabe ist admin.<br />
Geben Sie im Feld Kennwort ein Kennwort für den Administrator ein.<br />
Bestätigen Sie das Kennwort durch eine wiederholte Eingabe im Feld Kennwortbestätigung.<br />
<strong>Securepoint</strong><br />
Security Solutions 23
7 Menü Konfiguration Herunterfahren <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 18 Einspielen der Lizenz<br />
Der sechste Schritt kann eine Lizenz eingespielt werden.<br />
Suchen Sie über die Schaltfläche Datei auswählen die Lizenz von Ihrem System<br />
aus.<br />
Klicken Sie auf Fertigstellen, um die Angaben zu übernehmen.<br />
Der Assistent übernimmt die Änderungen und startet die Appliance neu.<br />
Melden Sie sich an der Appliance mit den neuen Daten an.<br />
7.3 Herunterfahren<br />
Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet.<br />
7.4 Werkseinstellungen<br />
Setzt das System in den Auslieferungszustand zurück.<br />
Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht.<br />
7.5 Neu starten<br />
Dieser Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die Start-<br />
konfiguration geladen. Gegebenenfalls müssen Sie eine Startkonfiguration vor dem Reboot<br />
festlegen.<br />
7.6 Abmelden<br />
Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und<br />
die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei-<br />
chert.<br />
<strong>Securepoint</strong><br />
Security Solutions 24
8 Netzwerk Abmelden <strong>Securepoint</strong> <strong>11</strong><br />
8 Netzwerk<br />
Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, sowie nützliche Netz-<br />
werk Programme.<br />
Abb. 19 Dropdownmenü des Menüpubktes Netzwerk<br />
Bezeichnung Erklärung<br />
Appliance Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorgenommen:<br />
Firewall-Name, DNS Server IP-Adressen, Syslog-Server IP-Adressen,<br />
Zeitserver IP-Adresse und Zeitzone, Anzahl der gleichzeitigen Verbin-<br />
dungen und Qualität der Regelprotokolleinträge<br />
Netzwerkkonfiguration Einstellungen zum Netzwerk:<br />
IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Routing und<br />
DHCP Server Einstellungen<br />
Zoneneinstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen anlegen.<br />
Netzwerkwerkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle<br />
<strong>Securepoint</strong><br />
Security Solutions 25
8 Netzwerk Servereinstellungen <strong>Securepoint</strong> <strong>11</strong><br />
8.1 Servereinstellungen<br />
In diesem Bereich werden zum einen der Name der Appliance gesetzt und zum anderen IP-<br />
Adressen zu DNS Servern, Time Server und Syslog Server angegeben.<br />
8.1.1 Registerkarte Servereinstellungen<br />
Abb. 20 Name, DNS Server und NTP Server angeben<br />
Auf dieser Registerkarte müssen der Appliancename, die Domain Name Service Server und<br />
der Network Time Protocol Server gesetzt werden.<br />
Tragen Sie im Feld Firewallname den Domainnamen der Appliance ein.<br />
Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Service<br />
Servers ein.<br />
Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer<br />
Nameserver ein.<br />
Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Appliance<br />
DNS Dienst verwendet.<br />
Im Feld Aktuelles Datum wird die verwendete Systemzeit angezeigt. Die Schaltfläche<br />
rechts neben dem Feld aktualisiert den Eintrag.<br />
Geben Sie im Feld NTP-Server die IP-Adresse oder den Hostnamen eines Zeitservers<br />
ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus.<br />
Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbindungen<br />
beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen.<br />
Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene<br />
Pakete.<br />
<strong>Securepoint</strong><br />
Security Solutions 26
8 Netzwerk Servereinstellungen <strong>Securepoint</strong> <strong>11</strong><br />
8.1.2 Registerkarte Administration<br />
Abb. 21 Netze oder IP-Adressen zur Administration<br />
Auf dieser Registerkarte tragen Sie Netze oder IP-Adressen ein, die auf das Administrations-<br />
interface der Appliance zugreifen dürfen.<br />
Klicken Sie auf die Schaltfläche +IP / Netzwerk hinzufügen, um weitere Einträge<br />
einzufügen.<br />
Geben Sie im öffnenden Dialog die IP-Adresse oder das Netzwerk ein. Achten Sie<br />
darauf, dass Sie den richtigen Bitcount verwenden.<br />
Klicken Sie auf die Schaltfläche Speichern.<br />
Die neue Eintragung erscheint in der Liste.<br />
<strong>Securepoint</strong><br />
Security Solutions 27
8 Netzwerk Servereinstellungen <strong>Securepoint</strong> <strong>11</strong><br />
8.1.3 Registerkarte Syslog<br />
Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das<br />
Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen<br />
können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log-<br />
meldungen analysiert werden.<br />
Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden.<br />
Abb. 22 Syslog-Server angeben<br />
Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Server<br />
hinzufügen.<br />
Es öffnet sich der Dialog Syslog Server hinzufügen.<br />
Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und<br />
den zu verwendenden Port (standardmäßig 514). Klicken Sie dann auf Hinzufügen.<br />
Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen.<br />
<strong>Securepoint</strong><br />
Security Solutions 28
8 Netzwerk Servereinstellungen <strong>Securepoint</strong> <strong>11</strong><br />
8.1.4 Registerkarte SNMP<br />
Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen<br />
Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto-<br />
kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen.<br />
Es werden die Protokollversion 1 und 2c unterstützt.<br />
Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein.<br />
Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und<br />
der Community String bekannt sein.<br />
Abb. 23 SNMP Einstellungen setzen<br />
Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide<br />
Versionen gleichzeitig verwenden.<br />
Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Benutzer<br />
mitgeteilt werden.<br />
Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP-Adresse<br />
oder ein Netzwerk an, von denen der Zugriff per SNMP erlaubt werden soll.<br />
Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hinzufügen.<br />
Die IP-Adresse bzw. das Netzwerk wird in der Liste hinzugefügt.<br />
Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel<br />
angelegt werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 29
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
8.2 Netzwerkkonfiguration<br />
Über diesen Punkt verwalten Sie die physikalischen und virtuellen Interface, die WLAN Ein-<br />
stellungen, das Routing und den DHCP Dienst.<br />
8.2.1 Netzwerkschnittstellen<br />
Auf der Registerkarte Netzwerkschnittstellen werden die Netzwerkkarten der Appliance mit<br />
deren IP-Adressen und Zonen angezeigt. Hier können Sie auch Schnittstellen für ver-<br />
schiedenste Anbindungen erstellen. Die Konfiguration der Schnittstellen erfolgt dann über<br />
den Bearbeitungsdialog der einzelnen Schnittstellen.<br />
Neu ist die Unterstützung von IPv6. Sie haben die Möglichkeit Ihr internes Netzwerk auf IPv6<br />
umzustellen. Die Verbindung zum globalen Netz benötigen Sie dann einen Tunnelbroker-<br />
dienstleister, der die IPv6 Datenpakete über einen IPv4 Tunnel routet.<br />
Abb. 24 Registerkarte Netzwerkschnittstellen<br />
Schnittstellen Typ Beschreibung<br />
6in4 Schnittstelle zur Verbindung mit externen IPv6 Tunnelbrokern.<br />
VDSL Schnittstelle zur Verbindung zum VDSL.<br />
GSM Schnittstelle zur Verbindung zum Mobilfunknetz.<br />
PPPoE Schnittstelle zur Verbindung zum DSL Netz.<br />
PPTP Schnittstelle zur Verbindung zum DSL Netz.<br />
VLAN Schnittstelle zur Erstellung virtueller Netze.<br />
Ethernet Weitere physikalische Netzwerkadapter.<br />
Das Anlegen der Schnittstellen erfolgt jeweils durch einen kleinen Assistenten, der die benö-<br />
tigten Daten Schritt für Schritt abfragt.<br />
<strong>Securepoint</strong><br />
Security Solutions 30
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
8.2.1.1 Schnittstelle bearbeiten<br />
Wenn Sie eine Schnittstelle erstellt haben, können Sie die erweiterten Einstellungen zu der<br />
Schnittstelle bearbeiten. Klicken Sie dazu auf die Schaltfläche mit dem Werkzeugschlüssel-<br />
symbol.<br />
Allgemein<br />
Abb. 25 Registerkarte Allgemein<br />
Im Feld Name kann der Name der Schnittstelle geändert werden.<br />
Aktivieren Sie die Checkbox DHCP, wenn die Schnittstelle die IP-Adresse vom<br />
DHCP Dienst beziehen soll.<br />
Mit der Checkbox Router Advertisement verschickt das Interface Advertisement<br />
an die Clients. Diese konfigurieren anhand dieser automatisch die default Route.<br />
Einstellungen<br />
Abb. 26 Registerkarte Einstellungen<br />
Stellen Sie Im Feld MTU die Maximum Transmission Unit der Schnittstelle ein.<br />
Entscheiden Sie im Feld Autonegotiation, ob die Schnittstelle mit anderen Geräten<br />
die maximale Übertragungsgeschwindigkeit automatisch aushandeln darf.<br />
Stellen sie im nächsten Feld die Geschwindigkeit der Schnittstelle ein.<br />
Stellen Sie bei Duplex ein, ob es sich bei der Schnittstelle eine Vollduplex oder eine<br />
Halbduplex Datenübermittlung benutzt.<br />
<strong>Securepoint</strong><br />
Security Solutions 31
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
IP-Adressen<br />
Abb. 27 Registerkarte IP-Adressen<br />
Zonen<br />
Tragen Sie weitere IP-Adressen für die Schnittstelle ein, indem Sie die gewünschte<br />
IP-Adresse im unteren Feld eintragen.<br />
Tragen Sie den passenden Bitcount dazu ein.<br />
Klicken Sie dann auf Hinzufügen.<br />
Abb. 28 Registerkarte Zonen<br />
Wählen Sie die Zonen für die Schnittstelle, indem Sie auf die entsprechende Zone<br />
klicken.<br />
Möchten Sie mehrere Zonen auswählen, drücken Sie bei der Auswahl die Strg Taste<br />
bzw. die Ctrl-Taste.<br />
<strong>Securepoint</strong><br />
Security Solutions 32
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
DynDNS<br />
Abb. 29 Registerkarte DynDNS<br />
QoS<br />
Wenn die Schnittstelle DynDNS benutzt aktivieren Sie dies, indem Sie ein Häkchen in<br />
die Checkbox setzen.<br />
Geben Sie den Hostnamen des Systems ein.<br />
Geben Sie den Benutzer und das Kennwort ein, dass Sie vom DynDNS Anbieter<br />
zugewiesen bekommen haben.<br />
Geben Sie im Feld Server den Server des Anbieters an.<br />
Geben Sie im Feld MX die Domäne für den E-Mail-Empfang an.<br />
Abb. 30 Registerkarte QoS<br />
Wählen Sie eine Datenraten Einstellung im Feld QoS, die Sie im Portfilter eingestellt<br />
haben.<br />
<strong>Securepoint</strong><br />
Security Solutions 33
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
Fallback<br />
Auf dieser Registerkarte können Sie eine Hotstandby Abfrage konfigurieren.<br />
Abb. 31 Registerkarte Fallback<br />
Wählen Sie im Feld Fallback-Schnittstelle aus, über welche Schnittstelle die Aktivitätsabfragen<br />
geschickt werden soll.<br />
Im Feld Ping-check Host tragen Sie den Hostnamen oder die IP-Adresse des<br />
Hauptsystems ein.<br />
Wählen Sie im Feld Ping-check Intervall aus, wie groß der Abstand zwischen den<br />
einzelnen Abfragen sein soll.<br />
Wählen Sie im Feld Ping-check Threshold aus, wie viele Abfragen unbeantwortet<br />
bleiben dürfen, bis die andere Maschine als ausgefallen gilt.<br />
<strong>Securepoint</strong><br />
Security Solutions 34
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
8.2.2 WLAN<br />
In der Registerkarte kann die Appliance als WLAN Access Point konfiguriert werden.<br />
Abb. 32 Registerkarte WLAN<br />
Klicken Sie auf WLAN Hinzufügen und geben Sie die abgefragten Daten ein.<br />
8.2.3 Routing<br />
Auf dieser Registerkarte können Sie Routeneinträge setzen. Damit legen Sie fest über wel-<br />
ches Gateway oder welche IP-Adresse ein Ziel erreicht wird. Der Standardeintrag (default<br />
route) ist, dass alle Ziele über das interne Gateway erreicht werden.<br />
Abb. 33 Registerkarte Routing<br />
<strong>Securepoint</strong><br />
Security Solutions 35
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 34 Route anlegen / bearbeiten<br />
Klicken Sie auf die Schaltfläche Route hinzufügen.<br />
Geben Sie eventuelle ein Netzwerk im Feld Quellnetzwerk ein. Dies ist nur nötig,<br />
wenn spezielle Routingeinträge für bestimmte Subnetze definiert werden sollen.<br />
Entscheiden Sie sich, ob über eine Gateway-IP oder eine Gateway-Schnittstelle<br />
geroutet werden soll. Geben Sie die Gateway-IP ein oder wählen Sie die Gateway-<br />
Schnittstelle aus.<br />
Geben Sie im Feld Zielnetzwerk das Netzwerk an, welches mit diesem Routingeintrag<br />
erreicht werden soll.<br />
8.2.4 DHCP<br />
Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk<br />
automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei-<br />
nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser<br />
übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des<br />
Standardgateways.<br />
Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und<br />
deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen Anwen-<br />
dungs.<br />
Abb. 35 Registerkarte DHCP<br />
<strong>Securepoint</strong><br />
Security Solutions 36
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 36 Netzwerkbereich festlegen<br />
Klicken Sie auf die Schaltfläche Pool Hinzufügen.<br />
Geben Sie einen Namen für den Pool ein.<br />
Abb. 37 zuständigen Router festlegen<br />
Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll.<br />
Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste<br />
Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit<br />
nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen<br />
für besondere Rechner, die feste IP-Adressen benötigen, vorhalten.<br />
Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die<br />
obere Grenze des Bereichs unter DHCP Pool Ende.<br />
Geben Sie im Feld Router die IP-Adresse des Standardgateway ein.<br />
8.2.5 DHCP-Leases<br />
Auf dieser Registerkarte können für Clients IP-Adressen reserviert werden. Der Client be-<br />
kommt bei der Anmeldung im Netzwerk dann immer die gleiche IP-Adresse zugewiesen.<br />
Abb. 38 Registerkarte DHCP Leases<br />
<strong>Securepoint</strong><br />
Security Solutions 37
8 Netzwerk Netzwerkkonfiguration <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 39 DHCP Lease hinzufügen<br />
Klicken Sie auf die Schaltfläche Lease hinzufügen.<br />
Geben Sie im Feld Host einen Namen für den Client ein.<br />
Geben Sie im Feld Ethernet die Mac Adresse des Host ein.<br />
Tragen Sie im Feld IP die IP-Adresse ein, die für den Client reserviert werden soll.<br />
8.2.6 DHCP-Relay<br />
Ein DHCP Relay muss konfiguriert werden wenn der DHCP Server mehrere Subnetze ver-<br />
walten soll. Der Relay Dienst nimmt DHCP Anfragen von Clients entgegen und gibt diese an<br />
den zuständigen DHCP Server weiter. Antworten des Servers werden dann in das Subnetz<br />
des Clients zurückgereicht.<br />
Dies kann getrennt für IPv4 und IPv6 definiert werden.<br />
Abb. 40 Registerkarte DHCP Relay<br />
<strong>Securepoint</strong><br />
Security Solutions 38
8 Netzwerk Zonen <strong>Securepoint</strong> <strong>11</strong><br />
8.3 Zonen<br />
Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter-<br />
faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von-<br />
einander abzugrenzen oder zu verbinden.<br />
Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen<br />
nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in<br />
der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone<br />
immer nur einem Interface zugeordnet werden kann.<br />
Abb. 41 Zonen und Interfacebindung<br />
Abb. 42 neue Zone anlegen<br />
Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die<br />
neue Zone ein.<br />
Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone<br />
zugeordnet werden soll.<br />
Klicken Sie auf Speichern, um die Änderungen zu übernehmen.<br />
Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der betreffenden<br />
Zone.<br />
Bestätigen Sie die Sicherheitsabfrage mit Löschen.<br />
Die Zone wird entfernt.<br />
Hinweis: Ein zugeordnetes Interface kann nach dem Anlegen in dieser Ansicht nicht mehr<br />
geändert werden. Möchten Sie der Zone ein anderes Interface zuordnen, benut-<br />
zen Sie im Menü Netzwerk den Unterpunkt Netzwerkkonfiguration. In der<br />
Registerkarte Schnittstellen können Sie die Zone für ein Interface bearbeiten.<br />
<strong>Securepoint</strong><br />
Security Solutions 39
8 Netzwerk Netzwerk Werkzeuge <strong>Securepoint</strong> <strong>11</strong><br />
8.4 Netzwerk Werkzeuge<br />
Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der<br />
Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden.<br />
Registerkarte Funktion<br />
Route Zeigt die Routing Einträge der Appliance an.<br />
Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist<br />
Host Ermittlung der IP-Adresse(n) eines Host.<br />
Traceroute Der Weg der Datenpakete bis zum Zielrechner.<br />
8.4.1 Registerkarte Route<br />
Abb. 43 Routing Einträge der Appliance<br />
Klicken Sie auf Übertragen, damit die Routing Einträge angezeigt werden.<br />
Wenn Sie IP Version 6 verwenden und sich die entsprechenden Routing Einträge anzeigen<br />
möchten, aktivieren Sie vorher die Checkbox IPv6.<br />
8.4.2 Registerkarte Ping<br />
Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die<br />
Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und<br />
wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in<br />
diesem Zusammenhang auch als Pong bezeichnet).<br />
<strong>Securepoint</strong><br />
Security Solutions 40
