close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

gateprotect Handbuch - gallo-IT

EinbettenHerunterladen
Einleitung
gateprotect
Handbuch
Installation, Administration & Beispiele der
Next Generation UTM Appliances & Virtual Appliances
Stand August 2012
Clarity  Perfection  Security
1
Einleitung
1 Einleitung................................................................................................................................. 9
1.1
1.2
1.3
1.4
An wen richtet sich dieses Handbuch ? ................................................................................................ 9
Allgemeine Hinweise zu diesem Handbuch......................................................................................... 9
Verwendete Symbole und Hinweise .................................................................................................... 9
Datenschutz und Datensicherheit ...................................................................................................... 10
2 Installation ............................................................................................................................ 11
2.1 Installation des Firewallservers ........................................................................................................... 11
2.1.1 Installation der Appliance ............................................................................................................ 11
2.1.2 Installation der Firewall mit VMware ........................................................................................... 11
2.1.3 Serielles Interface ........................................................................................................................ 13
2.2 Installation des Firewall Administrationsclients ................................................................................ 13
2.3 Erstkonfiguration des Firewallservers über den Administrationsclient............................................ 13
2.3.1 Starten des Konfigurationsassistenten ......................................................................................... 13
2.3.2 Erstkonfiguration im Schnellstartmodus....................................................................................... 14
2.3.3 Internet-Verbindungsassistent ..................................................................................................... 14
2.3.4 Failover (Backup-Leitung) ............................................................................................................ 17
2.3.5 Fortsetzung des Konfigurationsassistenten .................................................................................. 17
2.3.6 Erstkonfiguration im Standardmodus .......................................................................................... 17
2.4 Konfigurationsänderungen ................................................................................................................ 18
2.5 Lizenzierung ........................................................................................................................................ 18
3 Bedienung des Administrationsclients .............................................................................. 19
3.1 Programmoberfläche und Bedienelemente ...................................................................................... 19
3.2 Das Menü des Administrationsclients ................................................................................................ 20
3.2.1 Menü: Datei ............................................................................................................................... 20
3.2.2 Menü: Einstellungen ................................................................................................................... 21
3.2.3 Menü: Sicherheit ........................................................................................................................ 22
3.2.4 Menü: VPN Einstellungen ............................................................................................................ 22
3.2.5 Menü: Werkzeuge ...................................................................................................................... 23
3.2.6 Menü: Fenster ............................................................................................................................ 23
3.2.7 Menü: Info ................................................................................................................................. 23
3.3 Der Konfigurationsdesktop ................................................................................................................ 24
3.3.1 Zoom der Konfigurationsoberfläche ............................................................................................ 25
3.3.2 Layer .......................................................................................................................................... 25
3.3.3 Die Symbolleiste ......................................................................................................................... 26
3.3.4 Aktive Dienste ............................................................................................................................ 28
3.3.5 Weitere Informationen ................................................................................................................ 28
3.3.6 Suchen ....................................................................................................................................... 28
3.3.7 Statuszeile .................................................................................................................................. 28
3.4 Berichte ................................................................................................................................................ 29
3.5 Abgewiesene Zugriffe......................................................................................................................... 29
3.6 Statistiken ............................................................................................................................................ 30
3.6.1 Filtermöglichkeiten ..................................................................................................................... 30
3.6.2 Top-Listen - Internetseiten........................................................................................................... 31
3.6.3 Top-Listen - Gesperrte URL.......................................................................................................... 31
3.6.4 Top-Listen - Dienste .................................................................................................................... 31
3.6.5 Top-Listen – IDS/IPS .................................................................................................................... 31
3.6.6 Mitarbeiter - Toplisten ................................................................................................................ 31
3.6.7 Mitarbeiter - Traffic ..................................................................................................................... 31
Clarity  Perfection  Security
2
Einleitung
3.6.8
3.6.9
3.6.10
3.6.11
3.6.12
Abwehr - Übersicht ..................................................................................................................... 32
Abwehr - Abwehr ....................................................................................................................... 32
Traffic - Alle Daten ...................................................................................................................... 32
Traffic - Internet .......................................................................................................................... 32
Traffic - E-Mails ........................................................................................................................... 32
3.7 Firewall ................................................................................................................................................ 33
3.7.1 Firewall - Sicherheit ..................................................................................................................... 33
3.7.2 Firewall - Datum ......................................................................................................................... 34
3.8 Interfaces ............................................................................................................................................. 34
3.8.1 Netzwerkkarten .......................................................................................................................... 35
3.8.2 VLAN .......................................................................................................................................... 35
3.8.3 Bridge......................................................................................................................................... 36
3.8.4 VPN-SSL-Interface ....................................................................................................................... 37
3.9 Internet-Einstellungen ........................................................................................................................ 37
3.9.1 Allgemeine Internet-Einstellungen ............................................................................................... 37
3.9.2 Zeitraum für Internetverbindungen ............................................................................................. 38
3.9.3 Globale DNS-Einstellungen in den Internet-Einstellungen ............................................................. 38
3.9.4 Dynamische DNS Accounts ......................................................................................................... 39
3.10 DHCP Server ......................................................................................................................................... 40
3.10.1 Server ......................................................................................................................................... 40
3.10.2 DHCP-Relay ................................................................................................................................ 41
3.11 Backup automatisch erstellen ............................................................................................................. 41
3.12 Routing Einstellungen......................................................................................................................... 42
3.12.1 Statische Routen ......................................................................................................................... 42
3.12.2 Routing-Protokolle ...................................................................................................................... 43
4 Proxies ................................................................................................................................... 57
4.1 Einleitung ............................................................................................................................................ 57
4.2 HTTP-Proxy ........................................................................................................................................... 57
4.2.1 Transparenter Modus .................................................................................................................. 57
4.2.2 Intransparenter Modus ohne Authentifizierung ........................................................................... 57
4.2.3 Intransparenter Modus mit Authentifizierung .............................................................................. 58
4.2.4 Konfiguration des Caches ........................................................................................................... 58
4.3
4.4
4.5
4.6
4.7
HTTPS Proxy ......................................................................................................................................... 58
FTP-Proxy ............................................................................................................................................. 59
SMTP-Proxy .......................................................................................................................................... 59
POP3-Proxy .......................................................................................................................................... 59
VoIP-Proxy ............................................................................................................................................ 60
4.7.1 Allgemeine Einstellungen ............................................................................................................ 60
4.7.2 SIP-Proxy..................................................................................................................................... 60
5 User Authentifizierung ........................................................................................................ 61
5.1 Einleitung ............................................................................................................................................ 61
5.1.1 Ziel der User Authentifizierung .................................................................................................... 61
5.1.2 Technischer Hintergrund & Vorbereitungen ................................................................................. 61
5.2 Anmeldung .......................................................................................................................................... 63
5.2.1 Anmeldung über Browser ........................................................................................................... 63
5.2.2 Anmeldung über den Benutzerauthentifizierungs-Client (kurz: UA-Client) ................................... 63
5.2.3 Anmeldung per Single Sign On ................................................................................................... 63
Clarity  Perfection  Security
3
Einleitung
5.3 Benutzer .............................................................................................................................................. 66
5.4 Beispiele ............................................................................................................................................... 66
5.4.1 Windows-Domäne ...................................................................................................................... 66
5.4.2 Terminalserver ............................................................................................................................ 67
6 Web-Filter (URL,Content und Application) ........................................................................ 68
6.1 URL-Filter ............................................................................................................................................. 68
6.1.1 Ein- und Ausschalten des URL-Filters ........................................................................................... 68
6.2 Content-Filter ...................................................................................................................................... 69
6.2.1 Content-Filter aktivieren.............................................................................................................. 69
6.2.2 Konfiguration über den Dialog URL-/Content-Filter...................................................................... 70
6.2.3 Hinzufügen von URLs über den Administrations- oder Statistik-Client .......................................... 72
6.3 Application Filter ................................................................................................................................. 73
6.3.1 Profile erstellen ........................................................................................................................... 73
6.3.2 Application Filter auf Verbindungen anwenden ........................................................................... 74
6.3.3 Allgemeine Einstellungen des Application Filters .......................................................................... 74
6.3.4 Statistik ...................................................................................................................................... 75
7 LAN Accounting..................................................................................................................... 76
7.1 Lan Accounting Einleitung/Erklärung/Möglichkeiten ....................................................................... 76
7.2 Konfiguration Lan Accounting ........................................................................................................... 76
7.2.1 Zeitprofil erstellen ....................................................................................................................... 76
7.2.2 Volumenprofil erstellen ............................................................................................................... 77
7.3 Lan Accounting aktivieren .................................................................................................................. 78
8 Traffic Shaping & Quality of Service ................................................................................. 79
8.1 Einleitung ............................................................................................................................................ 79
8.1.1 Ziel ............................................................................................................................................. 79
8.1.2 Technischer Hintergrund ............................................................................................................. 79
8.2 Einstellungen Traffic Shaping ............................................................................................................. 80
8.3 Einstellungen Quality of Service ......................................................................................................... 81
9 Zertifikate.............................................................................................................................. 82
9.1
9.2
9.3
9.4
9.5
Einleitung ............................................................................................................................................ 82
Zertifikate ............................................................................................................................................ 83
Templates ............................................................................................................................................ 86
OCSP / CRL............................................................................................................................................ 87
Benachrichtigungen über Zertifikats-Ereignisse ................................................................................ 88
10 Virtual Private Networks (VPN) .......................................................................................... 89
10.1 Einleitung ............................................................................................................................................ 89
10.2 PPTP-Verbindungen ............................................................................................................................ 90
10.2.1 PPTP Client-to-Server Verbindung manuell einrichten .................................................................. 90
Clarity  Perfection  Security
4
Einleitung
10.3 IPSec-Verbindungen ............................................................................................................................ 91
10.3.1 Eine IPSec-Verbindung manuell einrichten ................................................................................... 91
10.3.2 L2TP / XAUTH ............................................................................................................................. 93
10.4 VPN over SSL ........................................................................................................................................ 97
10.5 VPN over SSL ohne Standardgateway ................................................................................................ 99
10.6 Der gateprotect VPN-Client .............................................................................................................. 100
10.6.1 Automatisches Einrichten einer VPN-Verbindung aus einer Konfigurationsdatei ......................... 100
10.6.2 Einrichten oder Bearbeiten einer VPN-Verbindung ..................................................................... 100
11 Hochverfügbarkeit ............................................................................................................. 102
11.1 Funktionsweise .................................................................................................................................. 102
11.2 Ausfallzeiten durch den Failover ...................................................................................................... 102
11.3 Konfiguration .................................................................................................................................... 103
11.3.1 IP-Adressen von Netzwerkkarten ............................................................................................... 103
11.3.2 Verbinden der Firewalls über dedizierte Links ............................................................................ 103
11.3.3 Aktivieren der Hochverfügbarkeit .............................................................................................. 103
11.4
11.5
11.6
11.7
11.8
11.9
Einstellungen der Hochverfügbarkeit verändern ............................................................................ 105
Hochverfügbarkeit deaktivieren ...................................................................................................... 105
Rollenwechsel .................................................................................................................................... 105
Inbetriebnahme einer Firewall nach dem Ausfall ........................................................................... 105
Backup einspielen oder Software Update durchführen.................................................................. 105
Meldungen im Bericht ...................................................................................................................... 106
12 INTRUSION DETECTION UND PREVENTION SYSTEM ........................................................ 107
12.1
12.2
12.3
12.4
12.5
12.6
12.7
Konfigurieren von IDS/IPS Profilen ................................................................................................... 107
IDS/IPS-Konfiguration – Internes/Externes Netz .............................................................................. 108
Konfiguration der IDS/IPS-Einschränkungen ................................................................................... 108
Aktivieren des Intrusion Detection und Prevention Systems .......................................................... 109
Die IDS- und IPS-Regeln können durch individuelle Regeln erweitert werden ............................. 109
IDS/IPS - Updates................................................................................................................................ 110
Ergebnisse .......................................................................................................................................... 110
13 Reporting ............................................................................................................................. 111
13.1
13.2
13.3
13.4
Allgemein .......................................................................................................................................... 111
Partitionen ......................................................................................................................................... 111
Syslog-Export ..................................................................................................................................... 112
SNMP .................................................................................................................................................. 113
14 Monitoring ........................................................................................................................... 114
14.1 Einleitung .......................................................................................................................................... 114
14.2 Im Monitoring angezeigte Komponenten....................................................................................... 115
15 Anti-Spam / Mailfilter ........................................................................................................ 116
15.1 Mailfilter ............................................................................................................................................ 116
15.2 Anti-Spam .......................................................................................................................................... 116
15.3 Spam-Kennzeichnung ....................................................................................................................... 117
Clarity  Perfection  Security
5
Einleitung
16 Virenschutz .......................................................................................................................... 118
16.1 Einleitung .......................................................................................................................................... 118
16.2 Lizenzierung ...................................................................................................................................... 118
16.3 Einstellungen ..................................................................................................................................... 118
16.3.1 Antivirus-Einstellungen: Allgemein ............................................................................................ 118
16.3.2 Scanner .................................................................................................................................... 119
16.3.3 Vertrauensliste .......................................................................................................................... 119
16.3.4 Updates .................................................................................................................................... 120
17 Updates ................................................................................................................................ 121
17.1
17.2
17.3
17.4
17.5
17.6
17.7
Einleitung .......................................................................................................................................... 121
Updates .............................................................................................................................................. 122
Updates automatisch herunterladen ............................................................................................... 123
Updates manuell herunterladen ...................................................................................................... 123
Updates installieren .......................................................................................................................... 123
Updates vom lokalen Speichermedium installieren ........................................................................ 123
Firewall-Anfragen ............................................................................................................................. 124
18 Fallbeispiele ........................................................................................................................ 125
18.1 Einleitung .......................................................................................................................................... 125
18.2 Einrichtung des Internetzugangs mit fester IP-Adresse .................................................................. 126
18.2.1 Einrichtung einer Standleitung mit festen IP-Adressen über einen Router. .................................. 126
18.2.2 Einrichtung einer DSL-Verbindung mit fester IP-Adresse............................................................. 127
18.3 Demilitarisierte Zone (DMZ) ............................................................................................................. 127
18.3.1 Einfaches Portforwarding .......................................................................................................... 127
18.3.2 Portforwarding mit Portumleitung ............................................................................................. 128
18.3.3 DMZ nach Quell-IP .................................................................................................................... 129
18.4 Beispiele zur User Authentifizierung ............................................................................................... 131
18.4.1 Windows-Domäne .................................................................................................................... 131
18.4.2 Terminalserver .......................................................................................................................... 131
19 Statistik ............................................................................................................................... 132
19.1 Bedienung des Statistik-Client / Statistik ......................................................................................... 132
19.1.1 Symbolleiste ............................................................................................................................. 132
19.1.2 Filtermöglichkeiten ................................................................................................................... 132
© 2012 gateprotect Aktiengesellschaft Germany. Alle Rechte vorbehalten.
gateprotect Aktiengesellschaft Germany
Valentinskamp 24 - 20354 Hamburg /Germany
http://www.gateprotect.com
Clarity  Perfection  Security
6
Einleitung
Ohne ausdrückliche schriftliche Genehmigung der gateprotect AG Germany darf kein Teil dieser Unterlagen für irgendwelche
Zwecke vervielfältigt oder übertragen werden. Dies gilt unabhängig davon auf welche Art und Weise oder mit welchen Mitteln,
elektronisch oder mechanisch, dies geschieht.
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Für die
Richtigkeit des Inhalts dieses Handbuchs übernehmen wir keine Garantie.
Die in den Beispielen verwendeten Namen und Daten sind frei erfunden, soweit dies nicht anders angegeben ist.
Alle aufgeführten Produkte, Marken und Namen sind Eigentum der jeweiligen Hersteller.
Clarity  Perfection  Security
7
Einleitung
VORWORT
Vielen Dank, dass Sie sich für ein Produkt aus dem Hause gateprotect entschieden haben.
Wir sind bestrebt, unsere Produkte im Sinne unserer Kunden stets zu verbessern. Sollten Sie Fehler feststellen oder
Verbesserungswünsche haben, teilen Sie uns diese bitte mit.
Sollten Sie weitergehende Fragen zu gateprotect oder unseren Produkten haben, wenden Sie sich bitte direkt an
Ihren zuständigen Reseller/Fachhändler oder direkt an:
gateprotect Aktiengesellschaft Germany
Valentinskamp 24
20354 Hamburg
Germany
Sie erreichen uns unter:

Telefon: 01805 428 377 (12 Cent/min)

Fax : 01805 428 332 (12 Cent/min)
Aktuelles, Sicherheitsupdates sowie weitere Informationen finden Sie auf:
http://www.gateprotect.de
Dort finden Sie ebenfalls mygateprotect, welches Ihnen hilfreiche Antworten, wichtiges Hintergrundwissen sowie
eine Vielzahl an Anleitungen für den täglichen Gebrauch bietet.
Clarity  Perfection  Security
8
Einleitung
1
E I NLE IT U NG
Mit der gateprotect Firewall haben Sie sich für ein Sicherheitssystem entschieden, das den modernsten Sicherheitsanforderungen gerecht wird und ausgesprochen einfach über eine grafische Bedieneroberfläche per Drag & Drop zu
bedienen ist.
1.1
An wen richtet sich dieses Handbuch ?
Dieses Handbuch richtet sich an Systemadministratoren, die das gateprotect Firewallsystem installieren und konfigurieren. Für das Verständnis der Funktionen, Einstellungen und Verfahrensanweisungen sind Fachkenntnisse auf den
folgenden Gebieten erforderlich:

Allgemeine Kenntnisse in den Bereichen der Netzwerktechnologie und der Netzwerkprotokolle

Administration und Konfiguration von Windows Betriebssystemen

Benutzer- und Rechteverwaltung in Windows-Systemen
1.2
Allgemeine Hinweise zu diesem Handbuch
Dieses Handbuch ist in folgende Themenbereiche gegliedert:

Einleitendes Kapitel mit allgemeinen Hinweisen zum Produkt und zur Verwendung der Produktdokumentation.

