Securepoint 11

Securepoint 11 

Handbuch zur Securepoint UTM Software Version 11.1 

Version des Handbuchs 0.9.2 

Securepoint GmbH, Lüneburg 

Security Solutions

Änderungsnachweise 

Version Freigabedatum Kapitel Änderungen 

0.9 03.11.2012 alle Neuerstellung 

0.9.1 14.11.2012 6, 8.1, 9.2, 10.5, 

12.1 

0.9.2 06.12.2012 12.2, 12.3, 12.4 

13, 14, 15 

Aktualisierung 

Aktualisierung 


Securepoint 

Security Solutions 2

Inhaltsverzeichnis 


1 Einleitung .......................................................................................................... 8 

2 Zur Version 11 .................................................................................................. 9 

3 Die Appliances .................................................................................................10 

4 Anschluss der Appliance ..................................................................................11 

4.1 Piranja und RC 100 .......................................................................................... 11 

4.2 RC 200 ............................................................................................................ 12 

4.3 RC 300 ............................................................................................................ 12 

4.4 RC 400 ............................................................................................................ 13 

5 Administrator-Interface .....................................................................................14 

5.1 Mit der Appliance verbinden ............................................................................. 14 

5.2 Systemanforderung an den Client-Rechner ..................................................... 15 

6 Securepoint Cockpit .........................................................................................16 

7 Menü Konfiguration ..........................................................................................17 

7.1 Konfigurationen verwalten ................................................................................ 18 

7.1.1 Konfiguration importieren ................................................................................. 19 

7.1.2 Konfiguration hinzufügen ................................................................................. 20 

7.1.3 Cloud Backup .................................................................................................. 20 

7.2 Setup Wizard ................................................................................................... 21 

7.3 Herunterfahren ................................................................................................. 24 

7.4 Werkseinstellungen .......................................................................................... 24 

7.5 Neu starten ...................................................................................................... 24 

7.6 Abmelden ........................................................................................................ 24 

8 Netzwerk ..........................................................................................................25 

8.1 Servereinstellungen ......................................................................................... 26 

8.1.1 Registerkarte Servereinstellungen ................................................................... 26 

8.1.2 Registerkarte Administration ............................................................................ 27 

8.1.3 Registerkarte Syslog ........................................................................................ 28 

8.1.4 Registerkarte SNMP ........................................................................................ 29 




8.2 Netzwerkkonfiguration ..................................................................................... 30 

8.2.1 Netzwerkschnittstellen ..................................................................................... 30 

8.2.2 WLAN .............................................................................................................. 35 

8.2.3 Routing ............................................................................................................ 35 

8.2.4 DHCP .............................................................................................................. 36 

8.2.5 DHCP-Leases .................................................................................................. 37 

8.2.6 DHCP-Relay .................................................................................................... 38 

8.3 Zonen .............................................................................................................. 39 

8.4 Netzwerk Werkzeuge ....................................................................................... 40 

8.4.1 Registerkarte Route ......................................................................................... 40 

8.4.2 Registerkarte Ping ........................................................................................... 40 

8.4.3 Registerkarte Host ........................................................................................... 41 

8.4.4 Registerkarte Traceroute ................................................................................. 43 

9 Menü Firewall ..................................................................................................44 

9.1 Portfilter ........................................................................................................... 45 

9.1.1 Neue Regel anlegen ........................................................................................ 46 

9.1.2 Regelgruppe anlegen ....................................................................................... 48 

9.1.3 Registerkarte Netzwerkobjekte ........................................................................ 48 

9.1.4 Registerkarte Dienste ...................................................................................... 51 

9.1.5 Registerkarte Zeitprofile ................................................................................... 53 

9.1.6 Registerkarte QOS ........................................................................................... 54 

9.2 Implizite Regeln ............................................................................................... 55 

9.2.1 Silent Services Drop ........................................................................................ 55 

9.2.2 IPSec Traffic .................................................................................................... 56 

9.2.3 IPSec HideNAT ................................................................................................ 56 

9.2.4 VPN ................................................................................................................. 57 

10 Menü Anwendungen ........................................................................................58 

10.1 HTTP Proxy ..................................................................................................... 59 

10.1.1 Allgemein ......................................................................................................... 59 

10.1.2 Virusscan ......................................................................................................... 60 




10.1.3 Bandbreite ....................................................................................................... 61 

10.1.4 Application Blocking ......................................................................................... 62 

10.1.5 SSL-Interception .............................................................................................. 63 

10.1.6 Webfilter .......................................................................................................... 64 

10.1.7 Transparent Mode............................................................................................ 69 

10.2 Reverse Proxy ................................................................................................. 70 

10.2.1 Servergruppen ................................................................................................. 70 

10.2.2 ACL Sets ......................................................................................................... 71 

10.2.3 Sites ................................................................................................................ 73 

10.2.4 Einstellungen ................................................................................................... 74 

10.3 POP3 Proxy ..................................................................................................... 75 

10.4 Mailrelay .......................................................................................................... 76 

10.4.1 Allgemein ......................................................................................................... 77 

10.4.2 Smarthost ........................................................................................................ 77 

10.4.3 Relaying ........................................................................................................... 78 

10.4.4 SMTP Routen .................................................................................................. 79 

10.4.5 Greylisting ........................................................................................................ 80 

10.4.6 Domain Mapping .............................................................................................. 84 

10.4.7 Erweitert .......................................................................................................... 85 

10.5 Mailfilter ........................................................................................................... 87 

10.5.1 Filterregeln ....................................................................................................... 87 

10.5.2 Content-Filter ................................................................................................... 89 

10.5.3 URL-Filter ........................................................................................................ 90 

10.5.4 Mailfilter Einstellungen ..................................................................................... 91 

10.6 VoIP Proxy ....................................................................................................... 92 

10.6.1 Allgemein ......................................................................................................... 92 

10.6.2 Provider ........................................................................................................... 92 

10.7 IDS .................................................................................................................. 93 

10.7.1 Ungültige TCP Flags ........................................................................................ 93 

10.7.2 Trojaner ........................................................................................................... 93 




10.8 Anwendungsstatus........................................................................................... 94 

11 Menü VPN .......................................................................................................95 

11.1 Globale VPN Einstellungen .............................................................................. 96 

11.1.1 Allgemein ......................................................................................................... 96 

11.1.2 Nameserver ..................................................................................................... 96 

11.2 IPSec ............................................................................................................... 97 

11.2.1 Site-to-Site ....................................................................................................... 97 

11.2.2 Site-to-End (Roadwarrior) .............................................................................. 100 

11.3 SSL VPN ....................................................................................................... 103 

11.3.1 Roadwarrior-Server ........................................................................................ 104 

11.3.2 Site-to-Site-Client ........................................................................................... 105 

11.3.3 Site-to-Site Server.......................................................................................... 106 

11.4 PPTP ............................................................................................................. 107 

11.5 L2TP .............................................................................................................. 108 

11.6 Clientless VPN ............................................................................................... 109 

12 Menü Authentifizierung .................................................................................. 110 

12.1 Benutzer ........................................................................................................ 111 

12.1.1 Neuen Benutzer hinzufügen ........................................................................... 111 

12.2 Externe Authentifizierung ............................................................................... 115 

12.2.1 Radius ........................................................................................................... 115 

12.2.2 LDAP ............................................................................................................. 115 

12.2.3 Active Directory .............................................................................................. 116 

12.3 Zertifikate ....................................................................................................... 117 

12.3.1 CA erstellen ................................................................................................... 118 

12.3.2 Zertifikat erstellen........................................................................................... 119 

12.3.3 CA und Zertifikate importieren ....................................................................... 120 

12.3.4 CA und Zertifikate exportieren ....................................................................... 120 

12.3.5 CA und Zertifikate löschen ............................................................................. 121 

12.4 RSA-Schlüssel ............................................................................................... 122 

12.4.1 Liste der RSA Schlüssel................................................................................. 123 




12.4.2 RSA Schlüssel anlegen ................................................................................. 123 

12.4.3 RSA Schlüssel exportieren ............................................................................ 124 

12.4.4 RSA Schlüssel importieren ............................................................................ 124 

13 Menü Extras................................................................................................... 125 

13.1 CLI ................................................................................................................. 125 

13.2 Registrieren ................................................................................................... 126 

13.3 Firmware Updates.......................................................................................... 127 

13.4 Erweiterte Einstellungen ................................................................................ 128 

13.4.1 Registerkarte Allgemein ................................................................................. 128 

13.4.2 Registerkarte Templates ................................................................................ 129 

14 Live Log ......................................................................................................... 130 

15 Abbildungsverzeichnis ................................................................................... 131 



1 Einleitung Piranja und RC 100 Securepoint 11 

1 Einleitung 

Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag 

nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine 

Dauerverbindung des Computers oder des Netzwerkes zum Internet. 

Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals 

außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer- 

den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet 

werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust 

kommt; zum Beispiel hervorgerufen durch einen Computervirus. 

Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die 

Schadprogramme dann schon im lokalen Netz sind. 

Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz- 

werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt 

und die Kommunikation mit dem Internet überwacht. 

Das Securepoint Unified Threat Management (UTM) bietet eine Komplettlösung mit vie- 

len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet 

das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan- 

ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath – 

Routing-Funktionalität. Außerdem wird WLAN mit virtuellen Netzen und UTMS Anbin- 

dung unterstützt. 

Die Verbindung in einem System verringert den administrativen und integrativen Auf- 

wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen 

dient ein klar strukturiertes Administrator-Interface. 

Die Securepoint UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi- 

ell abgestimmten Appliances erhältlich. So deckt Securepoint verschiedenste Anforde- 

rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit 

mehreren hundert Rechnern ab. 



2 Zur Version 11 Piranja und RC 100 Securepoint 11 

2 Zur Version 11 

Die Version 11 der Securepoint UTM Software ist komplett neu entwickelt. Das Basissystem 

ist neu und die gesamte Befehlsreferenz erneuert. Dies bemerken Sie nur, wenn Sie die 

Konfiguration der Appliance auch über das Command Line Interface (CLI) vorgenommen 

haben. 

Auch die Konfigurationsoberfläche ist neu aufgesetzt. Ein erweiterter Funktionsumfang und 

Neuerungen, die die Konfiguration weiter vereinfachen haben in der Oberfläche Einzug er- 

halten. Bei einem Upgrade auf die neue Version werden Sie sich aber schnell zurechtfinden, 

weil die Anordnung der Funktionen erhalten geblieben ist. 



3 Die Appliances Piranja und RC 100 Securepoint 11 

3 Die Appliances 

Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz- 

werkschutzes konzipiert sind. Im Produktangebot von Securepoint sind 7 Appliances erhält- 

lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei- 

tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen 

der Geräte. 

Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz 

Piranja 

RC 100 

RC 200 

RC 300 

RC 310 

RC 400 

RC 410 

bis 5 100 Mbit/s 70 Mbit/s 

10 bis 25 100 Mbit/s 100 Mbit/s 






Gerät CPU RAM HDD Interfaces USB Ports 

Piranja VIA C3 / Eden 533 

MHz 

1 GB Compact Flash 

512 MB 

3 x 10/100 Ether- 

net Ports 

RC 100 VIA C7 1 GHz 1 GB 80 GB 3 x 10/100 Ether- 

net Ports 

RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x 10/100/1000 

RC 300 Intel Core2 Duo E4500 

2 x 2,2 GHz 

RC 310 Pentium D 

2 x 3,4 GHz 

RC 400 Xeon 5335 

1,8 GHz 

Ethernet Ports 

1 GB 80 GB 6 x 10/1000 


1 GB 2 x 80 GB 6 x 10/1000 


2 GB 2 x 73 GB 10 x 10/1000 


RC 410 Xeon 1,8 GHz 2 GB 2 x 73 GB 10 x 10/1000 



Security Solutions 10 

1 

1 

5 

4 

4 

4 

4

4 Anschluss der Appliance Piranja und RC 100 Securepoint 11 

4 Anschluss der Appliance 

Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der 

Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischenge- 

schaltet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit 

der Appliance verbunden werden. 

Internet 

Modem Securepoint 

Appliance 

Abb. 1 Position der Appliance im Netzwerk 

4.1 Piranja und RC 100 

Switch 

Computer 1 

Computer 2 

Computer n 

Die Piranja und die RC 100 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3), 

eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse. 

Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk- 

adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2 

spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port 

LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge- 

sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss 

benutzt werden. 

Abb. 2 Rückansicht der Piranja bzw. der RC 100 

Anschluss Interface Netz 

LAN 1 eth0 extern (Internet) 

LAN 2 eth1 intern 

LAN 3 eth2 DMZ 


Security Solutions 11

4 Anschluss der Appliance RC 200 Securepoint 11 

4.2 RC 200 

Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch 

mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3 

gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter- 

nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden. 

Abb. 3 Rückansicht einer RC 200 





LAN 4 eth3 freie Verfügung 

4.3 RC 300 

Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen- 

sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports 

nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern. 

Abb. 4 Frontansicht der RC 300 (schematisch) 










4 Anschluss der Appliance RC 400 Securepoint 11 

4.4 RC 400 

Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken 

angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts. 

LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports 

am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung. 

LAN 1 LAN 3 

Abb. 5 Frontansicht der RC 400 (schematisch) 

LAN 5 LAN 7 

LAN 2 LAN 4 LAN 6 LAN 8 












5 Administrator-Interface Mit der Appliance verbinden Securepoint 11 

5 Administrator-Interface 

5.1 Mit der Appliance verbinden 

Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces 

auf den Port 11115 mit dem https (SSL) Protokoll. 

Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf 

192.168.175.1 eingestellt. Der Port 11115 wird nicht geändert und ist für die Administration 

reserviert. 

Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt. 

Benutzername: admin 

Kennwort: insecure 

Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein: 

https://192.168.175.1:11115/ 

Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die 

IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse. 

Es erscheint der Dialog LOGIN. 

Abb. 6 Login Dialog 

Geben Sie im Feld Benutzername admin ein. 

Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den 

Benutzer admin schon geändert haben das neue Kennwort. 

Klicken Sie anschließend auf Login. 

Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm. 

Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authenti- 

fizierung, Menüpunkt Benutzer. 

Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und 

Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein. 



5 Administrator-Interface Systemanforderung an den Client-Rechner Securepoint 11 

5.2 Systemanforderung an den Client-Rechner 

Betriebssystem: ab MS Windows XP und Linux 

Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend 

Speicher: 512 MB oder mehr 

Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3 



6 Securepoint Cockpit Systemanforderung an den Client-Rechner Securepoint 11 

6 Securepoint Cockpit 

Über einen Webbrowser erreichen Sie das Administrationsinterface der Securepoint Appli- 

ance. Dieses Interface ist die zentrale Oberfläche zur Verwaltung der Appliance. Die Ober- 

fläche ist schon von der Securepoint 10 bekannt, wurde aber in vielfältiger Hinsicht verbes- 

sert. 

Abb. 7 Securepoint 11 Cockpit 

Die Anzeige des Administrationsinterface ist fast uneingeschränkt anpassbar. Das Interface 

umfasst fünf Arbeitsoberflächen, auf die die Fenster, die den Status und die Einstellungen 

der Dienste und Hardware anzeigen, verteilt werden können. So können z.B. zusammenge- 

hörige Fenster gruppiert werden. 

Am unteren Bildschirmrand ist eine Auswahl an Statusanzeigen aufgelistet, die per Ziehen 

und Ablegen (Drag-and-drop) auf der Arbeitsoberfläche positioniert werden können. Die An- 

ordnung erfolgt dabei zeilenweise. In einer Zeile werden immer zwei Fenster nebeneinander 

angeordnet. 

Die Auswahl der Statusanzeigen ist standardmäßig verborgen und nur als schmaler Balken 

dargestellt. Die Auswahl wird durch das Betätigen des Pfeilsymbols auf der linken Seite des 

Balkens geöffnet. 

Über die Hauptmenüleiste gelangt man zu Konfigurations- und Verwaltungsfenster, die als 

Popupfenster geöffnet werden. 



7 Menü Konfiguration Systemanforderung an den Client-Rechner Securepoint 11 

7 Menü Konfiguration 

Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di- 

rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi- 

guration zu finden. Außerdem kann hier das System aus den Auslieferungszustand zu- 

rückgesetzt werden. 

Abb. 8 Dropdownmenü des Menüpunktes Konfiguration 

Bezeichnung Erklärung 

Konfigurationsverwal- 

ten 

Installations- 

assistent 

Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfigurati- 

onsdateien auf. Hier hat man die Möglichkeit die Dateien zu exportieren, zu 

drucken und zu löschen. Außerdem kann man Konfigurationen laden, Start- 

konfigurationen setzen und Konfigurationen importieren oder aktuelle Ein- 

stellungen in einer neuen Datei speichern. 

Der Installationsassistent hilft Ihnen bei der Einrichtung der grundlegenden 

Einstellungen. 

Neu starten Fährt die Appliance runter und startet sie anschließend neu. 

Herunterfahren Das System wird gestoppt und heruntergefahren. 

Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück. 

Abmelden Abmeldung vom Administrator-Interface. 



7 Menü Konfiguration Konfigurationen verwalten Securepoint 11 

7.1 Konfigurationen verwalten 

Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem 

Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer 

Liste aller gespeicherten Konfigurationsdateien. 

Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im 

Dropdownmenü auf den Eintrag Konfigurationen verwalten. 

Es öffnet sich der Dialog Konfigurationen. 

Abb. 9 Konfigurationsverwaltung 

Das Fenster Konfigurationsverwaltung verfügt über die zwei Registerkarten Lokale Konfi- 

gurationen und Cloud Backup. Die Registerkarte Lokale Konfigurationen zeigt die 

auf der Appliance gespeicherte Konfigurationen. 

Die Konfigurationen werden in einer Tabelle aufgelistet. Die Konfigurationen sind nach dem 

Namen sortiert aufgelistet. Direkt oberhalb der Tabelle wird angezeigt, wie viele Einträge ein 

Tabellenblatt aufnimmt. Außerdem kann über die Suchoption auf der rechten Seite nach ei- 

ner Konfiguration gesucht werden. 

Unterhalb der Tabelle wird die Gesamtanzahl der Konfigurationen angezeigt, sowie Naviga- 

tionsschaltfläche für die Tabellenblätter. 

In der Spalte Status werden Eigenschaften der jeweiligen Konfiguration angezeigt. 

Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist 

die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem 

Reboot). 

Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration. 




Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die 

Konfigurationsdateien anwenden kann. 

Schaltfläche Bedeutung Beschreibung 

Speichern Speichert die aktuelle Konfiguration in diese Datei. 

Export Exportiert die Konfiguration und speichert diese im DAT Format ab. 

Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration. 

Laden Lädt die jeweilige Konfiguration. 

Löschen Löscht die jeweilige Konfiguration. 

Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen 

+ Konfiguration importieren und + Konfiguration hinzufügen. 

7.1.1 Konfiguration importieren 

Eine bestehende Konfiguration kann auf das System importieren werden. Einzige Bedingung 

dafür ist, dass die externe Datei im DAT Format vorliegen muss. 

Abb. 10 Konfiguration importieren 

Klicken Sie auf den Schaltfläche + Konfiguration importieren. 

Es öffnet sich der Dialog Import. 

Klicken Sie auf Datei auswählen und wählen Sie die gewünschte Datei aus. 

Geben Sie im Feld Name einen Namen ein, unter der die Konfiguration gespeichert 

werden soll. 

Klicken Sie danach auf Import. 

Die Konfigurationsdatei wird auf der Appliance gespeichert. 




7.1.2 Konfiguration hinzufügen 

Durch das Hinzufügen einer Konfiguration wird eine „leere“ Konfiguration im System ange- 

legt. Ändert man die Einstellungen der Appliance können diese unter der neuen Konfigurati- 

on gespeichert werden, ohne die bestehende Konfiguration zu überschreiben. 

Bevor Sie die Einstellungen ändern, sollten Sie die aktuelle Konfiguration unter der neu er- 

stellten Datei speichern. Anschließend laden Sie die neue Konfiguration und nehmen die 

gewünschten Änderungen vor. So wird sichergestellt, dass die vorherige Konfiguration nicht 

verändert wird. 

Abb. 11 neue Konfiguration anlegen 

Klicken Sie auf den Schaltfläche + Konfiguration hinzufügen. 

Es öffnet sich der Dialog Hinzufügen. 

Geben Sie im Feld Name einen Namen für die neue Konfiguration ein. 

Klicken Sie danach auf Speichern. 

Die Konfigurationsdatei wird auf der Appliance gespeichert. 

7.1.3 Cloud Backup 

Unter der Registerkarte Cloud Backup im Fenster Konfigurationsverwaltung, können 

Sie ein Backup der Konfiguration in der Securepoint Cloud ablegen. Die Backups werden 

also auf einen Securepoint Server gespeichert und sind von überall verfügbar. 

Einstellungen zum Server und Authentifizierung müssen nicht vorgenommen werden. Diese 

Daten werden dem Lizenzzertifikat entnommen. Das Zertifikat wird auch zur Authentifizie- 

rung benutzt. 



7 Menü Konfiguration Setup Wizard Securepoint 11 

Abb. 12 Registerkarte Cloud Backup 

Zum Anlegen eines Backups klicken Sie auf die Schaltfläche Backup der aktuellen 

Konfiguration erstellen. 

Als Name des Backups werden das Speicherdatum und die Uhrzeit benutzt. 

Die Backups können mit einem Kennwort gesichert werden. 

Klicken sie dazu auf die Schaltfläche Kennwort setzen. Geben Sie in den Dialog 

das Kennwort ein und bestätigen Sie dieses durch nochmalige Eingabe. Schließen 

Sie den Vorgang mit Speichern ab. 

7.2 Setup Wizard 

Die Administratoroberfläche bietet einen Setup Assistenten an, der Ihnen bei der Anpassung 

der Appliance an Ihre Netzwerkumgebung behilflich ist. 

Der Assistent legt in sechs Schritten die wichtigsten Netzwerkverbindungen an. 

Abb. 13 intere Firewall IP-Adresse 

Starten Sie den Setup Assistenten über den Eintrag Setup Assistent im Menüpunkt 

Konfiguration. 

Im ersten Schritt geben Sie die interne IP-Adresse der Firewall an. 




Abb. 14 Auswahl der Internetverbindung 

Im zweiten Schritt geben Sie an, wie die Firewall mit dem Internet verbunden ist. 

Zur Auswahl stehen: 

DSL-PPPoE Die Verbindung wird über ein DSL Modem 

hergestellt. Die Firewall übernimmt die Anmeldung. 

Ethernet mit statischer IP Die Firewall ist in ein Ethernet Netzwerk 

eingebunden und verfügt über eine statische 

IP-Adresse. 

Kabel-Modem mit DHCP Die Verbindung wird über ein Kabel-Modem 

hergestellt. Dieses weißt der Firewall eine 

IP-Adresse per DHCP zu. 

Abb. 15 Daten für die Internetverbindung angeben 

Der dritte Schritt ist der Verbindungsart aus Schritt zwei angepasst. 

Bei einer DSL PPPoE Verbindung wird nach dem Benutzernamen und dem 

Kennwort gefragt, welches vom Internet Provider zugewiesen wurde. 

Bei einer Ethernet Verbindung muss die statische externe IP-Adresse der 

Firewall und die IP-Adresse des Default Gateways angegeben werden. Das 

Default Gateway ist die IP-Adresse des Geräts, was die Verbindung zum Internet 

herstellt. 

Da der dritten Methode wird die IP-Adresse automatisch bezogen. Der Assistent 

wechselt zu Schritt vier. 




Abb. 16 Netzwerkbereich der DMZ 

Im vierten Schritt können Sie einen Adressbereich für die demilitarisierte Zone (DMZ) 

anlegen. 

Geben Sie die IP-Adresse und den Bitcount für den Netzwerkbereich der DMZ an. 

Abb. 17 Ändern des Adminstrotorkennworts 

Der fünfte Schritt verlangt die Änderung des Administrator Kennworts. welches bei Ausliefe- 

rungszustand insecure lautet. 

Geben Sie im Feld Benutzer den Namen des Nutzernamen des Administrators an. 

Vorgabe ist admin. 

Geben Sie im Feld Kennwort ein Kennwort für den Administrator ein. 

Bestätigen Sie das Kennwort durch eine wiederholte Eingabe im Feld Kennwortbestätigung. 



7 Menü Konfiguration Herunterfahren Securepoint 11 

Abb. 18 Einspielen der Lizenz 

Der sechste Schritt kann eine Lizenz eingespielt werden. 

Suchen Sie über die Schaltfläche Datei auswählen die Lizenz von Ihrem System 

aus. 

Klicken Sie auf Fertigstellen, um die Angaben zu übernehmen. 

Der Assistent übernimmt die Änderungen und startet die Appliance neu. 

Melden Sie sich an der Appliance mit den neuen Daten an. 

7.3 Herunterfahren 

Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet. 

7.4 Werkseinstellungen 

Setzt das System in den Auslieferungszustand zurück. 

Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht. 

7.5 Neu starten 

Dieser Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die Start- 

konfiguration geladen. Gegebenenfalls müssen Sie eine Startkonfiguration vor dem Reboot 

festlegen. 

7.6 Abmelden 

Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und 

die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei- 

chert. 



8 Netzwerk Abmelden Securepoint 11 

8 Netzwerk 

Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, sowie nützliche Netz- 

werk Programme. 

Abb. 19 Dropdownmenü des Menüpubktes Netzwerk 


Appliance Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorgenommen: 

Firewall-Name, DNS Server IP-Adressen, Syslog-Server IP-Adressen, 

Zeitserver IP-Adresse und Zeitzone, Anzahl der gleichzeitigen Verbin- 

dungen und Qualität der Regelprotokolleinträge 

Netzwerkkonfiguration Einstellungen zum Netzwerk: 

IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Routing und 

DHCP Server Einstellungen 

Zoneneinstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen anlegen. 

Netzwerkwerkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle 



8 Netzwerk Servereinstellungen Securepoint 11 

8.1 Servereinstellungen 

In diesem Bereich werden zum einen der Name der Appliance gesetzt und zum anderen IP- 

Adressen zu DNS Servern, Time Server und Syslog Server angegeben. 

8.1.1 Registerkarte Servereinstellungen 

Abb. 20 Name, DNS Server und NTP Server angeben 

Auf dieser Registerkarte müssen der Appliancename, die Domain Name Service Server und 

der Network Time Protocol Server gesetzt werden. 

Tragen Sie im Feld Firewallname den Domainnamen der Appliance ein. 

Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Service 

Servers ein. 

Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer 

Nameserver ein. 

Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Appliance 

DNS Dienst verwendet. 

Im Feld Aktuelles Datum wird die verwendete Systemzeit angezeigt. Die Schaltfläche 

rechts neben dem Feld aktualisiert den Eintrag. 

Geben Sie im Feld NTP-Server die IP-Adresse oder den Hostnamen eines Zeitservers 

ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus. 

Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbindungen 

beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen. 

Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene 

Pakete. 




8.1.2 Registerkarte Administration 

Abb. 21 Netze oder IP-Adressen zur Administration 

Auf dieser Registerkarte tragen Sie Netze oder IP-Adressen ein, die auf das Administrations- 

interface der Appliance zugreifen dürfen. 

Klicken Sie auf die Schaltfläche +IP / Netzwerk hinzufügen, um weitere Einträge 

einzufügen. 

Geben Sie im öffnenden Dialog die IP-Adresse oder das Netzwerk ein. Achten Sie 

darauf, dass Sie den richtigen Bitcount verwenden. 

Klicken Sie auf die Schaltfläche Speichern. 

Die neue Eintragung erscheint in der Liste. 




8.1.3 Registerkarte Syslog 

Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das 

Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen 

können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log- 

meldungen analysiert werden. 

Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden. 

Abb. 22 Syslog-Server angeben 

Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Server 

hinzufügen. 

Es öffnet sich der Dialog Syslog Server hinzufügen. 

Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und 

den zu verwendenden Port (standardmäßig 514). Klicken Sie dann auf Hinzufügen. 

Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen. 




8.1.4 Registerkarte SNMP 

Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen 

Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto- 

kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen. 

Es werden die Protokollversion 1 und 2c unterstützt. 

Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein. 

Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und 

der Community String bekannt sein. 

Abb. 23 SNMP Einstellungen setzen 

Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide 

Versionen gleichzeitig verwenden. 

Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Benutzer 

mitgeteilt werden. 

Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP-Adresse 

oder ein Netzwerk an, von denen der Zugriff per SNMP erlaubt werden soll. 

Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hinzufügen. 

Die IP-Adresse bzw. das Netzwerk wird in der Liste hinzugefügt. 

Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel 

angelegt werden. 



8 Netzwerk Netzwerkkonfiguration Securepoint 11 

8.2 Netzwerkkonfiguration 

Über diesen Punkt verwalten Sie die physikalischen und virtuellen Interface, die WLAN Ein- 

stellungen, das Routing und den DHCP Dienst. 

8.2.1 Netzwerkschnittstellen 

Auf der Registerkarte Netzwerkschnittstellen werden die Netzwerkkarten der Appliance mit 

deren IP-Adressen und Zonen angezeigt. Hier können Sie auch Schnittstellen für ver- 

schiedenste Anbindungen erstellen. Die Konfiguration der Schnittstellen erfolgt dann über 

den Bearbeitungsdialog der einzelnen Schnittstellen. 

Neu ist die Unterstützung von IPv6. Sie haben die Möglichkeit Ihr internes Netzwerk auf IPv6 

umzustellen. Die Verbindung zum globalen Netz benötigen Sie dann einen Tunnelbroker- 

dienstleister, der die IPv6 Datenpakete über einen IPv4 Tunnel routet. 

Abb. 24 Registerkarte Netzwerkschnittstellen 

Schnittstellen Typ Beschreibung 

6in4 Schnittstelle zur Verbindung mit externen IPv6 Tunnelbrokern. 

VDSL Schnittstelle zur Verbindung zum VDSL. 

GSM Schnittstelle zur Verbindung zum Mobilfunknetz. 

PPPoE Schnittstelle zur Verbindung zum DSL Netz. 

PPTP Schnittstelle zur Verbindung zum DSL Netz. 

VLAN Schnittstelle zur Erstellung virtueller Netze. 

Ethernet Weitere physikalische Netzwerkadapter. 

Das Anlegen der Schnittstellen erfolgt jeweils durch einen kleinen Assistenten, der die benö- 

tigten Daten Schritt für Schritt abfragt. 




8.2.1.1 Schnittstelle bearbeiten 

Wenn Sie eine Schnittstelle erstellt haben, können Sie die erweiterten Einstellungen zu der 

Schnittstelle bearbeiten. Klicken Sie dazu auf die Schaltfläche mit dem Werkzeugschlüssel- 

symbol. 

Allgemein 

Abb. 25 Registerkarte Allgemein 

Im Feld Name kann der Name der Schnittstelle geändert werden. 

Aktivieren Sie die Checkbox DHCP, wenn die Schnittstelle die IP-Adresse vom 

DHCP Dienst beziehen soll. 

Mit der Checkbox Router Advertisement verschickt das Interface Advertisement 

an die Clients. Diese konfigurieren anhand dieser automatisch die default Route. 

Einstellungen 

Abb. 26 Registerkarte Einstellungen 

Stellen Sie Im Feld MTU die Maximum Transmission Unit der Schnittstelle ein. 

Entscheiden Sie im Feld Autonegotiation, ob die Schnittstelle mit anderen Geräten 

die maximale Übertragungsgeschwindigkeit automatisch aushandeln darf. 

Stellen sie im nächsten Feld die Geschwindigkeit der Schnittstelle ein. 

Stellen Sie bei Duplex ein, ob es sich bei der Schnittstelle eine Vollduplex oder eine 

Halbduplex Datenübermittlung benutzt. 




IP-Adressen 

Abb. 27 Registerkarte IP-Adressen 

Zonen 

Tragen Sie weitere IP-Adressen für die Schnittstelle ein, indem Sie die gewünschte 

IP-Adresse im unteren Feld eintragen. 

Tragen Sie den passenden Bitcount dazu ein. 

Klicken Sie dann auf Hinzufügen. 

Abb. 28 Registerkarte Zonen 

Wählen Sie die Zonen für die Schnittstelle, indem Sie auf die entsprechende Zone 

klicken. 

Möchten Sie mehrere Zonen auswählen, drücken Sie bei der Auswahl die Strg Taste 

bzw. die Ctrl-Taste. 




DynDNS 

Abb. 29 Registerkarte DynDNS 

QoS 

Wenn die Schnittstelle DynDNS benutzt aktivieren Sie dies, indem Sie ein Häkchen in 

die Checkbox setzen. 

Geben Sie den Hostnamen des Systems ein. 

Geben Sie den Benutzer und das Kennwort ein, dass Sie vom DynDNS Anbieter 

zugewiesen bekommen haben. 

Geben Sie im Feld Server den Server des Anbieters an. 

Geben Sie im Feld MX die Domäne für den E-Mail-Empfang an. 

Abb. 30 Registerkarte QoS 

Wählen Sie eine Datenraten Einstellung im Feld QoS, die Sie im Portfilter eingestellt 

haben. 




Fallback 

Auf dieser Registerkarte können Sie eine Hotstandby Abfrage konfigurieren. 

Abb. 31 Registerkarte Fallback 

Wählen Sie im Feld Fallback-Schnittstelle aus, über welche Schnittstelle die Aktivitätsabfragen 

geschickt werden soll. 

Im Feld Ping-check Host tragen Sie den Hostnamen oder die IP-Adresse des 

Hauptsystems ein. 

Wählen Sie im Feld Ping-check Intervall aus, wie groß der Abstand zwischen den 

einzelnen Abfragen sein soll. 

Wählen Sie im Feld Ping-check Threshold aus, wie viele Abfragen unbeantwortet 

bleiben dürfen, bis die andere Maschine als ausgefallen gilt. 




8.2.2 WLAN 

In der Registerkarte kann die Appliance als WLAN Access Point konfiguriert werden. 

Abb. 32 Registerkarte WLAN 

Klicken Sie auf WLAN Hinzufügen und geben Sie die abgefragten Daten ein. 