8 Netzwerk Netzwerk Werkzeuge <strong>Securepoint</strong> <strong>11</strong><br />
Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber<br />
auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist,<br />
dass er Pings nicht beantwortet.<br />
Abb. 44 Ergebnis des Ping Befehls<br />
Wählen Sie im Feld Quelle die IP-Adresse, von der das Ping Paket abgeschickt<br />
werden soll.<br />
Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Ziel ein.<br />
Klicken Sie dann auf Übertragen.<br />
Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die<br />
durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Außerdem<br />
wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen<br />
(Received) worden sind.<br />
Antwortet der Rechner nicht, erscheint die Meldung undefined.<br />
8.4.3 Registerkarte Host<br />
Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat. Es han-<br />
delt sich nur um eine Hostnamenauflösung. Die Umkehrung, von der IP auf den Hostnamen<br />
zu schließen, wird ebenfalls unterstützt. Benutzen Sie dazu den Abfrage Typ PTR.<br />
<strong>Securepoint</strong><br />
Security Solutions 41
8 Netzwerk Netzwerk Werkzeuge <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 45 DNS Abfrage<br />
Wählen Sie im Dropdownfeld Abfrage Typ einen Typ aus oder belassen Sie den<br />
Eintrag auf beliebig.<br />
Geben Sie im Feld Hostname einen Rechnernamen ein.<br />
Klicken Sie dann auf Ausführen.<br />
Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufgelistet.<br />
Abfrage Typ<br />
A Gibt die IPv4 Adresse zu dem Hostnamen aus.<br />
AAAA Gibt die IPv6 Adresse zu dem Hostnamen aus.<br />
PTR Gibt den Hostnamen zu einen abgefragten IP-Adresse aus.<br />
MX Mail Exchange<br />
Gibt den E-Mail-Server der Domain zurück.<br />
TXT Dieser Eintrag gibt den Text wieder, der beim DNS frei definierbar ist. Oftmals wer-<br />
den hier Daten von Anti-Spam-Techniken abgelegt (z.B. SPF).<br />
SOA Start Of Authority<br />
Gibt Zonen Details des DNS zurück (Zonenklasse, Seriennummer, Gültigkeitsdauer<br />
usw.).<br />
NS Gibt die Nameserver an, die für diese Zone zuständig sind.<br />
<strong>Securepoint</strong><br />
Security Solutions 42
8 Netzwerk Netzwerk Werkzeuge <strong>Securepoint</strong> <strong>11</strong><br />
8.4.4 Registerkarte Traceroute<br />
Mit Traceroute kann der Weg der Datenpakete durch das Netzwerk verfolgt werden. Dabei<br />
werden die Vermittlungsstellen (Hops), die die Pakete passieren bis zum Zielhost angezeigt.<br />
Abb. 46 Anzeige der Hops bis zum Zielhost<br />
Geben Sie im Feld Ziel, eine IP-Adresse oder einen Hostnamen an.<br />
Wenn Sie eine IPv6 Adresse benutzen, aktivieren Sie die Checkbox IPv6.<br />
Klicken Sie auf Ausführen.<br />
Im Anzeigebereich, werden die Vermittlungsstellen, die ein Paket bis zum Ziel passiert<br />
aufgelistet.<br />
<strong>Securepoint</strong><br />
Security Solutions 43
9 Menü Firewall Netzwerk Werkzeuge <strong>Securepoint</strong> <strong>11</strong><br />
9 Menü Firewall<br />
In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der<br />
Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech-<br />
nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet.<br />
Abb. 47 Dropdownmenü des Menüpunktes Firewall<br />
Bezeichnung Erklärung<br />
Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und zu Geräten<br />
angelegt.<br />
Implizite Regeln Dieser Punkt enthält Standardregeln, die Sie bei Bedarf aktivieren können oder<br />
von der Protokollierung ausnehmen können.<br />
<strong>Securepoint</strong><br />
Security Solutions 44
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1 Portfilter<br />
Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen<br />
der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut-<br />
zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der<br />
eine bestimmte Regel betrifft, protokolliert wird.<br />
Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die<br />
den Datenverkehr erlaubt.<br />
Auf weiteren Registerkarten finden Sie die Punkte Netzwerkobjekte, Dienste, Zeitprofile und<br />
QOS (Quality Of Services).<br />
Abb. 48 Portfilter<br />
Die Regeln im Portfilter sind nach folgendem Schema aufgebaut:<br />
Bezeichnung Erklärung<br />
Quelle Von wo wird die Verbindung aufgebaut. Dies kann ein Host oder ein Netz sein.<br />
Ziel Wohin wird die Verbindung aufgebaut. Auch dies kann ein Host oder ein Netz sein.<br />
Dienst Definiert das Protokoll und/oder den Port oder die Ports, die die Verbindung benutzt.<br />
Aktion Legt fest, ob diese Verbindung erlaubt, verweigert oder zurückgewiesen wird.<br />
Zur besseren Übersicht können die Regeln in Gruppen zusammengefasst werden.<br />
Mit dem Werkzeugschlüsselsymbol am Ende der Zeile kann die jeweilige Regel bear-<br />
beitet werden.<br />
Mit dem Abfalleimersymbol am Ende der Zeile kann die jeweilige Regel gelöscht werden.<br />
Regeln und Regelgruppen können per „Drag and Drop“ verschoben werden. Dabei können<br />
Regeln auch von einer Gruppe in eine andere abgelegt werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 45
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
Diese Funktion ist wichtig, da die Regeln nacheinander abgearbeitet werden und daher die<br />
Reihenfolge der Regeln im Regelwerk relevant ist.<br />
Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht<br />
noch auf den Button Aktualisiere Regeln klicken.<br />
Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän-<br />
dern.<br />
9.1.1 Neue Regel anlegen<br />
Falls Netzwerkobjekte für Quelle und/oder Ziele der Verbindung noch nicht vorhanden sind,<br />
müssen diese vorher angelegt werden. Das gleiche gilt für Dienste, die von der Verbindung<br />
benutzt werden.<br />
Abb. 49 Dialog zum ANlegen einer neuen Regel<br />
Klicken Sie im Portfilter auf die Schaltfläche Regel hinzufügen.<br />
Es erscheint der Dialog Regel hinzufügen.<br />
Wählen Sie im Bereich Allgemein die gewünschten Einstellungen aus. Folgende<br />
Eigenschaften sind vordefiniert:<br />
Die Regel ist aktiv. Soll die Regel nicht angewendet werden, deaktivieren Sie<br />
die Checkbox.<br />
<strong>Securepoint</strong><br />
Security Solutions 46
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
Die Aktion der Regel ist ACCEPT (erlauben). Wenn die neue Regel die Datentransfer<br />
verbieten soll, wählen Sie als Aktion DROP oder REJECT. Bei der Aktion<br />
REJECT wird der Quelle die Fehlermeldung „Destination unreachable“ zurückgegeben.<br />
Logging-Typ ist NONE (keine Protokollierung). Sollten Sie eine Protokollierung<br />
wünschen, wählen Sie die Einstellung SHORT (Die ersten drei Pakete einer<br />
neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten drei<br />
Pakete der gleichen Verbindung geloggt.) oder LONG (Alle Pakete werden protokolliert.).<br />
Es ist keine Regelgruppe ausgewählt. Soll die Regel einer Regelgruppe angehören,<br />
wählen Sie eine bestehende Regelgruppe aus dem Dropdownfeld. Sollte<br />
die gewünschte Gruppe noch nicht existieren, Können Sie diese auch später im<br />
Portfilter anlegen und die Regel in die Gruppe verschieben.<br />
Markieren Sie in der Liste Quelle die Paketquelle. Benutzen Sie ggf. die Suchzeile<br />
über der Liste.<br />
Markieren Sie in der Liste Ziel das Ziel der Pakete. Benutzen Sie ggf. die Suchzeile<br />
über der Liste.<br />
Wählen Sie einen NAT Typ (Network Address Translation) aus.<br />
None: Diese Regel ist an keinem NAT Typ gebunden.<br />
Hide-NAT: Datenpakete dieser Regel werden mit der IP-Adresse des gewählten<br />
Interfaces versehen.<br />
Hide-NAT exclude: Die Datenpakete dieser Regel verwenden kein NAT, behalten<br />
somit die originalen IP-Adressen. Diese Funktion ist z.B. wichtig bei IP-<br />
SEC Verbindungen.<br />
Dest NAT: Bei dieser Adressumsetzung wird die Zieladresse von eingehenden<br />
Paketen ersetzt. Dies ist abhängig vom benutzten Dienst und Port. So können<br />
Serverdienste, die auf verschiedenen Computern laufen, unter einer IP-Adresse<br />
angesprochen werden.<br />
Wählen Sie einen Dienst welcher von der Verbindung benutzt wird, aus der Liste<br />
Dienst.<br />
Wenn Sie schon QOS (Quality Of Service) Einstellungen vorgenommen haben, können<br />
Sie eine Bandbreite auswählen.<br />
Haben Sie schon Zeitprofile eingestellt, können Sie die Geltung der Regel auf bestimmte<br />
Uhrzeiten und Tage begrenzen.<br />
Im Bereich Bemerkung können Sie eine Beschreibung der Regel oder Anmerkungen<br />
zur Regel angeben.<br />
Erstellen Sie die Regel mit der Schaltfläche Speichern.<br />
Hinweis: Beachten Sie, dass eine neue Regel erst in Kraft tritt, wenn die Schaltfläche<br />
Regeln aktualisieren gedrückt wurde.<br />
<strong>Securepoint</strong><br />
Security Solutions 47
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1.2 Regelgruppe anlegen<br />
Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln<br />
eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher<br />
zu gestalten.<br />
Abb. 50 Regelgruppe hinzufügen<br />
Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen.<br />
Es öffnet sich der Dialog Gruppe hinzufügen.<br />
Tragen Sie im Feld Name einen Namen für die neue Gruppe ein.<br />
Klicken Sie auf Hinzufügen.<br />
Die neue Gruppe wird im Portfilter an unterster Position angefügt.<br />
Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben.<br />
Bei der Erstellung einer neue Regel können Sie diese der Gruppe zuweisen.<br />
Sie können die Gruppe selbst ebenfalls per „Drag & Drop“ im Portfilter verschieben.<br />
9.1.3 Registerkarte Netzwerkobjekte<br />
Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces,<br />
VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil-<br />
ter genau bestimmt werden.<br />
Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter<br />
<strong>Securepoint</strong><br />
Security Solutions 48
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
Wechsel Sie im Fenster Portfilter auf die Registerkarte Netzwerkobjekte.<br />
Hier sind alle bestehenden Netzwerkgruppen und Netzwerkobjekte aufgelistet. Die<br />
Tabellen können nach den Werten der verschiedenen Spalten geordnet werden.<br />
Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen<br />
Objektes positioniert.<br />
Über jeder Tabelle befindet sich ein Suchfeld, mit dem die jeweilige Liste durchsucht<br />
werden kann.<br />
Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkgruppen<br />
und neue Netzwerkobjekte angelegt werden.<br />
9.1.3.1 Netzwerkgruppe hinzufügen<br />
Eine Netzwerkgruppe dient dazu, thematisch zusammengehörige Netzwerkobjekte zusam-<br />
menzufassen. Dies hilft die Menge der Netzwerkobjekte zu strukturieren.<br />
Abb. 52 neue Netzwerkgruppe anlegen<br />
Um eine Gruppe anzulegen, gehen Sie wie folgt vor.<br />
Klicken Sie im linken Bereich Netzwerkgruppen auf die Schaltfläche Gruppe hinzufügen.<br />
Geben Sie im öffnenden Dialog den Namen der neuen Gruppe ein.<br />
Klicken Sie auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 49
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1.3.2 Netzwerkobjekt hinzufügen<br />
Es können verschiedene Netzwerkobjekttypen definiert werden. Durch die verschiedenen<br />
Typen, können die Objekte genau definiert. Außerdem wird der Portfilter übersichtlicher, da<br />
jeder Typ ein eindeutiges Symbol hat.<br />
Beim Anlegen eines neuen Objektes variieren die Eingabemaske und/oder die Auswahlmög-<br />
lichkeiten in Abhängigkeit zum gewählten Typ.<br />
Typ Beschreibung<br />
Host Netzwerkobjekt für einen Rechner<br />
Netzwerk<br />
VPN Host<br />
VPN Netzwerk<br />
Netzwerkobjekt für ein Netzwerk oder Subnetz<br />
Netzwerkobjekt für einen Rechner in der Zone IPSec<br />
Netzwerkobjekt für ein Netzwerk in der Zone IPSec<br />
Statische Schnittstelle Netzwerkobjekt für ein Interface mit fester IP-Adresse<br />
Dynamische Schnittstelle Netzwerkobjekt für ein Interface mit dynamischer IP-Adresse<br />
Benutzer Netzwerkobjekt für einen Benutzer<br />
Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner.<br />
Klicken Sie im Portfilter auf der Registerkarte Netzwerkobjekte auf die Schaltfläche<br />
Objekt hinzufügen. Diese befindet sich unterhalb der Liste aller Netzwerkobjekte.<br />
Es öffnet sich der Dialog Netzwerkobjekt hinzufügen.<br />
Geben Sie im Feld Name einen Namen für das neue Objekt an.<br />
Wahlen Sie aus dem Dropdownfeld Gruppe eine bestehende Gruppe, zu der das<br />
Objekt zugefügt werden soll. Die Auswahl ist optional.<br />
Wählen Sie aus dem Dropdownfeld Typ die Art des Objekts.<br />
Wählen Sie aus dem Dropdownfeld Zone die Zone, in der sich das neue Objekt befindet.<br />
Geben Sie in dem Feld IP-Adresse die IP-Adresse und den Bitcount des Objekts<br />
an. Dies ist für Rechner, Netzwerke und statische Schnittstellen nötig.<br />
Wählen Sie aus dem Dropdownfeld Benutzer den Benutzer aus, für den das Objekt<br />
angelegt wird. Nur nötig beim Anlegen eines Netzwerkobjektes für einen Benutzer.<br />
<strong>Securepoint</strong><br />
Security Solutions 50
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1.4 Registerkarte Dienste<br />
Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der<br />
Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste<br />
benutzen.<br />
Die Liste der vordefinierten Dienste ist schon sehr umfassend, Sie können aber auch eigene<br />
Dienste hinzufügen, Dienste löschen oder bearbeiten.<br />
Abb. 54 Ansicht der Registerkarte Dienste<br />
Dienstgruppen werden im linken Fensterbereich angezeigt. Wenn Sie eine Dienstgruppe<br />
markieren, werden die Dienste, die in der Gruppe beinhaltet sind, in der oberen Liste auf der<br />
rechten Seite angezeigt. Hier können Sie Dienste aus der Gruppe entfernen oder Dienste zu<br />
der Gruppe hinzufügen.<br />
Zum Entfernen eines Dienstes suchen Sie den betreffenden Dienst aus der oberen Liste auf<br />
der rechten Seite. Klicken Sie in der betreffenden Zeile auf die Schaltfläche mit dem Minus-<br />
symbol. Der Dienst wird lediglich aus der Gruppe entfernt. Der Dienst ist für weitere Verwen-<br />
dungen noch im System gespeichert.<br />
Zum Hinzufügen suchen Sie in der unteren Liste auf der rechten Seite den gewünschten<br />
Dienst heraus. Klicken Sie in der Zeile des Dienstes auf die Schalfläche mit dem Plussymbol.<br />
Der Dienst wird der markierten Gruppe hinzugefügt.<br />
<strong>Securepoint</strong><br />
Security Solutions 51
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1.4.1 Hinzufügen einer Dienstgruppe<br />
In dem Bereich Dienstgruppen können sie mehrere Dienste zu einer Gruppe zusammenfas-<br />
sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin-<br />
zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden.<br />
Abb. 55 neue Dienstgruppe anlegen<br />
Klicken Sie unterhalb der linken Liste auf die Schaltfläche Gruppe hinzufügen.<br />
Im öffnenden Dialog geben Sie einen Namen für die Gruppe ein und klicken Sie auf<br />
Speichern.<br />
9.1.4.2 Neuen Dienst anlegen<br />
Sie können auch einen neuen Dienst nach Ihren Anforderungen anlegen.<br />
Abb. 56 Eingabemaske zum Anlegen eine Dienstes. Diese Abbildung zeigt alle möglichen Paramter an.<br />
Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll.<br />
Um eine neuen Dienst anzulegen, klicken Sie auf die Schalfläche Dienst hinzufügen<br />
unterhalb der unteren Liste im rechten Fensterbereich.<br />
Geben Sie im öffnenden Dialog einen Namen für den neuen Dienst an.<br />
Wählen Sie dann das gewünschte Protokoll aus dem Dropdownfeld. Es werden eine<br />
Vielzahl Protokolle angeboten. Je nach gewähltem Protokoll ändert sich die Eingabemaske.<br />
Die gebräuchlichsten Protokolle (tcp, udp und icmp) führen die Dropdownliste an. Alle<br />
weiteren sind alphabetisch geordnet.<br />
<strong>Securepoint</strong><br />
Security Solutions 52
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
Tragen Sie die abgefragten Parameter ein und klicken Sie auf die Schaltfläche Speichern.<br />
Sie können den neu angelegten Dienst einer Gruppe hinzufügen.<br />
9.1.5 Registerkarte Zeitprofile<br />
Auf dieser Registerkarte können Sie Zeitprofile anlegen. Wenn Sie die Profile an eine Regel<br />
binden, wird der Geltungszeitraum der Regel beschränken.<br />
Abb. 57 Zeitprofil für Arbeitstage anlegen<br />
Erstellen Sie zuerst ein Zeitprofil.<br />
Klicken Sie unterhalb der linken Liste auf die Schaltfläche Zeitprofil hinzufügen.<br />
Geben Sie im erscheinenden Dialog einen Namen für das Profil ein und klicken Sie<br />
auf Speichern.<br />
Wählen Sie jetzt die Zeiten für die Gültigkeit des Profils aus.<br />
Markieren Sie in der linken Liste das Profil, für welches Sie Zeiten auswählen möchten.<br />
Markieren Sie jetzt im rechten Fenster an welchen Wochentagen und Zeiten das Profil<br />
eine Regel freigibt.<br />
Neben- und untereinander liegende Tabellenzellen können Sie mit markieren, indem<br />
Sie die linke Maustaste gedrückt halten und die Maus zur gewünschten Tabellenzelle<br />
ziehen.<br />
Möchten Sie Zellen markieren, die nicht zusammenhängen, halten Sie bei der Markierung<br />
die Strg Taste (ctrl auf englischen Tastaturen) gedrückt.<br />
<strong>Securepoint</strong><br />
Security Solutions 53
9 Menü Firewall Portfilter <strong>Securepoint</strong> <strong>11</strong><br />
9.1.6 Registerkarte QOS<br />
Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra-<br />
tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden<br />
und eingehenden Datenverkehr möglich.<br />
Abb. 58 QoS grafisch dargestellt<br />
Abb. 59 QoS anlegen<br />
Klicken Sie auf die Schaltfläche QoS hinzufügen, um eine neue Limitierung oder<br />
Zusicherung anzulegen.<br />
Geben Sie im Feld Name eine Bezeichnung für den neuen Eintrag an.<br />
Wählen Sie im Dropdownfeld Parent in welcher Ebene der Baumstruktur der neue<br />