Systemvoraussetzungen, Installation des Firewallservers und des Firewall-Administrationsclient.

Bedienung des Firewall-Administrationsclient und Konfiguration des Firewallservers

Technische Beschreibung der Firewallkomponenten und ihre Einrichtung (Proxy, User Authentifizierung, WebFilter, Traffic Shaping, VPN, Hochverfügbarkeit, Intrusion Detection, Reporting, Antispam und Antivirus)

Beschreibung des Statistik-Client als eigene Reporting-Software

Typische Fallbeispiele und Frequently Asked Questions
1.3
Verwendete Symbole und Hinweise
HINWEIS
MIT DIESEM FORMAT WERDEN WICHTIGE UND HILFREICHE INFORMATIONEN HERVORGEHOBEN.
ACHTUNG
DIESES FORMAT ZEIGT AN, DASS SIE DIESEM PUNKT BESONDERE AUFMERKSAMKEIT SCHENKEN MÜSSEN.
Beispiel
Mit diesem Format werden erklärende Beispiel angezeigt. Beachten Sie bitte, dass angegebene Werte oder Eintragungen (soweit nicht anderweitig
angegeben) nur als Beispiel verwendet werden und von den tatsächlichen Werten in Ihrer Installation abweichen können.
Im Fließtext werden zusätzliche Formatierungen verwendet, um bestimmte Eigenschaften zu markieren oder auf
Bedienungselemente hinzuweisen.

Dialogtitel, Menüpunkte oder Schaltflächen werden durch eine rote Hervorhebung definiert.