8.2.3 Routing 

Auf dieser Registerkarte können Sie Routeneinträge setzen. Damit legen Sie fest über wel- 

ches Gateway oder welche IP-Adresse ein Ziel erreicht wird. Der Standardeintrag (default 

route) ist, dass alle Ziele über das interne Gateway erreicht werden. 

Abb. 33 Registerkarte Routing 




Abb. 34 Route anlegen / bearbeiten 

Klicken Sie auf die Schaltfläche Route hinzufügen. 

Geben Sie eventuelle ein Netzwerk im Feld Quellnetzwerk ein. Dies ist nur nötig, 

wenn spezielle Routingeinträge für bestimmte Subnetze definiert werden sollen. 

Entscheiden Sie sich, ob über eine Gateway-IP oder eine Gateway-Schnittstelle 

geroutet werden soll. Geben Sie die Gateway-IP ein oder wählen Sie die Gateway- 

Schnittstelle aus. 

Geben Sie im Feld Zielnetzwerk das Netzwerk an, welches mit diesem Routingeintrag 

erreicht werden soll. 

8.2.4 DHCP 

Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk 

automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei- 

nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser 

übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des 

Standardgateways. 

Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und 

deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen Anwen- 

dungs. 

Abb. 35 Registerkarte DHCP 




Abb. 36 Netzwerkbereich festlegen 

Klicken Sie auf die Schaltfläche Pool Hinzufügen. 

Geben Sie einen Namen für den Pool ein. 

Abb. 37 zuständigen Router festlegen 

Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll. 

Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste 

Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit 

nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen 

für besondere Rechner, die feste IP-Adressen benötigen, vorhalten. 

Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die 

obere Grenze des Bereichs unter DHCP Pool Ende. 

Geben Sie im Feld Router die IP-Adresse des Standardgateway ein. 

8.2.5 DHCP-Leases 

Auf dieser Registerkarte können für Clients IP-Adressen reserviert werden. Der Client be- 

kommt bei der Anmeldung im Netzwerk dann immer die gleiche IP-Adresse zugewiesen. 

Abb. 38 Registerkarte DHCP Leases 




Abb. 39 DHCP Lease hinzufügen 

Klicken Sie auf die Schaltfläche Lease hinzufügen. 

Geben Sie im Feld Host einen Namen für den Client ein. 

Geben Sie im Feld Ethernet die Mac Adresse des Host ein. 

Tragen Sie im Feld IP die IP-Adresse ein, die für den Client reserviert werden soll. 

8.2.6 DHCP-Relay 

Ein DHCP Relay muss konfiguriert werden wenn der DHCP Server mehrere Subnetze ver- 

walten soll. Der Relay Dienst nimmt DHCP Anfragen von Clients entgegen und gibt diese an 

den zuständigen DHCP Server weiter. Antworten des Servers werden dann in das Subnetz 

des Clients zurückgereicht. 

Dies kann getrennt für IPv4 und IPv6 definiert werden. 

Abb. 40 Registerkarte DHCP Relay 



8 Netzwerk Zonen Securepoint 11 

8.3 Zonen 

Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter- 

faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von- 

einander abzugrenzen oder zu verbinden. 

Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen 

nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in 

der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone 

immer nur einem Interface zugeordnet werden kann. 

Abb. 41 Zonen und Interfacebindung 

Abb. 42 neue Zone anlegen 

Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die 

neue Zone ein. 

Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone 

zugeordnet werden soll. 

Klicken Sie auf Speichern, um die Änderungen zu übernehmen. 

Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der betreffenden 

Zone. 

Bestätigen Sie die Sicherheitsabfrage mit Löschen. 

Die Zone wird entfernt. 

Hinweis: Ein zugeordnetes Interface kann nach dem Anlegen in dieser Ansicht nicht mehr 

geändert werden. Möchten Sie der Zone ein anderes Interface zuordnen, benut- 

zen Sie im Menü Netzwerk den Unterpunkt Netzwerkkonfiguration. In der 

Registerkarte Schnittstellen können Sie die Zone für ein Interface bearbeiten. 



8 Netzwerk Netzwerk Werkzeuge Securepoint 11 

8.4 Netzwerk Werkzeuge 

Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der 

Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden. 

Registerkarte Funktion 

Route Zeigt die Routing Einträge der Appliance an. 

Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist 

Host Ermittlung der IP-Adresse(n) eines Host. 

Traceroute Der Weg der Datenpakete bis zum Zielrechner. 

8.4.1 Registerkarte Route 

Abb. 43 Routing Einträge der Appliance 

Klicken Sie auf Übertragen, damit die Routing Einträge angezeigt werden. 

Wenn Sie IP Version 6 verwenden und sich die entsprechenden Routing Einträge anzeigen 

möchten, aktivieren Sie vorher die Checkbox IPv6. 

8.4.2 Registerkarte Ping 

Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die 

Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und 

wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in 

diesem Zusammenhang auch als Pong bezeichnet). 




Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber 

auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist, 

dass er Pings nicht beantwortet. 

Abb. 44 Ergebnis des Ping Befehls 

Wählen Sie im Feld Quelle die IP-Adresse, von der das Ping Paket abgeschickt 

werden soll. 

Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Ziel ein. 

Klicken Sie dann auf Übertragen. 

Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die 

durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Außerdem 

wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen 

(Received) worden sind. 

Antwortet der Rechner nicht, erscheint die Meldung undefined. 

8.4.3 Registerkarte Host 

Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat. Es han- 

delt sich nur um eine Hostnamenauflösung. Die Umkehrung, von der IP auf den Hostnamen 

zu schließen, wird ebenfalls unterstützt. Benutzen Sie dazu den Abfrage Typ PTR. 




Abb. 45 DNS Abfrage 

Wählen Sie im Dropdownfeld Abfrage Typ einen Typ aus oder belassen Sie den 

Eintrag auf beliebig. 

Geben Sie im Feld Hostname einen Rechnernamen ein. 

Klicken Sie dann auf Ausführen. 

Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufgelistet. 

Abfrage Typ 

A Gibt die IPv4 Adresse zu dem Hostnamen aus. 

AAAA Gibt die IPv6 Adresse zu dem Hostnamen aus. 

PTR Gibt den Hostnamen zu einen abgefragten IP-Adresse aus. 

MX Mail Exchange 

Gibt den E-Mail-Server der Domain zurück. 

TXT Dieser Eintrag gibt den Text wieder, der beim DNS frei definierbar ist. Oftmals wer- 

den hier Daten von Anti-Spam-Techniken abgelegt (z.B. SPF). 

SOA Start Of Authority 

Gibt Zonen Details des DNS zurück (Zonenklasse, Seriennummer, Gültigkeitsdauer 

usw.). 

NS Gibt die Nameserver an, die für diese Zone zuständig sind. 




8.4.4 Registerkarte Traceroute 

Mit Traceroute kann der Weg der Datenpakete durch das Netzwerk verfolgt werden. Dabei 

werden die Vermittlungsstellen (Hops), die die Pakete passieren bis zum Zielhost angezeigt. 

Abb. 46 Anzeige der Hops bis zum Zielhost 

Geben Sie im Feld Ziel, eine IP-Adresse oder einen Hostnamen an. 

Wenn Sie eine IPv6 Adresse benutzen, aktivieren Sie die Checkbox IPv6. 

Klicken Sie auf Ausführen. 

Im Anzeigebereich, werden die Vermittlungsstellen, die ein Paket bis zum Ziel passiert 

aufgelistet. 



9 Menü Firewall Netzwerk Werkzeuge Securepoint 11 

9 Menü Firewall 

In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der 

Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech- 

nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet. 

Abb. 47 Dropdownmenü des Menüpunktes Firewall 


Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und zu Geräten 

angelegt. 

Implizite Regeln Dieser Punkt enthält Standardregeln, die Sie bei Bedarf aktivieren können oder 

von der Protokollierung ausnehmen können. 



9 Menü Firewall Portfilter Securepoint 11 

9.1 Portfilter 

Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen 

der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut- 

zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der 

eine bestimmte Regel betrifft, protokolliert wird. 

Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die 

den Datenverkehr erlaubt. 

Auf weiteren Registerkarten finden Sie die Punkte Netzwerkobjekte, Dienste, Zeitprofile und 

QOS (Quality Of Services). 

Abb. 48 Portfilter 

Die Regeln im Portfilter sind nach folgendem Schema aufgebaut: 


Quelle Von wo wird die Verbindung aufgebaut. Dies kann ein Host oder ein Netz sein. 

Ziel Wohin wird die Verbindung aufgebaut. Auch dies kann ein Host oder ein Netz sein. 

Dienst Definiert das Protokoll und/oder den Port oder die Ports, die die Verbindung benutzt. 

Aktion Legt fest, ob diese Verbindung erlaubt, verweigert oder zurückgewiesen wird. 

Zur besseren Übersicht können die Regeln in Gruppen zusammengefasst werden. 

Mit dem Werkzeugschlüsselsymbol am Ende der Zeile kann die jeweilige Regel bear- 

beitet werden. 

Mit dem Abfalleimersymbol am Ende der Zeile kann die jeweilige Regel gelöscht werden. 

Regeln und Regelgruppen können per „Drag and Drop“ verschoben werden. Dabei können 

Regeln auch von einer Gruppe in eine andere abgelegt werden. 




Diese Funktion ist wichtig, da die Regeln nacheinander abgearbeitet werden und daher die 

Reihenfolge der Regeln im Regelwerk relevant ist. 

Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht 

noch auf den Button Aktualisiere Regeln klicken. 

Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän- 

dern. 

9.1.1 Neue Regel anlegen 

Falls Netzwerkobjekte für Quelle und/oder Ziele der Verbindung noch nicht vorhanden sind, 

müssen diese vorher angelegt werden. Das gleiche gilt für Dienste, die von der Verbindung 


Abb. 49 Dialog zum ANlegen einer neuen Regel 

Klicken Sie im Portfilter auf die Schaltfläche Regel hinzufügen. 

Es erscheint der Dialog Regel hinzufügen. 

Wählen Sie im Bereich Allgemein die gewünschten Einstellungen aus. Folgende 

Eigenschaften sind vordefiniert: 

Die Regel ist aktiv. Soll die Regel nicht angewendet werden, deaktivieren Sie 

die Checkbox. 




Die Aktion der Regel ist ACCEPT (erlauben). Wenn die neue Regel die Datentransfer 

verbieten soll, wählen Sie als Aktion DROP oder REJECT. Bei der Aktion 

REJECT wird der Quelle die Fehlermeldung „Destination unreachable“ zurückgegeben. 

Logging-Typ ist NONE (keine Protokollierung). Sollten Sie eine Protokollierung 

wünschen, wählen Sie die Einstellung SHORT (Die ersten drei Pakete einer 

neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten drei 

Pakete der gleichen Verbindung geloggt.) oder LONG (Alle Pakete werden protokolliert.). 

Es ist keine Regelgruppe ausgewählt. Soll die Regel einer Regelgruppe angehören, 

wählen Sie eine bestehende Regelgruppe aus dem Dropdownfeld. Sollte 

die gewünschte Gruppe noch nicht existieren, Können Sie diese auch später im 

Portfilter anlegen und die Regel in die Gruppe verschieben. 

Markieren Sie in der Liste Quelle die Paketquelle. Benutzen Sie ggf. die Suchzeile 

über der Liste. 

Markieren Sie in der Liste Ziel das Ziel der Pakete. Benutzen Sie ggf. die Suchzeile 

über der Liste. 

Wählen Sie einen NAT Typ (Network Address Translation) aus. 

None: Diese Regel ist an keinem NAT Typ gebunden. 

Hide-NAT: Datenpakete dieser Regel werden mit der IP-Adresse des gewählten 

Interfaces versehen. 

Hide-NAT exclude: Die Datenpakete dieser Regel verwenden kein NAT, behalten 

somit die originalen IP-Adressen. Diese Funktion ist z.B. wichtig bei IP- 

SEC Verbindungen. 

Dest NAT: Bei dieser Adressumsetzung wird die Zieladresse von eingehenden 

Paketen ersetzt. Dies ist abhängig vom benutzten Dienst und Port. So können 

Serverdienste, die auf verschiedenen Computern laufen, unter einer IP-Adresse 

angesprochen werden. 

Wählen Sie einen Dienst welcher von der Verbindung benutzt wird, aus der Liste 

Dienst. 

Wenn Sie schon QOS (Quality Of Service) Einstellungen vorgenommen haben, können 

Sie eine Bandbreite auswählen. 

Haben Sie schon Zeitprofile eingestellt, können Sie die Geltung der Regel auf bestimmte 

Uhrzeiten und Tage begrenzen. 

Im Bereich Bemerkung können Sie eine Beschreibung der Regel oder Anmerkungen 

zur Regel angeben. 

Erstellen Sie die Regel mit der Schaltfläche Speichern. 

Hinweis: Beachten Sie, dass eine neue Regel erst in Kraft tritt, wenn die Schaltfläche 

Regeln aktualisieren gedrückt wurde. 




9.1.2 Regelgruppe anlegen 

Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln 

eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher 

zu gestalten. 

Abb. 50 Regelgruppe hinzufügen 

Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen. 

Es öffnet sich der Dialog Gruppe hinzufügen. 

Tragen Sie im Feld Name einen Namen für die neue Gruppe ein. 

Klicken Sie auf Hinzufügen. 

Die neue Gruppe wird im Portfilter an unterster Position angefügt. 

Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben. 

Bei der Erstellung einer neue Regel können Sie diese der Gruppe zuweisen. 

Sie können die Gruppe selbst ebenfalls per „Drag & Drop“ im Portfilter verschieben. 

9.1.3 Registerkarte Netzwerkobjekte 

Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces, 

VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil- 

ter genau bestimmt werden. 

Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter 




Wechsel Sie im Fenster Portfilter auf die Registerkarte Netzwerkobjekte. 

Hier sind alle bestehenden Netzwerkgruppen und Netzwerkobjekte aufgelistet. Die 

Tabellen können nach den Werten der verschiedenen Spalten geordnet werden. 

Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen 

Objektes positioniert. 

Über jeder Tabelle befindet sich ein Suchfeld, mit dem die jeweilige Liste durchsucht 

werden kann. 

Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkgruppen 

und neue Netzwerkobjekte angelegt werden. 

9.1.3.1 Netzwerkgruppe hinzufügen 

Eine Netzwerkgruppe dient dazu, thematisch zusammengehörige Netzwerkobjekte zusam- 

menzufassen. Dies hilft die Menge der Netzwerkobjekte zu strukturieren. 

Abb. 52 neue Netzwerkgruppe anlegen 

Um eine Gruppe anzulegen, gehen Sie wie folgt vor. 

Klicken Sie im linken Bereich Netzwerkgruppen auf die Schaltfläche Gruppe hinzufügen. 

Geben Sie im öffnenden Dialog den Namen der neuen Gruppe ein. 

Klicken Sie auf Speichern. 




9.1.3.2 Netzwerkobjekt hinzufügen 

Es können verschiedene Netzwerkobjekttypen definiert werden. Durch die verschiedenen 

Typen, können die Objekte genau definiert. Außerdem wird der Portfilter übersichtlicher, da 

jeder Typ ein eindeutiges Symbol hat. 

Beim Anlegen eines neuen Objektes variieren die Eingabemaske und/oder die Auswahlmög- 

lichkeiten in Abhängigkeit zum gewählten Typ. 

Typ Beschreibung 

Host Netzwerkobjekt für einen Rechner 

Netzwerk 

VPN Host 

VPN Netzwerk 

Netzwerkobjekt für ein Netzwerk oder Subnetz 

Netzwerkobjekt für einen Rechner in der Zone IPSec 

Netzwerkobjekt für ein Netzwerk in der Zone IPSec 

Statische Schnittstelle Netzwerkobjekt für ein Interface mit fester IP-Adresse 

Dynamische Schnittstelle Netzwerkobjekt für ein Interface mit dynamischer IP-Adresse 

Benutzer Netzwerkobjekt für einen Benutzer 

Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner. 

Klicken Sie im Portfilter auf der Registerkarte Netzwerkobjekte auf die Schaltfläche 

Objekt hinzufügen. Diese befindet sich unterhalb der Liste aller Netzwerkobjekte. 

Es öffnet sich der Dialog Netzwerkobjekt hinzufügen. 

Geben Sie im Feld Name einen Namen für das neue Objekt an. 

Wahlen Sie aus dem Dropdownfeld Gruppe eine bestehende Gruppe, zu der das 

Objekt zugefügt werden soll. Die Auswahl ist optional. 

Wählen Sie aus dem Dropdownfeld Typ die Art des Objekts. 

Wählen Sie aus dem Dropdownfeld Zone die Zone, in der sich das neue Objekt befindet. 

Geben Sie in dem Feld IP-Adresse die IP-Adresse und den Bitcount des Objekts 

an. Dies ist für Rechner, Netzwerke und statische Schnittstellen nötig. 

Wählen Sie aus dem Dropdownfeld Benutzer den Benutzer aus, für den das Objekt 

angelegt wird. Nur nötig beim Anlegen eines Netzwerkobjektes für einen Benutzer. 




9.1.4 Registerkarte Dienste 

Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der 

Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste 

benutzen. 