Eintrag eingefügt werden soll. Wenn kein Parent gewählt wird, wird der Eintrag auf<br />
der höchsten Ebene eingetragen.<br />
Tragen Sie in der Feldern Min und Max die minimale und maximale Datenrate in<br />
kbit/s an (Werte können auch gleich sein).<br />
Fügen Sie durch Speichern den neuen Eintrag hinzu.<br />
<strong>Securepoint</strong><br />
Security Solutions 54
9 Menü Firewall Implizite Regeln <strong>Securepoint</strong> <strong>11</strong><br />
9.2 Implizite Regeln<br />
Für verschiedene Systemdienste und VPN-Verbindungen sind ab Werk Regeln vordefiniert.<br />
In diesem Bereich können diese bei Bedarf aktiviert werden. Diese werden dann auch von<br />
der Protokollierung ausgenommen.<br />
Silent Service Accept<br />
BOOTP steht für Bootstrap Protocol. Mit diesem Protokoll können im TCP/IP Netzwerk ein-<br />
fache Netzwerkparameter übermittelt werden.<br />
Abb. 60 Bootstrap Protocol zulassen<br />
Über die Checkboxes hinter dem Systemdienst kann die der Dienst zugelassen und<br />
die Protokollierung deaktiviert werden.<br />
Setzen Sie dazu das Häkchen in die Checkbox.<br />
9.2.1 Silent Services Drop<br />
Die NetBIOS Funktionen zur paket- und verbindungsorientierter Kommunikation sowie zur<br />
Namensauflösung können hier geblockt werden. Die Meldungen dazu werden dann von der<br />
Protokollierung ausgeschlossen.<br />
Abb. 61 NetBIOS Dienste blockieren<br />
Aktivieren Sie die Checkbox des Dienstes, den Sie blocken möchten.<br />
Wenn Sie die Checkbox in der Titelleiste aktivieren, werden alle Einträge geblockt.<br />
<strong>Securepoint</strong><br />
Security Solutions 55
9 Menü Firewall Implizite Regeln <strong>Securepoint</strong> <strong>11</strong><br />
9.2.2 IPSec Traffic<br />
Diese Registerkarte betrifft den Datenverkehr von IPSec VPN Verbindungen. Sie können<br />
hier jeglichen Nutzdatenverkehr zulassen und von der Protokollierung ausnehmen.<br />
Abb. 62 Datenverkehr im IPSec Tunnel<br />
Aktivieren Sie die Checkbox um den Nutzdatenverkehr zuzulassen.<br />
Gleichzeitig wird die Protokollierung zu diesem Datenverkehr ausgeschaltet.<br />
9.2.3 IPSec HideNAT<br />
Hier können Sie alle IPSec Verbindungen von der Adressumsetzung ausnehmen.<br />
Abb. 63 NAT für IPSec Verbindungen ausschalten<br />
Aktivieren Sie die Checkbox, um NAT-Einstellungen für IPSec-Verbindungen nicht<br />
anzuwenden.<br />
<strong>Securepoint</strong><br />
Security Solutions 56
9 Menü Firewall Implizite Regeln <strong>Securepoint</strong> <strong>11</strong><br />
9.2.4 VPN<br />
Hier sind vordefinierte Regeln aufgelistet, für Protokolle und Dienste, die zum Aufbau und<br />
Betrieb von VPN Verbindungen benötigt werden.<br />
Abb. 64 vordefinierte VPN Regeln<br />
Über die Checkboxes hinter den Regeln können diese aktiviert oder deaktiviert werden.<br />
Wenn ein Häkchen in der Checkbox der Überschriftzeile gesetzt wird, dann sind alle<br />
aufgelisteten Regeln aktiviert.<br />
Zugelassene Protokolle und Dienste werden von der Protokollierung ausgenommen.<br />
<strong>Securepoint</strong><br />
Security Solutions 57
10 Menü Anwendungen Implizite Regeln <strong>Securepoint</strong> <strong>11</strong><br />
10 Menü Anwendungen<br />
Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und Reverse Proxy sowie die<br />
Einstellungen für das IDS und den Nameserver, für das Mail Relay und den SPAM-Filter<br />
zusammengefasst. Außerdem kann der Status der Dienste gewechselt werden.<br />
Abb. 65 Dropdownmenü Dienste<br />
Bezeichnung Erklärung<br />
HTTP-Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und Filterung von<br />
Internetadressen und Webseiteninhalten.<br />
Reverse-Proxy Lastverteilung und Bandbreitenmanagement für interne Server.<br />
POP3-Proxy Allgemeine Einstellungen für den POP3 E-Mail Proxy.<br />
Mailrelay Einstellungen für den Mail Server.<br />
Mailfilter Einstellungen des Spamfilters.<br />
VoIP-Proxy Einstellungen für den Voice over IP Proxy.<br />
IDS Auswahl der Signaturregeln des Intrusion Detection Systems.<br />
Nameserver Einstellungen zu DNS Funktionen.<br />
Anwendungsstatus<br />
Aktivieren, Deaktivieren und Neustart von Diensten.<br />
<strong>Securepoint</strong><br />
Security Solutions 58
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1 HTTP Proxy<br />
Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er<br />
filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei-<br />
en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus<br />
dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als<br />
eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen-<br />
über als Client.<br />
10.1.1 Allgemein<br />
Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht.<br />
Abb. 66 Registerkarte Allgemein des HTTP-Proxys<br />
Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080.<br />
Wenn Sie eine Ausgangsadresse bestimmen möchten, tragen die gewünschte IP-<br />
Adresse ein im Feld Ausgangsadresse ein.<br />
Wenn Sie die DNS Namensauflösung für das Internet Protokoll Version 4 bevorzugen,<br />
Aktivieren Sie die Checkbox IPv4 DNS lookups preferred.<br />
Wählen Sie eine Authentifizierungsart.<br />
Keine keine Authentifizierung erforderlich<br />
Basic Authentifizierung gegen die lokale Nutzerdatenbank<br />
NTLM Authentifizierung gegen den NT LAN Manager<br />
(Active Directory)<br />
LDAP Authentifizierung über das AD des Netzwerkes<br />
Radius Authentifizierung gegen einen Radius Server<br />
<strong>Securepoint</strong><br />
Security Solutions 59
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei enable<br />
Forwarding.<br />
Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy<br />
ein und dessen Port unter Übergeordneter Proxy Port.<br />
Tragen Sie zur Authentifizierung am übergeordneten Proxy den Nutzernamen und<br />
das Kennwort in den Feldern Parent Proxy User und Parent Proxy Password<br />
ein.<br />
10.1.2 Virusscan<br />
Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos-<br />
sen werden sollen. Außerdem können Sie entscheiden, welchen Virenscanner Dienst sie<br />
benutzen möchten.<br />
Abb. 67 Registerkarte Virusscan des HTTP-Proxy<br />
Sie können die Virensuche ganz deaktivieren, indem Sie beim Feld Virusscan aktivieren<br />
das Häkchen aus der Checkbox entfernen.<br />
Entscheiden Sie in der Dropdownbox Virusscan engine, ob Sie den Commtouch<br />
Scan Deamon oder den Clam AV Dienst benutzen möchten.<br />
Legen Sie im Feld Maximum scan size limit die maximale Größe des Scanobjekts<br />
an. Die Angabe erfolgt in Megabytes.<br />
Geben Sie im Feld Tickle time die Zeit an, die der Scan andauern darf. Die Angabe<br />
erfolgt in Sekunden.<br />
Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden.<br />
Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag löschen.<br />
Sie können Einträge hinzufügen, indem Sie die Schaltfläche Add MIME Type unter<br />
der Liste betätigen.<br />
<strong>Securepoint</strong><br />
Security Solutions 60
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Wählen Sie im erscheinenden Dialog einen MIME Type aus dem Dropdownfeld<br />
aus. Ein Eintrag besteht aus der Art der Datei und der Dateiendung getrennt durch<br />
einen Slash. Ein Stern an der Stelle der Endung schließt alle eingetragenen Endungen<br />
ein.<br />
Sie können auch selbst einen MIME Type definieren. Klicken Sie auf die Schaltfläche<br />
Add MIME Type und im neuen Dialog auf die Schaltfläche mit dem Stiftsymbol.<br />
Definieren Sie die Kategorien gefolgt von einem Slash und der Dateiendung. Bestätigen<br />
Sie die Eintragung mit der Schaltfläche Speichern.<br />
Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden.<br />
Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag löschen.<br />
Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite eingeben<br />
und dann auf die Schaltfläche Add Regex betätigen.<br />
Es wird ein Regulärer Ausdruck erwartet. Für die Erstellung Regulärer Ausdrücke lesen<br />
Sie bitte weiterführende Literatur.<br />
10.1.3 Bandbreite<br />
Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer<br />
beschränken.<br />
Abb. 68 Registerkarte Bandbreite im HTTP-Proxy<br />
Entscheiden sie im Dropdownfeld Bandwidth limiting policy, ob Sie die Bandbreiten<br />
Kontrolle deaktivieren (None), Die Bandbreite global Beschränk werden soll (Limit<br />
total bandwidth) oder ob Sie die Bandbreite pro Rechner beschränken (Limit<br />
bandwidth per host).<br />
Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global bandwidth.<br />
Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Per host bandwidth.<br />
Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der globale<br />
Wert noch nicht ausgeschöpft ist.<br />
<strong>Securepoint</strong><br />
Security Solutions 61
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1.4 Application Blocking<br />
Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro-<br />
gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden.<br />
Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die<br />
Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter-<br />
net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom-<br />
munikation zu unterbinden.<br />
Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit<br />
dem letzten Eintrag Andere IMs werden andere Messaging Programme, die nicht in der<br />
Liste aufgeführt sind, gesperrt.<br />
Abb. 69 Messaging Anwendungen blocken<br />
Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die<br />
jeweilige Checkbox.<br />
Klicken Sie dann auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 62
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1.5 SSL-Interception<br />
Die SSL-Interception fängt SSL verschlüsselte Datenströme ab und macht den Inhalt z.B. für<br />
den Virenscanner sichtbar. Dies verhindert, dass Schadcode und Viren in SSL-<br />
verschlüsselten Paketen ins interne Netzwerk gelangen. Die SSL-Interception macht sich<br />
das Proxy System zunutze. Es steht zwischen den beiden Endpunkten der SSL Datenströme<br />
und handelt einerseits mit dem Client eine Verschlüsselung aus und andererseits eine Ver-<br />
schlüsselung mit dem Server. Der Client verschlüsselt die Daten die Appliance entschlüsselt<br />
und überprüft diese. Danach werden diese wieder verschlüsselt und an den Server ge-<br />
schickt. Das Gleiche geschieht auf dem Weg vom Server zum Client. Wird Schadcode oder<br />
nicht akzeptierter Content festgestellt, wird die Verbindung unterbrochen.<br />
Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy<br />
Sie aktivieren die SSL-Interception, indem Sie ein Häkchen in die Checkbox Enable<br />
SSL-Interception setzen.<br />
Wählen Sie im Dropdownfeld Certificate ein Zertifikat für die Schlüsselaushandlung<br />
aus.<br />
Die Checkbox Enable no verification list aktiviert die Liste der nicht geprüften<br />
Zertifikate. Diese Liste enthält Zertifikate, denen nicht vertraut wird. Diese Einträge<br />
werden durch reguläre Ausdrücke definiert.<br />
Die Checkbox Enable exception list aktiviert die Ausnahme Liste. Diese beinhaltet<br />
Ausnahmen für nicht vertrauenswürdig eingestufte Zertifikate. Die Ausnahmen werden<br />
mit regulären Ausdrücken definiert.<br />
Die Checkbox Enable peer verification aktiviert die Prüfung, ob das Zertifikat der<br />
Gegenstelle gültig ist.<br />
<strong>Securepoint</strong><br />
Security Solutions 63
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1.6 Webfilter<br />
Der Webfilter gibt Ihnen die Möglichkeit Benutzergruppen oder Netzwerke den Zugang zu<br />
bestimmten Internetinhalten zu verwehren oder zu gewähren.<br />
Sie haben die Möglichkeit verschiedenen Nutzergruppen anzulegen und diesen definierten<br />
Zugangsregeln zuzuweisen.<br />
10.1.6.1 Options<br />
Abb. 71 Webfilter deaktiviert<br />
Zuerst müssen Sie den Webfilter aktivieren.<br />
Im HTTP-Proxy Fenster, auf der Registerkarte Webfilter finden Sie die Registerkarte<br />
Options.<br />
Aktivieren Sie die Checkbox Enable Webfilter.<br />
<strong>Securepoint</strong><br />
Security Solutions 64
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1.6.2 Profile<br />
Auf der Registerkarte Profile werden die verschieden Filterregeln verwaltet. Es werden die<br />
verwendeten Netzwerke und Benutzergruppen angezeigt und deren zugefügten Filteroptio-<br />
nen. Der Rang der Profile entscheidet über die Abarbeitung der Filter.<br />
Abb. 72 Registerkarte Profiles des Webfilters<br />
Profil hinzufügen<br />
Abb. 73 Profil erstellen<br />
Klicken Sie in der Registerkarte Profile auf die Schaltfläche Add Profile.<br />
In dem öffnenden Dialog wählen Sie im Bereich Allgemein eine Gruppe aus dem<br />
Dropdownfeld Netzwerk oder Benutzergruppe. Die aufgelisteten Gruppen sind<br />
die Gruppen aus der Benutzerverwaltung. Jede Gruppe kann nur einmal ausgewählt<br />
werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 65
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Vergeben Sie dann Filteroptionen.<br />
Wählen Sie in der Dropdownbox Ruleset einen definierten Filter, der auf diese<br />
Gruppe angewendet werden soll.<br />
Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.<br />
Sie können mehrere Filter auswählen.<br />
In der Tabelle können Sie Filter aktivieren, deaktivieren, den Rang einstellen und<br />
wieder aus dem Profil löschen.<br />
Klicken Sie abschließend auf Speichern.<br />
10.1.6.3 Rulesets<br />
In dieser Registerkarte sind die Filter aufgelistet. Zu jedem Filter sind die gewählten Regeln<br />
aufgelistet. Über die Schaltfläche mit dem Werkzeugschlüsselsymbol können die Filter bear-<br />
beitet werden.<br />
Filter angelegen<br />
Klicken Sie auf die Schaltfläche Add Ruleset.<br />
Geben Sie in dem öffnenden Dialog einen Namen für den neuen Filter ein und klicken<br />
Sie auf Speichern.<br />
Dieser Filter wird in der Tabelle abgelegt. Dem Filter müssen jetzt noch Regeln übergeben<br />
werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 66
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Filter bearbeiten<br />
Der neu angelegte Filter ist noch nicht mit Regeln ausgestattet.<br />
Abb. 74 Dialog zum Erstellen von Filterregeln<br />
Um dem Filter Regeln hinzuzufügen, klicken Sie auf der Registerkarte Ruleset auf<br />
den Werkzeugschlüssel des gewünschten Filters. Es öffnet sich der Dialog Filter<br />
bearbeiten.<br />
Unter dem Namen des Filters befindet sich die Checkbox Block access. Wenn Sie<br />
diese Checkbox aktivieren, wird der Filter den Webzugang gänzlich sperren.<br />
Im Bereich Time können Sie die Gültigkeit des Filters auf bestimmte Tage und Uhrzeiten<br />
beschränken.<br />
Aktivieren Sie dazu die Checkbox Enable.<br />
Wählen Sie mit den Feldern Startzeit und Endzeit einen Zeitbereich zu dem der Filter<br />
gelten soll.<br />
Zusätzlich können Sie die Gültigkeit auf bestimmte Wochentage begrenzen. Aktivieren<br />
Sie die Checkboxes für die gewünschten Wochentage.<br />
Sie können die stufe für die Safe-Search Funktion auswählen.<br />
off: Keine Filterung von nicht jugendfreien Inhalten.<br />
strict: Es werden eindeutige nicht jugendfreie Seiten und Seiten die Links<br />
auf nicht jugendfreie Inhalte enthalten könnten gefiltert.<br />
moderate: Es werden nur eindeutig nicht Jugendfreie Seiten gefiltert.<br />
Wenn die Option Resolve URL-Shortener ausgewählt wird, wird versucht, die<br />
durch einen Dienst gekürzte URL auf die ursprüngliche URL zurückzuführen.<br />
<strong>Securepoint</strong><br />
Security Solutions 67
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Im Bereich Regeln können Sie blacklist und whitelist Regeln anlegen. Eine blacklist<br />
beinhaltet Seiten die gesperrt werden sollen und eine whitelist enthält Seiten die zugelassen<br />
werden sollen. Die Seiten die zugelassen, bzw. gesperrt werden, können direkt<br />
durch die Eintragung einer Internetadresse (URL) definiert werden. Es kann aber<br />
auch der <strong>Securepoint</strong> Contentfilter benutzt werden.<br />
Wählen Sie im Dropdownfeld Action die gewünschte Filteraktion aus.<br />
blacklist-url: Sperrliste mit genau definierten Internetadressen.<br />
whiteliste-url: Zulassungliste mit genau definierten Internetadressen.<br />
blacklist-cat: Sperrliste über Kategorien des <strong>Securepoint</strong> Contentfilter.<br />
whitelist-cat: Zulassungsliste über Kategorien des <strong>Securepoint</strong> Contentfilter.<br />
Bei einer URL Aktion müssen Sie die Internetadresse, die zugelassen oder gesperrt<br />
werden soll, eintragen.<br />
Bei Nutzung der Kategorien wählen Sie eine Kategorie aus dem rechten<br />
Dropdownfeld.<br />
Fügen Sie die Regeln zum Filter hinzu, indem Sie auf das Plussymbol klicken.<br />
In der Tabelle können Sie den Rang der Regeln verändern und gewählte Regeln<br />
auch wieder löschen.<br />
<strong>Securepoint</strong><br />
Security Solutions 68
10 Menü Anwendungen HTTP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.1.7 Transparent Mode<br />
Wird der transparente Modus des HTTP-Proxy aktiviert, ist für die Benutzer nicht ersichtlich,<br />
dass die Verbindung über einen Proxy geleitet wird. Die Benutzer müssen auch keine Proxy<br />
Einstellungen an Ihren Anwendungen vornehmen.<br />
Der transparente Modus des Proxy kann auf verschiedene Netze angewendet werden.<br />
Abb. 75 transparenter Modus des HTTP-Proxy<br />
Klicken Sie auf die Schaltfläche Add Transparent Rule.<br />
Abb. 76 transparenten Modus einrichten<br />
Geben Sie den Typen für den transparenten Modus ein.<br />
INCLUDE bedeutet, dass der transparente Modus angewendet wird.<br />
EXCLUDE bedeutet, dass der transparente Modus explizit nicht angewendet wird.<br />
Bestimmen Sie nun für welche Datenverbindungen diese Regel eingerichtet wird.<br />