Skripte, Tastatur- oder Befehlseingaben werden durch eine a n d e r e S c h r i f t t y p e im Text hervorgehoben.
Clarity  Perfection  Security
9
Einleitung
1.4
Datenschutz und Datensicherheit
Bei der Verwendung der gateprotect Firewall können unter Umständen personenbezogene Daten verarbeitet und
genutzt werden. In Deutschland gelten für die Verarbeitung und Nutzung solcher personenbezogenen Daten unter
anderem die Bestimmungen des Bundesdatenschutzgesetzes (BDSG).Für andere Länder beachten Sie bitte die jeweils entsprechenden Landesgesetze.
Datenschutz hat die Aufgabe, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Ferner hat Datenschutz die Aufgabe, durch den
Schutz der Daten vor Missbrauch in allen Verarbeitungsphasen der Beeinträchtigung fremder und eigener schutzwürdiger Belange zu begegnen.
Clarity  Perfection  Security
10
Installation
2
INST ALL ATIO N
Die Firewall besteht aus zwei Teilen. Dem eigentlichen Firewallserver und dem Client zum Bedienen der Firewall. In
diesem Kapitel beschreiben wir die nötigen Schritte zur Installation dieser Komponenten und der anschließenden
Einrichtung der verschiedenen Systemkomponenten.
2.1
Installation des Firewallservers
Da es sich bei der gateprotect Firewall in den meisten Fällen um eine Appliance handelt, wird diese beim Kauf mit
installiertem Firewallserver ausgeliefert. Nur im Falle eine Neuinstallation z.B. wegen eines Upgrades oder eines Zurücksetzen auf den Auslieferungszustand, sollten Sie die Appliance neu installieren.
Eine Installation mit einer CD wird nur beim Kauf einer Software- oder VMware-Lizenz durchgeführt.
2.1.1
Installation der Appliance
Eine gateprotect Appliance wird mit einem gateprotect-Firewall-USB-Stick installiert. Um einen solchen zu erstellen,
laden Sie sich bitte den USB-Installer der Firewall in Ihrer gewünschten Version von www.gateprotect.com/de runter.
Sie benötigen weiterhin einen USB-Stick >1GB. Hier sollten die meisten im Handel erhältlichen USB-Sticks funktionieren. Eine Liste mit von uns getesteten USB-Sticks erhalten Sie ebenfalls auf www.gateprotect.com/de.
Schließen Sie den USB-Stick an Ihren Windows-PC an und führen Sie den USB-Installer aus.
ACHTUNG
ALLE DATEN AUF DEM USB-STICK WERDEN GELÖSCHT. EIN WIZARD FÜHRT SIE DURCH DIE INSTALLATION DES USB-STICKS.
Besonderheit
Sie können auch einen Auto-Install-USB-Stick erstellen.
Wenn Sie im USB-Stick-Installations-Wizard ein Backup der entsprechenden Firewall angeben, wird dieses in den
USB-Stick integriert.
ACHTUNG
DIESER USB-STICK INSTALLIERT NUN AUTOMATISCH EINE FIREWALL, SOLLTE VON IHM GEBOOTET WERDEN. BITTE LASSEN SIE IHN NICHT IN ANDERN COMPUTERN STECKEN, WENN
DIESE BOOTEN !!!
Die Firewall-Installation mit dem USB-Stick läuft, wenn die Appliance von diesem bootet. (Schalten Sie dies ggf. im
BIOS ein.)
Bei einem gewöhnlichen USB-Install-Stick, werden Sie analog zur Installation mit CD auf der Konsole durch die Installation geführt. Siehe hierzu Beschreibung 2.1.2.
Bei einem Auto-Install-USB-Stick wird die Installation automatisch durchgeführt. Die Appliance piept, wenn die Installation fertig ist. Ziehen Sie nun den USB-Stick ab und rebooten Sie die Appliance.
2.1.2
Installation der Firewall mit VMware
Es ist möglich die ISO-Datei, aus der eine CD gebrannt werden kann, mit VMware (Workstation, ESX-Server) zu
mounten. Sie können dann die Installation wie gewohnt durchführen.
Hardwarevoraussetzungen an die virtuelle Maschine sind:
HDD: 20 GB
RAM: 512 MB
Je nach Verwendungszweck und Useranzahl sollen Sie diese Werte skaliert werden.
Clarity  Perfection  Security
11
Installation
Schritt 1
Legen Sie die Installations-CD in das Laufwerk des VMware-Rechners ein und starten Sie die virtuelle Maschine.
HINWEIS
SOLLTE DIE CD BEIM START NICHT AUTOMATISCH ERKANNT WERDEN, MÜSSEN SIE DIE BIOS-EINSTELLUNGEN VOR DER
INSTALLATION ÄNDERN.
Schritt 2
Zunächst wird ein Linux-Betriebssystem von der CD gestartet. Warten Sie, bis der Start-Bildschirm des Installationsprogramms geöffnet wird und folgen Sie im Weiteren den Anweisungen auf dem Bildschirm.
HINWEIS
DAS INSTALLATIONSPROGRAMM DES FIREWALLSERVERS UNTERSTÜTZT KEINE MAUSBEDIENUNG. ZUR NAVIGATION INNERHALB DER MENÜS VERWENDEN SIE DIE PFEIL-TASTEN UND
FÜR DIE NAVIGATION ZWISCHEN DEN MENÜS DIE TAB-TASTE. AUSGEWÄHLTE ODER AKTIVE MENÜPUNKTE SIND ENTWEDER MIT EINER ROTEN FLÄCHE HINTERLEGT ODER DURCH
ROTEN TEXT GEKENNZEICHNET.
Schritt 3
Nachdem die Lizenzbedingungen akzeptiert wurden, startet die automatische Hardware-Erkennung.
Schritt 4
Auswahl des Installationstyps
A. Neue Installation
B.
Installation eines Backup
Falls Sie statt einer Neuinstallation ein Backup einer vorhergehenden Firewallkonfiguration einspielen wollen, gehen
Sie wie nachfolgend beschrieben vor:
HINWEIS
DAS BACKUP MUSS AUF EINER DISKETTE ODER EINEM USB-MEMORY-STICK VORLIEGEN, DIE VOM SERVER AUTOMATISCH ERKANNT WERDEN. SIE KÖNNEN DAS BACKUP AN DIESER
STELLE AUCH ÜBERSPRINGEN UND ERST NACH DER INSTALLATION ÜBER DEN ADMINISTRATIONSCLIENT DURCHFÜHREN. WEITERE INFORMATIONEN DAZU FINDEN SIE IN KAP. 3.2.1
MENÜ: DATEI - BACKUP ERSTELLEN.
Schritt 5
Festplattenauswahl
Im Fenster Festplattenauswahl können Sie festlegen, ob die Installation auf einer Festplatte oder ob eine RAIDInstallation auf zwei Festplatten durchgeführt werden soll.
HINWEIS
BEI DER INSTALLATION ALS VIRTUELLE MASCHINE SOLLTEN SIE NUR EINE VIRTUELLE PLATTE NUTZEN.
Schritt 6
Einrichten der Netzwerkkarten
Sie müssen jeder Netzwerkkarte eine eigenen IP-Adresse und eine dazugehörige Subnetzmaske zuweisen. Geben
Sie dazu für jede Netzwerkkarte im ersten Feld die IP-Adresse und im zweiten Feld die entsprechende Subnetzmaske
ein, also z.B. 1 9 2 . 1 6 8 . 1 . 1 / 2 5 5 . 2 5 5 . 2 5 5 . 0 für ein Klasse-C-Netz. DHCP ist während der Installation nicht
möglich.
HINWEIS
WENN SIE KEINE IP EINTRAGEN, WIRD DIE KARTE AUTOMATISCH DEAKTIVIERT. DURCH DRÜCKEN VON „F12“ WERDEN DIE FELDER MIT STANDARD-WERTEN AUSGEFÜLLT.
Schritt 7
Passworteingabe
Geben Sie in die Felder Passwort und Bestätigen ein geeignetes Passwort ein.
ACHTUNG
DAS PASSWORT MUSS MINDESTENS AUS 6 ZEICHEN BESTEHEN UND KANN BUCHSTABEN, ZAHLEN UND SONDERZEICHEN ENTHALTEN. DIESES PASSWORT WIRD VERSCHLÜSSELT UND
KANN OHNE DIE HILFE DES SUPPORTS VON GATEPROTECT NICHT ZUM DIREKTEN ANMELDEN AUF DEM FIREWALLSERVER VERWENDET WERDEN. DER ZUGRIFF AUF DEN FIREWALLSERVER ERFOLGT ÜBER DEN ADMINISTRATIONSCLIENT UND EINE DIREKTE ANMELDUNG IST IM ALLGEMEINEN NICHT ERFORDERLICH. SO WIRD GEWÄHRLEISTET, DASS SICH KEINE UNBEFUGTE PERSON DIREKT AUF IHREM FIREWALLSERVER EINLOGGEN KANN.
Im nächsten Schritt startet die eigentliche Installation.
Clarity  Perfection  Security
12
Installation
Schritt 8
Installationsfortschritt
Ist die Installation erfolgreich verlaufen, muss hinter jedem Installationsschritt die entsprechende Meldung OK stehen. Nach erfolgreicher Installation entfernen Sie die CD aus dem Laufwerk und drücken Sie zum Abschluss noch
einmal die Return-Taste, um den Firewallserver neu zu starten.
Bitte warten Sie, bis die virtuelle Maschine wieder vollständig hochgefahren ist.
Der Firewallserver ist jetzt betriebsbereit.
2.1.3
Serielles Interface
Mit dem seriellen Interface ist es möglich die gateprotect Appliances ohne Monitor und Tastatur zu installieren.
Hierzu benötigen Sie ein Nullmodem-Kabel (RS232, RJ45)), um den seriellen Port der Appliance mit dem seriellen
Port eines anderen Rechners zu verbinden. Starten Sie ein Terminal-Programm (z.B. Putty oder Hyperterm) mit den
folgenden Parametern:
Bits pro Sekunde:
9600
Datenbits:
8
Parität:
keine
Stoppbits:
1
Flussteuerung:
keine
Verbinden Sie die seriellen Interfaces, stecken Sie den Install-USB-Stick in die Appliance und rebooten Sie die Firewall. Nach ein paar Sekunden sollte der Installations-Dialog auf Ihrem Terminal-Programm auftauchen. Sie können
nun mit der Tastatur die Einstellungen vornehmen und die Firewall wie gewohnt installieren.
2.2
Installation des Firewall Administrationsclients
Den Administrationsclient finden Sie auf der CD / USB-Stick (Autostart-Menü) oder im Internet unter
www.gateprotect.de. Die Installation erfolgt automatisch nach Starten der Datei.
2.3
Erstkonfiguration des Firewallservers über den Administrationsclient
Führen Sie nach der Installation des Firewallservers und des Administrationsclient zunächst eine erste Basiskonfiguration durch. Der Administrationsclient bietet Ihnen dazu die Möglichkeit, den Firewallserver entweder im Schnellstartoder im Standard-Modus durchzuführen.
2.3.1
Starten des Konfigurationsassistenten
Schritt 1
Starten Sie den Administrationsclient, indem Sie auf das Symbol auf dem Desktop doppelklicken oder indem Sie auf
Start > Programme > gateprotect Administration Client > gateprotect Administration Client klicken.
Schritt 2
Das Startfenster des Konfigurationsassistenten wird angezeigt.
Verbinden Sie den Administrationsclient mit dem Firewall-Server. Aktivieren Sie dazu das Auswahlfeld Nach Firewall suchen und klicken Sie auf Weiter >>.
Der Konfigurationsassistent sucht zunächst im Netzwerk des Rechners, auf dem der Administrationsclient installiert
wurde, automatisch auf der ersten (xxx.xxx.xxx.1) und letzten IP-Adresse (xxx.xxx.xxx.254) nach dem Firewallserver.
Findet der Konfigurationsassistent den Firewallserver auf einer der beiden Adressen, können Sie den nachfolgenden
Punkt 3 überspringen und direkt mit der Erstkonfiguration im Schnellstart- (Kap. 2.3.2 Erstkonfiguration im
Schnellstartmodus) oder Standardmodus (Kap. 2.3.6 Erstkonfiguration im Standardmodus) fortfahren.
Clarity  Perfection  Security
13
Installation
Findet der Konfigurationsassistent auf keiner der beiden Adressen den Firewallserver, müssen Sie die Adresse des
Firewallservers zuerst wie nachfolgend in Punkt 3 beschrieben manuell eingeben.
Schritt 3
Der Dialog Anmelden wird geöffnet, in dem Sie eine manuelle Verbindung herstellen können.
Klicken Sie auf Hinzufügen.
a.) Der Dialog IP-Adresse des Firewallservers wird geöffnet.
b.) Geben Sie Name und Adresse des Firewallservers in die entsprechenden Felder ein. Lassen Sie den Port unverändert (Port 3436) und klicken Sie auf Übernehmen.
c.) Der Dialog Anmelden wird wieder angezeigt.
Geben Sie in die Felder Benutzernamen und Kennwort die entsprechenden Werte für den Zugang zum Firewallserver ein. Klicken Sie anschließend auf Anmelden.
HINWEIS
BEI EINER NEU-KONFIGURATION DES FIREWALLSERVERS, SIND DER BENUTZERNAME UND DAS KENNWORT JEWEILS “admin“. WENN SIE DEN FIREWALLSERVER ALS BACKUP INSTALLIERT HABEN, VERWENDEN SIE DEN FÜR DIESES BACKUP FESTGELEGTEN BENUTZERNAMEN UND DAS DAZUGEHÖRIGE PASSWORT.
Die Verbindung zum Firewall-Server wird jetzt hergestellt und der Konfigurationsassistent mit der Auswahl des Konfigurationsmodus fortgesetzt.
2.3.2
Erstkonfiguration im Schnellstartmodus
Erweiterte Einstellungen können Sie im Anschluss an die Erstkonfiguration über den Administrationsclient vornehmen.
Schritt 1
Wählen Sie die Option Schnellstart .
Schritt 2
Der Dialog zur Auswahl der gewünschten Funktionen wird angezeigt.
Wählen Sie die gewünschten Optionen aus (wie im Dialog beschrieben), indem Sie die jeweiligen Auswahlfelder aktivieren.
Weiter geht die Konfiguration mit dem in 2.3.3 beschriebenen Internet-Verbindungsassistenten.
2.3.3
Internet-Verbindungsassistent
Der Dialog zur Auswahl des Verbindungstyps wird geöffnet. Der gateprotect Firewallserver unterstützt die Einwahl
ins Internet per ISDN, per DSL-Modem oder Router. Je nachdem, welche Internet-Verbindung Sie verwenden, folgen
Sie bitte den entsprechenden Konfigurationsschritten in den nächsten Kapiteln.
2.3.3.1
ISDN-Verbindung einrichten
Schritt 1
Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option ISDN-Wählverbindung.
Schritt 2
Im folgenden Dialog wird eine Liste der verfügbaren Hardware angezeigt. Wählen Sie aus der Liste eine der vorgegebenen ISDN-Karten aus.
Schritt 3
Geben Sie jetzt die Einwahlnummer für Ihren Internetzugang ein. Das Auswahlfeld Präfix muss nur dann aktiviert
werden, wenn Sie den Internet-Zugang über eine TK-Anlage einrichten. Geben Sie im Eingabefeld Präfix die Nummer ein, die Sie für eine Amtsleitung benötigen. Geben Sie die Daten für die Vorwahl und Rufnummer in die entsprechenden Felder ein.
Clarity  Perfection  Security
14
Installation
Schritt 4
Geben Sie die von Ihrem Internet-Provider zur Verfügung gestellten Zugangsdaten für Ihre ISDN InternetVerbindung ein.
Schritt 5
Geben Sie die Einwahl-Einstellungen für Ihre ISDN-Verbindung ein. Falls Sie nicht sicher sind, welche Einstellungen
Sie vornehmen müssen, lesen Sie bitte die Informationen zu Ihrem ISDN-Anschluss bzw. Ihrer TK-Anlage.
Schritt 6
Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen eigenen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen.
Schritt 7
Bei definierter Backupleitung für Failover (Internet)
Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2externe Server (empf. 2) anzugeben. Sie sollten hier zwei IP-Adressen
angeben, welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der
Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese
sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht.
HINWEIS
BEI ISDN-VERBINDUNGEN MIT DEFINIERTEM TIMEOUT SOLLTEN HIER KEINE TESTSERVER EINGETRAGEN WERDEN. ANDERNFALLS WÄREN DIE TIMEOUT-EINSTELLUNGEN HINFÄLLIG.
Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder ein und klicken Sie auf Weiter>>.
Schritt 8
Geben Sie einen eindeutigen und aussagekräftigen Namen für diese ISDN-Verbindung ein, z.B. „InternetVerbindung per ISDN“. Ihre Internet-Verbindung ist jetzt eingerichtet. Wenn Sie nur diese Internet-Verbindung per
ISDN verwenden, können Sie die nächsten Abschnitte überspringen und mit dem Konfigurationsassistenten fortfahren.
2.3.3.2
PPPoE-Verbindung einrichten
Die nachfolgend beschriebenen Einstellungen müssen sie nur dann vornehmen, wenn sie die Netzwerkkarte direkt
mit einem DSL-Modem verbinden. Wenn Sie für Ihre Internet-Verbindung einen DSL-Router verwenden, überspringen Sie diesen Abschnitt und fahren Sie mit dem nächsten Abschnitt Kap. 2.3.3.3 - Routerverbindung einrichten
fort.
Schritt 1
Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option PPPoE-Verbindung.
Schritt 2
Im folgenden Dialog wird eine Liste der installierten Netzwerkkarten angezeigt. Wählen Sie hier die Netzwerkkarte
aus, die mit dem DSL-Modem verbunden ist.
Schritt 3
Geben Sie die von Ihrem Internet-Provider zur Verfügung gestellten Zugangsdaten für Ihre DSL Internet-Verbindung
ein.
Schritt 4
Geben Sie die Einwahl-Einstellungen für Ihre DSL-Verbindung ein. Falls Sie nicht sicher sind, welche Einstellungen
Sie vornehmen müssen, lesen Sie bitte die Informationen zu Ihrem DSL-Modem bzw. Ihrem DSL-Internet-Anschluss.
Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder.
Clarity  Perfection  Security
15
Installation
Schritt 5
Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen eigenen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen.
Bei definierter Backupleitung für Failover (Internet)
Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2 externe Server anzugeben. Sie sollten hier zwei IP-Adressen angeben,
welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht.
Wählen Sie die entsprechenden Optionen aus, bzw. geben Sie die Daten in die entsprechenden Felder.
Schritt 6
Geben Sie einen eindeutigen und aussagekräftigen Namen für diese DSL-Verbindung ein, z.B. „Internet-Verbindung
per DSL-Modem“. Ihre Internet-Verbindung ist jetzt eingerichtet.
Wenn Sie nur diese Internet-Verbindung per DSL verwenden, können Sie den nächsten Abschnitt überspringen und
mit dem Konfigurationsassistenten fortfahren.
2.3.3.3
Router-Verbindung einrichten
Die nachfolgend beschriebenen Einstellungen müssen sie nur dann vornehmen, wenn sie die externe FirewallVerbindung über einem Router, z.B. einen DSL-Router mit dem Internet verbinden. Wenn Sie für Ihre InternetVerbindung ein DSL-Modem verwenden, lesen Sie bitte den vorhergehenden Abschnitt.
Schritt 1
Wählen Sie im Dialog zur Auswahl des Verbindungstyps die Option Router Verbindung.
Schritt 2
Im folgenden Dialog wird eine Liste der installierten Netzwerkkarten angezeigt.
Wählen sie die Netzwerkkarte aus, die mit dem Router verbunden ist.
Schritt 3
Geben Sie die erweiterten Einstellungen für die Internet-Verbindung ein. Falls sie einen internen DNS-Server verwenden, geben Sie hier die IP-Adresse des Servers ein oder verwenden Sie die Standard-Einstellungen.
Bei definierter Backupleitung für Failover (Internet)
Wenn diese Leitung als Masterleitung dienen soll und gleichzeitig eine Backupleitung definiert ist, auf die ggf. umgeschaltet werden kann, ist es notwendig 1-2 externe Server anzugeben. Sie sollten hier zwei IP-Adressen angeben,
welche möglichst bei verschiedenen Providern gehosted werden. Da für die Verfügbarkeitsprüfung der Internetverbindung regelmäßig Pings an die externen Server geschickt werden, sollten Sie vorher prüfen, ob diese sich überhaupt anpingen lassen. Der Firewallserver prüft dann, ob diese Server noch verfügbar sind und eine Verbindung besteht.
Schritt 4
Geben Sie einen eindeutigen und aussagekräftigen Namen für diese Router-Verbindung ein, z.B. „InternetVerbindung per Firmen-Router“. Geben Sie den Namen in das entsprechende Feld ein und klicken Sie auf Fertig.
Ihre Internet-Verbindung ist jetzt eingerichtet.
Clarity  Perfection  Security
16
Installation
2.3.4
Failover (Backup-Leitung)
Sollten Sie bereits eine Verbindung eingerichtet haben und wollen nun eine weitere erstellen, ist es möglich diese
als Backup-Leitung zu verwenden. Die Backup-Leitung wird automatisch gewählt, falls ihre Hauptverbindung ausfallen sollte. Sobald die Hauptverbindung wieder arbeitet, schaltet die Firewall automatisch auf diese zurück.
HINWEIS
IN DIESEM FALL MUSS UNBEDINGT EINE IP (EXTERNER SERVER) BEI DER HAUPTVERBINDUNG ANGEGEBEN WERDEN. ANHAND DIESER ADRESSE WIRD ERMITTELT, OB DIE VERBINDUNG
NOCH BESTEHT. (HINWEISE ZUR EINRICHTUNG EXTERNER SERVER FINDEN SIE IM WEITEREN BEI DER BESCHREIBUNG DER EINZELNEN VERBINDUNGSTYPEN - ISDN, DSL, ROUTER).
2.3.5
Fortsetzung des Konfigurationsassistenten
Schritt 1
Geben Sie im folgenden Dialog des Konfigurationsassistenten ein Kennwort für den Administrationsclient ein. Das
Kennwort muss mindestens aus sechs Zeichen bestehen und kann Buchstaben, Zahlen und Sonderzeichen beinhalten. Geben Sie das neue Kennwort im Feld Neues Kennwort ein. Bestätigen Sie dieses Kennwort durch erneute
Eingabe im Feld Kennwortbestätigung.
Schritt 2
Nehmen Sie Einstellungen für Datum und Uhrzeit des Firewallservers vor. Wählen Sie die aktuelle Zeitzone aus oder
legen Sie fest, ob die Server-Zeit regelmäßig mit einem Zeitserver aus dem Internet abgeglichen werden soll.
Schritt 3
Damit sind alle notwendigen Informationen eingegeben und der Konfigurationsassistent kann abgeschlossen werden.
Schritt 4
Wenn Sie bereits im Besitz einer gültigen Lizenznummer für den gateprotect Firewall-Server, den gateprotect Content Filter oder gateprotect Antivirus sind, können Sie diese Lizenz(en) jetzt direkt aktivieren, falls dies nicht bereits
schon erfolgt ist. Sie können die Aktivierung aber auch zu einem späteren Zeitpunkt vornehmen. Weitere Informationen über den Lizenzmanager und die Lizenzierung des gateprotect Firewallservers finden Sie in Kapitel 2.5 „Lizenzierung“.
Damit ist die Konfiguration abgeschlossen. Die Konfigurationsdaten werden jetzt zur Firewall übertragen und der
gateprotect Administrationsclient wechselt zur Konfigurationsoberfläche.
2.3.6
Erstkonfiguration im Standardmodus
Wenn sie die Erstkonfiguration bereits im Schnellstart-Modus durchgeführt haben, können Sie dieses Kapitel überspringen.
Schritt 1
Wählen Sie die Option Standard.
Schritt 2
Geben Sie im folgenden Dialog des Konfigurationsassistenten ein Kennwort für den Administrationsclient ein. Das
Kennwort muss mindestens aus sechs Zeichen bestehen und kann Buchstaben, Zahlen und Sonderzeichen beinhalten.
Schritt 3
Nehmen Sie Einstellungen für Datum und Uhrzeit des Firewallservers vor. Wählen Sie die aktuelle Zeitzone aus und
legen Sie fest, ob die Server-Zeit regelmäßig mit einem Zeitserver aus dem Internet abgeglichen werden soll.
HINWEIS
AN DIESER STELLE IST DAS ANKLICKEN DES AUSWAHLFELDES ZUM AKTIVIEREN DES NTP-DIENSTES NICHT MÖGLICH, DA IM STANDARDMODUS NOCH KEINE INTERNETVERBINDUNG
EINGERICHTET WURDE. AKTIVIEREN SIE DIESE OPTION IM ADMINISTRATIONSCLIENT ZU EINEM SPÄTEREN ZEITPUNKT, NACHDEM SIE EINE INTERNETVERBINDUNG EINGERICHTET HABEN.
Schritt 4
Damit sind alle notwendigen Informationen eingegeben und der Konfigurationsassistent kann abgeschlossen werden.
Clarity  Perfection  Security
17
Installation
Schritt 5
Wenn Sie bereits im Besitz einer gültigen Lizenznummer für den gateprotect Firewall-Server, den gateprotect Content Filter oder gateprotect Antivirus sind, können Sie diese Lizenz(en) jetzt direkt aktivieren, falls dies nicht bereits
schon erfolgt ist. Sie können die Aktivierung aber auch zu einem späteren Zeitpunkt vornehmen. Weitere Informationen über den Lizenzmanager und die Lizenzierung des gateprotect Firewallservers finden Sie in Kapitel 2.5 „Lizenzierung“.
Damit ist die Konfiguration abgeschlossen. Die Konfigurationsdaten werden jetzt zur Firewall übertragen und der
gateprotect Administrationsclient wechselt zur Konfigurationsoberfläche.
2.4
Konfigurationsänderungen
Wenn Sie den Firewallserver individuell an Ihre Anforderungen anpassen wollen, finden Sie in den nachfolgenden
Kapiteln weitere Informationen zu den entsprechenden Themen und Einstellungsmöglichkeiten.
2.5
Lizenzierung
ACHTUNG
AB DER INSTALLATION DES SERVERS, LÄUFT IHRE FIREWALL 45 TAGE ALS TESTVERSION. SIE ERKENNEN DIES AN DER MELDUNG BEIM STARTEN DES ADMINISTRATIONSCLIENT. NACH
ABLAUF DIESER ZEIT BLEIBT DIE FIREWALL WEITERHIN MIT IHRER KONFIGURATION AKTIV, SIE KÖNNEN JEDOCH KEINE VERÄNDERUNGEN MEHR VORNEHMEN UND DAS HTTPPROTOKOLL WIRD GESPERRT.
Die Lizenzierung erfolgt über den Lizenz-Wizard, welchen Sie unter dem Menüpunkt „Info“ aufrufen können.
Die Lizenzierung erfolgt über eine Datei im gplf-Format.
Sie können diese Datei einfach laden und alle Lizenzen und Angaben über den Lizenznehmer sind automatisch in
der Firewall eingetragen.
Clarity  Perfection  Security
18
Bedienung des Administrationsclients
3
BEDIENUNG DES ADMINIST RAT IONSCL IENTS
Mit dem Administrationsclient verwalten Sie komfortabel sämtliche Einstellungen des gateprotect Firewallservers. In
diesem Kapitel lesen Sie, wie Sie dieses Programm bedienen, welche Möglichkeiten der Administrationsclient bietet
und wie Sie grundlegende Konfigurationseinstellungen vornehmen.
3.1
Programmoberfläche und Bedienelemente
Nach dem ersten Start des Programms befinden Sie sich im Konfigurationsdesktop. Dies ist die zentrale Verwaltungsansicht, mit der Sie alle notwendigen Einstellungen an der Firewall vornehmen können.
Clarity  Perfection  Security
19
Bedienung des Administrationsclients
3.2
Das Menü des Administrationsclients
3.2.1
Menü: Datei
Im Menü Datei finden Sie die Windows-üblichen Menüpunkte für das Öffnen, Speichern, Drucken und Beenden des
Programms. Zusätzlich sind hier die Funktionen für das Erstellen und Einspielen von Backups des Firewallservers untergebracht.
Menüpunkt
Funktion
Neu
Erstellt eine neue Firewallkonfiguration.
Öffnen...
Öffnet eine vorhandene Firewallkonfiguration entweder direkt von einer verbundenen Firewall oder aus einer gespeicherten Konfigurationsdatei.
Speichern
Speichert die aktuelle Firewallkonfiguration direkt auf einer verbundenen Firewall.
Speichern unter...
Speichert die aktuelle Firewallkonfiguration entweder auf einer verbundenen Firewall oder in einer Konfigurationsdatei auf dem Rechner oder im Netzwerk.
Drucken...
Druckt die aktuelle Konfiguration auf einem angeschlossenen Drucker
Backup erstellen
Erstellt ein Backup der aktuellen Firewallkonfiguration auf einem beliebigen Speichermedium. Verwenden Sie diese Funktion, um z.B. eine Konfiguration nach einer
Neuinstallation wieder einzuspielen, oder eine Konfiguration für eine Hochverfügbarkeitslösung auf eine zweite (sekundäre) Firewall zu übertragen.
Backup einspielen
Lädt eine Firewallkonfiguration aus einer Backup-Datei und aktiviert diese anschließend.
Backup automatisch
Einstellen der automatischen Backup-Funktion Kap. 3.11 Backup automatisch erstellen
KonfigurationsAssistent erneut aufrufen...
Startet den Konfigurationsassistenten im Anfänger- oder Expertenmodus, um eine
Basiskonfiguration zu erstellen Kap. 2.3 Erstkonfiguration des Firewallservers
über den Administrationsclient
Aktivieren
Überträgt eine Konfiguration auf den Firewallserver, ohne den Administrationsclient vorher zu beenden.
Sprache / Language
Wechselt die Sprache für den Administrationsclient.
Beenden...
Beendet den gateprotect Administrationsclient, nachdem Sie in einem Dialog mehrere Optionen zur Beendigung des Programms angezeigt bekommen und Sie das
Beenden des Administrationsclient bestätigt haben.
Clarity  Perfection  Security
20
Bedienung des Administrationsclients
3.2.2
Menü: Einstellungen
Über das Menü Einstellungen konfigurieren Sie die Einstellungen des Servers und des Administrationsclient.
Menüpunkt
Funktion
Firewall
Passt die allgemeinen Server-Einstellungen, wie z.B. Netzwerk- oder Host-Namen,
Sicherheitseinstellungen für die Administration oder Datums- und Uhrzeiteinstellungen an Ihre Bedürfnisse an.
Command Center
Zugriffsregelung und Erstellung der Command Center Zertifikate
Interfaces
Verwaltung der Netzwerkkarten, V-LANs, Bridges und VPN-SSL Interfaces
Routing
Verwaltung von Routen und Routing-Protokollen.
Benutzerverwaltung
Verwaltet die auf der Firewall konfigurierten Benutzer und die ihnen zugewiesenen Benutzerrechte.
Internet
Verwaltet die Internet-Verbindungen und ändert globale DNS-Einstellungen oder
Einstellungen für dynamisches DNS.
Proxy
Aktiviert und konfiguriert die Einstellungen für den HTTP- und VoIP-Proxy des
Firewallservers Kap. 4 Proxies.
Traffic-Shaping
Konfiguriert die Einstellungen für Traffic Shaping und Quality of Service Kap. 7
Traffic Shaping & Quality of Service.
Hochverfügbarkeit
Definiert Einstellungen für mehrere Firewallserver, die als Hochverfügbarkeitslösung laufen Kap. 11 Hochverfügbarkeit.
DHCP
Einstellungen für DHCP Server und Relay werden hier vorgenommen.
Reporting
Verwaltet die Reporting-Einstellungen wie z.B. die Empfängeroptionen für die EMailbenachrichtigung und die Einstellungen für die Partitionen Kap. 13 Reporting
Benutzerauthentifizierung
Konfiguriert die Optionen für die User Authentifizierung und die Anmeldung am
HTTP-Proxy Kap. 5 User Authentifizierung.
Updates
Verwaltung aller Updates der Firewall.
Clarity  Perfection  Security
21
Bedienung des Administrationsclients
3.2.3
Menü: Sicherheit
Über dieses Menü verwalten Sie unterschiedliche Sicherheitseinstellungen des Firewallservers
Menüpunkt
URL-/Contentfilter...
Funktion
Aktiviert und konfiguriert die Einstellungen für den URL- und Content-Filter
Kap. 6 URL- und Content-Filter.
Anti-Spam / Mailfilter
Erstellt Black- und Whitelisten für den Spamfilter und stellt die Empfindlichkeit ein.
Kap. 15 Anti-Spam/Mailfilter
Anti-Virus
Aktiviert und verwaltet die Einstellungen des Anti Virus Scanners
Kap. 16 Virenschutz
IDS/IPS
Verwalten Sie die Einstellungen für das Intrusion Detection und Prevention System
Kap. 12 Intrusion Detection und Prevention System
Zertifikate
Zentrale Steuerung aller in der Firewall genutzter Zertifikate.
DMZ-Liste
Anzeige der DMZ Objekte
Abgewiesene
Zugriffe...
Zeigt eine Liste der abgewiesenen Zugriffe und ermöglicht diese Verbindungen freizugeben oder abzuweisen.
3.2.4
Menü: VPN Einstellungen
Über dieses Menü verwalten Sie die Einstellungen für VPN-Verbindungen zum Firewallserver.
Menüpunkt
Funktion
PPTP
Aktiviert die PPTP-Einstellungen der Firewallservers Kap. 10.2 PPTP-Verbindungen.
IPSec
Aktiviert die IPSec-Einstellungen und verwaltet IPSec-Verbindungen
Kap. 10.3 IPSec-Verbindungen.
VPN-SSL
Aktiviert VPN-SSL-Verbindungen und verwaltet die VPN-SSL-Eigenschaften und Clients Kap. 10.4 VPN over SSL.
VPN Wizard
Erstellt eine neue VPN-Verbindung und richtet alle notwendigen Konfigurationseinstellungen für die VPN-Verbindung ein.
Clarity  Perfection  Security
22
Bedienung des Administrationsclients
3.2.5
Menü: Werkzeuge
In diesem Menü finden Sie einige Werkzeuge, die Sie zur Konfiguration, für Netzwerktests oder bei der Problemlösung und Fehlersuche unterstützen.
Menüpunkt
Funktion
Ping
Führt einen PING-Befehl auf einen Rechner/Server im Netzwerk oder im Internet
aus. Wählen Sie als Option aus, ob der PING-Befehl vom lokalen Rechner oder
vom Firewallserver ausgeführt werden soll
Traceroute
Führt einen TRACEROUTE-Befehl auf einen Rechner/Server im Netzwerk oder im
Internet aus.
Nameserver abfragen
Fragt beim Nameserver Informationen über eine Adresse ab.
Web-Blocking Analyse
Führt eine Überprüfung einer URL oder Webseite mit Hilfe des URL- und ContentFilters durch Kap. 6 URL- und Content-Filter.
3.2.6
Menü: Fenster
Schaltet zwischen den verschiedenen Ansichten des Administrationsclients um.
Menüpunkt
Funktion
Desktop
Wechselt in den Konfigurationsdesktop, um Netzwerk- und Firewalleinstellungen zu verwalten.
Berichte
Wechselt in die Berichtsansicht mit aktuellen System- und Sicherheitsmeldungen.
Statistiken
Zeigt allgemeine und sicherheitsrelevante Statistiken über Benutzer, Netzwerkobjekte und den Firewallserver.
Monitoring
Liefert aktuelle Informationen über Hardware und Systemprozesse des Firewallservers.
3.2.7
Menü: Info
Bietet die Windows-üblichen Hilfs- und Unterstützungsfunktionen für Benutzer.
Menüpunkt
Funktion
Handbuch
Öffnet das Handbuch
Neue Lizenz erwerben / eingeben
Lizenzierung der Firewall und der UTM-Produkte.
Lizenzbedingungen anzeigen
Zeigt die aktuellen Lizenzbedingungen als PDF-Dokument an.
Über
Liefert Versionsinformationen über den Administrationsclient.
Clarity  Perfection  Security
23
Bedienung des Administrationsclients
3.3
Der Konfigurationsdesktop
Die Bedieneroberfläche bildet den Hauptarbeitsbereich der gateprotect Firewall. Über den Konfigurationsdesktop
haben Sie immer einen Gesamtüberblick über Ihr komplettes Netzwerk.