Die Liste der vordefinierten Dienste ist schon sehr umfassend, Sie können aber auch eigene 

Dienste hinzufügen, Dienste löschen oder bearbeiten. 

Abb. 54 Ansicht der Registerkarte Dienste 

Dienstgruppen werden im linken Fensterbereich angezeigt. Wenn Sie eine Dienstgruppe 

markieren, werden die Dienste, die in der Gruppe beinhaltet sind, in der oberen Liste auf der 

rechten Seite angezeigt. Hier können Sie Dienste aus der Gruppe entfernen oder Dienste zu 

der Gruppe hinzufügen. 

Zum Entfernen eines Dienstes suchen Sie den betreffenden Dienst aus der oberen Liste auf 

der rechten Seite. Klicken Sie in der betreffenden Zeile auf die Schaltfläche mit dem Minus- 

symbol. Der Dienst wird lediglich aus der Gruppe entfernt. Der Dienst ist für weitere Verwen- 

dungen noch im System gespeichert. 

Zum Hinzufügen suchen Sie in der unteren Liste auf der rechten Seite den gewünschten 

Dienst heraus. Klicken Sie in der Zeile des Dienstes auf die Schalfläche mit dem Plussymbol. 

Der Dienst wird der markierten Gruppe hinzugefügt. 




9.1.4.1 Hinzufügen einer Dienstgruppe 

In dem Bereich Dienstgruppen können sie mehrere Dienste zu einer Gruppe zusammenfas- 

sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin- 

zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden. 

Abb. 55 neue Dienstgruppe anlegen 

Klicken Sie unterhalb der linken Liste auf die Schaltfläche Gruppe hinzufügen. 

Im öffnenden Dialog geben Sie einen Namen für die Gruppe ein und klicken Sie auf 

Speichern. 

9.1.4.2 Neuen Dienst anlegen 

Sie können auch einen neuen Dienst nach Ihren Anforderungen anlegen. 

Abb. 56 Eingabemaske zum Anlegen eine Dienstes. Diese Abbildung zeigt alle möglichen Paramter an. 

Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll. 

Um eine neuen Dienst anzulegen, klicken Sie auf die Schalfläche Dienst hinzufügen 

unterhalb der unteren Liste im rechten Fensterbereich. 

Geben Sie im öffnenden Dialog einen Namen für den neuen Dienst an. 

Wählen Sie dann das gewünschte Protokoll aus dem Dropdownfeld. Es werden eine 

Vielzahl Protokolle angeboten. Je nach gewähltem Protokoll ändert sich die Eingabemaske. 

Die gebräuchlichsten Protokolle (tcp, udp und icmp) führen die Dropdownliste an. Alle 

weiteren sind alphabetisch geordnet. 




Tragen Sie die abgefragten Parameter ein und klicken Sie auf die Schaltfläche Speichern. 

Sie können den neu angelegten Dienst einer Gruppe hinzufügen. 

9.1.5 Registerkarte Zeitprofile 

Auf dieser Registerkarte können Sie Zeitprofile anlegen. Wenn Sie die Profile an eine Regel 

binden, wird der Geltungszeitraum der Regel beschränken. 

Abb. 57 Zeitprofil für Arbeitstage anlegen 

Erstellen Sie zuerst ein Zeitprofil. 

Klicken Sie unterhalb der linken Liste auf die Schaltfläche Zeitprofil hinzufügen. 

Geben Sie im erscheinenden Dialog einen Namen für das Profil ein und klicken Sie 

auf Speichern. 

Wählen Sie jetzt die Zeiten für die Gültigkeit des Profils aus. 

Markieren Sie in der linken Liste das Profil, für welches Sie Zeiten auswählen möchten. 

Markieren Sie jetzt im rechten Fenster an welchen Wochentagen und Zeiten das Profil 

eine Regel freigibt. 

Neben- und untereinander liegende Tabellenzellen können Sie mit markieren, indem 

Sie die linke Maustaste gedrückt halten und die Maus zur gewünschten Tabellenzelle 

ziehen. 

Möchten Sie Zellen markieren, die nicht zusammenhängen, halten Sie bei der Markierung 

die Strg Taste (ctrl auf englischen Tastaturen) gedrückt. 




9.1.6 Registerkarte QOS 

Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra- 

tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden 

und eingehenden Datenverkehr möglich. 

Abb. 58 QoS grafisch dargestellt 

Abb. 59 QoS anlegen 

Klicken Sie auf die Schaltfläche QoS hinzufügen, um eine neue Limitierung oder 

Zusicherung anzulegen. 

Geben Sie im Feld Name eine Bezeichnung für den neuen Eintrag an. 

Wählen Sie im Dropdownfeld Parent in welcher Ebene der Baumstruktur der neue 

Eintrag eingefügt werden soll. Wenn kein Parent gewählt wird, wird der Eintrag auf 

der höchsten Ebene eingetragen. 

Tragen Sie in der Feldern Min und Max die minimale und maximale Datenrate in 

kbit/s an (Werte können auch gleich sein). 

Fügen Sie durch Speichern den neuen Eintrag hinzu. 



9 Menü Firewall Implizite Regeln Securepoint 11 

9.2 Implizite Regeln 

Für verschiedene Systemdienste und VPN-Verbindungen sind ab Werk Regeln vordefiniert. 

In diesem Bereich können diese bei Bedarf aktiviert werden. Diese werden dann auch von 

der Protokollierung ausgenommen. 

Silent Service Accept 

BOOTP steht für Bootstrap Protocol. Mit diesem Protokoll können im TCP/IP Netzwerk ein- 

fache Netzwerkparameter übermittelt werden. 

Abb. 60 Bootstrap Protocol zulassen 

Über die Checkboxes hinter dem Systemdienst kann die der Dienst zugelassen und 

die Protokollierung deaktiviert werden. 

Setzen Sie dazu das Häkchen in die Checkbox. 

9.2.1 Silent Services Drop 

Die NetBIOS Funktionen zur paket- und verbindungsorientierter Kommunikation sowie zur 

Namensauflösung können hier geblockt werden. Die Meldungen dazu werden dann von der 

Protokollierung ausgeschlossen. 

Abb. 61 NetBIOS Dienste blockieren 

Aktivieren Sie die Checkbox des Dienstes, den Sie blocken möchten. 

Wenn Sie die Checkbox in der Titelleiste aktivieren, werden alle Einträge geblockt. 




9.2.2 IPSec Traffic 

Diese Registerkarte betrifft den Datenverkehr von IPSec VPN Verbindungen. Sie können 

hier jeglichen Nutzdatenverkehr zulassen und von der Protokollierung ausnehmen. 

Abb. 62 Datenverkehr im IPSec Tunnel 

Aktivieren Sie die Checkbox um den Nutzdatenverkehr zuzulassen. 

Gleichzeitig wird die Protokollierung zu diesem Datenverkehr ausgeschaltet. 

9.2.3 IPSec HideNAT 

Hier können Sie alle IPSec Verbindungen von der Adressumsetzung ausnehmen. 

Abb. 63 NAT für IPSec Verbindungen ausschalten 

Aktivieren Sie die Checkbox, um NAT-Einstellungen für IPSec-Verbindungen nicht 

anzuwenden. 




9.2.4 VPN 

Hier sind vordefinierte Regeln aufgelistet, für Protokolle und Dienste, die zum Aufbau und 

Betrieb von VPN Verbindungen benötigt werden. 

Abb. 64 vordefinierte VPN Regeln 

Über die Checkboxes hinter den Regeln können diese aktiviert oder deaktiviert werden. 

Wenn ein Häkchen in der Checkbox der Überschriftzeile gesetzt wird, dann sind alle 

aufgelisteten Regeln aktiviert. 

Zugelassene Protokolle und Dienste werden von der Protokollierung ausgenommen. 



10 Menü Anwendungen Implizite Regeln Securepoint 11 

10 Menü Anwendungen 

Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und Reverse Proxy sowie die 

Einstellungen für das IDS und den Nameserver, für das Mail Relay und den SPAM-Filter 

zusammengefasst. Außerdem kann der Status der Dienste gewechselt werden. 

Abb. 65 Dropdownmenü Dienste 


HTTP-Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und Filterung von 

Internetadressen und Webseiteninhalten. 

Reverse-Proxy Lastverteilung und Bandbreitenmanagement für interne Server. 

POP3-Proxy Allgemeine Einstellungen für den POP3 E-Mail Proxy. 

Mailrelay Einstellungen für den Mail Server. 

Mailfilter Einstellungen des Spamfilters. 

VoIP-Proxy Einstellungen für den Voice over IP Proxy. 

IDS Auswahl der Signaturregeln des Intrusion Detection Systems. 

Nameserver Einstellungen zu DNS Funktionen. 

Anwendungsstatus 

Aktivieren, Deaktivieren und Neustart von Diensten. 



10 Menü Anwendungen HTTP Proxy Securepoint 11 

10.1 HTTP Proxy 

Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er 

filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei- 

en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus 

dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als 

eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen- 

über als Client. 

10.1.1 Allgemein 

Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht. 

Abb. 66 Registerkarte Allgemein des HTTP-Proxys 

Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080. 

Wenn Sie eine Ausgangsadresse bestimmen möchten, tragen die gewünschte IP- 

Adresse ein im Feld Ausgangsadresse ein. 

Wenn Sie die DNS Namensauflösung für das Internet Protokoll Version 4 bevorzugen, 

Aktivieren Sie die Checkbox IPv4 DNS lookups preferred. 

Wählen Sie eine Authentifizierungsart. 

Keine keine Authentifizierung erforderlich 

Basic Authentifizierung gegen die lokale Nutzerdatenbank 

NTLM Authentifizierung gegen den NT LAN Manager 

(Active Directory) 

LDAP Authentifizierung über das AD des Netzwerkes 

Radius Authentifizierung gegen einen Radius Server 




Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei enable 

Forwarding. 

Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy 

ein und dessen Port unter Übergeordneter Proxy Port. 

Tragen Sie zur Authentifizierung am übergeordneten Proxy den Nutzernamen und 

das Kennwort in den Feldern Parent Proxy User und Parent Proxy Password 

ein. 

10.1.2 Virusscan 

Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos- 

sen werden sollen. Außerdem können Sie entscheiden, welchen Virenscanner Dienst sie 

benutzen möchten. 

Abb. 67 Registerkarte Virusscan des HTTP-Proxy 

Sie können die Virensuche ganz deaktivieren, indem Sie beim Feld Virusscan aktivieren 

das Häkchen aus der Checkbox entfernen. 

Entscheiden Sie in der Dropdownbox Virusscan engine, ob Sie den Commtouch 

Scan Deamon oder den Clam AV Dienst benutzen möchten. 

Legen Sie im Feld Maximum scan size limit die maximale Größe des Scanobjekts 

an. Die Angabe erfolgt in Megabytes. 

Geben Sie im Feld Tickle time die Zeit an, die der Scan andauern darf. Die Angabe 

erfolgt in Sekunden. 

Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden. 

Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag löschen. 

Sie können Einträge hinzufügen, indem Sie die Schaltfläche Add MIME Type unter 

der Liste betätigen. 




Wählen Sie im erscheinenden Dialog einen MIME Type aus dem Dropdownfeld 

aus. Ein Eintrag besteht aus der Art der Datei und der Dateiendung getrennt durch 

einen Slash. Ein Stern an der Stelle der Endung schließt alle eingetragenen Endungen 

ein. 

Sie können auch selbst einen MIME Type definieren. Klicken Sie auf die Schaltfläche 

Add MIME Type und im neuen Dialog auf die Schaltfläche mit dem Stiftsymbol. 

Definieren Sie die Kategorien gefolgt von einem Slash und der Dateiendung. Bestätigen 

Sie die Eintragung mit der Schaltfläche Speichern. 

Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden. 

Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag löschen. 

Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite eingeben 

und dann auf die Schaltfläche Add Regex betätigen. 

Es wird ein Regulärer Ausdruck erwartet. Für die Erstellung Regulärer Ausdrücke lesen 

Sie bitte weiterführende Literatur. 

10.1.3 Bandbreite 

Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer 

beschränken. 

Abb. 68 Registerkarte Bandbreite im HTTP-Proxy 

Entscheiden sie im Dropdownfeld Bandwidth limiting policy, ob Sie die Bandbreiten 

Kontrolle deaktivieren (None), Die Bandbreite global Beschränk werden soll (Limit 

total bandwidth) oder ob Sie die Bandbreite pro Rechner beschränken (Limit 

bandwidth per host). 

Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global bandwidth. 

Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Per host bandwidth. 

Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der globale 

Wert noch nicht ausgeschöpft ist. 




10.1.4 Application Blocking 

Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro- 

gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden. 

Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die 

Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter- 

net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom- 

munikation zu unterbinden. 

Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit 

dem letzten Eintrag Andere IMs werden andere Messaging Programme, die nicht in der 

Liste aufgeführt sind, gesperrt. 

Abb. 69 Messaging Anwendungen blocken 

Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die 

jeweilige Checkbox. 

Klicken Sie dann auf Speichern. 




10.1.5 SSL-Interception 

Die SSL-Interception fängt SSL verschlüsselte Datenströme ab und macht den Inhalt z.B. für 

den Virenscanner sichtbar. Dies verhindert, dass Schadcode und Viren in SSL- 

verschlüsselten Paketen ins interne Netzwerk gelangen. Die SSL-Interception macht sich 

das Proxy System zunutze. Es steht zwischen den beiden Endpunkten der SSL Datenströme 

und handelt einerseits mit dem Client eine Verschlüsselung aus und andererseits eine Ver- 

schlüsselung mit dem Server. Der Client verschlüsselt die Daten die Appliance entschlüsselt 

und überprüft diese. Danach werden diese wieder verschlüsselt und an den Server ge- 

schickt. Das Gleiche geschieht auf dem Weg vom Server zum Client. Wird Schadcode oder 

nicht akzeptierter Content festgestellt, wird die Verbindung unterbrochen. 

Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy 

Sie aktivieren die SSL-Interception, indem Sie ein Häkchen in die Checkbox Enable 

SSL-Interception setzen. 

Wählen Sie im Dropdownfeld Certificate ein Zertifikat für die Schlüsselaushandlung 

aus. 

Die Checkbox Enable no verification list aktiviert die Liste der nicht geprüften 

Zertifikate. Diese Liste enthält Zertifikate, denen nicht vertraut wird. Diese Einträge 

werden durch reguläre Ausdrücke definiert. 

Die Checkbox Enable exception list aktiviert die Ausnahme Liste. Diese beinhaltet 

Ausnahmen für nicht vertrauenswürdig eingestufte Zertifikate. Die Ausnahmen werden 

mit regulären Ausdrücken definiert. 

Die Checkbox Enable peer verification aktiviert die Prüfung, ob das Zertifikat der 

Gegenstelle gültig ist. 




10.1.6 Webfilter 

Der Webfilter gibt Ihnen die Möglichkeit Benutzergruppen oder Netzwerke den Zugang zu 

bestimmten Internetinhalten zu verwehren oder zu gewähren. 

Sie haben die Möglichkeit verschiedenen Nutzergruppen anzulegen und diesen definierten 

Zugangsregeln zuzuweisen. 

10.1.6.1 Options 

Abb. 71 Webfilter deaktiviert 

Zuerst müssen Sie den Webfilter aktivieren. 

Im HTTP-Proxy Fenster, auf der Registerkarte Webfilter finden Sie die Registerkarte 

Options. 

Aktivieren Sie die Checkbox Enable Webfilter. 




10.1.6.2 Profile 

Auf der Registerkarte Profile werden die verschieden Filterregeln verwaltet. Es werden die 

verwendeten Netzwerke und Benutzergruppen angezeigt und deren zugefügten Filteroptio- 

nen. Der Rang der Profile entscheidet über die Abarbeitung der Filter. 

Abb. 72 Registerkarte Profiles des Webfilters 

Profil hinzufügen 

Abb. 73 Profil erstellen 

Klicken Sie in der Registerkarte Profile auf die Schaltfläche Add Profile. 

In dem öffnenden Dialog wählen Sie im Bereich Allgemein eine Gruppe aus dem 

Dropdownfeld Netzwerk oder Benutzergruppe. Die aufgelisteten Gruppen sind 

die Gruppen aus der Benutzerverwaltung. Jede Gruppe kann nur einmal ausgewählt 

werden. 




Vergeben Sie dann Filteroptionen. 

Wählen Sie in der Dropdownbox Ruleset einen definierten Filter, der auf diese 

Gruppe angewendet werden soll. 

Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen. 

Sie können mehrere Filter auswählen. 

In der Tabelle können Sie Filter aktivieren, deaktivieren, den Rang einstellen und 

wieder aus dem Profil löschen. 

Klicken Sie abschließend auf Speichern. 

10.1.6.3 Rulesets 

In dieser Registerkarte sind die Filter aufgelistet. Zu jedem Filter sind die gewählten Regeln 

aufgelistet. Über die Schaltfläche mit dem Werkzeugschlüsselsymbol können die Filter bear- 

beitet werden. 

Filter angelegen 

Klicken Sie auf die Schaltfläche Add Ruleset. 

Geben Sie in dem öffnenden Dialog einen Namen für den neuen Filter ein und klicken 

Sie auf Speichern. 

Dieser Filter wird in der Tabelle abgelegt. Dem Filter müssen jetzt noch Regeln übergeben 

werden. 