Wählen Sie im Feld Source von wo die Datenverbindung aufgebaut wird.<br />
Wählen Sie im Feld Destination wohin die Datenverbindung aufgebaut wird.<br />
Beenden Sie die Einstellungen mit Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 69
10 Menü Anwendungen Reverse Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.2 Reverse Proxy<br />
Bei externen Anfragen an Server im internen Netz tritt der Reverse Proxy als Vermittlungs-<br />
stelle auf. Der Reverse Proxy hat dabei die gleichen Aufgaben wie der HTTP-Proxy aller-<br />
dings in anderer Richtung. Der Proxy steuert durch Access Control List (ACL) den Zugriff auf<br />
interne Webserver und kann eine Lastverteilung (Load Balancing) und Bandbreitenbe-<br />
schränkung vornehmen.<br />
10.2.1 Servergruppen<br />
Interne Webserver können in Servergruppen zusammengefasst werden. Server müssen da-<br />
für als Netzwerkobjekte definiert sein.<br />
Abb. 77 Registerkarte Servergruppen<br />
Abb. 79 Server zur Gruppe hinzufügen<br />
Abb. 78 Servergruppe anlegen<br />
Klicken Sie auf der Registerkarte Servergruppen auf die Schaltfläche Servergruppe<br />
hinzufügen.<br />
Im erscheinenden Dialog Servergruppe hinzufügen tragen Sie zunächst im Feld<br />
Name einen Namen für die neue Servergruppe ein.<br />
Um die Gruppe mit Serverobjekten zu füllen, klicken Sie auf die Schaltfläche Server<br />
hinzufügen.<br />
Im erscheinenden Dialog Server hinzufügen wählen Sie einen Server aus dem<br />
Feld Netzwerkobjekt. Der Server muss zuvor als Netzwerkobjekt definiert worden<br />
sein.<br />
Wählen Sie den Port, den der Server verwendet.<br />
<strong>Securepoint</strong><br />
Security Solutions 70
10 Menü Anwendungen Reverse Proxy <strong>Securepoint</strong> <strong>11</strong><br />
Ist eine Anmeldung notwendig, geben Sie eine Anmeldenamen und ein Kennwort<br />
ein.<br />
Klicken Sie auf hinzufügen.<br />
Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Server erfasst haben.<br />
10.2.2 ACL Sets<br />
Mit den Access Control Lists können Sie Zugriffe auf die angebotenen Dienste eingrenzen.<br />
Abb. 80 Registerkarte ACL Sets<br />
Abb. 82 ACL Argument definieren<br />
Abb. 81 ACL Set anlegen<br />
Klicken Sie auf der Registerkarte ACLSets auf die Schaltfläche ACLSet hinzufügen.<br />
Im erscheinenden Dialog ACLSet hinzufügen geben Sie im Feld Namen einen<br />
Namen für das neue ACLSet ein.<br />
Um das Set zu füllen müssen neue ACLSets definier werden.<br />
Klicken Sie deshalb auf die Schaltfläche ACL hinzufügen.<br />
Wählen Sie im Dialog ACL hinzufügen einen Typ nachdem der Zugriff gefilter wird.<br />
req_header Request Header<br />
Header des Anfrage Packets.<br />
src Source<br />
Quelle der Anfrage.<br />
dstdomain Destination Domain<br />
Ziel Domäne der Anfrage.<br />
<strong>Securepoint</strong><br />
Security Solutions 71
10 Menü Anwendungen Reverse Proxy <strong>Securepoint</strong> <strong>11</strong><br />
srcdomain Source Domain<br />
Quell Domäne der Anfrage.<br />
srcdom_regex Source Domain Regulare Expression<br />
Regulärer Ausdruck für die Quell Domäne.<br />
proto Protocol<br />
Benutztes Protokoll der Anfrage.<br />
time Time<br />
Zeit der Anfrage.<br />
Geben Sie dann einen passenden Begriff im Feld Argument ein.<br />
Klicken Sie auf hinzufügen.<br />
<strong>Securepoint</strong><br />
Security Solutions 72
10 Menü Anwendungen Reverse Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.2.3 Sites<br />
Auf der Registerkarte Sites werden Bandbreitenbegrenzung und Lastverteilung für die Server<br />
vorgenommen.<br />
Abb. 83 Registerkarte Sites<br />
Abb. 85 ACL Set definieren<br />
Abb. 84 Site anlegen<br />
Klicken Sie auf der Registerkarte Sites auf die Schaltfläche Site hinzufügen um<br />
eine Bandbreitenbeschränkung und Lastverteilung anzulegen.<br />
Im erscheinenden Dialog Site hinzufügen geben Sie zunächst einen Namen im<br />
Feld Domain name ein.<br />
Wählen Sie im Feld Servergruppe eine Gruppe, die auf der Registerkarte Servergruppen<br />
angelegt wurde.<br />
Definieren Sie im Feld Site-Bandbreite die Bandbreite für die gesamte Site. Maximal<br />
sind 1000 kbit/s zulässig.<br />
Definieren Sie im Feld Client-Bandbreite die Bandbreite, die einen Client gewährt<br />
wird.<br />
Wählen Sie im Feld Lastverteilung die Methode der Lastverteilung aus.<br />
round-robin Jeder Client bekommt eine kurze Zeitspanne<br />
den Zugriff.<br />
weighted-round-robin Jeder Client bekommt für eine kurze Zeitspanne<br />
den Zugriff. Allerdings ist diesmal das Verfahren<br />
gewichtet und einige Clients werden öfter bedient.<br />
userhash Hash aus dem username.<br />
<strong>Securepoint</strong><br />
Security Solutions 73
10 Menü Anwendungen Reverse Proxy <strong>Securepoint</strong> <strong>11</strong><br />
sourcehash Hash aus der Quell IP.<br />
Sie können nun noch ein ACLSet hinzufügen. Klicken Sie dazu auf die Schaltfläche<br />
ACLSet hinzufügen.<br />
Wählen Sie im Feld ACLSet eins aus. Diese werde auf der Registerkarte ACLSets<br />
angelegt.<br />
Entscheiden Sie bei Aktion ob bei Zutreffen des ACLSets der Zugriff erlaubt (allow)<br />
oder verweigert (deny) wird.<br />
Im Feld Aktiviert entscheiden Sie, ob dieses Set aktiviert werden soll oder deaktiviert.<br />
Klicken Sie dann auf hinzufügen.<br />
Beenden Sie das Anlegen der Site mit Speichern.<br />
10.2.4 Einstellungen<br />
Auf dieser Registerkarte werden die allgemeinen Einstellungen für den Reverse Proxy ge-<br />
setzt.<br />
Abb. 86 allgemeine Einstellungen für den Reverse Proxy<br />
Wählen Sie im Feld Modus aus, ob Sie den Reverse Proxy nur für das Protokoll<br />
HTTP oder das Protokoll HTTPS oder für beide einsetzen möchten.<br />
Geben Sie im Feld Proxy Port den Port des Proxy an.<br />
Im Feld SSL-Proxy Port geben Sie den Port an, der für die SSL verschlüsselten<br />
Verbindungen benutzt wird.<br />
Im Feld SSL-Zertifikat wählen Sie ein Zertifikat für die Verschlüsselung aus.<br />
<strong>Securepoint</strong><br />
Security Solutions 74
10 Menü Anwendungen POP3 Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.3 POP3 Proxy<br />
Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber<br />
die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter-<br />
sucht und an den E-Mail-Client weitergegeben.<br />
Abb. 87 POP3 Proxy<br />
Abb. 88 transparente Regel anlegen<br />
Setzen Sie ein Häkchen in die Checkbox Enable Mailfilter, um diesen zu aktivieren.<br />
Setzen Sie ein Häkchen in die Checkbox Enable TLS, um die TLS Verschlüsselung<br />
zu aktivieren.<br />
Klicken Sie auf die Schaltfläche Add Transparent Rule, um eine neue Regel für<br />
den transparenten Proxy anzulegen.<br />
Wählen Sie im öffnenden Dialog einen Typ für die neue Regel.<br />
INCLUDE wird den transparenten Proxy für die gewählte Verbindung anwenden.<br />
EXCLUDE wird den transparenten Proxy für die gewählte Verbindung nicht anwenden.<br />
Wählen Sie eine Quelle, von der die POP3 Anfragen kommen.<br />
Wählen Sie ein Ziel wohin die Anfragen weitergeleitet werden.<br />
Sichern Sie Ihre Einstellungen mit Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 75
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4 Mailrelay<br />
Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt.<br />
Abb. 89 Registerkarten des Mailrelays<br />
Bezeichnung Erklärung<br />
Allgemein Grundeinstellung für Mailfilter, Postmaster Adresse und E-Mail -Größe<br />
Smarthost<br />
Relaying Angabe der erlaubten Relaying Hosts bzw. Domains.<br />
SMTP Routen Die SMTP Routen bestimmen, welcher Mailserver für eine Domain zuständig ist.<br />
Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden E-Mails<br />
mit einer unbekannten Kombination von Mailserver, Absender- und Empfänger-<br />
adresse mit einer Fehlermeldung abgewiesen. Der entfernte Mailserver wird im<br />
Gegensatz zu einem „Spamserver“ versuchen, die E-Mail ein weiteres Mal zuzu-<br />
stellen. Diesmal wird die E-Mail angenommen, da die Kombination der Kommu-<br />
nikationsdaten schon bekannt ist.<br />
Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine<br />
andere umgeschrieben wird.<br />
Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den Server vor<br />
Spammails und Angriffen schützen.<br />
<strong>Securepoint</strong><br />
Security Solutions 76
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.1 Allgemein<br />
Hier werden grundlegende Eigenschaften des Mailrelays eingestellt.<br />
Abb. 90 Registerkarte Allgemein des Mailrelay<br />
Entscheiden Sie, ob der Mailfilter im Mailrelay verwendet werden soll. Ist dies der Fall<br />
aktivieren Sie die Checkbox Enable Mailfilter.<br />
Im Feld Postmaster Address ist die E-Mail-Adresse des E-Mail-Administrators<br />
einzutragen.<br />
Im Feld Maximum message size können Sie die Größe der E-Mails begrenzen<br />
(Angabe in MB).<br />
10.4.2 Smarthost<br />
Ein Smarthost muss angegeben werden, wenn der Server die E-Mails nicht direkt versenden<br />
soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails weiterge-<br />
leitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem Mailserver.<br />
Abb. 91 Registerkarte Smarthost<br />
Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost aktivieren.<br />
Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld<br />
Smarthost ein.<br />
Geben Sie im Feld Port den Port des Smarthost ein (Der Standardport ist 25).<br />
<strong>Securepoint</strong><br />
Security Solutions 77
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox Authentisierung<br />
aktivieren.<br />
Tragen Sie in den Feldern Benutzer und Passwort Ihren Nutzernamen und Ihr<br />
Kennwort ein.<br />
10.4.3 Relaying<br />
Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder<br />
Domains verfahren wird.<br />
Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht<br />
werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E-<br />
Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden.<br />
Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die<br />
angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt.<br />
Abb. 92 Registerkarte Relaying<br />
Abb. 93 Domain hinzufügen<br />
Um eine Domain oder einen Host hinzuzufügen, klicken Sie auf den Button Domain/Host<br />
hinzufügen.<br />
Es öffnet sich der Dialog Domain/Host hinzufügen.<br />
Im Feld Domain geben Sie den Domainnamen, den Hostnamen oder die Host-IP-<br />
Adresse ein.<br />
Wählen Sie unter Option zwischen None, To, From und Connect.<br />
Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK<br />
(E-Mail annehmen).<br />
Klicken Sie auf Speichern.<br />
Setzen Sie ein Häkchen in die Checkbox SMTP Authentifizierung für lokale<br />
Benutzer aktivieren, um die SMTP Authentifizierung zu nutzen.<br />
<strong>Securepoint</strong><br />
Security Solutions 78
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
Wählen Sie im Feld CA eine CA aus und im Feld Zertifikat ein Zertifikat. Mit diesen<br />
wird der Datenverkehr verschlüsselt.<br />
10.4.4 SMTP Routen<br />
Mit SMTP Routen wird bestimmt, welcher Mailserver für eine Domain zuständig ist.<br />
Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger<br />
nicht existiert, ablehnt.<br />
Abb. 94 Registerkarte SMTP Routen<br />
Um eine Route für einkommende E-Mails anzulegen, klicken Sie auf die Schaltfläche<br />
SMTP-Routing hinzufügen.<br />
Geben Sie im erscheinenden Dialog im Feld Domain den Domänennamen an.<br />
Geben Sie im Feld Mailserver die IP-Adresse oder den Hostnamen des Mailservers<br />
ein, der die Mails verarbeiten soll.<br />
Wählen Sie zur Adressprüfung einen Wert aus dem Feld E-Mail-Adresse überprüfen.<br />
aus E-Mail-Adressen werden nicht überprüft.<br />
SMTP Der SMTP Server prüft die Existenz der Adressen.<br />
LDAP Adressprüfung gegen das LDAP Verzeichnis.<br />
Lokale E-Mail-Adressliste Die Prüfung erfolgt gegen die lokale<br />
E-Mail-Adressliste.<br />
Diese kann über die Schaltfläche Lokale E-Mail-Adressliste bearbeiten<br />
eingesehen und editiert werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 79
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.5 Greylisting<br />
Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver-<br />
sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht<br />
versuchen die E-Mail ein weiteres Mal zuzustellen.<br />
Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse<br />
des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell-<br />
versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent-<br />
fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden.<br />
Diesmal wird die E-Mail angenommen.<br />
Abb. 95 Greylisting Einstellungen im unteren Fensterbereich<br />
Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen.<br />
Stellen Sie in Automatisches Whitelisting nach ein, wie lange die Kombination<br />
der Versanddaten gespeichert werden, wenn eine E-Mail durch den zweiten Versand<br />
zugestellt wurde.<br />
Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversuchen<br />
liegen müssen.<br />
<strong>Securepoint</strong><br />
Security Solutions 80
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.5.1 Whitelist IP/Netzwerke<br />
In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen<br />
und schon beim ersten Zustellversuch weitergeleitet werden.<br />
Im Bereich IP / Netzwerke können Sie E-Mails von bestimmten IP-Adressen und Netzwer-<br />
ken vom Greylisting ausnehmen.<br />
Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden.<br />
Klicken Sie auf die Schaltfläche IP / Netzwerk hinzufügen.<br />
Tragen Sie im Feld IP / Netzwerk die IP-Adresse ein und ändern Sie den Bitcount<br />
nach Ihren Bedürfnissen.<br />
Klicken Sie auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 81
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.5.2 Whitelist Domains<br />
Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen.<br />
Angaben werden nur in Second- und Top-Level-Domain vorgenommen.<br />
Abb. 97 Domains, die vom Greylisting ausgenommen werden.<br />
Klicken Sie auf die Schaltfläche Domain hinzufügen.<br />
Tragen Sie die gewünschte Domain im Feld Domain ein.<br />
Klicken Sie auf Speichern.<br />
Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die<br />
Domain des Hosts, der die E-Mail versenden möchte.<br />
<strong>Securepoint</strong><br />
Security Solutions 82
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.5.3 Whitelist Empfänger<br />
E-Mail an bestimmte Empfänger vom Greylisting ausnehmen.<br />
Abb. 98 Empfänger, die vom Greylisting ausgenommen werden.<br />
Klicken Sie auf die Schaltfläche Empfänger hinzufügen.<br />
Tragen Sie die gewünschte E-Mail-Adresse im Feld Empfänger ein.<br />
Klicken Sie auf Speichern.<br />
10.4.5.4 Whitelist Absender<br />
E-Mails von definierten Absendern werden vom Greylisting ausgenommen.<br />
Abb. 99 Absender, die vom Greylisting ausgenommen werden.<br />
Klicken Sie auf die Schaltfläche Absender hinzufügen.<br />
Tragen Sie die gewünschte Absender E-Mail-Adresse in das Feld Absender ein.<br />
Klicken Sie auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 83
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.6 Domain Mapping<br />
Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge-<br />
schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse<br />
geändert wird.<br />
Zum Beispiel lautet die einkommende E-Mail-Adresse info@securepoint.de und soll umge-<br />
wandelt werden in info@securepoint.cc.<br />
Abb. 100 Ändern der Domain<br />
Klicken Sie auf die Schaltfläche Domain Mapping hinzufügen.<br />
Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein.<br />
Geben Sie im Feld Ziel Domain die neue Domain ein.<br />
Klicken Sie auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 84
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.7 Erweitert<br />
Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha-<br />
nismen vor Spam schützt.<br />
Abb. 101 Einstellung, die Spam-E-Mails abwehren<br />
10.4.7.1 Greeting Pause<br />
Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf<br />
eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle.<br />
Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese<br />
werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö-<br />
hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser-<br />
vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld<br />
abgewehrt.<br />
Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen<br />
Sie dafür die Schaltfläche Ausnahmen und tragen die IP-Adresse oder den Hostnamen<br />
des Mailservers ein.<br />
<strong>Securepoint</strong><br />
Security Solutions 85
10 Menü Anwendungen Mailrelay <strong>Securepoint</strong> <strong>11</strong><br />
10.4.7.2 HELO<br />
Mit der Meldung HELO sendet der Client seinen Namen an den Mailserver. Clientanfragen,<br />
die sich nicht an diesen Standard halten, können mit dieser Einstellung abgewiesen werden.<br />
10.4.7.3 Recipient Flooding<br />
So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs-<br />
daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier-<br />
ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt.<br />
Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen-<br />
sammler.<br />
10.4.7.4 Empfängerbeschränkung<br />
Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail.<br />
10.4.7.5 Verbindungslimit<br />
Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli-<br />
ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell<br />
zur Appliance aufgebaut werden.<br />
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung<br />
nicht gilt.<br />
10.4.7.6 Rate Kontrolle<br />
Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines<br />
Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra-<br />
gen.<br />
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung<br />