Alle im Netz angelegten Objekte (Rechner, Server, Rechnergruppen, VPN-User, usw.) werden mit ihren jeweiligen Verbindungen dargestellt.

Neue Objekte können jederzeit per „Drag & Drop“ hinzugefügt werden.

Mit einem einfachen Klick auf die Knotenpunkte der Verbindungslinien, können Regeln für diese Verbindung
erstellt werden.

Einzelne Objekte können per „Drag & Drop“ in Gruppen zusammengefasst und gemeinsam konfiguriert werden.

Wenn Sie ein Objekt auf eine anderes ziehen, werden Sie gefragt ob Sie aus den beiden Einzelobjekten eine
Gruppe erstellen wollen

Es können mehrere Objekte und Punkte gleichzeitig selektiert werden, indem man an einer leeren Stelle auf
dem Desktop klickt und mit der Maus den gewünschten Bereich definiert. Mit Strg + linker Maustaste können
einzelne Objekte und Punkte hinzugefügt bzw. entfernt werden.

Strg + A selektiert alle Objekte und Punkte auf dem Desktop.

Verbindungslinien können zur besseren Übersicht bei Bedarf mehrfach umgebrochen werden. Doppelklick auf
der Linie erstellt an dieser Stelle einen neuen Umbruchpunkt. Der Regelpunkt und alle Umbruchpunkte können
auf dem Desktop frei bewegt werden.

Die Endpunkte einer Linie „kleben“ am jeweiligen Objekt, können aber an dessen Seiten frei bewegt werden.

Doppelklick auf einem Umbruchpunkt (mit Ausnahme der Endpunkte) löscht diesen.
Clarity  Perfection  Security
24
Bedienung des Administrationsclients
3.3.1
Zoom der Konfigurationsoberfläche
Der Desktop verfügt über eine Zoom-Funktion. Diese wird durch eine Kleinansicht unterstützt (rechts unten im Ansichts-Frame). Der Desktop kann in einem Bereich zwischen 30% und 100% verkleinert werden. Wenn nicht der
komplette Desktop sichtbar ist, wird der sichtbare Bereich mit einem blauen Rechteck in der Kleinansicht dargestellt.
Die Kleinansicht kann zum Navigieren benutzt werden (wenn Teile des Desktops nicht sichtbar sind).
3.3.2
Layer
Der Desktop verfügt über einen Standard- und mehrere benutzerdefinierte
Layer. Der Standardlayer, genannt Grundlayer, kann umbenannt, aber nicht
gelöscht werden. Er ist immer erster in der Liste.
Die benutzerdefinierte Layer können ausgeblendet werden. Dadurch werden die Objekte auf dem jeweiligen Layer, und alle damit verbundenen
Linien ebenfalls ausgeblendet. Die Reihenfolge der benutzerdefinierten
Layer kann beliebig geändert werden. Die benutzerdefinierten Layer können
gelöscht werden. Dessen Objekte wandern zum Grundlayer.
Objekte können frei auf allen Layern verschoben werden. Die Ausnahme
sind die Internet-Objekte. Sie sind immer auf dem Grundlayer. Objekte auf
einem „unteren“ Layer werden als letzte auf dem Desktop dargestellt, und
überblenden Objekte aus einem „oberen“ Layer.
Clarity  Perfection  Security
25
Bedienung des Administrationsclients
3.3.3
Die Symbolleiste
Um ein Objekt auf dem Konfigurationsdesktop anzulegen, klicken Sie in der Symbolleiste auf das gewünschte Objekt, halten Sie die linke Maustaste gedrückt und ziehen Sie das Objekt auf den Konfigurationsdesktop. Es öffnet
sich je nach Objekttyp automatisch ein Fenster, in dem Sie Daten zum Objekt eingeben können.
Um ein Objekt wieder vom Konfigurationsdesktop zu entfernen, klicken Sie mit der rechten Maustaste auf das Objekt und wählen im Kontextmenü den Menüpunkt Löschen aus oder drücken Sie „Entf“.
Symbol
Funktion
Auswahlwerkzeug
Mit dem Auswahl-Werkzeug führen Sie alle Aktionen auf dem Konfigurationsdesktop durch.
Sie legen damit Symbole an, verschieben Objekte oder wählen bestimmte Funktionen aus.
Verbindungswerkzeug
Mit dem Verbindungswerkzeug verbinden Sie Symbole auf dem Konfigurationsdesktop miteinander. Klicken Sie zunächst auf das Symbol des Verbindungswerkzeuges, dann auf das erste
Symbol und danach auf das zweite Symbol. Die beiden Symbole werden nun miteinander verbunden und der Regeleditor zur Festlegung von Verbindungsregeln öffnet sich automatisch.
Internet
Wenn Sie auf dieses Objekt doppelklicken, konfigurieren Sie ihre Internetverbindungen.
Geräte
Ziehen Sie eines der Geräte (Rechner, Server, Netzwerkdrucker, Laptop oder IP-Telefon) auf den
Konfigurationsdesktop und geben Sie in dem sich öffnenden Dialog weitere Objekteigenschaften für den Rechner ein.
Sie können jedes Gerät nachträglich ändern, indem Sie im Dialog Eigenschaften des Objekts
die Art des Objekts über eine der Schaltflächen auswählen.
Gruppe
Eine Rechnergruppe dient der Übersichtlichkeit und einfachen Konfiguration. Mehrere Rechner
einer Abteilung können gemeinsam konfiguriert werden. Jeder Rechner erhält alle Rechte, die
seine Gruppe besitzt. Ziehen Sie eine Gruppe auf den Konfigurationsdesktop, geben Sie in dem
sich öffnenden Dialog weitere Objekteigenschaften für die Gruppe ein und erstellen Sie neue
Objekte innerhalb dieser Gruppe.
Ziehen Sie einzelne, bereits vorhandene Objekte auf dem Konfigurationsdesktop mit der Maus
auf ein Gruppensymbol, um dieses Einzelobjekt dieser Gruppe zuzuordnen.
Eine Rechnersammlung beinhaltet einzelne Rechner, die manuell hinzugefügt oder direkt vom
Konfigurationsdesktop in diese Gruppe aufgenommen wird.
Bei einer Netzwerkgruppe wählen Sie eine Netzwerkkarte des Firewallservers aus und alle da-
Clarity  Perfection  Security
26
Bedienung des Administrationsclients
Symbol
Funktion
ran angeschlossenen Rechner gehören damit zu dieser Gruppe. Der Modus IP-Range ermöglicht
die Gruppierung von Rechnern über Angabe einer Start- und End-Adresse. Sofern für dieses
Interface ein DHCP-Server konfiguriert ist, ist es auch möglich, dessen Adressbereich zu übernehmen.
VPN-Rechner und VPN-Server
Ziehen Sie einen VPN-Rechner auf den Desktop, legen Sie in dem sich öffnenden Dialog allgemeine Einstellungen für den VPN-Rechner fest und erstellen Sie eine neue VPN-Verbindung.
Weitergehenden Informationen zu VPN-Objekten und deren Einrichtung finden Sie in
Kap. 10 Virtual Private Networks (VPN)
VPN-Gruppe
Ziehen Sie eine VPN-Gruppe auf den Desktop, legen Sie in dem sich öffnenden Dialog allgemeine Einstellungen für diese VPN-Gruppe fest und fügen Sie bereits vorhandene VPN-Benutzer
dieser VPN-Gruppe hinzu.
Weitergehenden Informationen zu VPN-Gruppen und deren Einrichtung finden Sie in
Kap. 10 Virtual Private Networks (VPN)
VPN-Benutzer / VPN-Benutzer-Gruppe
VPN-Benutzer können sich per L2TP oder XAUTH anmelden.
DMZ-Objekt.
Nachdem Sie ein DMZ-Objekt auf den Desktop gezogen haben, startet der DMZ-Wizard automatisch und führt Sie durch alle nötigen Einstellungen
Benutzer
Ziehen sie einen Benutzer auf den Desktop und geben sie in dem sich öffnenden Dialog weitere
Benutzereigenschaften an.
Weitergehenden Informationen zu Benutzern und deren Einrichtung finden Sie in
Kap. 5 User Authentifizierung.
Benutzergruppe
Ziehen sie eine Benutzergruppe auf den Desktop, geben Sie in dem sich öffnenden Dialog weitere Einstellungen für die Gruppe an und fügen Sie bereits vorhandene Benutzer dieser Benutzergruppe hinzu.
Weitergehende Informationen zu Benutzern und deren Einrichtung finden Sie in
Kap. 5 User Authentifizierung.
Das Notiz-Objekt kann einfach auf den Desktop gezogen werden und für beliebige Notizen auf
dem Desktop genutzt werden. Es wird wie jedes andere Objekt mit der Konfiguration gespeichert.
Das Regions-Objekt ist ein Hilfsmittel, um Gruppen und Bereiche farblich zu hinterlegen. Ziehen
Sie das Objekt einfach auf den Desktop, wählen Sie Farbe und Grad der Transparenz und vergeben Sie einen Namen. Nun können Sie das Objekt beliebig verschieben und seine Größe anpassen.
Clarity  Perfection  Security
27
Bedienung des Administrationsclients
3.3.4
Aktive Dienste
Im linken Fenster Aktive Dienste auf dem Konfigurationsdesktop finden Sie eine Liste aller bisher im Netzwerk vergebenen, vordefinierten oder selbst definierten Dienste. Wenn Sie aus der Liste einen Dienst mit der Maus anklicken, werden alle Objekte und Verbindungslinien, in denen dieser Dienst enthalten ist, farbig markiert. Alle anderen
Objekte und Verbindungslinien bleiben grau.
3.3.5
Weitere Informationen
Wenn Sie auf einen der Dienste in der Liste, ein Objekt oder einen Benutzer auf dem Konfigurationsdesktop klicken,
erhalten Sie im Fenster Weitere Informationen ergänzende Informationen zum jeweiligen Dienst, Objekt oder Benutzer.
3.3.6
Suchen
Im Fenster Suchen auf der rechten Seite des Konfigurationsdesktops können Sie nach einzelnen Rechnern, Benutzern, Gruppen oder Verbindungen suchen.
Netzwerksuche
Über die Netzwerksuche finden Sie eingeschaltete Rechner, die noch nicht als eigenständiges Objekt oder als Teil
einer Rechnergruppe erfasst sind. Um auch die Rechner zu finden, die sich bereits als Objekt oder in einer Rechnergruppe auf dem Konfigurationsdesktop befinden, markieren Sie das Auswahlfeld Alle anzeigen mit einem Haken.
HINWEIS
BEACHTEN SIE BITTE, DASS EIN RECHNER NUR GEFUNDEN WERDEN KANN, WENN ER SICH IM NETZWERK BEFINDET UND ERREICHBAR IST.
Wenn Sie einen gefundenen Rechner mit der Maus in eine vorhandene Gruppe auf dem Konfigurationsdesktop ziehen, werden diesem Rechner automatisch die Rechte dieser Gruppe zugewiesen.
Benutzerliste
In der Benutzerliste finden Sie alle eingetragenen Benutzer (hierbei handelt es sich um die bereits definierten Benutzer, nicht die Rechner). Wenn Sie einen der Benutzer mit der Maus auswählen, sehen Sie auf dem Desktop, welcher
Gruppe dieser Benutzer zugeordnet ist.
Desktopsuche
Mit der Desktopsuche können Sie den gesamten Konfigurationsdesktop nach allen bereits konfigurierten Elementen
(auch Teilen von Objektnamen oder IP-Adressen) durchsuchen. Die Ergebnisse der Suche werden nach Gruppe oder
Art des Objektes sortiert in einer erweiterbaren Liste angezeigt.
3.3.7
Statuszeile
In der Statusleiste am unteren Rand des Administrationsclients werden weitere Informationen über den Administrationsclient eingeblendet:

Aktuelle Konfiguration

Serverzeit

Angemeldeter Benutzer

IP-Adresse des Firewallservers

Versionsnummer und Versionsbeschreibung des Administrationsclients
Clarity  Perfection  Security
28
Bedienung des Administrationsclients
3.4
Berichte
Der Administrationsclient zeigt die vom Firewallserver eintreffenden System- und Intrusion-Detection-Meldungen
an.
1. Sie kommen zur Berichtsansicht, wenn Sie in der Symbolleiste auf das Symbol Bericht klicken oder den Menüpunkt Berichte aus dem Hauptmenü Fenster auswählen.
2. Im Fenster Aktueller Bericht sehen Sie eine Liste mit den letzten 32 Systemmeldungen des Firewallservers. Mit
der Schaltfläche Bericht aktualisieren laden Sie die aktuellen Daten aus dem Firewallserver in die Berichtsanzeige.
3. Das Fenster Gesamtbericht enthält eine Liste aller Systemmeldungen des Firewallservers, die nach unterschiedlichen Kriterien gefiltert werden können:

Nach Zeitraum mit Datum und Uhrzeit für Start und Ende,

Nach Typ und Status der Meldung,

Nach benutzerdefiniertem Text,

Anzahl der Meldungen.
4. Im Fenster IDS/IPS-Bericht werden die aktuellen Log-Daten des IDS/IPS angezeigt.
3.5
Abgewiesene Zugriffe
Sie öffnen den Dialog über das Hauptmenü Sicherheit, wählen Sie dazu den Menüpunkt
Abgewiesene Zugriffe.
Clarity  Perfection  Security
29
Bedienung des Administrationsclients
1. Aktualisieren Sie zunächst die Liste, indem Sie auf die Schaltfläche Aktualisieren klicken.
Die Liste zeigt alle durch die Firewall blockierten Verbindungen. Der rote oder grüne Pfeil in der Spalte Dienst
zeigt für jede abgewiesene Verbindung an, ob der Ursprung der Verbindung im internen Netz (grüner Pfeil) oder
im externen Netz (roter Pfeil) liegt.
2. Wird die Liste aufgrund einer hohen Anzahl von abgewiesenen Verbindungen zu unübersichtlich, können Sie
einen Filter erstellen, der nur bestimmte abgewiesene Verbindungen anzeigt. Klicken Sie dazu auf die Schaltfläche Filter anzeigen.
Über der Liste werden jetzt mehrere Filter-Optionen angezeigt. Sie können die blockierten Verbindungen nach Port
und Protokoll, nach Ursprung und Ziel oder nach dem Zeitraum filtern und die Anzahl der anzuzeigenden Verbindungen begrenzen. Doppelte Einträge werden jeweils zusammengefasst und die Anzahl der ignorierten Verbindungen angezeigt.
3.6
Statistiken
Zur Anzeige der Statistiken können sie entweder den im Administrationsclient integrierten Statistik-Bereich oder den
externen, getrennt zu installierenden Statistik-Client verwenden. Beide Programme besitzen den gleichen Funktionsumfang. Sie können aber nur jeweils eine Instanz des Administrationsclient mit einer Firewall verbinden, während
vom Statistik-Client beliebig viele Instanzen mit einer Firewall gleichzeitig verbunden sein können.
3.6.1
Filtermöglichkeiten
Im oberen Bereich des Statistikfensters können Sie die angezeigten Ergebnisse in abhängig von den bereitgestellten
Statistikdaten filtern:

Desktop: gesamtes Netzwerk, Benutzer oder Rechner

Zeitraum: 6, 12 oder 24 Stunden, 7 oder 14 Tage, 1, 3 oder 12 Monate.