Filter bearbeiten 

Der neu angelegte Filter ist noch nicht mit Regeln ausgestattet. 

Abb. 74 Dialog zum Erstellen von Filterregeln 

Um dem Filter Regeln hinzuzufügen, klicken Sie auf der Registerkarte Ruleset auf 

den Werkzeugschlüssel des gewünschten Filters. Es öffnet sich der Dialog Filter 

bearbeiten. 

Unter dem Namen des Filters befindet sich die Checkbox Block access. Wenn Sie 

diese Checkbox aktivieren, wird der Filter den Webzugang gänzlich sperren. 

Im Bereich Time können Sie die Gültigkeit des Filters auf bestimmte Tage und Uhrzeiten 

beschränken. 

Aktivieren Sie dazu die Checkbox Enable. 

Wählen Sie mit den Feldern Startzeit und Endzeit einen Zeitbereich zu dem der Filter 

gelten soll. 

Zusätzlich können Sie die Gültigkeit auf bestimmte Wochentage begrenzen. Aktivieren 

Sie die Checkboxes für die gewünschten Wochentage. 

Sie können die stufe für die Safe-Search Funktion auswählen. 

off: Keine Filterung von nicht jugendfreien Inhalten. 

strict: Es werden eindeutige nicht jugendfreie Seiten und Seiten die Links 

auf nicht jugendfreie Inhalte enthalten könnten gefiltert. 

moderate: Es werden nur eindeutig nicht Jugendfreie Seiten gefiltert. 

Wenn die Option Resolve URL-Shortener ausgewählt wird, wird versucht, die 

durch einen Dienst gekürzte URL auf die ursprüngliche URL zurückzuführen. 




Im Bereich Regeln können Sie blacklist und whitelist Regeln anlegen. Eine blacklist 

beinhaltet Seiten die gesperrt werden sollen und eine whitelist enthält Seiten die zugelassen 

werden sollen. Die Seiten die zugelassen, bzw. gesperrt werden, können direkt 

durch die Eintragung einer Internetadresse (URL) definiert werden. Es kann aber 

auch der Securepoint Contentfilter benutzt werden. 

Wählen Sie im Dropdownfeld Action die gewünschte Filteraktion aus. 

blacklist-url: Sperrliste mit genau definierten Internetadressen. 

whiteliste-url: Zulassungliste mit genau definierten Internetadressen. 

blacklist-cat: Sperrliste über Kategorien des Securepoint Contentfilter. 

whitelist-cat: Zulassungsliste über Kategorien des Securepoint Contentfilter. 

Bei einer URL Aktion müssen Sie die Internetadresse, die zugelassen oder gesperrt 

werden soll, eintragen. 

Bei Nutzung der Kategorien wählen Sie eine Kategorie aus dem rechten 

Dropdownfeld. 

Fügen Sie die Regeln zum Filter hinzu, indem Sie auf das Plussymbol klicken. 

In der Tabelle können Sie den Rang der Regeln verändern und gewählte Regeln 

auch wieder löschen. 




10.1.7 Transparent Mode 

Wird der transparente Modus des HTTP-Proxy aktiviert, ist für die Benutzer nicht ersichtlich, 

dass die Verbindung über einen Proxy geleitet wird. Die Benutzer müssen auch keine Proxy 

Einstellungen an Ihren Anwendungen vornehmen. 

Der transparente Modus des Proxy kann auf verschiedene Netze angewendet werden. 

Abb. 75 transparenter Modus des HTTP-Proxy 

Klicken Sie auf die Schaltfläche Add Transparent Rule. 

Abb. 76 transparenten Modus einrichten 

Geben Sie den Typen für den transparenten Modus ein. 

INCLUDE bedeutet, dass der transparente Modus angewendet wird. 

EXCLUDE bedeutet, dass der transparente Modus explizit nicht angewendet wird. 

Bestimmen Sie nun für welche Datenverbindungen diese Regel eingerichtet wird. 

Wählen Sie im Feld Source von wo die Datenverbindung aufgebaut wird. 

Wählen Sie im Feld Destination wohin die Datenverbindung aufgebaut wird. 

Beenden Sie die Einstellungen mit Speichern. 



10 Menü Anwendungen Reverse Proxy Securepoint 11 

10.2 Reverse Proxy 

Bei externen Anfragen an Server im internen Netz tritt der Reverse Proxy als Vermittlungs- 

stelle auf. Der Reverse Proxy hat dabei die gleichen Aufgaben wie der HTTP-Proxy aller- 

dings in anderer Richtung. Der Proxy steuert durch Access Control List (ACL) den Zugriff auf 

interne Webserver und kann eine Lastverteilung (Load Balancing) und Bandbreitenbe- 

schränkung vornehmen. 

10.2.1 Servergruppen 

Interne Webserver können in Servergruppen zusammengefasst werden. Server müssen da- 

für als Netzwerkobjekte definiert sein. 

Abb. 77 Registerkarte Servergruppen 

Abb. 79 Server zur Gruppe hinzufügen 

Abb. 78 Servergruppe anlegen 

Klicken Sie auf der Registerkarte Servergruppen auf die Schaltfläche Servergruppe 

hinzufügen. 

Im erscheinenden Dialog Servergruppe hinzufügen tragen Sie zunächst im Feld 

Name einen Namen für die neue Servergruppe ein. 

Um die Gruppe mit Serverobjekten zu füllen, klicken Sie auf die Schaltfläche Server 

hinzufügen. 

Im erscheinenden Dialog Server hinzufügen wählen Sie einen Server aus dem 

Feld Netzwerkobjekt. Der Server muss zuvor als Netzwerkobjekt definiert worden 

sein. 

Wählen Sie den Port, den der Server verwendet. 




Ist eine Anmeldung notwendig, geben Sie eine Anmeldenamen und ein Kennwort 

ein. 

Klicken Sie auf hinzufügen. 

Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Server erfasst haben. 

10.2.2 ACL Sets 

Mit den Access Control Lists können Sie Zugriffe auf die angebotenen Dienste eingrenzen. 

Abb. 80 Registerkarte ACL Sets 

Abb. 82 ACL Argument definieren 

Abb. 81 ACL Set anlegen 

Klicken Sie auf der Registerkarte ACLSets auf die Schaltfläche ACLSet hinzufügen. 

Im erscheinenden Dialog ACLSet hinzufügen geben Sie im Feld Namen einen 

Namen für das neue ACLSet ein. 

Um das Set zu füllen müssen neue ACLSets definier werden. 

Klicken Sie deshalb auf die Schaltfläche ACL hinzufügen. 

Wählen Sie im Dialog ACL hinzufügen einen Typ nachdem der Zugriff gefilter wird. 

req_header Request Header 

Header des Anfrage Packets. 

src Source 

Quelle der Anfrage. 

dstdomain Destination Domain 

Ziel Domäne der Anfrage. 




srcdomain Source Domain 

Quell Domäne der Anfrage. 

srcdom_regex Source Domain Regulare Expression 

Regulärer Ausdruck für die Quell Domäne. 

proto Protocol 

Benutztes Protokoll der Anfrage. 

time Time 

Zeit der Anfrage. 

Geben Sie dann einen passenden Begriff im Feld Argument ein. 

Klicken Sie auf hinzufügen. 




10.2.3 Sites 

Auf der Registerkarte Sites werden Bandbreitenbegrenzung und Lastverteilung für die Server 

vorgenommen. 

Abb. 83 Registerkarte Sites 

Abb. 85 ACL Set definieren 

Abb. 84 Site anlegen 

Klicken Sie auf der Registerkarte Sites auf die Schaltfläche Site hinzufügen um 

eine Bandbreitenbeschränkung und Lastverteilung anzulegen. 

Im erscheinenden Dialog Site hinzufügen geben Sie zunächst einen Namen im 

Feld Domain name ein. 

Wählen Sie im Feld Servergruppe eine Gruppe, die auf der Registerkarte Servergruppen 

angelegt wurde. 

Definieren Sie im Feld Site-Bandbreite die Bandbreite für die gesamte Site. Maximal 

sind 1000 kbit/s zulässig. 

Definieren Sie im Feld Client-Bandbreite die Bandbreite, die einen Client gewährt 

wird. 

Wählen Sie im Feld Lastverteilung die Methode der Lastverteilung aus. 

round-robin Jeder Client bekommt eine kurze Zeitspanne 

den Zugriff. 

weighted-round-robin Jeder Client bekommt für eine kurze Zeitspanne 

den Zugriff. Allerdings ist diesmal das Verfahren 

gewichtet und einige Clients werden öfter bedient. 

userhash Hash aus dem username. 




sourcehash Hash aus der Quell IP. 

Sie können nun noch ein ACLSet hinzufügen. Klicken Sie dazu auf die Schaltfläche 

ACLSet hinzufügen. 

Wählen Sie im Feld ACLSet eins aus. Diese werde auf der Registerkarte ACLSets 

angelegt. 

Entscheiden Sie bei Aktion ob bei Zutreffen des ACLSets der Zugriff erlaubt (allow) 

oder verweigert (deny) wird. 

Im Feld Aktiviert entscheiden Sie, ob dieses Set aktiviert werden soll oder deaktiviert. 

Klicken Sie dann auf hinzufügen. 

Beenden Sie das Anlegen der Site mit Speichern. 

10.2.4 Einstellungen 

Auf dieser Registerkarte werden die allgemeinen Einstellungen für den Reverse Proxy ge- 

setzt. 

Abb. 86 allgemeine Einstellungen für den Reverse Proxy 

Wählen Sie im Feld Modus aus, ob Sie den Reverse Proxy nur für das Protokoll 

HTTP oder das Protokoll HTTPS oder für beide einsetzen möchten. 

Geben Sie im Feld Proxy Port den Port des Proxy an. 

Im Feld SSL-Proxy Port geben Sie den Port an, der für die SSL verschlüsselten 

Verbindungen benutzt wird. 

Im Feld SSL-Zertifikat wählen Sie ein Zertifikat für die Verschlüsselung aus. 



10 Menü Anwendungen POP3 Proxy Securepoint 11 

10.3 POP3 Proxy 

Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber 

die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter- 

sucht und an den E-Mail-Client weitergegeben. 

Abb. 87 POP3 Proxy 

Abb. 88 transparente Regel anlegen 

Setzen Sie ein Häkchen in die Checkbox Enable Mailfilter, um diesen zu aktivieren. 

Setzen Sie ein Häkchen in die Checkbox Enable TLS, um die TLS Verschlüsselung 

zu aktivieren. 

Klicken Sie auf die Schaltfläche Add Transparent Rule, um eine neue Regel für 

den transparenten Proxy anzulegen. 

Wählen Sie im öffnenden Dialog einen Typ für die neue Regel. 

INCLUDE wird den transparenten Proxy für die gewählte Verbindung anwenden. 

EXCLUDE wird den transparenten Proxy für die gewählte Verbindung nicht anwenden. 

Wählen Sie eine Quelle, von der die POP3 Anfragen kommen. 

Wählen Sie ein Ziel wohin die Anfragen weitergeleitet werden. 

Sichern Sie Ihre Einstellungen mit Speichern. 



10 Menü Anwendungen Mailrelay Securepoint 11 

10.4 Mailrelay 

Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt. 

Abb. 89 Registerkarten des Mailrelays 


Allgemein Grundeinstellung für Mailfilter, Postmaster Adresse und E-Mail -Größe 

Smarthost 

Relaying Angabe der erlaubten Relaying Hosts bzw. Domains. 

SMTP Routen Die SMTP Routen bestimmen, welcher Mailserver für eine Domain zuständig ist. 

Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden E-Mails 

mit einer unbekannten Kombination von Mailserver, Absender- und Empfänger- 

adresse mit einer Fehlermeldung abgewiesen. Der entfernte Mailserver wird im 

Gegensatz zu einem „Spamserver“ versuchen, die E-Mail ein weiteres Mal zuzu- 

stellen. Diesmal wird die E-Mail angenommen, da die Kombination der Kommu- 

nikationsdaten schon bekannt ist. 

Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine 

andere umgeschrieben wird. 

Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den Server vor 

Spammails und Angriffen schützen. 





Hier werden grundlegende Eigenschaften des Mailrelays eingestellt. 

Abb. 90 Registerkarte Allgemein des Mailrelay 

Entscheiden Sie, ob der Mailfilter im Mailrelay verwendet werden soll. Ist dies der Fall 

aktivieren Sie die Checkbox Enable Mailfilter. 

Im Feld Postmaster Address ist die E-Mail-Adresse des E-Mail-Administrators 

einzutragen. 

Im Feld Maximum message size können Sie die Größe der E-Mails begrenzen 

(Angabe in MB). 

10.4.2 Smarthost 

Ein Smarthost muss angegeben werden, wenn der Server die E-Mails nicht direkt versenden 

soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails weiterge- 

leitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem Mailserver. 

Abb. 91 Registerkarte Smarthost 

Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost aktivieren. 

Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld 

Smarthost ein. 

Geben Sie im Feld Port den Port des Smarthost ein (Der Standardport ist 25). 




Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox Authentisierung 

aktivieren. 

Tragen Sie in den Feldern Benutzer und Passwort Ihren Nutzernamen und Ihr 

Kennwort ein. 

10.4.3 Relaying 

Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder 

Domains verfahren wird. 

Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht 

werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E- 

Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden. 

Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die 

angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt. 

Abb. 92 Registerkarte Relaying 

Abb. 93 Domain hinzufügen 

Um eine Domain oder einen Host hinzuzufügen, klicken Sie auf den Button Domain/Host 

hinzufügen. 

Es öffnet sich der Dialog Domain/Host hinzufügen. 

Im Feld Domain geben Sie den Domainnamen, den Hostnamen oder die Host-IP- 

Adresse ein. 

Wählen Sie unter Option zwischen None, To, From und Connect. 

Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK 

(E-Mail annehmen). 


Setzen Sie ein Häkchen in die Checkbox SMTP Authentifizierung für lokale 

Benutzer aktivieren, um die SMTP Authentifizierung zu nutzen. 




Wählen Sie im Feld CA eine CA aus und im Feld Zertifikat ein Zertifikat. Mit diesen 

wird der Datenverkehr verschlüsselt. 

10.4.4 SMTP Routen 

Mit SMTP Routen wird bestimmt, welcher Mailserver für eine Domain zuständig ist. 

Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger 

nicht existiert, ablehnt. 

Abb. 94 Registerkarte SMTP Routen 

Um eine Route für einkommende E-Mails anzulegen, klicken Sie auf die Schaltfläche 

SMTP-Routing hinzufügen. 

Geben Sie im erscheinenden Dialog im Feld Domain den Domänennamen an. 

Geben Sie im Feld Mailserver die IP-Adresse oder den Hostnamen des Mailservers 

ein, der die Mails verarbeiten soll. 

Wählen Sie zur Adressprüfung einen Wert aus dem Feld E-Mail-Adresse überprüfen. 

aus E-Mail-Adressen werden nicht überprüft. 

SMTP Der SMTP Server prüft die Existenz der Adressen. 

LDAP Adressprüfung gegen das LDAP Verzeichnis. 

Lokale E-Mail-Adressliste Die Prüfung erfolgt gegen die lokale 

E-Mail-Adressliste. 

Diese kann über die Schaltfläche Lokale E-Mail-Adressliste bearbeiten 

eingesehen und editiert werden. 




10.4.5 Greylisting 

Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver- 

sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht 

versuchen die E-Mail ein weiteres Mal zuzustellen. 

Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse 

des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell- 

versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent- 

fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden. 

Diesmal wird die E-Mail angenommen. 

Abb. 95 Greylisting Einstellungen im unteren Fensterbereich 

Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen. 

Stellen Sie in Automatisches Whitelisting nach ein, wie lange die Kombination 

der Versanddaten gespeichert werden, wenn eine E-Mail durch den zweiten Versand 

zugestellt wurde. 

Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversuchen 

liegen müssen. 




10.4.5.1 Whitelist IP/Netzwerke 

In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen 

und schon beim ersten Zustellversuch weitergeleitet werden. 

Im Bereich IP / Netzwerke können Sie E-Mails von bestimmten IP-Adressen und Netzwer- 

ken vom Greylisting ausnehmen. 

Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden. 

Klicken Sie auf die Schaltfläche IP / Netzwerk hinzufügen. 

Tragen Sie im Feld IP / Netzwerk die IP-Adresse ein und ändern Sie den Bitcount 

nach Ihren Bedürfnissen. 





10.4.5.2 Whitelist Domains 

Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen. 

Angaben werden nur in Second- und Top-Level-Domain vorgenommen. 

Abb. 97 Domains, die vom Greylisting ausgenommen werden. 

Klicken Sie auf die Schaltfläche Domain hinzufügen. 

Tragen Sie die gewünschte Domain im Feld Domain ein. 


Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die 

Domain des Hosts, der die E-Mail versenden möchte. 




10.4.5.3 Whitelist Empfänger 

E-Mail an bestimmte Empfänger vom Greylisting ausnehmen. 

Abb. 98 Empfänger, die vom Greylisting ausgenommen werden. 

Klicken Sie auf die Schaltfläche Empfänger hinzufügen. 

Tragen Sie die gewünschte E-Mail-Adresse im Feld Empfänger ein. 