nicht gilt.<br />
<strong>Securepoint</strong><br />
Security Solutions 86
10 Menü Anwendungen Mailfilter <strong>Securepoint</strong> <strong>11</strong><br />
10.5 Mailfilter<br />
Der Spamfilter der neuen Version setzt sich aus dem Commtouch Spamfilter, dem<br />
<strong>Securepoint</strong> Contentfilter und einem URL Filter.<br />
10.5.1 Filterregeln<br />
Über die Filterregeln wird entschieden, wie mit erkannten Spam-E-Mails und E-Mails, die<br />
einen Virus enthalten, verfahren wird. Dabei werden die Protokolle SMTP und POP3 unter-<br />
schieden.<br />
Abb. 102 Filterregeln<br />
Die gängigsten Filterregeln sind schon vordefiniert. Nach eigenen Bedürfnissen können die-<br />
se Regeln bearbeitet werden und neue Regeln erstellt werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 87
10 Menü Anwendungen Mailfilter <strong>Securepoint</strong> <strong>11</strong><br />
10.5.1.1 Neue Filterregel erstellen / Filterregel bearbeiten<br />
Abb. 103 Dialog zum Erstellen einer neuen Regel<br />
Abb. 104 Regel zur Filterregel hinzufügen<br />
Klicken Sie zum Erstellen einer neuen Regel auf die Schaltfläche Filterregel hinzufügen<br />
oder zum Bearbeiten einer Regel auf die Schaltfläche mit dem Werkzeugschlüsselsymbol<br />
in der Zeile der jeweiligen Regel.<br />
Wählen Sie im Feld Protokoll SMTP oder POP3.<br />
Entscheiden Sie im Feld Kategorie welche kategorisierten E-Mails behandelt werden<br />
sollen.<br />
spam Als Spam kategorisierte E-Mails.<br />
probably_spam Als möglicherweise Spam kategorisierte E-Mails.<br />
virus E-Mails in denen ein Virus entdeckt wurde.<br />
content E-Mails in denen gesperrter Content entdeckt wurde.<br />
Ein Contentfilter muss ausgewählt werden.<br />
user E-Mails von angegebenen Nutzern.<br />
urlfilter E-Mails in denen sich unerwünschte URL befinden.<br />
Wählen Sie im Feld Aktion, was mit der E-Mail geschehen soll.<br />
none Die E-Mail wird ganz normal behandelt.<br />
mark Die Betreffzeile der E-Mail wird mit einer Markierung versehen.<br />
filter Die E-Mail wird in einen Spam Ordner gesendet.<br />
block Die E-Mail wird nicht angenommen.<br />
reject Die E-Mail wird zurückgewiesen.<br />
In der Liste Regeln, können Sie eingrenzen auf welche E-Mails die Filterregel angewendet<br />
wird.<br />
Wählen Sie einen Typ aus.<br />
any Filterregel wird auf jede E-Mail angewendet.<br />
<strong>Securepoint</strong><br />
Security Solutions 88
10 Menü Anwendungen Mailfilter <strong>Securepoint</strong> <strong>11</strong><br />
mail_from Bestimmt einen Absender. Filterregel wird auf E-Mails von dem<br />
definierten Absender angewendet.<br />
rcpt_to Bestimmt einen Empfänger. Filterregel wird auf E-Mails zu dem<br />
definierten Empfänger angewendet.<br />
helo Bestimmt einen Clientnamen. Filterregel wird auf E-Mails mit dem<br />
definierten Clientnamen angewendet.<br />
src Bestimmt eine Quelle. Filterregel wird auf E-Mails von der<br />
definierten Quelle angewendet.<br />
dest Bestimmt ein Ziel. Filterregel wird auf E-Mails zu dem definierten<br />
Ziel angewendet.<br />
header Bestimmt einen Header Eintrag. Filterregel wird auf E-Mails mit dem<br />
definierten Headereintrag angewendet.<br />
Klicken Sie auf Speichern.<br />
10.5.2 Content-Filter<br />
Mit dem Content-Filter können Anhänge der E-Mails auf bestimmt Inhalte untersucht werden<br />
und geblockt oder explizit zugelassen werden.<br />
Abb. 105 Liste der Content-Filter<br />
Klicken Sie auf die Schaltfläche Content-Filter hinzufügen.<br />
Geben Sie im Feld Name einen Namen für den neuen Filter an.<br />
Abb. 106 Content-Filter erstellen<br />
Wählen Sie im Feld Typ aus, ob Sie Inhalte blocken (Blacklist) oder zulassen<br />
(Whitelist) wollen.<br />
Klicken Sie auf die Schaltfläche Content-Typ hinzufügen.<br />
Wählen Sie im neuen Dialog im Feld Typ aus, ob Sie nach Dateiendungen oder<br />
MIME types suchen möchten.<br />
Wählen Sie im Feld Wert die gewünschte Dateiendung oder den gewünschten MIME<br />
type aus.<br />
<strong>Securepoint</strong><br />
Security Solutions 89
10 Menü Anwendungen Mailfilter <strong>Securepoint</strong> <strong>11</strong><br />
Sie können auch eine Dateiendung bzw. einen MIME type selbst definieren, indem<br />
Sie auf die Schaltfläche mit dem Stiftsymbol klicken.<br />
Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Content-Typen eingetragen<br />
haben.<br />
Klicken Sie auf Speichern, um den Dialog zu schließen.<br />
10.5.3 URL-Filter<br />
Mit dem URL-Filter können Sie E-Mails auf die Beinhaltung von URLs untersuchen und un-<br />
erwünschte URLs blocken oder zurückweisen und unbedenkliche URLs explizit erlauben.<br />
Abb. 107 Registerkarte URL-Filter<br />
Sie können die URLs mit Hilfe von regulären Ausdrücken filtern oder Sie benutzen die Kate-<br />
gorien des <strong>Securepoint</strong> Content Filter.<br />
Sie können eine Blacklist und eine Whitelist mit regulären Ausdrücken anlegen.<br />
Geben Sie unter dem Feld Whitelist bzw. Blacklist einen den regulären Ausdruck,<br />
der die erlaubten bzw. zu blockenden URLs beschreibt, in das Textfeld ein.<br />
Klicken Sie auf Hinzufügen, um den regulären Ausdruck in die Liste aufzunehmen.<br />
Über die Kategorien des Content Filters können Sie eine Whitelist und eine Blacklist anle-<br />
gen.<br />
Klicken Sie auf die Dropdownbox unterhalb der Listenfelder.<br />
Wählen Sie die gewünschten Kategorien aus, die Sie zulassen bzw. blocken möchten.<br />
Klicken Sie auf Hinzufügen, um die gewählte Kategorie in die Liste aufzunehmen.<br />
<strong>Securepoint</strong><br />
Security Solutions 90
10 Menü Anwendungen Mailfilter <strong>Securepoint</strong> <strong>11</strong><br />
10.5.4 Mailfilter Einstellungen<br />
Hier können Sie definieren, wie gefilterte E-Mails gekennzeichnet werden.<br />
Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails<br />
Im Bereich E-Mail Betreffzeilen können Schlagwörter angegeben werden, die der Betreffzeile<br />
der gefilterten E-Mails vorangestellt werden. Diese werden zur Abgrenzung und besseren<br />
Erkennung am Besten in eckigen Klammern und in Großbuchstaben angegeben.<br />
Das Feld bestätigtes SPAM Betreff beinhaltet das Schlagwort für E-Mails, die<br />
eindeutig als Spam erkannt wurden.<br />
Das Feld möglicherweise SPAM beinhaltet das Schlagwort für E-Mails, die Spam<br />
sein könnten.<br />
Das Feld URL-Filter Betreff beinhaltet das Schlagwort für E-Mails, die URLs enthalten,<br />
die per Blacklist gefiltert wurden.<br />
Das Feld Virus Betreff enthält das Schlagwort für E-Mail, in denen ein Virus erkannt<br />
wurde.<br />
In den Textfeldern Blocking Nachricht. Geben Sie einen Text ein, der anstatt des E-Mail Tex-<br />
tes angezeigt wird.<br />
Content-Blocking Nachricht Text für E-Mails, die wegen Ihren Inhalts geblockt<br />
wurden.<br />
URL-Filter Nachricht Text für E-Mails, die wegen der beinhalteten URLs<br />
gefiltert wurden.<br />
Virus-Blocking Nachricht Text für E-Mails, die wegen einer Viruserkennung<br />
geblockt wurden.<br />
Im Bereich Mailarchiv machen Sie Angaben zur Vorhaltung der E-Mails.<br />
Geben Sie im ersten Feld die maximale Anzahl der E-Mails an, die vorgehalten<br />
werden.<br />
Geben Sie im zweiten Feld maximales E-Mail Alter die Zeit der Vorhaltung in Tage<br />
an.<br />
Geben Sie im dritten Feld die maximale E-Mail Größe in Megabytes an.<br />
<strong>Securepoint</strong><br />
Security Solutions 91
10 Menü Anwendungen VoIP Proxy <strong>Securepoint</strong> <strong>11</strong><br />
10.6 VoIP Proxy<br />
Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen.<br />
Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung<br />
und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten.<br />
10.6.1 Allgemein<br />
Abb. 109 allgemeine Einstellungen des VoIP Proxy<br />
Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client<br />
den Proxy erreicht.<br />
Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die<br />
Daten ins Internet übertragen soll.<br />
Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Regel<br />
5060).<br />
Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an.<br />
Geben Sie den Timeout zum SIP Servers des Providers an.<br />
10.6.2 Provider<br />
Stellen Sie hier die providerseitigen Daten ein.<br />
Abb. <strong>11</strong>0 Einstellungen zum Provider<br />
Unter Domain geben Sie die Domain des Providers ein.<br />
Unter Proxy geben Sie den SIP Proxy des Providers ein.<br />
Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel<br />
5060).<br />
<strong>Securepoint</strong><br />
Security Solutions 92
10 Menü Anwendungen IDS <strong>Securepoint</strong> <strong>11</strong><br />
10.7 IDS<br />
Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das<br />
Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver-<br />
dächtige Aktivitäten.<br />
Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten-<br />
bank verglichen, um Angriffe auf das Netzwerk zu erkennen.<br />
Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli-<br />
10.7.1 Ungültige TCP Flags<br />
che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig.<br />
Hier sind Regeln aufgelistet, die ungültige TCP Flags in den Paketen aufspüren.<br />
Abb. <strong>11</strong>1 ungültige TCP Flags<br />
10.7.2 Trojaner<br />
Aktivieren Sie die Einträge, nach denen<br />
Sie die Pakete untersuchen möchten.<br />
Wenn Sie die Checkbox in der Überschrift<br />
aktivieren, werden alle Einträge<br />
der Liste aktiviert.<br />
Diese Registerkarte beinhaltet Einträge von Ports, die oft von Trojanern benutzt werden.<br />
Diese können auf Wunsch gesperrt werden.<br />
Abb. <strong>11</strong>2 Trojaner<br />
Aktivieren Sie die Checkboxes der<br />
Trojaner, dessen Ports Sie sperren<br />
möchten.<br />
Wenn Sie die Checkbox in der Überschrift<br />
aktivieren, werden alle Einträge<br />
in der Liste aktiviert.<br />
<strong>Securepoint</strong><br />
Security Solutions 93
10 Menü Anwendungen Anwendungsstatus <strong>Securepoint</strong> <strong>11</strong><br />
10.8 Anwendungsstatus<br />
Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von<br />
hier aus kann ein Dienst gestartet, gestoppt oder neu gestartet werden.<br />
Abb. <strong>11</strong>3 Übersicht der Dienste<br />
Bei einem aktiven Dienst ist der vorangestellte Kreis grün.<br />
Bei einem inaktiven Dienst ist der vorangestellte Kreis grau.<br />
Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf<br />
die Schaltfläche Starten.<br />
Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes<br />
auf die Schaltfläche Stoppen.<br />
Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes<br />
auf die Schaltfläche Neustarten.<br />
<strong>Securepoint</strong><br />
Security Solutions 94
<strong>11</strong> Menü VPN Anwendungsstatus <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong> Menü VPN<br />
Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei-<br />
genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut-<br />
zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN<br />
stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung<br />
übertragenen Datenpakete werden am Client verschlüsselt und von der <strong>Securepoint</strong> Firewall<br />
wieder entschlüsselt und umgekehrt.<br />
Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits-<br />
grad und Komplexität unterscheiden.<br />
Abb. <strong>11</strong>4 Dropdownmenü des Menüpunktes VPN<br />
Bezeichnung Erklärung<br />
Globale VPN<br />
Einstellungen<br />
Allgemeine Einstellungen für alle VPN Verbindungen.<br />
IPSec Editieren und Löschen von IPSec Verbindungen.<br />
SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll.<br />
PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Verschlüsse-<br />
lung. Wird direkt von Windows unterstützt.<br />
L2TP Kombination und Weiterentwicklung von PPTP und L2F.<br />
Wird von Windows unterstützt.<br />
Clientless VPN Stellt über den Browser eine Verbindung mit dem Unternehmensnetzwerk her.<br />
<strong>Securepoint</strong><br />
Security Solutions 95
<strong>11</strong> Menü VPN Globale VPN Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.1 Globale VPN Einstellungen<br />
Im Abschnitt Globale VPN Einstellungen können Einstellungen für alle VPN Verbindun-<br />
gen festgelegt werden.<br />
<strong>11</strong>.1.1 Allgemein<br />
Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese<br />
Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden,<br />
so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut-<br />
zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten.<br />
Abb. <strong>11</strong>5 blobale VPN Einstellung – Allgemein<br />
<strong>11</strong>.1.2 Nameserver<br />
In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der<br />
Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt<br />
werden.<br />
Abb. <strong>11</strong>6 Hinterlegung der Nameserver<br />
<strong>Securepoint</strong><br />
Security Solutions 96
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.2 IPSec<br />
Bei der Erstellung von IPSec VPN Verbindungen werden Assistenten ausgeführt, die Sie<br />
Schritt für Schritt durch die einzelnen Konfigurationspunkte führen.<br />
Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site-<br />
oder eine Roadwarrior-Verbindung.<br />
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz-<br />
werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.<br />
Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem<br />
lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem<br />
Netzwerk der Zentrale.<br />
Abb. <strong>11</strong>7 IPSec Verbindungsübersicht<br />
<strong>11</strong>.2.1 Site-to-Site<br />
Klicken Sie in der Verbindungsübersicht auf +Site-to-Site.<br />
Abb. <strong>11</strong>8 Assistent Scchritt 1<br />
Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.<br />
Im Feld Remote Gateway tragen Sie die IP-Adresse oder den Hostnamen des entfernten<br />
Netzwerkes ein.<br />
<strong>Securepoint</strong><br />
Security Solutions 97
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen<br />
Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin-<br />
dungspartnern bekannt ist.<br />
Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA<br />
Schlüssel.<br />
Abb. <strong>11</strong>9 Assistent Schritt 2 - Authetifizierung PSK<br />
Preshared Key<br />
Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key<br />
(PSK) ein.<br />
Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten<br />
und markieren den entsprechenden Radiobutton.<br />
Klicken Sie auf Weiter.<br />
Zertifikat<br />
Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem<br />
Dropdownfeld ein Zertifikat aus.<br />
Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten<br />
und markieren den entsprechenden Radiobutton.<br />
Klicken Sie auf Weiter.<br />
RSA Key<br />
Markieren Sie den Radiobutton RSA Schlüssel und wählen Sie aus dem<br />
Dropdownfeld Local Key einen RSA Schlüssel für die Firewall aus.<br />
Wählen Sie aus dem Dropdownfeld Remote Key den öffentlichen Schlüssel der<br />
Gegenstelle aus. Diesen müssen Sie vorher importiert haben.<br />
Klicken Sie auf Weiter.<br />
<strong>Securepoint</strong><br />
Security Solutions 98
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,<br />
daher müssen Sie diese hier auswählen.<br />
Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga-<br />
teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem<br />
Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec editiert werden<br />
Abb. 120 Assistent Schritt 3<br />
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die<br />
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).<br />
Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der<br />
Auswahlliste eingetragen sind.<br />
Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Hostnamen<br />
der Gegenstelle.<br />
Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den<br />
vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf<br />
jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec eintragen. Editieren<br />
Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden Zertifikatsdaten<br />
aus dem Dropdownfeld Remote Gateway ID.<br />
Klicken Sie Weiter.<br />
<strong>Securepoint</strong><br />
Security Solutions 99
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei-<br />
nander verbinden möchten.<br />
Abb. 121 Assistent Schritt 4<br />
In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein.<br />
In dem Feld Remote Netzwerk wählen Sie das zu verbindende entfernte Netzwerk.<br />
Klicken Sie auf Fertig, um die Erstellung der Site-to-Site Verbindung abzuschließen<br />
<strong>11</strong>.2.2 Site-to-End (Roadwarrior)<br />
Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit<br />
L2TP (Layer 2 Tunneling Protocol) zu erstellen. Weiterhin können Sie XAuth (extended Au-<br />
thority) benutzen. Dies ist eine Entwicklung der Firma Cisco, die von der IPSec Working<br />
Group allerdings nicht akzeptiert wurde.<br />
Oder Sie wählen das IKEv2 Protokoll.<br />
Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs-<br />
system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.<br />
Abb. 122 Assistent Schritt 1<br />
Klicken Sie in der Verbindungsübersicht auf +Roadwarrior.<br />
Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.<br />
Wählen Sie einen Verbindungstyp.<br />
Klicken Sie dann auf Weiter.<br />
<strong>Securepoint</strong><br />
Security Solutions 100
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter<br />
Im zweiten Schritt müssen Sie die Verschlüsselungsparameter auswählen.<br />
Im Feld Verschlüsselung sollten Sie die aes Verschlüsselung aussuchen.<br />
Im Feld Authentifizierung sollten Sie die sha Verschlüsselung auswählen.<br />