Selbstdefinierter Zeitraum mit Angabe von Datum und Uhrzeit jeweils für Beginn und Ende

Zeitfenster: beliebige Tageszeit mit Angabe von Beginn und Ende

Abgewiesene Zugriffe: Eingehend oder Ausgehend
Über die Schaltfläche Aktualisieren werden die aktuellen Daten vom Firewallserver geladen.
Clarity  Perfection  Security
30
Bedienung des Administrationsclients
3.6.2
Top-Listen - Internetseiten
Dieses Diagramm zeigt die besuchten Webseiten, sortiert nach der heruntergeladenen Datenmenge. Wenn Sie eine
URL sperren wollen, klicken sie mit der rechten Maustaste auf den Balken und wählen sie aus dem Kontextmenü
eine entsprechende Blacklist-Kategorie für diese URL aus.
Mit einem Doppelklick auf einen der Balken, schaltet die Statistik für die jeweilige Domain auf die Ansicht Mitarbeiter-Toplisten um (siehe 3.6.6. - Mitarbeiter-Toplisten).
3.6.3
Top-Listen - Gesperrte URL
Dieses Diagramm zeigt gesperrte URLs nach Anzahl der Zugriffsversuche sortiert. Wenn sie eine der gesperrten URLs
freigeben wollen, klicken Sie mit der rechten Maustaste auf den entsprechenden Balken und wählen Sie aus dem
Kontextmenü die entsprechende Whitelist-Kategorie für diese URL aus.
Mit einem Doppelklick auf einen der Balken, schaltet die Statistik für die jeweilige Domain auf die Ansicht Mitarbeiter-Toplisten um (siehe 3.6.6. - Mitarbeiter-Toplisten).
3.6.4
Top-Listen - Dienste
Dieses Diagramm zeigt die Nutzung der Dienste oder Protokolle nach Datenmenge sortiert.
Mit einem Doppelklick auf einen der Balken, schaltet die Statistik für die jeweilige Domain auf die Ansicht Mitarbeiter-Toplisten um (siehe 3.6.6. - Mitarbeiter-Toplisten).
3.6.5
Top-Listen – IDS/IPS
Dieses Diagramm zeigt die vom Intrusion Detection und Prevention System registrierten Ereignisse nach Häufigkeit
sortiert. Wenn Sie weitere Informationen über ein bestimmtes Ereignis erhalten wollen, klicken Sie mit der Maus auf
den entsprechenden Balken. Aus dem Kontextmenü heraus können Sie eine Datenquelle im Internet abrufen, die
Ihnen zusätzliche Informationen über das jeweilige Ereignis bereitstellt.
3.6.6
Mitarbeiter - Toplisten
Dieses Diagramm zeigt, welche Mitarbeitern welche Webseiten besucht haben, nach Datenmenge sortiert.
3.6.7
Mitarbeiter - Traffic
Dieses Diagramm zeigt, welche Datenmenge von den Mitarbeitern in bzw. aus dem Internet transferiert wurden.
Clarity  Perfection  Security
31
Bedienung des Administrationsclients
3.6.8
Abwehr - Übersicht
Diese Tabelle zeigt eine Zusammenfassung der Statistik über abgewiesene Zugriffe, gefundene Viren, IntrusionDetection-Ereignisse und Spam über mehrere Zeiträume hinweg.
3.6.9
Abwehr - Abwehr
Dieses Diagramm zeigt, abhängig vom ausgewählten Zeitraum, die Anzahl der abgewehrten potentiellen Angriffe.
Eingehende Zugriffe sind rot gekennzeichnet, ausgehende Zugriffe grün.
3.6.10 Traffic - Alle Daten
Dieses Diagramm gibt Auskunft über die Datenmenge (Traffic), die in einem einzustellenden Zeitraum in allen Protokollen über den Firewallserver gelaufen ist.
3.6.11 Traffic - Internet
Dieses Diagramm gibt Auskunft über die Datenmenge (Traffic), die in einem einzustellenden Zeitraum nur in den
Internet-Protokollen über den Firewallserver gelaufen ist.
3.6.12 Traffic - E-Mails
Zeigt den gesamten E-Mail-Traffic an, der in einem einzustellenden Zeitraum über die Firewall gelaufen ist.
Clarity  Perfection  Security
32
Bedienung des Administrationsclients
3.7
Firewall
Sie können über dieses Menü Einstellungen bzw. Änderungen an den Firewall-Grundeinstellungen vornehmen.
Sie gelangen im Menü Einstellungen zu dem Menüpunkt Firewall.
3.7.1
Firewall - Sicherheit
Über die Registerkarte Sicherheit im Dialog Firewall ändern Sie Einstellungen für den Zugriff auf den Firewallserver
aus dem externen Netz bzw. dem Internet und legen fest, wie der Firewallserver auf ICMP-Anfragen (z.B. bei einem
PING-Befehl) reagieren soll.
HINWEIS
DIESE EINSTELLUNGEN BEZIEHEN SICH NUR AUF DEN EXTERNEN ZUGRIFF AUF DEN FIREWALLSERVER FÜR DIE DEFINIERTEN BENUTZER. DER ZUGRIFF AUS DEM INTERNEN NETZWERK IST
IMMER MÖGLICH.
Im Bereich Zugriff legen Sie fest, ob und wie aus dem
Internet auf die Firewall zugegriffen werden darf.
Wählen Sie eine der Optionen Verboten, Nur VPN
oder Erlaubt aus.
Option
Funktion
Verboten
Nur Rechner aus dem internen Netzwerk dürfen per Administrationsclient auf den
Firewallserver zugreifen, ein externer Zugriff ist verboten.
Nur VPN
Gleiche Einstellung wie Verboten, hier darf aber zusätzlich per VPN aus dem Internet auf den Firewallserver zugegriffen werden.
Erlaubt
Der Zugriff auf den Server ist sowohl aus dem internen wie externen Netz erlaubt.
ACHTUNG !
DIE OPTION ERLAUBT BEDEUTET EIN SICHERHEITSRISIKO, DA SIE ANGREIFERN UNTER UMSTÄNDEN DEN ZUGRIFF AUF DIE FIREWALL ERMÖGLICHT UND DARF DESHALB NICHT DAUERHAFT VERWENDET WERDEN.
Der Firewallserver kann so eingestellt werden, dass er auf ICMP-Befehle (PING) an die Firewall nicht antwortet.
Wählen Sie im Bereich Ping (ICMP) eine der Optionen Verboten oder Erlaubt aus.
HINWEIS
DAS SPERREN VON ICMP-BEFEHLEN KANN ZWAR DIE SICHERHEIT DES FIREWALLSERVER ERHÖHEN, ERSCHWERT ABER GLEICHZEITIG EINE EVENTUELLE FEHLERSUCHE IM NETZWERK.
SOLLTE EIN FEHLER IM NETZWERK AUFTRETEN, SOLLTEN SIE VOR BEGINN DER FEHLERSUCHE DESHALB DIESE OPTION AUF ERLAUBT SETZEN.
Clarity  Perfection  Security
33
Bedienung des Administrationsclients
3.7.2
Firewall - Datum
Der gateprotect Firewallserver arbeitet mit zeitabhängigen Regeln. Aus diesem Grund ist eine korrekte Datums- und
Zeiteinstellung erforderlich. Über die Registerkarte Datum können Sie Einstellungen für die Nutzung eines Zeitservers konfigurieren.
1. Wählen Sie eine der vorgegebenen Zeitzonen aus der Dropdown-Liste Zeitzone.
2. Kontrollieren Sie die aktuelle System-Zeit des Firewallservers in den Feldern Datum und Uhrzeit.
3. Wenn Sie einen NTP-Server verwenden wollen, aktiveren Sie das Auswahlfeld Aktiv im Bereich NTP-Server.
4. Sie können entweder die vorgegebenen Zeitserver verwenden oder auch eigene NTP-Server in die Liste eintragen.
a.) Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Zeitserver hinzuzufügen.
b.) Geben Sie in dem Eingabefeld den Namen des Zeitservers ein.
5. Wenn Sie die Systemzeit des Firewallservers im internen Netz zur Verfügung stellen wollen, aktivieren Sie das
Auswahlfeld Zeit internem Netz zur Verfügung stellen. Der Firewallserver arbeitet damit gleichzeitig als interner Zeitserver
3.8
Interfaces
Den Dialog „Interfaces“ finden Sie unter dem Menü-Eintrag Einstellungen Interfaces.
Der Dialog zeigt auf der linken Seite in einer übersichtlichen Baumstruktur alle auf der Firewall konfigurierten Netzwerkkarten, VLANs, Bridges und VPN-SSL-Interfaces. Mit Auswahl eines Eintrages im Übersichtsbaum werden Details und die Einstellungen eines Interfaces auf der rechten Seite des Dialogs angezeigt, die bei Bedarf geändert
werden können.
Clarity  Perfection  Security
34
Bedienung des Administrationsclients
3.8.1
Netzwerkkarten
Sie haben hier die Möglichkeit, verschiedene Einstellungen vorzunehmen.

Der Aktivitätsstatus der Netzwerkkarte kann bestimmt werden

Die Art wie die Netzwerkkarte ihre IP-Adresse bezieht

Hinzufügen von virtuellen IP-Adressen

Festlegung der MTU

Festlegung der Farbe für die Darstellung auf dem Konfigurationsdesktop
3.8.2
VLAN
VLAN (Virtual Local Area Network) wird in der gateprotect Firewall nach IEEE 802.1Q unterstützt. Ein VLAN auf einem physikalischem Ethernet-Interface wird wie ein virtuelles Ethernet-Interface behandelt, das grundsätzlich dieselben Eigenschaften besitzt wie das physikalische, auf dem es aufsetzt. Um VLANs in der gateprotect Firewall nutzen zu können, werden die virtuellen Interfaces des entsprechenden VLANs überall da angeboten, wo man auch
physikalische Interfaces sowie Bridge-Interfaces auswählen kann. Der Name eines VLAN-Interfaces setzt sich aus
dem physikalischen „Eltern-Interface“ und der zugewiesenen VLAN-ID zusammen, z.B.: „eth3.1415“. Wobei
„eth3“ der Name des physikalischen Interfaces ist und „1415“ die zugewiesene VLAN-ID.
Virtuelle Interfaces können auf zwei Wegen angelegt werden.
Wenn Sie den Eintrag VLAN-Interfaces oder, falls vorhanden, eines der Untereinträge markieren, erscheint im unteren Bereich der Baumübersicht ein Hinzufügen-Button, mit dem Sie ein neues VLAN-Interface anlegen können.
Clarity  Perfection  Security
35
Bedienung des Administrationsclients
Sie wählen entweder eine physikalische Netzwerkkarte oder eine Bridge aus und verschieben diese per Drag‘n‘Drop
auf den Eintrag VLAN-Interfaces. Das somit erstellte VLAN-Interface benutzt dann die physikalische Netzwerkkarte
oder die Bridge als Eltern-Interface.
Bei der Erstellung von VLAN Interfaces ist zu beachten, dass aus verschiedenen Gründen folgendes nicht möglich ist:

VLAN Interfaces können nicht aus VLAN Interfaces erstellt werden.

VLAN Interfaces können nicht aus physikalischen Netzwerkkarten erstellt werden, die bereits als Port in einer
Bridge verwendet werden.

VLAN Interfaces können nicht aus Bridges erstellt werden, die wiederum VLAN Interfaces als Ports verwenden.

VLAN Interfaces können nicht aus VPN-SSL-Interfaces erstellt werden.

VLAN Interfaces können nicht aus physikalischen Netzwerkkarten erstellt werden, die für Hochverfügbarkeit
verwendet werden.
Die Einstellungsmöglichkeiten eines VLAN-Interfaces entsprechen im Großen und Ganzen den Einstellungen einer
physikalischen Netzwerkkarte. Zusätzlich müssen für das VLAN-Interface das Eltern-Interface bestimmt und eine
eindeutige ID vergeben werden. Diese ID muss in einem Bereich zwischen 1 und 4094 liegen und darf für das ausgewählte Eltern-Interface nicht bereits verwendet worden sein.
HINWEIS
MAN KANN DIE GLEICHE VLAN-ID MEHRFACH AUF VERSCHIEDENEN PHYSIKALISCHEN INTERFACES VERGEBEN, DADURCH WERDEN DIE VLANS ABER NICHT AUTOMATISCH MITEINANDER VERBUNDEN!
Um die VLANs miteinander zu verbinden, kann entweder normales Routing oder Bridging eingesetzt werden. Das
Bridging wird ebenfalls im Interfaces-Dialog konfiguriert und das Einrichten funktioniert genauso wie mit physikalischen Interfaces.
Für die Routing Variante werden die Desktop Symbole entsprechend miteinander verknüpft, und als Interfaces werden die jeweiligen VLAN-Interfaces ausgewählt.
3.8.3
Bridge
Neben den physikalischen Netzwerkkarten, können ebenfalls VLAN- und VPN-SSL-Interface unter den weiter unten
genannten Einschränkungen in eine Bridge einbezogen werden. Hierbei gibt es mehrere Möglichkeiten, eine Bridge
zu erstellen.
Markieren Sie in der Baumübersicht mehrere Interfaces, erscheint auf der rechten Seite ein Bridge erstellen-Button,
womit Sie eine neue Bridge erstellen können. Sollten hier Interfaces ausgewählt worden sein, die nicht zu einer
Bridge zusammengefasst werden können, so wird dieses durch eine entsprechende Meldung angezeigt und das Erstellen einer Bridge verhindert.
Alternativ können Sie die markierten Interfaces per Drag‘n‘Drop auf den Eintrag Bridges ziehen, um eine neue
Bridge zu erstellen, oder auf eine bereits vorhandene Bridge, um diese Interfaces der Bridge zuzuordnen.
Wie bei VLAN (Punkt 3.8.2) beschrieben, können Sie auch hier eine neue Bridge erstellen, indem Sie den Eintrag
Bridges oder dessen Untereinträge markieren und auf Hinzufügen klicken.
Für die Erstellung einer Bridge existieren verschiedene Restriktionen:

Bridges können nicht mit anderen Bridges als Port erstellt werden.

Bridges können nicht aus physikalischen Netzwerkkarten erstellt werden, die für Hochverfügbarkeit verwendet
werden.

Bridges können nicht aus Interfaces erstellt werden, die bereits in einer anderen Bridge verwendet werden.

Bridges können nicht aus VLANs erstellt werden, die wiederum eine Bridge als Eltern-Interface verwenden.
Clarity  Perfection  Security
36
Bedienung des Administrationsclients

Bridges können nicht aus physikalischen Netzwerkkarten erstellt werden, deren VLAN Interfaces bereits in einer Bridge verwendet werden.

Bridges können nicht aus physikalischen Netzwerkkarten erstellt werden, deren VLAN Interfaces auf dem Konfigurationsdesktop verwendet werden.

Bridges können nicht aus physikalischen Netzwerkkarten und VLANs erstellt werden, welche die physikalische
Netzwerkkarte als Eltern-Interface verwenden.