10.4.5.4 Whitelist Absender 

E-Mails von definierten Absendern werden vom Greylisting ausgenommen. 

Abb. 99 Absender, die vom Greylisting ausgenommen werden. 

Klicken Sie auf die Schaltfläche Absender hinzufügen. 

Tragen Sie die gewünschte Absender E-Mail-Adresse in das Feld Absender ein. 





10.4.6 Domain Mapping 

Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge- 

schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse 

geändert wird. 

Zum Beispiel lautet die einkommende E-Mail-Adresse info@securepoint.de und soll umge- 

wandelt werden in info@securepoint.cc. 

Abb. 100 Ändern der Domain 

Klicken Sie auf die Schaltfläche Domain Mapping hinzufügen. 

Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein. 

Geben Sie im Feld Ziel Domain die neue Domain ein. 





10.4.7 Erweitert 

Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha- 

nismen vor Spam schützt. 

Abb. 101 Einstellung, die Spam-E-Mails abwehren 

10.4.7.1 Greeting Pause 

Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf 

eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle. 

Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese 

werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö- 

hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser- 

vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld 

abgewehrt. 

Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen 

Sie dafür die Schaltfläche Ausnahmen und tragen die IP-Adresse oder den Hostnamen 

des Mailservers ein. 




10.4.7.2 HELO 

Mit der Meldung HELO sendet der Client seinen Namen an den Mailserver. Clientanfragen, 

die sich nicht an diesen Standard halten, können mit dieser Einstellung abgewiesen werden. 

10.4.7.3 Recipient Flooding 

So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs- 

daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier- 

ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt. 

Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen- 

sammler. 

10.4.7.4 Empfängerbeschränkung 

Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail. 

10.4.7.5 Verbindungslimit 

Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli- 

ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell 

zur Appliance aufgebaut werden. 

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung 

nicht gilt. 

10.4.7.6 Rate Kontrolle 

Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines 

Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra- 

gen. 

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung 

nicht gilt. 



10 Menü Anwendungen Mailfilter Securepoint 11 

10.5 Mailfilter 

Der Spamfilter der neuen Version setzt sich aus dem Commtouch Spamfilter, dem 

Securepoint Contentfilter und einem URL Filter. 

10.5.1 Filterregeln 

Über die Filterregeln wird entschieden, wie mit erkannten Spam-E-Mails und E-Mails, die 

einen Virus enthalten, verfahren wird. Dabei werden die Protokolle SMTP und POP3 unter- 

schieden. 

Abb. 102 Filterregeln 

Die gängigsten Filterregeln sind schon vordefiniert. Nach eigenen Bedürfnissen können die- 

se Regeln bearbeitet werden und neue Regeln erstellt werden. 




10.5.1.1 Neue Filterregel erstellen / Filterregel bearbeiten 

Abb. 103 Dialog zum Erstellen einer neuen Regel 

Abb. 104 Regel zur Filterregel hinzufügen 

Klicken Sie zum Erstellen einer neuen Regel auf die Schaltfläche Filterregel hinzufügen 

oder zum Bearbeiten einer Regel auf die Schaltfläche mit dem Werkzeugschlüsselsymbol 

in der Zeile der jeweiligen Regel. 

Wählen Sie im Feld Protokoll SMTP oder POP3. 

Entscheiden Sie im Feld Kategorie welche kategorisierten E-Mails behandelt werden 

sollen. 

spam Als Spam kategorisierte E-Mails. 

probably_spam Als möglicherweise Spam kategorisierte E-Mails. 

virus E-Mails in denen ein Virus entdeckt wurde. 

content E-Mails in denen gesperrter Content entdeckt wurde. 

Ein Contentfilter muss ausgewählt werden. 

user E-Mails von angegebenen Nutzern. 

urlfilter E-Mails in denen sich unerwünschte URL befinden. 

Wählen Sie im Feld Aktion, was mit der E-Mail geschehen soll. 

none Die E-Mail wird ganz normal behandelt. 

mark Die Betreffzeile der E-Mail wird mit einer Markierung versehen. 

filter Die E-Mail wird in einen Spam Ordner gesendet. 

block Die E-Mail wird nicht angenommen. 

reject Die E-Mail wird zurückgewiesen. 

In der Liste Regeln, können Sie eingrenzen auf welche E-Mails die Filterregel angewendet 

wird. 

Wählen Sie einen Typ aus. 

any Filterregel wird auf jede E-Mail angewendet. 




mail_from Bestimmt einen Absender. Filterregel wird auf E-Mails von dem 

definierten Absender angewendet. 

rcpt_to Bestimmt einen Empfänger. Filterregel wird auf E-Mails zu dem 

definierten Empfänger angewendet. 

helo Bestimmt einen Clientnamen. Filterregel wird auf E-Mails mit dem 

definierten Clientnamen angewendet. 

src Bestimmt eine Quelle. Filterregel wird auf E-Mails von der 

definierten Quelle angewendet. 

dest Bestimmt ein Ziel. Filterregel wird auf E-Mails zu dem definierten 

Ziel angewendet. 

header Bestimmt einen Header Eintrag. Filterregel wird auf E-Mails mit dem 

definierten Headereintrag angewendet. 


10.5.2 Content-Filter 

Mit dem Content-Filter können Anhänge der E-Mails auf bestimmt Inhalte untersucht werden 

und geblockt oder explizit zugelassen werden. 

Abb. 105 Liste der Content-Filter 

Klicken Sie auf die Schaltfläche Content-Filter hinzufügen. 

Geben Sie im Feld Name einen Namen für den neuen Filter an. 

Abb. 106 Content-Filter erstellen 

Wählen Sie im Feld Typ aus, ob Sie Inhalte blocken (Blacklist) oder zulassen 

(Whitelist) wollen. 

Klicken Sie auf die Schaltfläche Content-Typ hinzufügen. 

Wählen Sie im neuen Dialog im Feld Typ aus, ob Sie nach Dateiendungen oder 

MIME types suchen möchten. 

Wählen Sie im Feld Wert die gewünschte Dateiendung oder den gewünschten MIME 

type aus. 




Sie können auch eine Dateiendung bzw. einen MIME type selbst definieren, indem 

Sie auf die Schaltfläche mit dem Stiftsymbol klicken. 

Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Content-Typen eingetragen 

haben. 

Klicken Sie auf Speichern, um den Dialog zu schließen. 

10.5.3 URL-Filter 

Mit dem URL-Filter können Sie E-Mails auf die Beinhaltung von URLs untersuchen und un- 

erwünschte URLs blocken oder zurückweisen und unbedenkliche URLs explizit erlauben. 

Abb. 107 Registerkarte URL-Filter 

Sie können die URLs mit Hilfe von regulären Ausdrücken filtern oder Sie benutzen die Kate- 

gorien des Securepoint Content Filter. 

Sie können eine Blacklist und eine Whitelist mit regulären Ausdrücken anlegen. 

Geben Sie unter dem Feld Whitelist bzw. Blacklist einen den regulären Ausdruck, 

der die erlaubten bzw. zu blockenden URLs beschreibt, in das Textfeld ein. 

Klicken Sie auf Hinzufügen, um den regulären Ausdruck in die Liste aufzunehmen. 

Über die Kategorien des Content Filters können Sie eine Whitelist und eine Blacklist anle- 

gen. 

Klicken Sie auf die Dropdownbox unterhalb der Listenfelder. 

Wählen Sie die gewünschten Kategorien aus, die Sie zulassen bzw. blocken möchten. 

Klicken Sie auf Hinzufügen, um die gewählte Kategorie in die Liste aufzunehmen. 




10.5.4 Mailfilter Einstellungen 

Hier können Sie definieren, wie gefilterte E-Mails gekennzeichnet werden. 

Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails 

Im Bereich E-Mail Betreffzeilen können Schlagwörter angegeben werden, die der Betreffzeile 

der gefilterten E-Mails vorangestellt werden. Diese werden zur Abgrenzung und besseren 

Erkennung am Besten in eckigen Klammern und in Großbuchstaben angegeben. 

Das Feld bestätigtes SPAM Betreff beinhaltet das Schlagwort für E-Mails, die 

eindeutig als Spam erkannt wurden. 

Das Feld möglicherweise SPAM beinhaltet das Schlagwort für E-Mails, die Spam 

sein könnten. 

Das Feld URL-Filter Betreff beinhaltet das Schlagwort für E-Mails, die URLs enthalten, 

die per Blacklist gefiltert wurden. 

Das Feld Virus Betreff enthält das Schlagwort für E-Mail, in denen ein Virus erkannt 

wurde. 

In den Textfeldern Blocking Nachricht. Geben Sie einen Text ein, der anstatt des E-Mail Tex- 

tes angezeigt wird. 

Content-Blocking Nachricht Text für E-Mails, die wegen Ihren Inhalts geblockt 

wurden. 

URL-Filter Nachricht Text für E-Mails, die wegen der beinhalteten URLs 

gefiltert wurden. 

Virus-Blocking Nachricht Text für E-Mails, die wegen einer Viruserkennung 

geblockt wurden. 

Im Bereich Mailarchiv machen Sie Angaben zur Vorhaltung der E-Mails. 

Geben Sie im ersten Feld die maximale Anzahl der E-Mails an, die vorgehalten 

werden. 

Geben Sie im zweiten Feld maximales E-Mail Alter die Zeit der Vorhaltung in Tage 

an. 

Geben Sie im dritten Feld die maximale E-Mail Größe in Megabytes an. 



10 Menü Anwendungen VoIP Proxy Securepoint 11 

10.6 VoIP Proxy 

Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen. 

Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung 

und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten. 


Abb. 109 allgemeine Einstellungen des VoIP Proxy 

Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client 

den Proxy erreicht. 

Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die 

Daten ins Internet übertragen soll. 

Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Regel 

5060). 

Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an. 

Geben Sie den Timeout zum SIP Servers des Providers an. 

10.6.2 Provider 

Stellen Sie hier die providerseitigen Daten ein. 

Abb. 110 Einstellungen zum Provider 

Unter Domain geben Sie die Domain des Providers ein. 

Unter Proxy geben Sie den SIP Proxy des Providers ein. 

Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel 

5060). 



10 Menü Anwendungen IDS Securepoint 11 

10.7 IDS 

Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das 

Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver- 

dächtige Aktivitäten. 

Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten- 

bank verglichen, um Angriffe auf das Netzwerk zu erkennen. 

Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli- 

10.7.1 Ungültige TCP Flags 

che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig. 

Hier sind Regeln aufgelistet, die ungültige TCP Flags in den Paketen aufspüren. 

Abb. 111 ungültige TCP Flags 

10.7.2 Trojaner 

Aktivieren Sie die Einträge, nach denen 

Sie die Pakete untersuchen möchten. 

Wenn Sie die Checkbox in der Überschrift 

aktivieren, werden alle Einträge 

der Liste aktiviert. 

Diese Registerkarte beinhaltet Einträge von Ports, die oft von Trojanern benutzt werden. 

Diese können auf Wunsch gesperrt werden. 

Abb. 112 Trojaner 

Aktivieren Sie die Checkboxes der 

Trojaner, dessen Ports Sie sperren 

möchten. 

Wenn Sie die Checkbox in der Überschrift 

aktivieren, werden alle Einträge 

in der Liste aktiviert. 



10 Menü Anwendungen Anwendungsstatus Securepoint 11 

10.8 Anwendungsstatus 

Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von 

hier aus kann ein Dienst gestartet, gestoppt oder neu gestartet werden. 

Abb. 113 Übersicht der Dienste 

Bei einem aktiven Dienst ist der vorangestellte Kreis grün. 

Bei einem inaktiven Dienst ist der vorangestellte Kreis grau. 

Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf 

die Schaltfläche Starten. 

Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes 

auf die Schaltfläche Stoppen. 

Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes 

auf die Schaltfläche Neustarten. 



11 Menü VPN Anwendungsstatus Securepoint 11 

11 Menü VPN 

Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei- 

genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut- 

zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN 

stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung 

übertragenen Datenpakete werden am Client verschlüsselt und von der Securepoint Firewall 

wieder entschlüsselt und umgekehrt. 

Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits- 

grad und Komplexität unterscheiden. 

Abb. 114 Dropdownmenü des Menüpunktes VPN 


Globale VPN 

Einstellungen 

Allgemeine Einstellungen für alle VPN Verbindungen. 

IPSec Editieren und Löschen von IPSec Verbindungen. 

SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll. 

PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Verschlüsse- 

lung. Wird direkt von Windows unterstützt. 

L2TP Kombination und Weiterentwicklung von PPTP und L2F. 

Wird von Windows unterstützt. 

Clientless VPN Stellt über den Browser eine Verbindung mit dem Unternehmensnetzwerk her. 



11 Menü VPN Globale VPN Einstellungen Securepoint 11 

11.1 Globale VPN Einstellungen 

Im Abschnitt Globale VPN Einstellungen können Einstellungen für alle VPN Verbindun- 

gen festgelegt werden. 

11.1.1 Allgemein 

Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese 

Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden, 

so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut- 

zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten. 

Abb. 115 blobale VPN Einstellung – Allgemein 

11.1.2 Nameserver 

In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der 

Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt 

werden. 

Abb. 116 Hinterlegung der Nameserver 



11 Menü VPN IPSec Securepoint 11 

11.2 IPSec 

Bei der Erstellung von IPSec VPN Verbindungen werden Assistenten ausgeführt, die Sie 

Schritt für Schritt durch die einzelnen Konfigurationspunkte führen. 

Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site- 

oder eine Roadwarrior-Verbindung. 

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz- 

werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle. 

Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem 

lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem 

Netzwerk der Zentrale. 

Abb. 117 IPSec Verbindungsübersicht 

11.2.1 Site-to-Site 

Klicken Sie in der Verbindungsübersicht auf +Site-to-Site. 

Abb. 118 Assistent Scchritt 1 

Geben Sie im Feld Name einen Namen für die VPN Verbindung ein. 

Im Feld Remote Gateway tragen Sie die IP-Adresse oder den Hostnamen des entfernten 

Netzwerkes ein. 




Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen 

Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin- 

dungspartnern bekannt ist. 

Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA 

Schlüssel. 

Abb. 119 Assistent Schritt 2 - Authetifizierung PSK 

Preshared Key 

Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key 

(PSK) ein. 

Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten 

und markieren den entsprechenden Radiobutton. 

Klicken Sie auf Weiter. 

Zertifikat 

Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem 

Dropdownfeld ein Zertifikat aus. 

Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten 

und markieren den entsprechenden Radiobutton. 


RSA Key 

Markieren Sie den Radiobutton RSA Schlüssel und wählen Sie aus dem 

Dropdownfeld Local Key einen RSA Schlüssel für die Firewall aus. 

Wählen Sie aus dem Dropdownfeld Remote Key den öffentlichen Schlüssel der 

Gegenstelle aus. Diesen müssen Sie vorher importiert haben. 





Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, 

daher müssen Sie diese hier auswählen. 

Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga- 

teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem 

Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec editiert werden 

Abb. 120 Assistent Schritt 3 

Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die 

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0). 

Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der 

Auswahlliste eingetragen sind. 

Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Hostnamen 

der Gegenstelle. 

Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den 

vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf 

jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec eintragen. Editieren 

Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden Zertifikatsdaten 

aus dem Dropdownfeld Remote Gateway ID. 

Klicken Sie Weiter. 




Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei- 

nander verbinden möchten. 


In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein. 

In dem Feld Remote Netzwerk wählen Sie das zu verbindende entfernte Netzwerk. 

Klicken Sie auf Fertig, um die Erstellung der Site-to-Site Verbindung abzuschließen 

11.2.2 Site-to-End (Roadwarrior) 

Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit 

L2TP (Layer 2 Tunneling Protocol) zu erstellen. Weiterhin können Sie XAuth (extended Au- 

thority) benutzen. Dies ist eine Entwicklung der Firma Cisco, die von der IPSec Working 

Group allerdings nicht akzeptiert wurde. 

Oder Sie wählen das IKEv2 Protokoll. 

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs- 

system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec. 


Klicken Sie in der Verbindungsübersicht auf +Roadwarrior. 

Geben Sie im Feld Name einen Namen für die VPN Verbindung ein. 

Wählen Sie einen Verbindungstyp. 

Klicken Sie dann auf Weiter. 




Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter 

Im zweiten Schritt müssen Sie die Verschlüsselungsparameter auswählen. 

Im Feld Verschlüsselung sollten Sie die aes Verschlüsselung aussuchen. 

Im Feld Authentifizierung sollten Sie die sha Verschlüsselung auswählen. 


Wählen Sie die Authentifizierungsart. 

Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, 

daher müssen Sie diese hier auswählen. 


Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die 

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0). 

Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der 

Auswahlliste eingetragen sind. 

Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich 

bei Roadwarrior meistens um eine dynamische IP-Adresse handelt. 

Klicken Sie Weiter. 




Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den 

Roadwarrior oder einen VPN Adresspool angeben. 


Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Roadwarrior 

verbindet. 

Möchten Sie nur einen Roadwarrior den Zugriff gestatten, benutzen Sie im Feld 

Roadwarrior IP-Adresse / Pool den Bitcount 32 und tragen eine IP-Adresse in 

das Feld ein. 