Abb. 124 Assistent Schritt 3<br />
Wählen Sie die Authentifizierungsart.<br />
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,<br />
daher müssen Sie diese hier auswählen.<br />
Abb. 125 Assistent Schritt 4<br />
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die<br />
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).<br />
Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der<br />
Auswahlliste eingetragen sind.<br />
Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich<br />
bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.<br />
Klicken Sie Weiter.<br />
<strong>Securepoint</strong><br />
Security Solutions 101
<strong>11</strong> Menü VPN IPSec <strong>Securepoint</strong> <strong>11</strong><br />
Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den<br />
Roadwarrior oder einen VPN Adresspool angeben.<br />
Abb. 126 Assistent Schritt 5<br />
Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior<br />
verbindet.<br />
Möchten Sie nur einen Roadwarrior den Zugriff gestatten, benutzen Sie im Feld<br />
Roadwarrior IP-Adresse / Pool den Bitcount 32 und tragen eine IP-Adresse in<br />
das Feld ein.<br />
Möchten Sie mehreren Roadwarrior den Zugriff gestatten, benutzen Sie im Feld<br />
Roadwarrior IP-Adresse / Pool einen passenden Bitcount und tragen eine Netzwerkadresse<br />
ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl eine IP-<br />
Adresse zugewiesen.<br />
Klicken Sie Fertig.<br />
<strong>Securepoint</strong><br />
Security Solutions 102
<strong>11</strong> Menü VPN SSL VPN <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.3 SSL VPN<br />
SSL VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.<br />
Sie können hier Roadwarrior Server Einstellungen vornehmen. Das ist nötig, wenn sich<br />
Roadwarrior auf das System verbinden möchten. Sie können Site-to-Site Client und Server<br />
Einstellungen vornehmen. Site-to-Site Client wird benötigt, wenn Sie der Initiator der Site-to-<br />
Site Verbindung sind. Wenn Sie auf Verbindung eines anderen Netzwerkes warten, benöti-<br />
gen Sie die Site-to-Site Server Einstellung.<br />
Abb. 127 Auflistung aller verfügbarer Verbindungen<br />
<strong>Securepoint</strong><br />
Security Solutions 103
<strong>11</strong> Menü VPN SSL VPN <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.3.1 Roadwarrior-Server<br />
Abb. 128 Assistent Schritt 1<br />
Tragen Sie im Feld Name einen Namen für die Verbindung ein.<br />
Wählen Sie ein Protokoll. Gewöhnlich ist das UDP.<br />
Wählen Sie den Port, die für die Verbindung genutzt werden soll. Standardmäßig ist<br />
das <strong>11</strong>94.<br />
Wählen Sie eine Art der Benutzerauthentifizierung. Zur Wahl stehen: Local;<br />
Radius; LDAP<br />
Geben Sie das Serverzertifikat an.<br />
Definieren Sie im Feld Pool einen IP-Adresspool für die Roadwarrior.<br />
Abb. 129 Assistent Schritt 2<br />
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.<br />
Der Wert 1500 kann gewöhnlich beibehalten werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 104
<strong>11</strong> Menü VPN SSL VPN <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.3.2 Site-to-Site-Client<br />
Abb. 130 Assistent Schritt 1<br />
Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der<br />
Übersicht später Server und Client Konfigurationen unterscheiden können, wird an<br />
den Namen das Suffix client angehängt.<br />
Geben Sie im Feld Remote Host die IP-Adresse oder den Hostnamen der Gegenstelle<br />
ein.<br />
Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.<br />
Wählen Sie das Client Zertifikat, welches Sie von der Gegenstelle erhalten haben<br />
und ins System importiert haben.<br />
Klicken Sie auf Weiter.<br />
Abb. 131 Assistent Schritt 2<br />
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.<br />
Der Wert 1500 kann gewöhnlich beibehalten werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 105
<strong>11</strong> Menü VPN SSL VPN <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.3.3 Site-to-Site Server<br />
Abb. 132 Assistent Schritt 1<br />
Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der<br />
Übersicht später Server und Client Konfigurationen unterscheiden können, wird an<br />
den Namen das Suffix server angehängt.<br />
Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.<br />
Wählen Sie im Feld Port, den Port, den die Verbindung benutzt. Standard ist <strong>11</strong>94.<br />
Wählen Sie das Server Zertifikat.<br />
Geben Sie im Feld Pool einen IP-Adresspool für die Clients der Gegenstelle an.<br />
Klicken Sie auf Weiter.<br />
Abb. 133 Assistent Schritt 2<br />
Aktivieren Sie die Checkbox Remote-Profil erstellen, wenn das System eine Clientkonfiguration<br />
erstellen soll.<br />
Wählen Sie als Remote-Zertifikat das Zertifikat, welches die Gegenseite verwenden<br />
soll.<br />
Geben Sie als Tunnel Adresse die IP an, zu dem sich die Gegenstelle verbindet.<br />
Geben Sie als Subnetz ein Netz für die Gegenseite an.<br />
<strong>Securepoint</strong><br />
Security Solutions 106
<strong>11</strong> Menü VPN PPTP <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 134 Assistent Schritt 3<br />
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.<br />
Der Wert 1500 kann gewöhnlich beibehalten werden.<br />
<strong>11</strong>.4 PPTP<br />
In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt<br />
werden.<br />
Abb. 135 globale Einstellungen füt PPTP Verbindungen<br />
Bei Lokale IP geben Sie eine IP an, die vom PPTP Interface benutzt werden soll.<br />
Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuelle<br />
Adresse an das externe Interface gebunden.<br />
Unter Adressen-Pool können Sie den PPTP Adressbereich einstellen.<br />
Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen.<br />
Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs.<br />
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert<br />
haben, überprüfen Sie vor dem Abspeichern den Endwert.<br />
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.<br />
Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen das Active Directory<br />
(Default) oder gegen eine Radius Datenbank authentifiziert werden sollen.<br />
<strong>Securepoint</strong><br />
Security Solutions 107
<strong>11</strong> Menü VPN L2TP <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.5 L2TP<br />
In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt<br />
werden.<br />
Abb. 136 globale Einstellungen für L2TP<br />
Bei Lokale IP geben Sie eine IP an, die vom L2TP Interface benutzt werden soll.<br />
Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuelle<br />
Adresse an das externe Interface gebunden.<br />
Unter Adress-Pool können Sie den L2TP Adressbereich einstellen.<br />
Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen.<br />
Das Feld Adress-Pool-Anfang bezeichnet den Anfang und das Feld Adress-<br />
Pool-Ende das Ende des Bereichs.<br />
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert<br />
haben, überprüfen Sie vor dem Abspeichern den Endwert.<br />
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.<br />
Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu authentifizieren<br />
haben. Möglich ist eine Authentifizierung an dem Active Directory<br />
(Default) oder an einem Radius Server.<br />
Unter Gebunden an Schnittstelle können Sie festlegen, über welches Interface die<br />
Pakete dieser Verbindung geroutet werden sollen.<br />
<strong>Securepoint</strong><br />
Security Solutions 108
<strong>11</strong> Menü VPN Clientless VPN <strong>Securepoint</strong> <strong>11</strong><br />
<strong>11</strong>.6 Clientless VPN<br />
Per Clientless VPN kann über einen Webbrowser auf das Unternehmensnetzwerk zugegrif-<br />
fen werden, ohne dass Softwareerweiterungen nötig sind. Die Verbindung besteht lediglich<br />
zum Webserver. Dieser kann aber als Schnittstelle zu anderen Anwendungen dienen.<br />
Abb. 137 Übersicht der Clientless VPN<br />
Verbindungen<br />
Abb. 138 Clientless VPN Verbindung anlegen<br />
Um einen neues Profil anzulegen, klicken Sie in der Übersichtsliste auf die Schaltfläche<br />
Hinzufügen.<br />
Geben Sie im erscheinenden Dialog die gefragten Daten an.<br />
Im Feld Servername geben Sie einen Namen für den Server an.<br />
Geben Sie im Feld IP-Adresse die IP des Servers an.<br />
Geben Sie im Feld Port den Port an, den der Server für die Clientless VPN Verbindung<br />
benutzt.<br />
Geben Sie im Feld Domain die Domain an, zu der die Verbindung hergestellt wird.<br />
Geben Sie in den Feldern Benutzername und Password die Anmeldedaten ein.<br />
Wählen Sie eine Auflösung für die Darstellung.<br />
Wählen Sie die Farbtiefe für die Darstellung.<br />
Entscheiden Sie sich zwischen RDP (Remote Desktop Protocol) und VNC (Virtual<br />
Network Computing) als Typ.<br />
Klicken Sie auf Speichern.<br />
<strong>Securepoint</strong><br />
Security Solutions 109
12 Menü Authentifizierung Clientless VPN <strong>Securepoint</strong> <strong>11</strong><br />
12 Menü Authentifizierung<br />
In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer-<br />
dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen.<br />
Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung<br />
Bezeichnung Erklärung<br />
Benutzer Benutzerverwaltung<br />
Externe Authentifizierung Einstellungen für externe Authentifizierungsmethoden.<br />
Zertifikate Zertifikatsverwaltung<br />
RSA-Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>0
12 Menü Authentifizierung Benutzer <strong>Securepoint</strong> <strong>11</strong><br />
12.1 Benutzer<br />
Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei-<br />
genschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können<br />
Gruppen verwaltet werden, in denen Benutzer organisiert sind.<br />
Abb. 140 Auflistung aller Benutzer<br />
Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen,<br />
Gruppenzugehörigkeit und Benutzerrechte.<br />
Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der<br />
Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer.<br />
12.1.1 Neuen Benutzer hinzufügen<br />
Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den<br />
Button Benutzer hinzufügen.<br />
Es öffnet sich der Dialog Benutzer hinzufügen.<br />
Abb. 141 allgemeine Einstellungen für den neuen Benutzer<br />
Tragen Sie unter Anmeldenamen den Loginnamen des Nutzers ein.<br />
Vergeben Sie im Feld Passwort ein Kennwort und bestätigen Sie dieses durch<br />
nochmalige Eingabe im Feld Passwort bestätigen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>1
12 Menü Authentifizierung Benutzer <strong>Securepoint</strong> <strong>11</strong><br />
In der Registerkarte Gruppen können Sie den Benutzer einer oder mehreren Gruppen zu-<br />
ordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.<br />
Abb. 142 Gruppenzugehörigkeit<br />
Markieren Sie die Gruppe, die der neue Benutzer beitreten soll.<br />
Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.<br />
In der Registerkarte VPN vergeben Sie feste IP-Tunnel Adresse an den Benutzer.<br />
Abb. 143 feste IP-Adressen für VPN Verbindungen<br />
Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-<br />
Adresse für den Benutzer ein.<br />
Die Registerkarte SSL-VPN nimmt die Einstellungen für den SSL-VPN Client auf.<br />
Abb. 144 EInstellungen für den SSL-VPN Client<br />
Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-<br />
Interface herunterladen darf, aktivieren Sie die Checkbox SSL-VPN Client Download<br />
aktivieren.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>2
12 Menü Authentifizierung Benutzer <strong>Securepoint</strong> <strong>11</strong><br />
Wählen Sie im Feld SSL-VPN Verbindung eine der angelegten SSL-VPN Verbindungen<br />
aus.<br />
Wählen Sie im Feld Client-Zertifikat ein Zertifikat, welches der Benutzer zur Authentifizierung<br />
benutzen soll.<br />
Wählen Sie im Feld Remote Gateway eine der angebotenen IP-Adressen oder betätigen<br />
Sie die Schaltfläche mit dem Stiftsymbol und tragen eine IP-Adresse ein.<br />
Aktivieren Sie die Checkbox Redirect Gateway, wenn der gesamte Internetverkehr<br />
des Clients über das gewählte Gateway gesendet werden soll.<br />
Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des<br />
Clients, den portablen Client oder die Konfiguration herunterladen.<br />
Auf der Registerkarte Passwort werden Stärke des Kennwortes definiert und ob das Kenn-<br />
wort vom Benutzer selbst geändert werden darf.<br />
Abb. 145 Einstellungen zum Kennwort<br />
Entscheiden Sie im Feld Passwortänderung erlaubt, ob der Benutzer sein Kennwort<br />
im User-Interface selber ändern darf.<br />
Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge.<br />
Entscheiden Sie welche Zeichen das Kennwort enthalten muss:<br />
Ziffern<br />
Sonderzeichen<br />
Groß- und Kleinbuchstaben<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>3
12 Menü Authentifizierung Benutzer <strong>Securepoint</strong> <strong>11</strong><br />
Tragen Sie in der Registerkarte Mailfilter die Mailadressen und Domains ein, die der Be-<br />
nutzer im User-Interface verwalten darf.<br />
Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen<br />
Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die<br />
der Benutzer verwalten darf. Klicken Sie dann auf die Schaltfläche mit dem Plussymbol.<br />
Wake on LAN schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per<br />
Datenpaket zu starten, muss der Rechner dies auch unterstützen.<br />
Abb. 147 Wake On LAN<br />
Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im<br />
rechten Feld das Interface, über welches der Computer mit der Appliance verbunden<br />
ist.<br />
Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>4
12 Menü Authentifizierung Externe Authentifizierung <strong>Securepoint</strong> <strong>11</strong><br />
12.2 Externe Authentifizierung<br />
Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch-<br />
führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die<br />
Anmeldung an einen Radius-, einen LDAP-Server oder an ein Active Directory.<br />
12.2.1 Radius<br />
Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius-Server ein.<br />
Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server<br />
Tragen Sie unter IP oder Hostname die IP-Adresse oder den Hostnamen des Radius-Servers<br />
ein.<br />
Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den<br />
Radius Server ein.<br />
12.2.2 LDAP<br />
Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis<br />
Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP oder<br />
Hostname ein.<br />
Tragen Sie die Server Domäne im Feld Domain ein.<br />
Geben Sie im Feld Base an, ab welcher Stelle des Verzeichnisses die Benutzerdaten<br />
gesucht werden sollen.<br />
Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein.<br />
Geben Sie unter Passwort Ihr Kennwort.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>5
12 Menü Authentifizierung Externe Authentifizierung <strong>Securepoint</strong> <strong>11</strong><br />
12.2.3 Active Directory<br />
Abb. 150 Eingaben für die Nutzung eines Active Directory<br />
Unter Domainamen tragen Sie den Domainnamen ein.<br />
Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie<br />
den Zugriff erlauben möchten.<br />
Im Feld Password-Server geben Sie die IP-Adresse oder den Hostname des<br />
Rechners an, auf dem der AD-Dienst läuft.<br />
Unter Administrator-Zugang tragen Sie den Administrator des AD-Dienstes.<br />
Unter Appliance Account tragen Sie den Zugangsnamen der Appliance ein.<br />
Wählen Sie die Verschlüsselungsart vom Dropdownfeld LDAP-Verschlüsselung.<br />
Wählen Sie im Feld Root-Zertifikat ein Zertifikat aus.<br />
In der Zeile Verbindungsstatus zeigt Ihnen ein Grüner Punkt.<br />
Geben Sie im Feld Passwort das Kennwort für den AD Dienst ein.<br />
Mit der Schaltfläche Beitreten verbinden Sie sich mit dem AD.<br />
Mit der Schaltfläche Verlassen trennen Sie die Verbindung.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>6
12 Menü Authentifizierung Zertifikate <strong>Securepoint</strong> <strong>11</strong><br />
12.3 Zertifikate<br />
Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden-<br />
titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi-<br />
kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu<br />
garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz.<br />
Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um<br />
selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der<br />
Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt<br />
sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und<br />
nicht von dritten ausgestellt worden sind.<br />
Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son-<br />
dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und<br />
jeweils eins für jeden externen Benutzer.<br />
Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti-<br />
fikate im PEM Format oder im PKCS #12 zu exportieren.<br />
Die Registerkarte CA zeigt alle bestehenden Certification Authorities an.<br />
Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet.<br />
Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet.<br />
Auf der Registerkarte CRLs sind die Zertifikatssperrlisten hinterlegt (Certificate Revocation<br />
List).<br />
Abb. 151 Registerkarte CA der Zertifikatsverwaltung<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>7
12 Menü Authentifizierung Zertifikate <strong>Securepoint</strong> <strong>11</strong><br />
12.3.1 CA erstellen<br />
Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten<br />
Zertifikate signieren zu können.<br />
Abb. 152 CA anlegen<br />
Klicken Sie in der Registerkarte CA auf CA hinzufügen.<br />
Es öffnet sich der Dialog CA hinzufügen.<br />
Geben Sie im Feld Name eine Bezeichnung für die CA ein.<br />