Bridges können nicht aus Interfaces erstellt werden, über die der gateprotect Administrationsclient mit dem
Server verbunden ist.
3.8.4
VPN-SSL-Interface
Die Konfiguration der VPN-Verbindung für das VPN-SSL-Interface wird in dem VPN-SSL-Dialog durchgeführt, der
unter VPN Einstellungen > VPN-SSL zu erreichen ist.
Im Interface Dialog ist es lediglich möglich, ein VPN-SSL-Interface einer Bridge zuzuweisen bzw. mit dem VPN-SSLInterface eine Bridge neu zu erstellen.
3.9
Internet-Einstellungen
Über diesen Punkt können Sie Ihre Verbindungen zum Internet konfigurieren. Sie haben dabei die Möglichkeit,
mehrere Verbindungen hinzuzufügen und diese zeitlich zu beschränken. Sie haben die Auswahl, eine ISDNWählverbindung, eine ADSL-Verbindung oder eine Router-Verbindung anzulegen. Für alle Verbindungen, die einen
Gateway nutzen, müssen Sie die Router-Verbindung auswählen. Wie Sie die verschiedenen Verbindungsarten einrichten, wird im Weiteren erläutert. Den Menüpunkt Internet finden Sie im Hauptmenü unter Einstellungen.
3.9.1
Allgemeine Internet-Einstellungen
In der Registerkarte Allgemein fügen Sie der aktuellen Liste neue Internet-Verbindungen hinzu, löschen nicht mehr
benötigte Internet-Verbindungen oder bearbeiten die Einstellungen einer Verbindung.
Load Balancing (Concurrent Connections)
Beim Loadbalancing über mehrere Internet-Objekte handelt es sich um ein erweitertes Routing, das auf den verschiedenen Internetverbindungen basiert.
Per „Drag and Drop“ ist es möglich mehrere Internet-Objekte auf den
Desktop abzubilden. Zu diesen Internet-Objekten können beliebige Regeln
erstellt werden. Der Dienst der entsprechenden Regel wird dann nur über
diese Internet-Verbindung geroutet.
Es ist sogar möglich ein Objekt mit mehreren Internet-Objekten zu verbinden. In diesem Fall werden die entsprechenden Dienste auf die beiden
Internetverbindungen verteilt.
HINWEIS
WIRD EIN PROXY FÜR GEWISSE OBJEKTE AUF DEM DESKTOP VERWENDET, SO WERDEN AUTOMATISCH VERBINDUNGEN ZU ALLEN AUF DEM DESKTOP BEFINDLICHEN INTERNETVERBINDUNGEN UND DEM SPEZIELLEN OBJEKT ERSTELLT.
Schritt 1
Um eine neue Internetverbindung hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen.
Schritt 2
Der Internet-Verbindungsassistent wird gestartet. Folgen Sie den Anweisungen des Assistenten bis die Einrichtung
der neuen Verbindung abgeschlossen ist Kap. 2.3.2 Erstkonfiguration im Schnellstart-Modus.
Clarity  Perfection  Security
37
Bedienung des Administrationsclients
Schritt 3
Wenn Sie eine Internetverbindung erstellt haben, können Sie diese per „Drag and Drop“ den unterschiedlichen Internet-Objekten zuweisen.
3.9.2
Zeitraum für Internetverbindungen
Um unterschiedliche Internet-Verbindungen zu anderen Zeiten zu benutzen, können Sie diese zeitlich beschränken.
Um Zeiträume für Ihre Internetverbindungen zu definieren, klicken Sie im Fenster Internet-Einstellungen bei der jeweiligen
Verbindung in die Spalte Zeitraum.
Durch Halten der linken Maustaste bei gleichzeitigem Ziehen
über die Felder können Sie diese grau (aktiv) oder weiß (inaktiv)
markieren.
Weiterhin können Sie Felder per
Mausklick einzeln aktiv oder inaktiv setzen oder über die Buttons
Immer an bzw. Immer aus die
komplette Verbindung.
HINWEIS
AUF DEM „INTERNET-OBJEKT“ WIRD MIT „ON“ ODER „OFF“ GEKENNZEICHNET, OB IHRE INTERNETVERBINDUNG ZURZEIT AUFGEBAUT IST BZW. DIE ROUTERVERBINDUNG ZWISCHEN
FIREWALL UND ROUTER PHYSISCH BESTEHT UND AKTIV IST. DURCH EINEN KLICK AUF DIE INTERNETWOLKE KÖNNEN SIE WEITERHIN AUF DEM KONFIGURATIONSDESKTOP UNTEN LINKS
SEHEN, WELCHE IP-ADRESSE IHRE INTERNETVERBINDUNG BESITZT.
3.9.3
Globale DNS-Einstellungen in den Internet-Einstellungen
Wenn Sie eine direkte Internetverbindung aufbauen, wird der globale DNS-Server in der Regel vom Router/Gateway
oder vom Provider festgelegt. Sofern Sie einen anderen DNS-Server verwenden, z.B. wenn Sie einen eigenen DNSServer betreiben, können Sie diesen in den globalen DNS-Einstellungen des Firewallservers eintragen.
Clarity  Perfection  Security
38
Bedienung des Administrationsclients
Schritt 1
Aktivieren Sie das Auswahlfeld DNS Server automatisch suchen, um den vom Router oder Provider vorgegebenen
DNS-Server zu verwenden.
Schritt 2
Wenn Sie einen eigenen Router verwenden, deaktivieren Sie das Feld DNS Server automatisch suchen und geben
Sie die IP-Adresse von mindestens einem DNS-Server in das entsprechende Feld ein.
3.9.4
Dynamische DNS Accounts
Um sich vom externen Netz aus, z.B. per VPN mit dem Firewallserver verbinden zu können, muss dieser im Internet
bekannt sein. Mittels dynamischem DNS besitzt der Firewallserver einen festen Hostnamen z.B. IhreFirma.dyndns.de
im Internet, auch wenn er beispielsweise beim Einwählverfahren per ISDN oder DSL keine feste IP-Adresse erhält.
HINWEIS
SIE BENÖTIGEN EINEN FERTIG EINGERICHTETEN DYNDNS ACCOUNT. WEITERE INFORMATIONEN ZU DYNAMISCHEM DNS UND ZUR ANMELDUNG AM DYNAMISCHEN DNSVERFAHREN FINDEN SIE Z.B. UNTER HTTP://WWW.DYNDNS.ORG.
Arbeitsablauf bei mehreren Dyndns-Accounts:
Schritt 1
Erstellen sie einen oder mehrere DynDNS-Accounts bei einem der unterstützten DynDNS-Anbieter
(z.B. www.dyndns.org).
Schritt 2
Richten eine oder mehrere Internetverbindungen auf der Firewall ein.
Schritt 3
Richten Sie ihre DynDNS-Accounts auf der Firewall ein.
Zur Einrichtung des dynamischen DNS kommen Sie über den Menüpunkt Internet im Hauptmenü Einstellungen.
Schritt 4
Aktivieren Sie das Auswahlfeld Konto aktiviert, wenn Sie diesen
Account verwenden wollen.
Schritt 5
Geben Sie in die Felder Server Typ, Hostname, Benutzername
und Passwort die Daten ein, die Ihnen von DynDNS nach der Anmeldung zur Verfügung gestellt wurden.
Schritt 6
Wenn Sie Subdomains Ihres DynDNS-Kontos verwenden wollen,
aktivieren Sie das Auswahlfeld Wildcards aktivieren und wählen
Sie die gewünschte Internet-Verbindung.
Clarity  Perfection  Security
39
Bedienung des Administrationsclients
Alternativ können Sie auch in den Eigenschaften der einzelnen
Internet-Verbindungen die entsprechenden DynDNS-Accounts
zuweisen.
3.10
DHCP Server
Die gateprotect Firewall bietet die Möglichkeit IP-Adressen und andere Konfigurationsparameter (Gateway, DNSServer, NTP-Server …) mittels eines DHCP-Servers zu übergeben.
Andererseits ist es auch möglich, einen bestehenden DHCP-Server in andere Netze weiterzuleiten, damit dieser auch
dort das Netzwerk konfigurieren kann (DHCP-Relay).
Zur Wahl stehen zwei Betriebsmodi:

Server

Relay
3.10.1 Server
Die Interfaces, auf welchen der Server laufen soll, können hier ausgewählt werden

Pro Interface kann ein Adressbereich eingerichtet werden

Pro Interface können feste Adresszuweisungen über MAC
Adresse festgelegt werden.
Clarity  Perfection  Security
40
Bedienung des Administrationsclients
3.10.2 DHCP-Relay
Es kann die Adresse des Servers zu dem DHCP-Requests weitergeleitet werden angegeben werden.
Außerdem müssen die Interfaces, von denen DHCP-Requests weitergeleitet werden sollen, ausgewählt werden
(auch mehrere).
3.11
Backup automatisch erstellen
Es ist zusätzlich möglich Backups zu planen und diese regelmäßig selbstständig erstellen zu lassen. Im Menü Backup automatisch unter dem Menüpunkt Datei, finden Sie das folgende Fenster.
Hier können Sie zuerst die Daten Ihres Servers, der die Backups
aufnehmen soll, einstellen. Sie müssen auch entscheiden, ob das
Backup per FTP (Achtung unverschlüsselt!!!) oder per SCP übertragen werden soll.
In der Rubrik Datei Eigenschaften können Sie den Namen des
Backupfiles vorgeben.
Wenn Sie max. Anzahl Backups festlegen wählen, wird an
diesen Dateinamen eine Zahl (Backup-Nr.) angehängt. Nach der
ausgewählten Anzahl (Vorgabe 20), wiederholt sich diese Zahl
und überschreibt damit das älteste Backup automatisch.
Der Punkt aktuelles Datum an den Dateinamen hängen
erzeugt Dateien bestehend aus dem von Ihnen vorgegebenen
Dateinamen und einem angehängtem Datum. Da sich diese
Dateinamen niemals wiederholen, werden alte Backup nie überschrieben und immer mehr Dateien geschrieben.
Es kann immer nur einer dieser beiden Punkte ausgewählt werden.
In der Rubrik Zeit Einstellungen, können Sie mit einem Haken dafür sorgen, dass ein Backup automatisch erzeugt
wird, wenn Sie den Admin-Client beenden. Diese Backups zeichnen sich dadurch aus, dass der Benutzername des
Admins an das Ende des Dateinamens geschrieben wird.
Des Weiteren können Sie auch zeitlich geplante Backup-Jobs erstellt werden.
Der Button Einstellungen testen versucht eine Testdatei (mit Namen „Dateiname_test“) auf den oben eingerichteten Server abzulegen. Gelingt dieser Versuch, liegt auf dem Server eine Textdatei, die Sie löschen können und es
erscheint ein Popup-Fenster mit einer positiven Rückmeldung.
Clarity  Perfection  Security
41
Bedienung des Administrationsclients
3.12
Routing Einstellungen
Die Routing Einstellungen sind hier in zwei große Punkte getrennt. Die Verwaltung der „Statischen Routen“ und die
Verwaltung von „Routing Protokollen“ wie OSPF und RIP.
Statische Routen betreffen alle Firewalls und sind auch für Administratoren kleiner Netze interessant.
Die Verwaltung der Routing Protokolle richtet sich vor allem an Verwalter umfangreicher Netzwerke mit weitreichenden WAN Strukturen.
3.12.1 Statische Routen
Standard-Routing
Es werden alle Routing-Tabellen angezeigt, die mindestens eine Route enthalten. Die Tabelle mit der ID 254 ist die
Haupt-Routing-Tabelle in welche auch benutzerdefinierte Routen eingetragen werden können. Diese Tabelle wird
aufgrund ihrer Bedeutung immer als erstes in der Liste aufgeführt. Die Tabelle mit der ID 255 enthält ausschließlich
lokale Routen für alle bekannten Interfaces. Tabellen mit einer ID von 1 bis 63 sind für das Loadbalancing der Internet-Verbindungen bestimmt. Routen, die in der Haupt-Tabelle eingetragen werden, werden auch in diese Tabellen
eingetragen. Tabellen von 64 bis 250 sind für Routen mit Quell-Adresse (Policy-Routing) reserviert und erscheinen
beim Anlegen von Routen mit einer Quell-IP-Adresse.
Die Spalte „Ziel-Adresse“ enthält die IP-Adresse des Routing-Ziels. „Protokoll“ dient der Anzeige von wem die Route eingetragen wurde, bei Routen mit den Protokollen „kernel“ oder „boot“ handelt es sich um Routen die vom
System eingetragen wurden, „gpuser“ für benutzerdefinierte Routen. Die Spalte „Typ“ enthält den Typ der Route,
welcher in der Regel „unicast“ ist. Wenn die Spalte „Gateway“ eine IP-Adresse enthält, so ist dies die Adresse des
Gateways an welches die Pakete geroutet werden, wenn das Ziel nicht über den Link zu erreichen ist. „Interface“
bestimmt, über welches Interface das geroutete Paket die Firewall verlässt, sollte ein Gateway eingetragen sein so
muss dieses auch über das angegebene Interface erreichbar sein.
Clarity  Perfection  Security
42
Bedienung des Administrationsclients
Jede Routing-Tabelle kann sogenannte Routing-Regeln beinhalten, die Teil des Policy-Routing sind. Routing-Regeln
können nicht explizit angelegt werden, sie werden automatisch erstellt, wenn man:

Eine Route mit Quell-IP anlegt

Eine neue Internet-Verbindung anlegt (Loadbalancing)
In der Spalte „Übereinstimmung“ der Routing-Regeln steht das Kriterium, nach dem IP-Pakete in die entsprechende
Tabelle umgeleitet werden.
Hinzufügen oder Bearbeiten von editierbaren Routen erkennbar an den Icons in der 2. Spalte.
(optional) Quelle: Bestimmt, dass nur Pakete mit der angegebenen Absender-Adresse geroutet werden sollen. Metrik: Die „Kosten“ der Route, dieser Wert kann im Zusammenhang mit Routing-Protokollen von Interesse sein.
HINWEIS
DIESE EINSTELLUNGEN WERDEN NORMALERWEISE NICHT BENÖTIGT UND SOLLTEN NUR UNTER BESONDEREN UMSTÄNDEN ZUM EINSATZ KOMMEN.
3.12.2 Routing-Protokolle
Einleitung
Das Routing für das IP-Protokoll bestimmt die Weiterleitung von IP-Paketen, anhand ihrer Ziel-Adresse, auf einem
Netzwerkgerät (Host). Die zu routenden Pakete können fremde Pakete eines anderen Hosts sein, oder lokal erzeugte Pakete auf demselben Host.
Im einfachsten Fall gibt es auf dem Host eine Routing-Tabelle mit statischen Einträgen, welche anhand der ZielAdresse bestimmen, über welches Interface die Pakete geleitet werden. Solch eine statische Routing-Konfiguration
ist in kleineren Netzwerken üblich, da hier meist nur ein Host als Router fungiert (Kap. 3.12.1 Statische Routen).
In komplexeren Netzwerken jedoch ist die Verwaltung einer statischen Routing-Konfiguration erheblich aufwändiger und fehleranfällig, da jeder einzelne Router oder Host manuell konfiguriert werden muss. Für solche Netzwerke
mit mehreren Routern wurden daher verschiedene Protokolle für dynamisches Routing entworfen. Jedes dieser Protokolle ermöglicht es den einzelnen Routern miteinander zu kommunizieren, und so Änderungen an der NetzwerkTopologie zu propagieren. Der Netzwerkadministrator muss nach einer Änderung so nicht mehr jedes einzelne Gerät anfassen, da diese sich die Konfigurationsänderungen selbstständig mitteilen.
Durch dynamisches Routing wird es außerdem möglich, auf bestimmte Ereignisse automatisch mit einer Änderung
der Konfiguration zu reagieren. Wenn bei einem Router zum Beispiel der Uplink in das Backbone ausfällt, so kann er
andere Router darüber informieren, damit diese sich per Routing-Protokoll einen alternativen Weg zum Ziel suchen
können.
Clarity  Perfection  Security
43
Bedienung des Administrationsclients
„Routing-Information“ ist eine Route, die per Routing-Protokoll übertragen wird.
Authentifizierungsschlüssel (gelten sowohl für RIP als auch für OSPF)
Hier können Schlüssel für die Message-Digest-Authentifizierung bei OSPF und RIP angelegt werden. Die Schlüssel
werden mit einem Namen versehen, so dass sie in entsprechenden Dialogen leicht wiedergefunden werden können.
ACHTUNG: FÜR OSPF HAT DER HIER VERGEBENE NAME EINE BESONDERE BEDEUTUNG, DA ER BEI DER AUTHENTIFIZIERUNG ÜBERTRAGEN WIRD UND UNTER UMSTÄNDEN MIT DER
KEY-ID ANDERER OSPF-ROUTER ÜBEREINSTIMMEN MUSS.
Die Schlüssel selbst werden im Klartext eingetragen und haben eine maximale Länge von 16 Zeichen.
Diese Schlüssel stehen dann bei Auswahl von md5 als authentifizierungstyp zur Verfügung
Hinzufügen oder editieren von Schlüsseln
Clarity  Perfection  Security
44
Bedienung des Administrationsclients
Filterlisten (verwendet in allen Bereichen der Routenverteilung)
Neue Filterlisten erstellen
Die Filter-Listen ermöglichen das Filtern von Routing-Informationen, die per RIP oder OSPF übertragen werden, so
können nur ausgewählte Informationen weitergleitet bzw. lokal eingetragen werden.
HINWEIS
DAS FILTERN VON ROUTING-INFORMATIONEN IST NUR UNTER BESTIMMTEN UMSTÄNDEN NOTWENDIG UND KANN IN DEN MEISTEN FÄLLEN IGNORIERT WERDEN.
Eine Filter-Liste enthält eine oder mehrere Richtlinien, die der Reihenfolge nach abgearbeitet werden. Diese Richtlinien erlauben oder verbieten das Weiterleiten bestimmter Informationen anhand verschiedener Kriterien. Jede FilterListe bekommt einen Namen, über den sie später referenziert werden kann.
Neue Richtlinien erstellen und den vorhandenen Filterlisten zuweisen
Der Name bestimmt die Filter-Liste, zu welcher die neue Richtlinie hinzugefügt werden soll. Es wird ausgewählt, ob denen
den angegebenen Kriterien entsprechenden RoutingInformationen, die Weiterleitung erlaubt oder verboten werden
soll.
Kriterien:

Interface: Interface mit welchem die ausgehende
Routing-Information gesendet wird.