Möchten Sie mehreren Roadwarrior den Zugriff gestatten, benutzen Sie im Feld 

Roadwarrior IP-Adresse / Pool einen passenden Bitcount und tragen eine Netzwerkadresse 

ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl eine IP- 

Adresse zugewiesen. 

Klicken Sie Fertig. 



11 Menü VPN SSL VPN Securepoint 11 

11.3 SSL VPN 

SSL VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard. 

Sie können hier Roadwarrior Server Einstellungen vornehmen. Das ist nötig, wenn sich 

Roadwarrior auf das System verbinden möchten. Sie können Site-to-Site Client und Server 

Einstellungen vornehmen. Site-to-Site Client wird benötigt, wenn Sie der Initiator der Site-to- 

Site Verbindung sind. Wenn Sie auf Verbindung eines anderen Netzwerkes warten, benöti- 

gen Sie die Site-to-Site Server Einstellung. 

Abb. 127 Auflistung aller verfügbarer Verbindungen 




11.3.1 Roadwarrior-Server 


Tragen Sie im Feld Name einen Namen für die Verbindung ein. 

Wählen Sie ein Protokoll. Gewöhnlich ist das UDP. 

Wählen Sie den Port, die für die Verbindung genutzt werden soll. Standardmäßig ist 

das 1194. 

Wählen Sie eine Art der Benutzerauthentifizierung. Zur Wahl stehen: Local; 

Radius; LDAP 

Geben Sie das Serverzertifikat an. 

Definieren Sie im Feld Pool einen IP-Adresspool für die Roadwarrior. 


Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an. 

Der Wert 1500 kann gewöhnlich beibehalten werden. 




11.3.2 Site-to-Site-Client 


Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der 

Übersicht später Server und Client Konfigurationen unterscheiden können, wird an 

den Namen das Suffix client angehängt. 

Geben Sie im Feld Remote Host die IP-Adresse oder den Hostnamen der Gegenstelle 

ein. 

Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP. 

Wählen Sie das Client Zertifikat, welches Sie von der Gegenstelle erhalten haben 

und ins System importiert haben. 








11.3.3 Site-to-Site Server 


Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der 

Übersicht später Server und Client Konfigurationen unterscheiden können, wird an 

den Namen das Suffix server angehängt. 

Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP. 

Wählen Sie im Feld Port, den Port, den die Verbindung benutzt. Standard ist 1194. 

Wählen Sie das Server Zertifikat. 

Geben Sie im Feld Pool einen IP-Adresspool für die Clients der Gegenstelle an. 



Aktivieren Sie die Checkbox Remote-Profil erstellen, wenn das System eine Clientkonfiguration 

erstellen soll. 

Wählen Sie als Remote-Zertifikat das Zertifikat, welches die Gegenseite verwenden 

soll. 

Geben Sie als Tunnel Adresse die IP an, zu dem sich die Gegenstelle verbindet. 

Geben Sie als Subnetz ein Netz für die Gegenseite an. 



11 Menü VPN PPTP Securepoint 11 




11.4 PPTP 

In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt 

werden. 

Abb. 135 globale Einstellungen füt PPTP Verbindungen 

Bei Lokale IP geben Sie eine IP an, die vom PPTP Interface benutzt werden soll. 

Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuelle 

Adresse an das externe Interface gebunden. 

Unter Adressen-Pool können Sie den PPTP Adressbereich einstellen. 

Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen. 

Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs. 

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert 

haben, überprüfen Sie vor dem Abspeichern den Endwert. 

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten. 

Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen das Active Directory 

(Default) oder gegen eine Radius Datenbank authentifiziert werden sollen. 



11 Menü VPN L2TP Securepoint 11 

11.5 L2TP 

In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt 

werden. 

Abb. 136 globale Einstellungen für L2TP 

Bei Lokale IP geben Sie eine IP an, die vom L2TP Interface benutzt werden soll. 

Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuelle 

Adresse an das externe Interface gebunden. 

Unter Adress-Pool können Sie den L2TP Adressbereich einstellen. 

Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen. 

Das Feld Adress-Pool-Anfang bezeichnet den Anfang und das Feld Adress- 

Pool-Ende das Ende des Bereichs. 

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert 

haben, überprüfen Sie vor dem Abspeichern den Endwert. 

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten. 

Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu authentifizieren 

haben. Möglich ist eine Authentifizierung an dem Active Directory 

(Default) oder an einem Radius Server. 

Unter Gebunden an Schnittstelle können Sie festlegen, über welches Interface die 

Pakete dieser Verbindung geroutet werden sollen. 



11 Menü VPN Clientless VPN Securepoint 11 

11.6 Clientless VPN 

Per Clientless VPN kann über einen Webbrowser auf das Unternehmensnetzwerk zugegrif- 

fen werden, ohne dass Softwareerweiterungen nötig sind. Die Verbindung besteht lediglich 

zum Webserver. Dieser kann aber als Schnittstelle zu anderen Anwendungen dienen. 

Abb. 137 Übersicht der Clientless VPN 

Verbindungen 

Abb. 138 Clientless VPN Verbindung anlegen 

Um einen neues Profil anzulegen, klicken Sie in der Übersichtsliste auf die Schaltfläche 

Hinzufügen. 

Geben Sie im erscheinenden Dialog die gefragten Daten an. 

Im Feld Servername geben Sie einen Namen für den Server an. 

Geben Sie im Feld IP-Adresse die IP des Servers an. 

Geben Sie im Feld Port den Port an, den der Server für die Clientless VPN Verbindung 

benutzt. 

Geben Sie im Feld Domain die Domain an, zu der die Verbindung hergestellt wird. 

Geben Sie in den Feldern Benutzername und Password die Anmeldedaten ein. 

Wählen Sie eine Auflösung für die Darstellung. 

Wählen Sie die Farbtiefe für die Darstellung. 

Entscheiden Sie sich zwischen RDP (Remote Desktop Protocol) und VNC (Virtual 

Network Computing) als Typ. 




12 Menü Authentifizierung Clientless VPN Securepoint 11 

12 Menü Authentifizierung 

In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer- 

dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen. 

Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung 


Benutzer Benutzerverwaltung 

Externe Authentifizierung Einstellungen für externe Authentifizierungsmethoden. 

Zertifikate Zertifikatsverwaltung 

RSA-Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung 


Security Solutions 110

12 Menü Authentifizierung Benutzer Securepoint 11 

12.1 Benutzer 

Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei- 

genschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können 

Gruppen verwaltet werden, in denen Benutzer organisiert sind. 

Abb. 140 Auflistung aller Benutzer 

Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen, 

Gruppenzugehörigkeit und Benutzerrechte. 

Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der 

Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer. 

12.1.1 Neuen Benutzer hinzufügen 

Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den 

Button Benutzer hinzufügen. 

Es öffnet sich der Dialog Benutzer hinzufügen. 

Abb. 141 allgemeine Einstellungen für den neuen Benutzer 

Tragen Sie unter Anmeldenamen den Loginnamen des Nutzers ein. 

Vergeben Sie im Feld Passwort ein Kennwort und bestätigen Sie dieses durch 

nochmalige Eingabe im Feld Passwort bestätigen. 




In der Registerkarte Gruppen können Sie den Benutzer einer oder mehreren Gruppen zu- 

ordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt. 

Abb. 142 Gruppenzugehörigkeit 

Markieren Sie die Gruppe, die der neue Benutzer beitreten soll. 

Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt. 

In der Registerkarte VPN vergeben Sie feste IP-Tunnel Adresse an den Benutzer. 

Abb. 143 feste IP-Adressen für VPN Verbindungen 

Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP- 

Adresse für den Benutzer ein. 

Die Registerkarte SSL-VPN nimmt die Einstellungen für den SSL-VPN Client auf. 

Abb. 144 EInstellungen für den SSL-VPN Client 

Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User- 

Interface herunterladen darf, aktivieren Sie die Checkbox SSL-VPN Client Download 

aktivieren. 




Wählen Sie im Feld SSL-VPN Verbindung eine der angelegten SSL-VPN Verbindungen 

aus. 

Wählen Sie im Feld Client-Zertifikat ein Zertifikat, welches der Benutzer zur Authentifizierung 

benutzen soll. 

Wählen Sie im Feld Remote Gateway eine der angebotenen IP-Adressen oder betätigen 

Sie die Schaltfläche mit dem Stiftsymbol und tragen eine IP-Adresse ein. 

Aktivieren Sie die Checkbox Redirect Gateway, wenn der gesamte Internetverkehr 

des Clients über das gewählte Gateway gesendet werden soll. 

Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des 

Clients, den portablen Client oder die Konfiguration herunterladen. 

Auf der Registerkarte Passwort werden Stärke des Kennwortes definiert und ob das Kenn- 

wort vom Benutzer selbst geändert werden darf. 

Abb. 145 Einstellungen zum Kennwort 

Entscheiden Sie im Feld Passwortänderung erlaubt, ob der Benutzer sein Kennwort 

im User-Interface selber ändern darf. 

Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge. 

Entscheiden Sie welche Zeichen das Kennwort enthalten muss: 

Ziffern 

Sonderzeichen 

Groß- und Kleinbuchstaben 




Tragen Sie in der Registerkarte Mailfilter die Mailadressen und Domains ein, die der Be- 

nutzer im User-Interface verwalten darf. 

Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen 

Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die 

der Benutzer verwalten darf. Klicken Sie dann auf die Schaltfläche mit dem Plussymbol. 

Wake on LAN schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per 

Datenpaket zu starten, muss der Rechner dies auch unterstützen. 

Abb. 147 Wake On LAN 

Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im 

rechten Feld das Interface, über welches der Computer mit der Appliance verbunden 

ist. 

Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen. 



12 Menü Authentifizierung Externe Authentifizierung Securepoint 11 

12.2 Externe Authentifizierung 

Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch- 

führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die 

Anmeldung an einen Radius-, einen LDAP-Server oder an ein Active Directory. 

12.2.1 Radius 

Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius-Server ein. 

Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server 

Tragen Sie unter IP oder Hostname die IP-Adresse oder den Hostnamen des Radius-Servers 

ein. 

Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den 

Radius Server ein. 

12.2.2 LDAP 

Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis 

Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP oder 

Hostname ein. 

Tragen Sie die Server Domäne im Feld Domain ein. 

Geben Sie im Feld Base an, ab welcher Stelle des Verzeichnisses die Benutzerdaten 

gesucht werden sollen. 

Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein. 

Geben Sie unter Passwort Ihr Kennwort. 



12 Menü Authentifizierung Externe Authentifizierung Securepoint 11 

12.2.3 Active Directory 

Abb. 150 Eingaben für die Nutzung eines Active Directory 

Unter Domainamen tragen Sie den Domainnamen ein. 

Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie 

den Zugriff erlauben möchten. 

Im Feld Password-Server geben Sie die IP-Adresse oder den Hostname des 

Rechners an, auf dem der AD-Dienst läuft. 

Unter Administrator-Zugang tragen Sie den Administrator des AD-Dienstes. 

Unter Appliance Account tragen Sie den Zugangsnamen der Appliance ein. 

Wählen Sie die Verschlüsselungsart vom Dropdownfeld LDAP-Verschlüsselung. 

Wählen Sie im Feld Root-Zertifikat ein Zertifikat aus. 

In der Zeile Verbindungsstatus zeigt Ihnen ein Grüner Punkt. 

Geben Sie im Feld Passwort das Kennwort für den AD Dienst ein. 

Mit der Schaltfläche Beitreten verbinden Sie sich mit dem AD. 

Mit der Schaltfläche Verlassen trennen Sie die Verbindung. 



12 Menü Authentifizierung Zertifikate Securepoint 11 

12.3 Zertifikate 

Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden- 

titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi- 

kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu 

garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz. 

Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um 

selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der 

Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt 

sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und 

nicht von dritten ausgestellt worden sind. 

Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son- 

dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und 

jeweils eins für jeden externen Benutzer. 

Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti- 

fikate im PEM Format oder im PKCS #12 zu exportieren. 

Die Registerkarte CA zeigt alle bestehenden Certification Authorities an. 

Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet. 

Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet. 

Auf der Registerkarte CRLs sind die Zertifikatssperrlisten hinterlegt (Certificate Revocation 

List). 

Abb. 151 Registerkarte CA der Zertifikatsverwaltung 




12.3.1 CA erstellen 

Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten 

Zertifikate signieren zu können. 

Abb. 152 CA anlegen 

Klicken Sie in der Registerkarte CA auf CA hinzufügen. 

Es öffnet sich der Dialog CA hinzufügen. 

Geben Sie im Feld Name eine Bezeichnung für die CA ein. 

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA. 

Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld klicken, 

dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Felder 

sind für die Uhrzeit. 

Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA signiert 

wurden ungültig. 

Wählen Sie Ihre Landeskennung im Feld Land. 

Geben Sie Ihr Bundesland im Feld Staat an. 

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein. 

Geben Sie im Feld Organisation den Namen Ihrer Firma ein. 

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen. 

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein. 

Klicken Sie auf Speichern, um die CA zu erstellen. 




12.3.2 Zertifikat erstellen 

Abb. 153 Zertifikat erstellen 

Klicken Sie in der Registerkarte Zertifikate auf Zertifikate hinzufügen. 

Es öffnet sich der Dialog Zertifikat hinzufügen. 

Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein. 

Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie 

ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstellung 

ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt worden 

ist. 

Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten. 

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zertifikats. 

Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das 

Feld klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden 

drei Felder sind für die Uhrzeit. 

Wählen Sie Ihre Landeskennung im Feld Land. 

Geben Sie Ihr Bundesland im Feld Staat an. 

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein. 

Geben Sie im Feld Organisation den Namen Ihrer Firma ein. 

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen. 

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein. 

Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter 

MacOS benötigt). 

Klicken Sie auf Speichern, um das Zertifikat zu erstellen. 




12.3.3 CA und Zertifikate importieren 

Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie- 

gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie 

die Appliance verwalten, vorliegen. 

Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate). 

Klicken Sie auf den Button CA importieren bzw. Zertifikat importieren und anschließend 

auf die Durchsuchen Schaltfläche im öffnenden Dialog. 

Wählen Sie die zu importierende Datei von Ihrem Rechner aus. 

Klicken Sie dann auf Importieren. 

12.3.4 CA und Zertifikate exportieren 

Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im 

PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die 

Appliance nur PEM Formate wieder importiert. 


In jeder Zeile der Listen finden sie folgende Icons. 

 

Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Export 

im PKCS #12 (*.p12) Format. 

Wenn Sie das Zertifikat im PKCS #12 Format exportieren, können Sie noch ein 

Kennwort definieren. 

Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öffnenden 

Dialog. 




12.3.5 CA und Zertifikate löschen 

Man kann Zertifikate und CA löschen und widerrufen. Beides hat den gleichen Effekt. Die 

Zertifikate werden als ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig ge- 

speichert, damit sich niemand mit diesen Zertifikaten authentifizieren kann. 

Wenn Sie eine CA löschen, werden auch alle Zertifikate, die mit dieser CA signiert wurden, 

gelöscht. 

Die widerrufenen Zertifikate und CAs werden auf der Registerkarte Widerrufen angezeigt. 


Klicken Sie am Ende der Zeile auf das Abfalleimersymbol. 

Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen. 

Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, welche 

auf der Registerkarte Widerrufen angezeigt wird. 



12 Menü Authentifizierung RSA-Schlüssel Securepoint 11 

12.4 RSA-Schlüssel 

Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs- 

verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be- 

nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten 

Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender 

herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte 

Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer- 

den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen 

Auslesen des Schlüssels codiert. 

Abb. 154 schematische Darstellung einer RSA Verschlüsselung 

Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur 

zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich. 

Die RSA Schlüssel werden von der Securepoint Appliance erzeugt. Sie könnten aber auch 

das Programm OpenSSL benutzen. 




12.4.1 Liste der RSA Schlüssel 

Abb. 155 Liste der gespeicherten RSA Schlüssel 

Im Dialog RSA-Schlüssel werden Ihnen die angelegten RSA Schlüssel aufgelistet. Im rech- 

ten Bereich neben dem jeweiligen Schlüssel werden Ihnen Exportfunktionen angeboten. 

Unterhalb der Liste befinden sich Schaltflächen zum Erstellen und Importieren von RSA 

Schlüsseln. 

12.4.2 RSA Schlüssel anlegen 

Abb. 156 RSA Schlüssel generieren 

Klicken Sie in der RSA Schlüssel Liste auf die Schaltfläche RSA Schlüssel hinzufügen. 

Geben Sie im Feld Namen einen Namen für den Schlüssel an. 

Wählen Sie im Feld Schlüssellänge die Länge des Schlüssels. 




12.4.3 RSA Schlüssel exportieren 

Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel 

des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex- 

portieren. 

Abb. 157 Schaltflächen für den Export 

In der Liste der RSA Schlüssel werden in der Zeile des jeweiligen Schlüssels Exportfunktionen 

angeboten. 

Sie können den Schlüssel in den Formaten PEM, Hex und B64 (base 64) exportieren. 

Klicken Sie auf die gewünschte Schaltfläche. 

Wählen Sie in dem öffnenden Dialog einen Speicherort. 

12.4.4 RSA Schlüssel importieren 

Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel- 

le importieren. 