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA.<br />
Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld klicken,<br />
dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Felder<br />
sind für die Uhrzeit.<br />
Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA signiert<br />
wurden ungültig.<br />
Wählen Sie Ihre Landeskennung im Feld Land.<br />
Geben Sie Ihr Bundesland im Feld Staat an.<br />
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.<br />
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.<br />
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.<br />
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.<br />
Klicken Sie auf Speichern, um die CA zu erstellen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>8
12 Menü Authentifizierung Zertifikate <strong>Securepoint</strong> <strong>11</strong><br />
12.3.2 Zertifikat erstellen<br />
Abb. 153 Zertifikat erstellen<br />
Klicken Sie in der Registerkarte Zertifikate auf Zertifikate hinzufügen.<br />
Es öffnet sich der Dialog Zertifikat hinzufügen.<br />
Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein.<br />
Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie<br />
ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstellung<br />
ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt worden<br />
ist.<br />
Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten.<br />
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zertifikats.<br />
Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das<br />
Feld klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden<br />
drei Felder sind für die Uhrzeit.<br />
Wählen Sie Ihre Landeskennung im Feld Land.<br />
Geben Sie Ihr Bundesland im Feld Staat an.<br />
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.<br />
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.<br />
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.<br />
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.<br />
Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter<br />
MacOS benötigt).<br />
Klicken Sie auf Speichern, um das Zertifikat zu erstellen.<br />
<strong>Securepoint</strong><br />
Security Solutions <strong>11</strong>9
12 Menü Authentifizierung Zertifikate <strong>Securepoint</strong> <strong>11</strong><br />
12.3.3 CA und Zertifikate importieren<br />
Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie-<br />
gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie<br />
die Appliance verwalten, vorliegen.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
Klicken Sie auf den Button CA importieren bzw. Zertifikat importieren und anschließend<br />
auf die Durchsuchen Schaltfläche im öffnenden Dialog.<br />
Wählen Sie die zu importierende Datei von Ihrem Rechner aus.<br />
Klicken Sie dann auf Importieren.<br />
12.3.4 CA und Zertifikate exportieren<br />
Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im<br />
PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die<br />
Appliance nur PEM Formate wieder importiert.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
In jeder Zeile der Listen finden sie folgende Icons.<br />
<br />
Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Export<br />
im PKCS #12 (*.p12) Format.<br />
Wenn Sie das Zertifikat im PKCS #12 Format exportieren, können Sie noch ein<br />
Kennwort definieren.<br />
Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öffnenden<br />
Dialog.<br />
<strong>Securepoint</strong><br />
Security Solutions 120
12 Menü Authentifizierung Zertifikate <strong>Securepoint</strong> <strong>11</strong><br />
12.3.5 CA und Zertifikate löschen<br />
Man kann Zertifikate und CA löschen und widerrufen. Beides hat den gleichen Effekt. Die<br />
Zertifikate werden als ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig ge-<br />
speichert, damit sich niemand mit diesen Zertifikaten authentifizieren kann.<br />
Wenn Sie eine CA löschen, werden auch alle Zertifikate, die mit dieser CA signiert wurden,<br />
gelöscht.<br />
Die widerrufenen Zertifikate und CAs werden auf der Registerkarte Widerrufen angezeigt.<br />
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).<br />
Klicken Sie am Ende der Zeile auf das Abfalleimersymbol.<br />
Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen.<br />
Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, welche<br />
auf der Registerkarte Widerrufen angezeigt wird.<br />
<strong>Securepoint</strong><br />
Security Solutions 121
12 Menü Authentifizierung RSA-Schlüssel <strong>Securepoint</strong> <strong>11</strong><br />
12.4 RSA-Schlüssel<br />
Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs-<br />
verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be-<br />
nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten<br />
Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender<br />
herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte<br />
Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer-<br />
den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen<br />
Auslesen des Schlüssels codiert.<br />
Abb. 154 schematische Darstellung einer RSA Verschlüsselung<br />
Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur<br />
zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich.<br />
Die RSA Schlüssel werden von der <strong>Securepoint</strong> Appliance erzeugt. Sie könnten aber auch<br />
das Programm OpenSSL benutzen.<br />
<strong>Securepoint</strong><br />
Security Solutions 122
12 Menü Authentifizierung RSA-Schlüssel <strong>Securepoint</strong> <strong>11</strong><br />
12.4.1 Liste der RSA Schlüssel<br />
Abb. 155 Liste der gespeicherten RSA Schlüssel<br />
Im Dialog RSA-Schlüssel werden Ihnen die angelegten RSA Schlüssel aufgelistet. Im rech-<br />
ten Bereich neben dem jeweiligen Schlüssel werden Ihnen Exportfunktionen angeboten.<br />
Unterhalb der Liste befinden sich Schaltflächen zum Erstellen und Importieren von RSA<br />
Schlüsseln.<br />
12.4.2 RSA Schlüssel anlegen<br />
Abb. 156 RSA Schlüssel generieren<br />
Klicken Sie in der RSA Schlüssel Liste auf die Schaltfläche RSA Schlüssel hinzufügen.<br />
Geben Sie im Feld Namen einen Namen für den Schlüssel an.<br />
Wählen Sie im Feld Schlüssellänge die Länge des Schlüssels.<br />
<strong>Securepoint</strong><br />
Security Solutions 123
12 Menü Authentifizierung RSA-Schlüssel <strong>Securepoint</strong> <strong>11</strong><br />
12.4.3 RSA Schlüssel exportieren<br />
Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel<br />
des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex-<br />
portieren.<br />
Abb. 157 Schaltflächen für den Export<br />
In der Liste der RSA Schlüssel werden in der Zeile des jeweiligen Schlüssels Exportfunktionen<br />
angeboten.<br />
Sie können den Schlüssel in den Formaten PEM, Hex und B64 (base 64) exportieren.<br />
Klicken Sie auf die gewünschte Schaltfläche.<br />
Wählen Sie in dem öffnenden Dialog einen Speicherort.<br />
12.4.4 RSA Schlüssel importieren<br />
Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel-<br />
le importieren.<br />
Klicken Sie auf die Schaltfläche + RSA Schlüssel importieren.<br />
Klicken Sie im neuen Dialog auf durchsuchen.<br />
Wählen Sie den RSA Schlüssel von Ihrem System.<br />
Der Schlüssel wird importiert. An den Namen des Schlüssel wird Kodierung angehängt<br />
(pem, hex, b64).<br />
<strong>Securepoint</strong><br />
Security Solutions 124
13 Menü Extras CLI <strong>Securepoint</strong> <strong>11</strong><br />
13 Menü Extras<br />
Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff<br />
auf die Appliance haben.<br />
Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten-<br />
bank zu aktualisieren.<br />
Unter dem Punkt Registrieren können Sie Ihre Lizenz einspielen.<br />
Bezeichnung Erklärung<br />
CLI Command Line Interface<br />
Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befehle an die<br />
Firewall und Bearbeitung von Templates.<br />
Registrieren Einspielen der Lizenzdatei.<br />
Firmware Updates Aktualisierung der Firewall Software und der Virusdatenbank.<br />
Erweiterte<br />
Einstellungen<br />
13.1 CLI<br />
Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für erfahre-<br />
ne Benutzer.<br />
Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den<br />
meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos<br />
zu Grunde.<br />
Hier haben Sie die Möglichkeit Befehle ohne die grafische Bedienoberfläche an die Appli-<br />
ance zu senden. Hierfür sind spezielle CLI Kommandos nötig.<br />
Diese Funktion ist nur für erfahrene Benutzer gedacht.<br />
Sie verlassen das Eingabefenster mit den Befehlen exit oder quit.<br />
Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster<br />
Hinweis:<br />
Der neuen Version der Firewall<br />
liegt ein neues Backend zu Grun-<br />
de. Daher können CLI Befehle der<br />
vorherigen Versionen nicht mehr<br />
benutzt werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 125
13 Menü Extras Registrieren <strong>Securepoint</strong> <strong>11</strong><br />
13.2 Registrieren<br />
In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch<br />
nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der <strong>Securepoint</strong><br />
Homepage gelangen und dort Ihre Appliance registrieren lassen.<br />
Abb. 159 Informationen über die eingespielte Lizenz<br />
Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisystem<br />
aus.<br />
Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen.<br />
<strong>Securepoint</strong><br />
Security Solutions 126
13 Menü Extras Firmware Updates <strong>Securepoint</strong> <strong>11</strong><br />
13.3 Firmware Updates<br />
Aktualisierungen der Firewall Software können Sie unter diesem Punkt vornehmen. Dabei<br />
verbindet sich die Firewall mit dem <strong>Securepoint</strong> Server und sucht nach neuen Versionen.<br />
Aktualisierungen sind nur mit einer gültigen Lizenz möglich.<br />
Abb. 160 Aktualisierungen suchen<br />
Klicken Sie auf die Schaltfläche Update suchen.<br />
Ist eine neue Version verfügbar wird dies im unteren Fenster angezeigt.<br />
Klicken Sie dann auf die Schaltfläche Aktivieren.<br />
Sichern Sie vorsichtshalber zuvor Ihre aktuelle Konfiguration.<br />
<strong>Securepoint</strong><br />
Security Solutions 127
13 Menü Extras Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
13.4 Erweiterte Einstellungen<br />
Unter diesem Menüpunkt können generelle Einstellungen des Webinterface geändert wer-<br />
den.<br />
Außerdem können Templates der Dienste und Anwendungen bearbeitet werden.<br />
13.4.1 Registerkarte Allgemein<br />
Abb. 161 Einstellung zu Speicherung und Webserver<br />
Änderungen, die in der Administrationsoberfläche vorgenommen werden, werden automa-<br />
tisch in der aktuell verwendeten Konfiguration gespeichert. Wenn Sie diese Funktion aus-<br />
schalten, bleiben die Änderungen nur bis zu Neustart der Appliance erhalten.<br />
Aktivieren Sie die Checkbox Automatische Speicherung abschalten, wenn Sie<br />
diese Funktion nicht verwenden möchten.<br />
Die Administrationsweboberfläche ist über den internen Webserver über den Port <strong>11</strong><strong>11</strong>5<br />
erreichbar. Die Benutzeroberfläche ist über den Standard SSL Port 443 erreichbar. Wenn<br />
Sie diese Einstellungen ändern möchten, nehmen Sie die Änderungen im Bereich Webser-<br />
ver vor.<br />
Um den Port zum Zugang der Administrationsoberfläche zu ändern, benutzen Sie das<br />
Feld Administration Webinterface Port. Verwenden Sie einen nicht verwendeten<br />
Port über 1024.<br />
Um den Port zum Zugang zur Benutzeroberfläche zu ändern, benutzen Sie das Feld<br />
User Webinterface Port. Wenn Sie diesen Port ändern, muss der Benutzer diesen<br />
Port mit in die Adresszeile des Browsers eingeben.<br />
Der Winbind Dienst sammelt Benutzer- und Gruppeninformationen und ist für die Namesauf-<br />
lösung zuständig. Wenn die Informationen im Cache vorgehalten werden, erhöht das die<br />
Geschwindigkeit. Es besteht allerdings die Gefahr, dass die Informationen veraltet sind.<br />
Verändern Sie den Wert im Feld Cache Time, um die Zeit bis zur erneuten Abfrage<br />
zu verkürzen (niedriger Wert) oder zu verlängern (hoher Wert).<br />
<strong>Securepoint</strong><br />
Security Solutions 128
13 Menü Extras Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
13.4.2 Registerkarte Templates<br />
Die Konfigurationsdateien der Anwendungen der Appliance sind auf dieser Registerkarte als<br />
Templates aufrufbar und können so bearbeitet werden.<br />
Abb. 162 Konfigurationsdatei des Proxy<br />
Suchen Sie aus dem Dropdownfeld das Template heraus, welches Sie bearbeiten<br />
möchten.<br />
Damit das Template im Textfeld angezeigt wird, müssen Sie die Schaltfläche Laden<br />
betätigen.<br />
Verändern Sie das Template nach Ihren Wünschen.<br />
Speichern Sie die Änderungen mit der Schaltfläche Speichern ab.<br />
Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestartet<br />
werden.<br />
<strong>Securepoint</strong><br />
Security Solutions 129
14 Live Log Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
14 Live Log<br />
Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion<br />
können Sie nach ganz bestimmten Meldungen suchen.<br />
Abb. 163 Anzeige der aktuellen Protokollmeldungen<br />
Spalte Beschreibung<br />
Datum Zeigt den Tag und die Zeit der Meldung an.<br />
Zusätzlich wird die Zeitzone als positive oder negative Stundenangabe angezeigt. Die-<br />
se Angabe bezieht sich auf die GMT.<br />
Dienst Zeigt den Dienst an, der diese Meldung auslöst.<br />
Nachricht In dieser Spalte wird die Meldung des Eintrags angezeigt.<br />
Mit dem Suchfeld, welches sich oben rechts im Fenster befindet, können Sie die Anzeige<br />
filtern. Eingetragene Suchwörter werden über alle Spalten gesucht, daher sollte die Suchan-<br />
frage so genau wie möglich sein.<br />
<strong>Securepoint</strong><br />
Security Solutions 130
15 Abbildungsverzeichnis Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
15 Abbildungsverzeichnis<br />
Abb. 1 Position der Appliance im Netzwerk .........................................................................<strong>11</strong><br />
Abb. 2 Rückansicht der Piranja bzw. der RC 100 ................................................................<strong>11</strong><br />
Abb. 3 Rückansicht einer RC 200 ........................................................................................12<br />
Abb. 4 Frontansicht der RC 300 (schematisch) ...................................................................12<br />
Abb. 5 Frontansicht der RC 400 (schematisch) ...................................................................13<br />
Abb. 6 Login Dialog .............................................................................................................14<br />
Abb. 7 <strong>Securepoint</strong> <strong>11</strong> Cockpit ............................................................................................16<br />
Abb. 8 Dropdownmenü des Menüpunktes Konfiguration .....................................................17<br />
Abb. 9 Konfigurationsverwaltung .........................................................................................18<br />
Abb. 10 Konfiguration importieren .......................................................................................19<br />
Abb. <strong>11</strong> neue Konfiguration anlegen ....................................................................................20<br />
Abb. 12 Registerkarte Cloud Backup ...................................................................................21<br />
Abb. 13 intere Firewall IP-Adresse ......................................................................................21<br />
Abb. 14 Auswahl der Internetverbindung .............................................................................22<br />
Abb. 15 Daten für die Internetverbindung angeben .............................................................22<br />
Abb. 16 Netzwerkbereich der DMZ ......................................................................................23<br />
Abb. 17 Ändern des Adminstrotorkennworts ........................................................................23<br />
Abb. 18 Einspielen der Lizenz .............................................................................................24<br />
Abb. 19 Dropdownmenü des Menüpubktes Netzwerk .........................................................25<br />
Abb. 20 Name, DNS Server und NTP Server angeben........................................................26<br />
Abb. 21 Netze oder IP-Adressen zur Administration ............................................................27<br />
Abb. 22 Syslog-Server angeben ..........................................................................................28<br />
Abb. 23 SNMP Einstellungen setzen ....................................................................................29<br />
Abb. 24 Registerkarte Netzwerkschnittstellen ......................................................................30<br />
Abb. 25 Registerkarte Allgemein .........................................................................................31<br />
Abb. 26 Registerkarte Einstellungen ....................................................................................31<br />
Abb. 27 Registerkarte IP-Adressen .....................................................................................32<br />
Abb. 28 Registerkarte Zonen ...............................................................................................32<br />
Abb. 29 Registerkarte DynDNS ...........................................................................................33<br />