Ziel-Adresse: Ziel-Adresse der Routing-Information

Gateway: Gateway der Routing-Information
Clarity  Perfection  Security
45
Bedienung des Administrationsclients
3.12.2.1
RIP Einstellungen
Aktiv schaltet die RIP Unterstützung ein oder aus.
Das Update-Timer-Intervall bestimmt in welchen Abständen (in Sekunden) die Routing-Informationen an andere RIPRouter im Netzwerk übertragen werden (default: 30s). Je höher der Wert desto länger kann die Publikation einer
Routing-Änderung dauern, je niedriger der Wert desto mehr Netzwerk-Traffic wird verursacht.
Das Gültigkeits-Timeout bestimmt nach wie vielen Sekunden eine per RIP eingetragene Route abläuft. Wird vor eintreten des Timeouts kein Update empfangen, dann wird die Route ungültig und andere RIP-Router werden über
diesen Umstand informiert. Das Gültigkeits-Timeout muss immer grösser als das Update-Intervall sein.
Das Bereinigungs-Timeout bestimmt nach wie vielen Sekunden eine ungültige Route, die per RIP-Eingetragen wurde
komplett aus der Routing-Tabelle gelöscht wird.
Ereignisse debuggen schaltet das Debuggen von RIP-Ereignissen, wie dem Empfang neuer Routing-Informationen,
ein.
Pakete debuggen schaltet das Debuggen von empfangen und gesendeten RIP-Paketen ein. Die DebuggingInformationen können im Bereich „Berichte“ eingesehen werden.
ACHTUNG !
AKTIVIEREN SIE DIESE OPTIONEN NUR, WENN SIE DIE INFORMATIONEN ZUR FEHLERSUCHE BENÖTIGEN UND DEAKTIVIEREN SIE SIE, SOBALD SIE DIE INFORMATIONEN NICHT LÄNGER
BENÖTIGEN.
Unter Nachbarn können sie explizit RIP-Router eintragen, die sonst nicht per IP-Multicast erreichbar sind. Im Normalfall ist dies nicht Notwendig, da sich alle RIP-Router eines Netzwerkes per IP-Multicast erreichen können, falls sie
aber einen RIP-Router haben, der kein IP-Multicast unterstützt, können sie seine IP-Adresse hier eintragen.
Erstellen der Nachbarliste, einfache IP Liste
Clarity  Perfection  Security
46
Bedienung des Administrationsclients
RIP Interface Liste
Übersicht über alle verfügbaren Interfaces und deren aktuellen Einstellungen
Hier werden alle für RIP benutzbaren Interfaces angezeigt, die auf dem System verfügbar sind es ist nicht möglich/notwendig Interfaces hinzuzufügen oder zu entfernen. Hier werden Interfaces für RIP aktiviert, die in Netzwerken mit weiteren RIP-Routern sind.
Die Spalte Aktiviert zeigt an, ob das Interface für RIP genutzt wird oder nicht. Wird ein Interface für RIP genutzt,
werden über dieses RIP-Updates gesendet und empfangen. Ist ein Interface als Passiv eingetragen, so empfängt es
RIP-Updates zwar sendet aber selbst keine.
Split-Horizon zeigt an, ob die Option gesetzt ist, dies wird für die Vermeidung von Routing-Schleifen in voll vermaschten Netzwerken benötigt.
In der Spalte Auth-Typ wird angezeigt ob RIP-Updates authentifiziert gesendet/empfangen werden und wenn ja, mit
welcher Authmethode.
Auth-Schlüssel zeigt im Falle von Klartext Authentifizierung das Passwort, und bei MD5-auth den Namen des Eintrags aus der Auth-Schlüssel-Liste an.
Vorhandene Interfaces können nur noch bearbeitet werden
Clarity  Perfection  Security
47
Bedienung des Administrationsclients
Aktivieren aktiviert das Interface für RIP.
Passive schaltet in passiven-Modus (nur empfangen)
und Split-Horizon aktiviert die Funktion „Split Horizon
With Poisoned Reverse“ um Routing Schleifen zu
vermeiden.
Unter Authentifizierung kann ausgewählt werden, ob
Authentifizierung genutzt werden soll und wenn ja
nach welcher Methode. Wird die Plaintext-Methode
gewählt, so muss direkt ein Passwort eingegeben
werden, bei MD5 wird eine Auswahl aus bereits definierten MD-Schlüsseln zur Auswahl präsentiert (siehe
Auth-Schlüssel).
Weiterleitung von Routing-Informationen (Routenverteilung)
Die Einstellungen der Routenverteilung sehen überall gleich aus, unter RIP, OSPF und „Statische Routenverteilung“,
daher wird der Dialog hier nur einmal aufgeführt.
Die Unterpunkte der Routenverteilung bestimmen das Ziel der Weiterleitung, die Quelle ist der Kontext des Punktes
Routenverteilung.
Es gibt folgende Möglichkeiten der Routenverteilung:

von RIP nach RIP

von RIP nach OSPF

von RIP ins lokale System (Statik)

von OSPF nach OSPF

von OSPF nach RIP

von OSPF ins lokale System (Statik)

vom lokalen System (Statik) nach RIP und nach OSPF
ACHTUNG !
DIE ROUTENVERTEILUNG IST NUR INTERESSANT, WENN MAN DIE ROUTING-INFORMATIONEN, DIE WEITERGELEITET WERDEN, FILTERN WILL! HIERZU SIND DIE UNTER „FILTER-LISTEN“
ANGELEGTEN LISTEN NOTWENDIG. WERDEN HIER KEINE FILTER-LISTEN HINZUGEFÜGT, DANN WERDEN ALLE ROUTING-INFORMATIONEN WEITERGELEITET, WAS AUCH DER NORMALFALL IST.
Clarity  Perfection  Security
48
Bedienung des Administrationsclients
Alle Routenverteilungen haben die gleich Maske: hier RIP als Beispiel
Die zuvor erstellten Filterlisten können hier hinzugefügt werden oder vorhandene aus der Liste entfernt werden.
Editiert werden sie aber unter dem Punkt Filterlisten
Hinzufügen von neuen Listen
In diesem Dialog werden nur die nicht in der Liste angezeigten Einträge angezeigt.
Clarity  Perfection  Security
49
Bedienung des Administrationsclients
Die Ansicht entspricht dem Hinzufügen-Dialog (aber ohne Checkboxen und den auswählen Buttons).
Es werden nur die Details der ausgewählten Liste gezeigt.
3.12.2.2
OSPF Einstellungen
Der Haken Aktiv aktiviert die OSPF Unterstützung.
Die Router-ID muss angegeben werden und sollte
einmalig sein. Es muss nicht zwingend eine existierende oder gültige IP-Adresse angegeben werden.
Wird Ereignisse debuggen aktiviert dann werden
OSPF-Events (wie der Ausfall eines OSPF-Routers)
im Debug-Bericht angezeigt.
Wird LSA debuggen aktiviert dann werden Details
über LSA-Pakete (Link-State-Announcement) im
Debug-Bericht angezeigt.
Wird NSSA debuggen aktiviert dann werden
Details über eventuell vorhandene NSSA-Areas im
Debug-Bericht angezeigt.
Wird Pakete debuggen aktiviert, dann werden Details alles OSPF-Protokoll Pakete im Debug-log angezeigt.
ACHTUNG !
AKTIVIEREN SIE DIESE OPTIONEN NUR, WENN SIE AUF FEHLERSUCHE SIND UND DEAKTIVIEREN SIE SIE SOBALD DER FEHLER BEHOBEN IST.
Clarity  Perfection  Security
50
Bedienung des Administrationsclients
OSPF Interfaces, ähnlich den RIP Interfaces
Hier werden alle für OSPF verfügbaren Interfaces des Systems angezeigt. Es ist nicht nötig Interfaces hinzuzufügen
oder zu entfernen.
Passiv zeigt an ob das Interface im passiven Modus ist, was bedeutet das OSPF Pakete nur empfangen werden und
nicht gesendet.
Auth Type zeigt den Authentifizierungsmoduls an, oder das keine Authentifizierung aktiv ist.
Auth-Schlüssel enthält im Falle von Auth-Type: Plaintext das Klartext Passwort und bei MD5 den Namen des Eintrags
aus der Auth-Schlüssel Liste.
Netzwerk-Typ zeigt den eingestellten Typ des Interfaces an, dies wird in den meisten Fällen broadcast sein.
Es ist nur eine Bearbeitung von vorhandenen Interfaces möglich
Clarity  Perfection  Security
51
Bedienung des Administrationsclients
Einstellungsmöglichkeiten von OSPF Interfaces
Reiter Allgemein
Aktivieren aktiviert das Interface für die Benützung mit OSPF.
Unter Authentifizieung kann Auth für das
Interface aktiviert werden (genauso wie bei
RIP).
Der Haken Passiv versetzt das Interface in
den Passiven Modus, so das OSPF-Daten nur
empfangen werden aber nicht gesendet.
Kosten hier können die Kosten für das Routing über dieses Interface eingetragen werden. Je höher die Kosten desto weniger sollte
dieses Interface genutzt werden. Diese Einstellung ergibt nur bei vermaschten Netzwerken Sinn.
Stillstand-Intervall bestimmt das Intervall (in
Sekunden) für die Warte- und InaktivitätsTimer und muss bei allen OSPF-Routern eines
Netzwerkes gleich sein.
Priorität bestimmt die Priorität des OSPFRouters, der Router mit der höchsten Priorität
wird zum „Designated Router“ ernannt.
Hallo-Intervall bestimmt das Intervall (in Sekunden) indem Hallo-Pakete an andere Router gesendet werden, dadurch
werden diese von der Anwesenheit des Routers in Kenntnis gesetzt.
Neu-Übertragungs-Intervall bestimmt das Intervall indem die Routing-Datenbank und LSR (Link-State-Request) Pakete neu übertragen werden, falls eine vorhergehende Übertragung fehlgeschlagen ist.
Übertragungs-Verzögerung bestimmt die Verzögerung beim senden von LSA Paketen, sodass möglicherweise mehrere Informationen in einem LSA Paket verschickt werden können.
Clarity  Perfection  Security
52
Bedienung des Administrationsclients
Reiter Netzwerk-Typ
Bestimmt den Netzwerk-Typen des Interfaces.
Im Normalfall ist dies immer Broadcast.
Point-To-Point und Point-To-Multipoint kommen nur bei sehr speziellen Netzwerkkonfigurationen zum Einsatz.
Non-Broadcast kann sinnvoll sein, wenn keine
Broadcast/Multicast Pakete in dem angeschlossenen Netzwerk übertragen werden.
In diesem Fall müssen alle Bekannten OSPFRouter manuell in der „Nachbar“-Liste eingetragen werden, da sie nicht mehr automatisch
gefunden werden können.
Clarity  Perfection  Security
53
Bedienung des Administrationsclients
OSPF Areas
OSPF Areas sind logische Einheiten zur Gruppierung oder Trennung von Netzwerken.
Jede OSPF-Area hat eine eindeutige ID, welche als IP-Adresse dargestellt wird. Diese IP-Adresse muss nicht existent
oder gültig sein. Ein Sonderfall ist die Area mit der ID 0.0.0.0 dies ist die Backbone-Area. Jede Area muss direkt mit
der Backbone-Area verbunden sein. Sollte dies nicht Möglich sein, so kann auch eine direkte Verbindung zur Backbone-Area per Virtuellem Link geschehen.
Areas können genau wie OSPF-Interfaces auch Authentifizierung enthalten.
ACHTUNG
DIE AUTHENTIFIZIERUNGS-EINSTELLUNGEN DER INTERFACES HABEN VORRANG VOR DEN AREA-AUTH-EINSTELLUNGEN.
Es gibt drei Typen von Areas:

Normal

NSSA

Stub
Clarity  Perfection  Security
54
Bedienung des Administrationsclients
Hinzufügen oder editieren von Areas
Reiter Allgemein
ID die ID der Area als IP-Adresse kann hier angegeben
werden.
Authentifizierung entspricht den Einstellungen der
OSPF-Interfaces.
Unter Verbundene Interfaces werden die Interfaces
angegeben, deren Netzwerke zu dieser Area gehören
sollen.
Unter Summaries können Netzwerke zusammengefasst werden (Supernetting)
Nach 'Außen' werden dann nicht mehr die einzelnen
Netzwerke announced, sondern nur noch deren Zusammenfassung.
Reiter Typ
Hier kann der Typ der Area bestimmt werden.
Da Virtuelle Links nur in normalen Areas erlaubt sind, können sie auch nur hier angegeben werden.
NSSA- und Stub-Areas können noch die Default-Kosten
spezifizieren, die der Default-LSA zugewiesen werden. In
der NSSA kann zusätzlich noch der Translation-Type spezifiziert werden, der die Übersetzung von Typ-7 in Typ-5 LSA
bestimmt. Always es wird immer Übersetzt. Candidate der
OSPF-Router nimmt an der automatischen Wahl zum
Translator Teil und Nie es wird nie übersetzt.
Das Hinzufügen von Interfaces, Summaries und virtuellen
Links muss noch gemacht werden.
Der Rest betrifft nur noch Routenverteilungen, die für RIP
to RIP schon gemacht wurden.
Clarity  Perfection  Security
55
Bedienung des Administrationsclients
Virtueller Link
Router-ID ist die IP-Adresse des Routers zu dem der Virtuelle Link aufgebaut werden soll (dieser Router hat auch
direkte Verbindung in die Backbone-Area). (Ein virtueller
Link verhält sich im Grunde wie ein OSPF-Interface, damit
eine „direkte“ Verbindung ins Backbone möglich ist)
Clarity  Perfection  Security
56
Proxies
4
P RO X I E S
4.1
Einleitung
Ein Proxy ist ein Programm, das zwischen einem Client (einem Anwendungsprogramm wie z.B. einem Webbrowser)
und einem Server (z.B. einem Webserver) vermittelt. Im einfachsten Fall leitet ein Proxy die Daten einfach weiter.
Meist hat ein Proxy allerdings mehrere Funktionen gleichzeitig wie z.B. Caching (Zwischenspeicherung) oder Zugriffskontrolle zu erfüllen.
Auf der gateprotect Firewall stehen unterschiedliche Proxys für verschiedene Dienste bereit:

HTTP-Proxy (schützt vor Bedrohungen beim Surfen im Internet)

HTTPS-Proxy (ermöglicht das Scannen auf Viren auch in verschlüsselten Webseiten)

FTP-Proxy (schützt vor Bedrohungen bei der Datenübertragung per FTP)

SMTP-Proxy (schützt vor Bedrohungen beim Versenden und Empfangen von E-Mails)

POP3-Proxy (schützt vor Bedrohungen beim Empfangen von E-Mails)