Klicken Sie auf die Schaltfläche + RSA Schlüssel importieren. 

Klicken Sie im neuen Dialog auf durchsuchen. 

Wählen Sie den RSA Schlüssel von Ihrem System. 

Der Schlüssel wird importiert. An den Namen des Schlüssel wird Kodierung angehängt 

(pem, hex, b64). 



13 Menü Extras CLI Securepoint 11 

13 Menü Extras 

Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff 

auf die Appliance haben. 

Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten- 

bank zu aktualisieren. 

Unter dem Punkt Registrieren können Sie Ihre Lizenz einspielen. 


CLI Command Line Interface 

Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befehle an die 

Firewall und Bearbeitung von Templates. 

Registrieren Einspielen der Lizenzdatei. 

Firmware Updates Aktualisierung der Firewall Software und der Virusdatenbank. 

Erweiterte 

Einstellungen 

13.1 CLI 

Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für erfahre- 

ne Benutzer. 

Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den 

meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos 

zu Grunde. 

Hier haben Sie die Möglichkeit Befehle ohne die grafische Bedienoberfläche an die Appli- 

ance zu senden. Hierfür sind spezielle CLI Kommandos nötig. 

Diese Funktion ist nur für erfahrene Benutzer gedacht. 

Sie verlassen das Eingabefenster mit den Befehlen exit oder quit. 

Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster 

Hinweis: 

Der neuen Version der Firewall 

liegt ein neues Backend zu Grun- 

de. Daher können CLI Befehle der 

vorherigen Versionen nicht mehr 




13 Menü Extras Registrieren Securepoint 11 

13.2 Registrieren 

In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch 

nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der Securepoint 

Homepage gelangen und dort Ihre Appliance registrieren lassen. 

Abb. 159 Informationen über die eingespielte Lizenz 

Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisystem 

aus. 

Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen. 



13 Menü Extras Firmware Updates Securepoint 11 

13.3 Firmware Updates 

Aktualisierungen der Firewall Software können Sie unter diesem Punkt vornehmen. Dabei 

verbindet sich die Firewall mit dem Securepoint Server und sucht nach neuen Versionen. 

Aktualisierungen sind nur mit einer gültigen Lizenz möglich. 

Abb. 160 Aktualisierungen suchen 

Klicken Sie auf die Schaltfläche Update suchen. 

Ist eine neue Version verfügbar wird dies im unteren Fenster angezeigt. 

Klicken Sie dann auf die Schaltfläche Aktivieren. 

Sichern Sie vorsichtshalber zuvor Ihre aktuelle Konfiguration. 



13 Menü Extras Erweiterte Einstellungen Securepoint 11 

13.4 Erweiterte Einstellungen 

Unter diesem Menüpunkt können generelle Einstellungen des Webinterface geändert wer- 

den. 

Außerdem können Templates der Dienste und Anwendungen bearbeitet werden. 

13.4.1 Registerkarte Allgemein 

Abb. 161 Einstellung zu Speicherung und Webserver 

Änderungen, die in der Administrationsoberfläche vorgenommen werden, werden automa- 

tisch in der aktuell verwendeten Konfiguration gespeichert. Wenn Sie diese Funktion aus- 

schalten, bleiben die Änderungen nur bis zu Neustart der Appliance erhalten. 

Aktivieren Sie die Checkbox Automatische Speicherung abschalten, wenn Sie 

diese Funktion nicht verwenden möchten. 

Die Administrationsweboberfläche ist über den internen Webserver über den Port 11115 

erreichbar. Die Benutzeroberfläche ist über den Standard SSL Port 443 erreichbar. Wenn 

Sie diese Einstellungen ändern möchten, nehmen Sie die Änderungen im Bereich Webser- 

ver vor. 

Um den Port zum Zugang der Administrationsoberfläche zu ändern, benutzen Sie das 

Feld Administration Webinterface Port. Verwenden Sie einen nicht verwendeten 

Port über 1024. 

Um den Port zum Zugang zur Benutzeroberfläche zu ändern, benutzen Sie das Feld 

User Webinterface Port. Wenn Sie diesen Port ändern, muss der Benutzer diesen 

Port mit in die Adresszeile des Browsers eingeben. 

Der Winbind Dienst sammelt Benutzer- und Gruppeninformationen und ist für die Namesauf- 

lösung zuständig. Wenn die Informationen im Cache vorgehalten werden, erhöht das die 

Geschwindigkeit. Es besteht allerdings die Gefahr, dass die Informationen veraltet sind. 

Verändern Sie den Wert im Feld Cache Time, um die Zeit bis zur erneuten Abfrage 

zu verkürzen (niedriger Wert) oder zu verlängern (hoher Wert). 



13 Menü Extras Erweiterte Einstellungen Securepoint 11 

13.4.2 Registerkarte Templates 

Die Konfigurationsdateien der Anwendungen der Appliance sind auf dieser Registerkarte als 

Templates aufrufbar und können so bearbeitet werden. 

Abb. 162 Konfigurationsdatei des Proxy 

Suchen Sie aus dem Dropdownfeld das Template heraus, welches Sie bearbeiten 

möchten. 

Damit das Template im Textfeld angezeigt wird, müssen Sie die Schaltfläche Laden 

betätigen. 

Verändern Sie das Template nach Ihren Wünschen. 

Speichern Sie die Änderungen mit der Schaltfläche Speichern ab. 

Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestartet 

werden. 



14 Live Log Erweiterte Einstellungen Securepoint 11 

14 Live Log 

Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion 

können Sie nach ganz bestimmten Meldungen suchen. 

Abb. 163 Anzeige der aktuellen Protokollmeldungen 

Spalte Beschreibung 

Datum Zeigt den Tag und die Zeit der Meldung an. 

Zusätzlich wird die Zeitzone als positive oder negative Stundenangabe angezeigt. Die- 

se Angabe bezieht sich auf die GMT. 

Dienst Zeigt den Dienst an, der diese Meldung auslöst. 

Nachricht In dieser Spalte wird die Meldung des Eintrags angezeigt. 

Mit dem Suchfeld, welches sich oben rechts im Fenster befindet, können Sie die Anzeige 

filtern. Eingetragene Suchwörter werden über alle Spalten gesucht, daher sollte die Suchan- 

frage so genau wie möglich sein. 



15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11 

15 Abbildungsverzeichnis 

Abb. 1 Position der Appliance im Netzwerk .........................................................................11 

Abb. 2 Rückansicht der Piranja bzw. der RC 100 ................................................................11 

Abb. 3 Rückansicht einer RC 200 ........................................................................................12 

Abb. 4 Frontansicht der RC 300 (schematisch) ...................................................................12 

Abb. 5 Frontansicht der RC 400 (schematisch) ...................................................................13 

Abb. 6 Login Dialog .............................................................................................................14 

Abb. 7 Securepoint 11 Cockpit ............................................................................................16 

Abb. 8 Dropdownmenü des Menüpunktes Konfiguration .....................................................17 

Abb. 9 Konfigurationsverwaltung .........................................................................................18 

Abb. 10 Konfiguration importieren .......................................................................................19 

Abb. 11 neue Konfiguration anlegen ....................................................................................20 

Abb. 12 Registerkarte Cloud Backup ...................................................................................21 

Abb. 13 intere Firewall IP-Adresse ......................................................................................21 

Abb. 14 Auswahl der Internetverbindung .............................................................................22 

Abb. 15 Daten für die Internetverbindung angeben .............................................................22 

Abb. 16 Netzwerkbereich der DMZ ......................................................................................23 

Abb. 17 Ändern des Adminstrotorkennworts ........................................................................23 

Abb. 18 Einspielen der Lizenz .............................................................................................24 

Abb. 19 Dropdownmenü des Menüpubktes Netzwerk .........................................................25 

Abb. 20 Name, DNS Server und NTP Server angeben........................................................26 

Abb. 21 Netze oder IP-Adressen zur Administration ............................................................27 

Abb. 22 Syslog-Server angeben ..........................................................................................28 

Abb. 23 SNMP Einstellungen setzen ....................................................................................29 

Abb. 24 Registerkarte Netzwerkschnittstellen ......................................................................30 

Abb. 25 Registerkarte Allgemein .........................................................................................31 

Abb. 26 Registerkarte Einstellungen ....................................................................................31 

Abb. 27 Registerkarte IP-Adressen .....................................................................................32 

Abb. 28 Registerkarte Zonen ...............................................................................................32 

Abb. 29 Registerkarte DynDNS ...........................................................................................33 

Abb. 30 Registerkarte QoS ..................................................................................................33 

Abb. 31 Registerkarte Fallback ............................................................................................34 

Abb. 32 Registerkarte WLAN................................................................................................35 

Abb. 33 Registerkarte Routing .............................................................................................35 

Abb. 34 Route anlegen / bearbeiten ....................................................................................36 

Abb. 35 Registerkarte DHCP ...............................................................................................36 

Abb. 36 Netzwerkbereich festlegen .....................................................................................37 




Abb. 37 zuständigen Router festlegen .................................................................................37 

Abb. 38 Registerkarte DHCP Leases ..................................................................................37 

Abb. 39 DHCP Lease hinzufügen ........................................................................................38 

Abb. 40 Registerkarte DHCP Relay .....................................................................................38 

Abb. 41 Zonen und Interfacebindung ...................................................................................39 

Abb. 42 neue Zone anlegen ................................................................................................39 

Abb. 43 Routing Einträge der Appliance ..............................................................................40 

Abb. 44 Ergebnis des Ping Befehls .....................................................................................41 

Abb. 45 DNS Abfrage ...........................................................................................................42 

Abb. 46 Anzeige der Hops bis zum Zielhost ........................................................................43 

Abb. 47 Dropdownmenü des Menüpunktes Firewall ............................................................44 

Abb. 48 Portfilter ..................................................................................................................45 

Abb. 49 Dialog zum ANlegen einer neuen Regel .................................................................46 

Abb. 50 Regelgruppe hinzufügen ........................................................................................48 

Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter .................................................48 

Abb. 52 neue Netzwerkgruppe anlegen ...............................................................................49 

Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner................................................50 

Abb. 54 Ansicht der Registerkarte Dienste ..........................................................................51 

Abb. 55 neue Dienstgruppe anlegen ...................................................................................52 

Abb. 56 Eingabemaske zum Anlegen eine Dienstes. 

Diese Abbildung zeigt alle möglichen Paramter an. 

Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll. ............52 

Abb. 57 Zeitprofil für Arbeitstage anlegen ............................................................................53 

Abb. 58 QoS grafisch dargestellt .........................................................................................54 

Abb. 59 QoS anlegen ..........................................................................................................54 

Abb. 60 Bootstrap Protocol zulassen ...................................................................................55 

Abb. 61 NetBIOS Dienste blockieren ...................................................................................55 

Abb. 62 Datenverkehr im IPSec Tunnel ...............................................................................56 

Abb. 63 NAT für IPSec Verbindungen ausschalten .............................................................56 

Abb. 64 vordefinierte VPN Regeln .......................................................................................57 

Abb. 65 Dropdownmenü Dienste .........................................................................................58 

Abb. 66 Registerkarte Allgemein des HTTP-Proxys ............................................................59 

Abb. 67 Registerkarte Virusscan des HTTP-Proxy ..............................................................60 

Abb. 68 Registerkarte Bandbreite im HTTP-Proxy ...............................................................61 

Abb. 69 Messaging Anwendungen blocken .........................................................................62 

Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy ...................................................63 

Abb. 71 Webfilter deaktiviert ................................................................................................64 




Abb. 72 Registerkarte Profiles des Webfilters ......................................................................65 

Abb. 73 Profil erstellen ........................................................................................................65 

Abb. 74 Dialog zum Erstellen von Filterregeln .....................................................................67 

Abb. 75 transparenter Modus des HTTP-Proxy ...................................................................69 

Abb. 76 transparenten Modus einrichten .............................................................................69 

Abb. 77 Registerkarte Servergruppen .................................................................................70 

Abb. 78 Servergruppe anlegen ............................................................................................70 

Abb. 79 Server zur Gruppe hinzufügen ...............................................................................70 

Abb. 80 Registerkarte ACL Sets ..........................................................................................71 

Abb. 81 ACL Set anlegen ....................................................................................................71 

Abb. 82 ACL Argument definieren .......................................................................................71 

Abb. 83 Registerkarte Sites .................................................................................................73 

Abb. 84 Site anlegen ...........................................................................................................73 

Abb. 85 ACL Set definieren .................................................................................................73 

Abb. 86 allgemeine Einstellungen für den Reverse Proxy ...................................................74 

Abb. 87 POP3 Proxy ...........................................................................................................75 

Abb. 88 transparente Regel anlegen ...................................................................................75 

Abb. 89 Registerkarten des Mailrelays ................................................................................76 

Abb. 90 Registerkarte Allgemein des Mailrelay ...................................................................77 

Abb. 91 Registerkarte Smarthost .........................................................................................77 

Abb. 92 Registerkarte Relaying ...........................................................................................78 

Abb. 93 Domain hinzufügen ................................................................................................78 

Abb. 94 Registerkarte SMTP Routen ...................................................................................79 

Abb. 95 Greylisting Einstellungen im unteren Fensterbereich ..............................................80 

Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden. ...........................81 

Abb. 97 Domains, die vom Greylisting ausgenommen werden. ...........................................82 

Abb. 98 Empfänger, die vom Greylisting ausgenommen werden. ........................................83 

Abb. 99 Absender, die vom Greylisting ausgenommen werden. ..........................................83 

Abb. 100 Ändern der Domain ..............................................................................................84 

Abb. 101 Einstellung, die Spam-E-Mails abwehren .............................................................85 

Abb. 102 Filterregeln ...........................................................................................................87 

Abb. 103 Dialog zum Erstellen einer neuen Regel ...............................................................88 

Abb. 104 Regel zur Filterregel hinzufügen ...........................................................................88 

Abb. 105 Liste der Content-Filter .........................................................................................89 

Abb. 106 Content-Filter erstellen .........................................................................................89 

Abb. 107 Registerkarte URL-Filter .......................................................................................90 

Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails ....................................91 




Abb. 109 allgemeine Einstellungen des VoIP Proxy ............................................................92 

Abb. 110 Einstellungen zum Provider ..................................................................................92 

Abb. 111 ungültige TCP Flags .............................................................................................93 

Abb. 112 Trojaner ................................................................................................................93 

Abb. 113 Übersicht der Dienste ...........................................................................................94 

Abb. 114 Dropdownmenü des Menüpunktes VPN ...............................................................95 

Abb. 115 blobale VPN Einstellung – Allgemein ...................................................................96 

Abb. 116 Hinterlegung der Nameserver ..............................................................................96 

Abb. 117 IPSec Verbindungsübersicht ................................................................................97 

Abb. 118 Assistent Scchritt 1 ...............................................................................................97 

Abb. 119 Assistent Schritt 2 - Authetifizierung PSK .............................................................98 

Abb. 120 Assistent Schritt 3 ................................................................................................99 

Abb. 121 Assistent Schritt 4 .............................................................................................. 100 


Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter ................................................ 101 




Abb. 127 Auflistung aller verfügbarer Verbindungen .......................................................... 103 








Abb. 135 globale Einstellungen füt PPTP Verbindungen ................................................... 107 

Abb. 136 globale Einstellungen für L2TP ........................................................................... 108 

Abb. 137 Übersicht der Clientless VPN Verbindungen ...................................................... 109 

Abb. 138 Clientless VPN Verbindung anlegen ................................................................... 109 

Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung .......................................... 110 

Abb. 140 Auflistung aller Benutzer..................................................................................... 111 

Abb. 141 allgemeine Einstellungen für den neuen Benutzer .............................................. 111 

Abb. 142 Gruppenzugehörigkeit ........................................................................................ 112 

Abb. 143 feste IP-Adressen für VPN Verbindungen ........................................................... 112 

Abb. 144 EInstellungen für den SSL-VPN Client ............................................................... 112 

Abb. 145 Einstellungen zum Kennwort .............................................................................. 113 




Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen ...................... 114 

Abb. 147 Wake On LAN .................................................................................................... 114 

Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server ............................... 115 

Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis ........................ 115 

Abb. 150 Eingaben für die Nutzung eines Active Directory ................................................ 116 

Abb. 151 Registerkarte CA der Zertifikatsverwaltung ........................................................ 117 

Abb. 152 CA anlegen ........................................................................................................ 118 

Abb. 153 Zertifikat erstellen ............................................................................................... 119 

Abb. 154 schematische Darstellung einer RSA Verschlüsselung ...................................... 122 

Abb. 155 Liste der gespeicherten RSA Schlüssel .............................................................. 123 

Abb. 156 RSA Schlüssel generieren .................................................................................. 123 

Abb. 157 Schaltflächen für den Export .............................................................................. 124 

Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster .................................................... 125 

Abb. 159 Informationen über die eingespielte Lizenz ........................................................ 126 

Abb. 160 Aktualisierungen suchen .................................................................................... 127 

Abb. 161 Einstellung zu Speicherung und Webserver ....................................................... 128 

Abb. 162 Konfigurationsdatei des Proxy ............................................................................ 129 

Abb. 163 Anzeige der aktuellen Protokollmeldungen ......................................................... 130

Securepoint 11

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?