Abb. 30 Registerkarte QoS ..................................................................................................33<br />
Abb. 31 Registerkarte Fallback ............................................................................................34<br />
Abb. 32 Registerkarte WLAN................................................................................................35<br />
Abb. 33 Registerkarte Routing .............................................................................................35<br />
Abb. 34 Route anlegen / bearbeiten ....................................................................................36<br />
Abb. 35 Registerkarte DHCP ...............................................................................................36<br />
Abb. 36 Netzwerkbereich festlegen .....................................................................................37<br />
<strong>Securepoint</strong><br />
Security Solutions 131
15 Abbildungsverzeichnis Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 37 zuständigen Router festlegen .................................................................................37<br />
Abb. 38 Registerkarte DHCP Leases ..................................................................................37<br />
Abb. 39 DHCP Lease hinzufügen ........................................................................................38<br />
Abb. 40 Registerkarte DHCP Relay .....................................................................................38<br />
Abb. 41 Zonen und Interfacebindung ...................................................................................39<br />
Abb. 42 neue Zone anlegen ................................................................................................39<br />
Abb. 43 Routing Einträge der Appliance ..............................................................................40<br />
Abb. 44 Ergebnis des Ping Befehls .....................................................................................41<br />
Abb. 45 DNS Abfrage ...........................................................................................................42<br />
Abb. 46 Anzeige der Hops bis zum Zielhost ........................................................................43<br />
Abb. 47 Dropdownmenü des Menüpunktes Firewall ............................................................44<br />
Abb. 48 Portfilter ..................................................................................................................45<br />
Abb. 49 Dialog zum ANlegen einer neuen Regel .................................................................46<br />
Abb. 50 Regelgruppe hinzufügen ........................................................................................48<br />
Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter .................................................48<br />
Abb. 52 neue Netzwerkgruppe anlegen ...............................................................................49<br />
Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner................................................50<br />
Abb. 54 Ansicht der Registerkarte Dienste ..........................................................................51<br />
Abb. 55 neue Dienstgruppe anlegen ...................................................................................52<br />
Abb. 56 Eingabemaske zum Anlegen eine Dienstes.<br />
Diese Abbildung zeigt alle möglichen Paramter an.<br />
Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll. ............52<br />
Abb. 57 Zeitprofil für Arbeitstage anlegen ............................................................................53<br />
Abb. 58 QoS grafisch dargestellt .........................................................................................54<br />
Abb. 59 QoS anlegen ..........................................................................................................54<br />
Abb. 60 Bootstrap Protocol zulassen ...................................................................................55<br />
Abb. 61 NetBIOS Dienste blockieren ...................................................................................55<br />
Abb. 62 Datenverkehr im IPSec Tunnel ...............................................................................56<br />
Abb. 63 NAT für IPSec Verbindungen ausschalten .............................................................56<br />
Abb. 64 vordefinierte VPN Regeln .......................................................................................57<br />
Abb. 65 Dropdownmenü Dienste .........................................................................................58<br />
Abb. 66 Registerkarte Allgemein des HTTP-Proxys ............................................................59<br />
Abb. 67 Registerkarte Virusscan des HTTP-Proxy ..............................................................60<br />
Abb. 68 Registerkarte Bandbreite im HTTP-Proxy ...............................................................61<br />
Abb. 69 Messaging Anwendungen blocken .........................................................................62<br />
Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy ...................................................63<br />
Abb. 71 Webfilter deaktiviert ................................................................................................64<br />
<strong>Securepoint</strong><br />
Security Solutions 132
15 Abbildungsverzeichnis Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 72 Registerkarte Profiles des Webfilters ......................................................................65<br />
Abb. 73 Profil erstellen ........................................................................................................65<br />
Abb. 74 Dialog zum Erstellen von Filterregeln .....................................................................67<br />
Abb. 75 transparenter Modus des HTTP-Proxy ...................................................................69<br />
Abb. 76 transparenten Modus einrichten .............................................................................69<br />
Abb. 77 Registerkarte Servergruppen .................................................................................70<br />
Abb. 78 Servergruppe anlegen ............................................................................................70<br />
Abb. 79 Server zur Gruppe hinzufügen ...............................................................................70<br />
Abb. 80 Registerkarte ACL Sets ..........................................................................................71<br />
Abb. 81 ACL Set anlegen ....................................................................................................71<br />
Abb. 82 ACL Argument definieren .......................................................................................71<br />
Abb. 83 Registerkarte Sites .................................................................................................73<br />
Abb. 84 Site anlegen ...........................................................................................................73<br />
Abb. 85 ACL Set definieren .................................................................................................73<br />
Abb. 86 allgemeine Einstellungen für den Reverse Proxy ...................................................74<br />
Abb. 87 POP3 Proxy ...........................................................................................................75<br />
Abb. 88 transparente Regel anlegen ...................................................................................75<br />
Abb. 89 Registerkarten des Mailrelays ................................................................................76<br />
Abb. 90 Registerkarte Allgemein des Mailrelay ...................................................................77<br />
Abb. 91 Registerkarte Smarthost .........................................................................................77<br />
Abb. 92 Registerkarte Relaying ...........................................................................................78<br />
Abb. 93 Domain hinzufügen ................................................................................................78<br />
Abb. 94 Registerkarte SMTP Routen ...................................................................................79<br />
Abb. 95 Greylisting Einstellungen im unteren Fensterbereich ..............................................80<br />
Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden. ...........................81<br />
Abb. 97 Domains, die vom Greylisting ausgenommen werden. ...........................................82<br />
Abb. 98 Empfänger, die vom Greylisting ausgenommen werden. ........................................83<br />
Abb. 99 Absender, die vom Greylisting ausgenommen werden. ..........................................83<br />
Abb. 100 Ändern der Domain ..............................................................................................84<br />
Abb. 101 Einstellung, die Spam-E-Mails abwehren .............................................................85<br />
Abb. 102 Filterregeln ...........................................................................................................87<br />
Abb. 103 Dialog zum Erstellen einer neuen Regel ...............................................................88<br />
Abb. 104 Regel zur Filterregel hinzufügen ...........................................................................88<br />
Abb. 105 Liste der Content-Filter .........................................................................................89<br />
Abb. 106 Content-Filter erstellen .........................................................................................89<br />
Abb. 107 Registerkarte URL-Filter .......................................................................................90<br />
Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails ....................................91<br />
<strong>Securepoint</strong><br />
Security Solutions 133
15 Abbildungsverzeichnis Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 109 allgemeine Einstellungen des VoIP Proxy ............................................................92<br />
Abb. <strong>11</strong>0 Einstellungen zum Provider ..................................................................................92<br />
Abb. <strong>11</strong>1 ungültige TCP Flags .............................................................................................93<br />
Abb. <strong>11</strong>2 Trojaner ................................................................................................................93<br />
Abb. <strong>11</strong>3 Übersicht der Dienste ...........................................................................................94<br />
Abb. <strong>11</strong>4 Dropdownmenü des Menüpunktes VPN ...............................................................95<br />
Abb. <strong>11</strong>5 blobale VPN Einstellung – Allgemein ...................................................................96<br />
Abb. <strong>11</strong>6 Hinterlegung der Nameserver ..............................................................................96<br />
Abb. <strong>11</strong>7 IPSec Verbindungsübersicht ................................................................................97<br />
Abb. <strong>11</strong>8 Assistent Scchritt 1 ...............................................................................................97<br />
Abb. <strong>11</strong>9 Assistent Schritt 2 - Authetifizierung PSK .............................................................98<br />
Abb. 120 Assistent Schritt 3 ................................................................................................99<br />
Abb. 121 Assistent Schritt 4 .............................................................................................. 100<br />
Abb. 122 Assistent Schritt 1 .............................................................................................. 100<br />
Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter ................................................ 101<br />
Abb. 124 Assistent Schritt 3 .............................................................................................. 101<br />
Abb. 125 Assistent Schritt 4 .............................................................................................. 101<br />
Abb. 126 Assistent Schritt 5 .............................................................................................. 102<br />
Abb. 127 Auflistung aller verfügbarer Verbindungen .......................................................... 103<br />
Abb. 128 Assistent Schritt 1 .............................................................................................. 104<br />
Abb. 129 Assistent Schritt 2 .............................................................................................. 104<br />
Abb. 130 Assistent Schritt 1 .............................................................................................. 105<br />
Abb. 131 Assistent Schritt 2 .............................................................................................. 105<br />
Abb. 132 Assistent Schritt 1 .............................................................................................. 106<br />
Abb. 133 Assistent Schritt 2 .............................................................................................. 106<br />
Abb. 134 Assistent Schritt 3 .............................................................................................. 107<br />
Abb. 135 globale Einstellungen füt PPTP Verbindungen ................................................... 107<br />
Abb. 136 globale Einstellungen für L2TP ........................................................................... 108<br />
Abb. 137 Übersicht der Clientless VPN Verbindungen ...................................................... 109<br />
Abb. 138 Clientless VPN Verbindung anlegen ................................................................... 109<br />
Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung .......................................... <strong>11</strong>0<br />
Abb. 140 Auflistung aller Benutzer..................................................................................... <strong>11</strong>1<br />
Abb. 141 allgemeine Einstellungen für den neuen Benutzer .............................................. <strong>11</strong>1<br />
Abb. 142 Gruppenzugehörigkeit ........................................................................................ <strong>11</strong>2<br />
Abb. 143 feste IP-Adressen für VPN Verbindungen ........................................................... <strong>11</strong>2<br />
Abb. 144 EInstellungen für den SSL-VPN Client ............................................................... <strong>11</strong>2<br />
Abb. 145 Einstellungen zum Kennwort .............................................................................. <strong>11</strong>3<br />
<strong>Securepoint</strong><br />
Security Solutions 134
15 Abbildungsverzeichnis Erweiterte Einstellungen <strong>Securepoint</strong> <strong>11</strong><br />
Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen ...................... <strong>11</strong>4<br />
Abb. 147 Wake On LAN .................................................................................................... <strong>11</strong>4<br />
Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server ............................... <strong>11</strong>5<br />
Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis ........................ <strong>11</strong>5<br />
Abb. 150 Eingaben für die Nutzung eines Active Directory ................................................ <strong>11</strong>6<br />
Abb. 151 Registerkarte CA der Zertifikatsverwaltung ........................................................ <strong>11</strong>7<br />
Abb. 152 CA anlegen ........................................................................................................ <strong>11</strong>8<br />
Abb. 153 Zertifikat erstellen ............................................................................................... <strong>11</strong>9<br />
Abb. 154 schematische Darstellung einer RSA Verschlüsselung ...................................... 122<br />
Abb. 155 Liste der gespeicherten RSA Schlüssel .............................................................. 123<br />
Abb. 156 RSA Schlüssel generieren .................................................................................. 123<br />
Abb. 157 Schaltflächen für den Export .............................................................................. 124<br />
Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster .................................................... 125<br />
Abb. 159 Informationen über die eingespielte Lizenz ........................................................ 126<br />
Abb. 160 Aktualisierungen suchen .................................................................................... 127<br />
Abb. 161 Einstellung zu Speicherung und Webserver ....................................................... 128<br />
Abb. 162 Konfigurationsdatei des Proxy ............................................................................ 129<br />
Abb. 163 Anzeige der aktuellen Protokollmeldungen ......................................................... 130<br />
<strong>Securepoint</strong><br />
Security Solutions 135