VoIP-Proxy (schützt vor Bedrohungen beim Einsatz von Sprachkommunikation über IP-Netze)
HINWEIS
IM GEGENSATZ ZU FRÜHEREN VERSIONEN DER FIREWALL IMPLIZIERT DAS AKTIVIEREN EINES PROXYS FÜR EINE VERBINDUNG KEIN NAT MEHR, WENN DIESER IM TRANSPARENTEN MODUS LÄUFT. WENN NAT GEWÜNSCHT IST, MUSS DIESES GESONDERT AKTIVIERT WERDEN.
4.2
HTTP-Proxy
Im gateprotect Firewallserver arbeitet der seit langem erprobte und äußerst stabil laufende Squid-Proxy. Er fungiert
als Schnittstelle zum optional hinzuschaltbaren Content-Filter und der Antivirenlösung. Der Proxy kann entweder im
transparenten oder intransparenten Modus arbeiten und bietet eine konfigurierbare Caching-Funktion. Um die
Webseitenstatistiken nutzen zu können ist der HTTP-Proxy zwingend erforderlich.
ACHTUNG !
DER HTTP-PROXY IST AUSSCHLIEßLICH ALS AUSGANGS-FILTER (OUTBOUND) ZU NUTZEN UND DARF NIEMALS IN EINER DMZ EINGESETZT WERDEN.
Zu den Einstellungen des HTTP-Proxy gelangen Sie über das Menü des Administrationsclients unter
Einstellungen > Proxy > Register HTTP-Proxy.
Um den HTTP-Proxy zu verwenden, müssen Sie einen der nachfolgend beschriebenen Modi auswählen.
4.2.1
Transparenter Modus
Im transparenten Modus leitet der Firewallserver alle Anfragen die über Port 80 (HTTP) gestellt werden, automatisch
durch den Proxy. Die Benutzer müssen im Browser keine zusätzlichen Proxy-Einstellungen vornehmen.
4.2.2
Intransparenter Modus ohne Authentifizierung
Im intransparenten Modus ohne Authentifizierung muss der HTTP-Proxy des Firewallservers explizit auf Port 10080
angesprochen werden. Alle Benutzer müssen in den Internet-Einstellungen der Browser diesen speziellen Port in den
Proxy-Einstellungen eingegeben.
ACHTUNG !
BEACHTEN SIE, DASS AUSSCHLIEßLICH HTTP-DATENPAKETE DURCH DEN PROXY GELEITET WERDEN. VERSUCHT EIN PROGRAMM ODER EIN ANGREIFER DATENPAKETE ANDERER PROTOKOLLE ÜBER DIESEN PORT ZU LEITEN, WERDEN DIESE BLOCKIERT UND VERWORFEN.
Clarity  Perfection  Security
57
Proxies
4.2.3
Intransparenter Modus mit Authentifizierung
In diesem Modus ist zusätzlich eine Benutzer-Authentifizierung erforderlich. Hier können Sie zwischen der gateprotect eigenen Benutzerverwaltung und einer Authentifizierung durch einen externen Radius-Server wählen.
4.2.4
Konfiguration des Caches
Sie können den Cache ganz nach Ihren individuellen Bedürfnissen konfigurieren.
Sie können: Die Größe des Caches einstellen (in MB) und die Minimal- oder Maximalgröße von Objekten einstellen.
4.3
HTTPS Proxy
Ist der HTTPS-Proxy in einer Verbindungslinie aktiv, wird die HTTPS (verschlüsselte) Verbindung durch den transparent geschalteten Proxy auf der Firewall geführt. Das bedeutet, dass der Benutzer keine Proxy-Einstellungen im
Browser durchführen muss.
Der HTTPS-Proxy arbeitet als „man in the middle“, das heißt er macht zum Browser und zum Webserver je eine eigene HTTPS-Verbindung auf. Er kann dadurch auch die Inhalte kontrollieren, Webblocking und Content-Filter anwenden sowie auf Viren scannen. Die Einstellungen werden diesbezüglich vom HTTP-Proxy übernommen.
Nur Seiten, die von einer hier aufgeführten CA
signiert worden sind können durch den HTTPSProxy aufgerufen werden. Es ist jedoch möglich
eine eigene CA zu importieren. Die gängigsten
CA-Zertifikate für die Überprüfung der Webserverzertifikate sind eingebaut, weitere können vom
Firewall-Administrator hinzugefügt (und auch
gelöscht) werden. Der HTTPS-Proxy arbeitet mit
von einer eigenen CA auf der Firewall herausgegebenen „gefälschten“ Webserverzertifikaten, die an
den Browser ausgeliefert werden.
Diese CA sollte als vertrauenswürdig in die Browser
eingetragen werden. Sie kann zu diesem Zweck
exportiert werden oder auch durch eine selbst
erstellte CA ersetzt werden.
Anfragen von Browsern an neue Webserver werden zunächst abgelehnt. Alle neuen Anfragen
werden dem Administrator dazu in einer Liste
präsentiert, aus der er nur die gewünschten auswählen muss.
Diese Anfrage muss dann erst durch die Erstellung eines „gefälschten“ Webserverzertifikats freigeschaltet werden.
Die Gültigkeitsdauer des Ersatz-Zertifikats ist frei einstellbar (by default 365 Tage).
Der Firewall-Administrator kann die Domäne des Webservers auch auf eine Sperrliste setzen, wenn er nicht
wünscht, dass von seinen Nutzern HTTPS-Verbindungen zu diesem Webserver hergestellt werden.
Clarity  Perfection  Security
58
Proxies
Arbeitsablauf HTTPS-Proxy:
Schritt 1
Browser ruft eine https://-Seite auf. Es wird keine Seite angezeigt, aber ein Antrag im Admin-Client geschrieben.
Schritt 2
Administrator geht im Admin-Client in den Proxy-Dialog
a.
Er gibt die Seite frei. Es wird ein Ersatz-Zertifikat erstellt.
b.
Er gibt die Seite nicht frei. Die Seite wird immer geblockt.
Schritt 3
Browser ruft die https://-Seite wieder auf.
a.
Er bekommt die Seite mit einem „gefälschten Zertifikat“ angezeigt.
b.
Er kann die Seite nicht sehen und es wird auch nie wieder ein Antrag im Admin Client erstellt.
HINWEIS
WIRD EINE SEITE AUFGERUFEN, DEREN ZERTIFIKAT NICHT VON EINER DER MITGELIEFERTEN CAS SIGNIERT WURDE, MUSS DIE CA DIESES ZERTIFIKATES VORHER IM HTTPS-PROXYDIALOG IMPORTIERT WERDEN.WENN DAS ZERTIFIKAT DER HTTPS-SEITE SELBSTSIGNIERT IST, MUSS DIESES ZERTIFIKAT VORHER IM HTTPS-PROXY-DIALOG ALS CA ZU IMPORTIERT
WERDEN.
4.4
FTP-Proxy
Als FTP-Proxy arbeitet im gateprotect Firewallserver das Open-Source-Programm frox. Dieser Proxy dient als Schnittstelle zur Antivirenlösung und ist in der Lage, aktives FTP zu ermöglichen.
ACHTUNG !
DER FTP-PROXY IST AUSSCHLIEßLICH ALS AUSGANGS-FILTER (OUTBOUND) ZU NUTZEN UND DARF NIEMALS IN EINER DMZ EINGESETZT WERDEN.
4.5
SMTP-Proxy
Der SMTP-Proxy (pimp) des gateprotect Firewallservers ist eine Eigenentwicklung der gateprotect AG. Er dient als
Schnittstelle zur Antivirenlösung und zum Spamfilter und ist der einzige Proxy, der in der DMZ mit eigenem MailServer zu konfigurieren ist.
4.6
POP3-Proxy
Der POP3-Proxy (pimp) des gateprotect Firewallservers verwendet ebenfalls die Eigenentwicklung der gateprotect
AG (pimp). Auch dieser Proxy dient als Schnittstelle zur Antivirenlösung und zum Spamfilter.
ACHTUNG !
DER POP3-PROXY IST EBENFALLS AUSSCHLIEßLICH ALS AUSGANGS-FILTER (OUTBOUND) ZU NUTZEN UND
SOLLTE NIEMALS IN EINER DMZ EINGESETZT WERDEN.
Clarity  Perfection  Security
59
Proxies
4.7
VoIP-Proxy
Mit dem VoIP-Proxy können Sie den gateprotect Firewallserver
als Proxy für das SIP-Protokoll nutzen. Zu den Einstellungen
des VoIP-Proxy gelangen Sie über das Menü des Administrationsclients unter Einstellungen > Proxy > Register VoIP-Proxy.
4.7.1
Allgemeine Einstellungen
In diesem Dialog haben Sie die nachfolgend beschriebenen Einstellmöglichkeiten:
Option
Beschreibung
Internes Netz
Hier wählen Sie über das Drop-down Menü ihr lokales Netz aus der Liste der verfügbaren
Netze, aus dem telefoniert werden soll.
InternetVerbindung
Wählen Sie über das Drop-down Menü die Internet-Verbindung aus der Liste der verfügbaren Netze, über das der Firewallserver die VoIP-Verbindungen weiterleiten soll.
HINWEIS
UM DEN VOIP-PROXY VERWENDEN ZU KÖNNEN, MÜSSEN SIE IN IHREN VOIP-GERÄTEN DIE IP-ADRESSE DES GATEPROTECT FIREWALLSERVERS MIT DEM PORT 5060 EINTRAGEN.
WEITERE HINWEISE DAZU FINDEN SIE IN DER DOKUMENTATION IHRER VOIP-ENDGERÄTE.
4.7.2
SIP-Proxy
In diesem Dialog können Sie den VoIP-Proxy aktivieren und haben die beschriebenen Einstellmöglichkeiten:
Option
Beschreibung
SIP-Proxy aktivieren
Wenn Sie dieses Auswahlfeld aktivieren arbeitet der Firewallserver als VoIP-Proxy für das
SIP-Protokoll und ist auf dem Port 5060 ansprechbar.
Daten an einen externen SIP-Proxy
weiterleiten
Wenn Sie dieses Auswahlfeld aktivieren, werden VoIP-Daten im SIP-Protokoll an einen externen SIP-Proxy weitergeleitet. Tragen Sie in die entsprechenden Felder die IP-Adresse
und den Port des externen SIP-Proxy ein.
Clarity  Perfection  Security
60
User Authentifizierung
5
U SE R A UT HE NT IF IZ IE RU N G
5.1
5.1.1
Einleitung
Ziel der User Authentifizierung
Durch Einsatz der User Authentifizierung können Firewallregeln nicht nur Rechnern im Netzwerk fest zugeordnet
werden, sondern unabhängig vom Rechner auch einzelnen Benutzern.
5.1.2
Technischer Hintergrund & Vorbereitungen
Anmeldung an der Firewall
Auf der Firewall läuft ein spezieller Webserver, der nur die Benutzeranmeldungen bearbeitet. Er nimmt Benutzername und Passwort entgegen. Ein Authentifizierungsdienst prüft zunächst anhand einer evtl. auf dem Firewallserver
lokal angelegten Benutzerdatenbank, ob Benutzername und Passwort zulässig sind. Schlägt diese Anmeldung fehl
und sind in der Firewall ein Microsoft Active Directory Server oder ein openLDAP Server konfiguriert, fragt der Authentifizierungsdienst zusätzlich bei diesen per Kerberos-Protokoll nach, ob der Benutzer authentifiziert werden
kann. Verläuft die Authentifizierung erfolgreich, werden der IP-Adresse, von der die Anfrage kam, die FirewallRegeln des Benutzers zugewiesen. Benutzer, die in der lokalen Datenbank der Firewall registriert sind, können über
den Webserver ihr Passwort ändern. Das Passwort kann bis zu 248 Zeichen lang sein, längere Passwörter werden
zwar akzeptiert, aber automatisch abgeschnitten.
Bestimmte Rechner, z.B. ein Terminal-Server, an dem viele Benutzer gleichzeitig arbeiten, oder Server, an denen sich
nur Administratoren anmelden, können von der User Authentifizierung ausgenommen werden. Webserver und Authentifizierungsdienst akzeptieren dann von den IP-Adressen dieser Rechner keine Benutzeranmeldungen.
Um Benutzer auf einem Terminal-Server zu einer Anmeldung zu zwingen, kann der HTTP-Proxy Squid in den intransparenten Modus versetzt werden. In diesem Fall fragt der HTTP-Proxy bei dem Authentifizierungsdienst nach
ob der Benutzer authentifiziert werden kann, bevor dem Benutzer das Surfen gestattet wird.
Lokale Benutzeranmeldungen
Die gateprotect Firewall bietet für kleinere Firmen ohne zentrale Benutzerverwaltung eine lokale Benutzerverwaltung an.
In der ersten Registerkarte Benutzerliste können Sie Benutzer zur lokalen
Benutzerdatenbank auf der Firewall hinzufügen, löschen oder bearbeiten.
Dazu müssen Benutzername und Passwort eingegeben werden.
Durch Aktivierung des Auswahlfeldes Beim nächsten Anmelden das Passwort ändern legen Sie fest, ob ein neu angelegter oder bearbeiteter Benutzer bei der nächsten Anmeldung sein Passwort ändern muss. In diesem
Fall wird der Webserver den Benutzer von der Anmeldeseite auf eine Seite
zur Änderung des Passwortes umleiten. Der Authentifizierungsdienst akzeptiert in diesem Fall die Anmeldung erst nach erfolgreicher Änderung
des Passwortes.
Authentifizierungsserver
Clarity  Perfection  Security
61
User Authentifizierung
Im unteren Bereich des Dialoges Einstellungen > Benutzerauthentifizierung > Einstellungen können Sie Einstellungen für den Authentifizierungsserver vornehmen. Hier können Sie auswählen, ob Sie nur die lokale Benutzerdatenbank auf der Firewall nutzen möchten, oder zusätzlich auch einen Microsoft Active Directory Server oder einen openLDAP Server.
Wenn Sie den Microsoft Active Directory Dienst
verwenden, geben Sie hier die Server Adresse des
Active Directory Servers, den LDAP-Port, den
Common Name (Vor und Nachname des Benutzers) und das Passwort eines Benutzers an (es
bietet sich an, hierfür einen dedizierten Benutzer
anzulegen), sowie den Namen der Domäne. (z.b
Firma.local)
Zur Konfiguration eines openLDAP Servers geben
Sie neben Server-Adresse und Server-Port, UserDN und Passwort eines Accounts der Leserechte
besitzt, ein Base-DN an, unter dem die Benutzer
einsortiert sind, und evtl. spezielle Attribute des
openLDAP Servers ein.
Allgemeine Einstellungen der UA (User Authentifizierung)
Hier können Sie z.B. die User Authentifizierung als Ganzes aktivieren oder deaktivieren und auswählen, ob alle Anmeldungen protokolliert werden sollen.
Für den Anmelde-Modus wählen sie zwischen den Optionen:
Einstellung
Beschreibung
Einfache Anmeldung
Bei Einfacher Anmeldung kann jeder Benutzer nur von einer einzigen IP-Adresse aus
gleichzeitig angemeldet sein.
Einfache Anmeldung mit
Session-Trennung
Session-Trennung bedeutet, dass vorherige Anmeldungen zuerst abgemeldet werden, wenn eine neue Anmeldung des Benutzers von einer anderen IP-Adresse aus
erfolgt. Ohne Session-Trennung wird bei Einfacher Anmeldung jede weitere Anmeldung abgelehnt.
Mehrfache Anmeldung
(mit Warnung im Bericht)
In diesem Anmeldemodus werden Warnungen in den Bericht geschrieben.
Mehrfache Anmeldung
Bei Mehrfacher Anmeldung kann ein Benutzer von bis zu 254 verschiedenen IPAdressen aus gleichzeitig angemeldet sein.
Web-Login Port
An dieser Stelle kann auch der HTTPS-Port für das Web-Login eingestellt werden.
Voreingestellt ist der für HTTPS übliche Port 443.
HINWEIS
LEGEN SIE SICH EINEN LOKALEN „SUPERUSER“ AN. SO KÖNNEN SIE ADMINISTRATIV AUF EINZELNEN WINDOWSRECHNERN, PER WEBLOGIN ZUSÄTZLICHE RECHTE AN DER FIREWALL
FREISCHALTEN, DIE SIE ANSONSTEN NICHT BENÖTIGEN. DAZU MÜSSEN SIE SICH NICHT EXTRA ABMELDEN, HABEN ABER DIE BENÖTIGTEN RECHTE AUF DEM CLIENT (Z.B. RDP).
Active Directory Gruppen:
Clarity  Perfection  Security
62
User Authentifizierung
Wenn Sie einen Microsoft Active Directory Server zur Authentifizierung nutzen, werden Ihnen auch die AD-Gruppen
mit angezeigt. Diese können Sie so nutzen wie Benutzer. Damit verlagern Sie die Verwaltung der Rechte der Benutzer auf das Active Directory. Das heißt Sie ordnen die AD-Benutzer bestimmten AD-Gruppen zu, und konfigurieren diese AD-Gruppen dann auf der Firewall.
5.2
Anmeldung
Die Anmeldung kann auf unterschiedliche Weise erfolgen:

Anmeldung über Browser

Anmeldung über den User Authentifizierungs Client

Anmeldung per Single Sign On
5.2.1
Anmeldung über Browser
Die Anmeldung über Browser funktioniert denkbar einfach.
Dazu muss zunächst die IP-Adresse des Firewall-Servers in der Adresszeile des Browsers angegeben werden, beispielsweise:
https://192.168.12.1 (hierbei wurde der voreingestellte Port 443 genutzt)
Anschließend ist die Eingabe von Benutzername sowie Passwort erforderlich. Nach einem Klick auf Verbinden wird
die Anmeldung vorgenommen. Diese Form der Anmeldung funktioniert mit jedem Browser und wird mit SSL verschlüsselt. Das Fenster, in dem der Benutzer sich angemeldet hat, muss während der Sitzung offen gehalten werden, da er sonst nach kurzer Zeit automatisch wieder abgemeldet wird. Dies ist aus Sicherheitsgründen erforderlich,
damit ein Rechner, an dem ein Benutzer vergessen hat sich abzumelden, nicht für Jedermann offen steht.
5.2.2
Anmeldung über den Benutzerauthentifizierungs-Client (kurz: UA-Client)
Nach der Installation des mitgelieferten UA-Clients muss beim ersten
Start zunächst die IP-Adresse des Firewall-Servers eingetragen werden
sowie im Weiteren der Benutzername sowie das zugehörige Passwort.
Soll für zukünftige Anmeldungen das Passwort gespeichert werden
muss die Option Passwort speichern aktiviert sein.
5.2.3
Anmeldung per Single Sign On
Mit Single Sign On (SSO) unter der gateprotect Firewall ist die einmalige Anmeldung eines Domänenbenutzers an
der Active Directory Domäne bei gleichzeitiger Erstellung der Regeln auf der Firewall gemeint.
Um in einer Active Directory Umgebung ein Single Sign On mit der gateprotect Firewall umzusetzen sind einige
Vorbedingungen zu erfüllen.
Hierzu gehören folgende Schritte:

Anlegen des speziellen Benutzers „gpLogin“ auf dem Domänencontroller
Clarity  Perfection  Security
63
User Authentifizierung

Erzeugen eines speziellen Keys auf dem Domänencontroller

Vorbereitung der Firewall für SSO

Installieren des Authentifizierungsclients

Testen der Einstellungen
Speziellen Benutzer „gpLogin“ anlegen
Es ist zwingend erforderlich, dass ein spezieller Benutzer im Active Directory angelegt wird. Diesem Benutzer wird
später ein so genannter Principal zugeordnet. Dieser Principal ist dann der eigentliche Schüssel, der bei der Kommunikation mit der Firewall verwendet wird. Der Benutzer benötigt keine speziellen Rechte, da er nur als ‚Aufhänger‘
für den Principal dient. Es ist ausreichend das er als normaler Domänenbenutzer in der Domäne angelegt wird. Das
Passwort sollte sicherheitshalber 8 Stellen besitzen.
Legen Sie einen Benutzer mit einem beliebigen Vor und
Nachnamen an.
Als Benutzeranmeldename müssen Sie gpLogin verwenden. (Es ist wichtig das das “L“ großgeschrieben
wird.)
Dieser Benutzer wird als normaler Domänenbenutzer
angelegt.
Achten Sie darauf, dass in den Kontooptionen „DESVerschlüsselungstypen für dieses Konto verwenden“
aktiviert ist.
Erzeugen der Key-Datei
Damit sich der Clientrechner nach der Anmeldung des
Benutzers an der Windowsdomäne automatisiert an der
Firewall anmelden kann, muss ein Schlüssel (Principal)
auf dem Active Directory Server angelegt werden und
im gateprotect Client importiert werden. Dazu benötigt
die Firewall eine so genannte Key-Datei. Um den Principal und diese Datei zu erstellen benötigt man das
Windows-Programm ktpass.exe. Dieses ist in dem Resource Kit von Microsoft enthalten.
Die Syntax um die Key-Datei zu erzeugen lautet:
ktpass -out key.fw -princ gpLogin/x-series@testcenter.gateprotect.test -pass hello1crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -mapuser domain\gpLogin
Erklärung der PARAMETER

out -> Hier wird der Name der Schlüsseldatei angegeben (Wird später auf der Firewall importiert)

princ -> Benutzername/HostnameDerFirewall@VollständigerDomänenName

pass -> Passwort des Benutzers

crypto -> Algorithmus der Verschlüsselung ( hier immer DES-CBC-CRC )

ptype -> Der Prinzipaltyp ( hier immer KRB5_NT_PRINCIPAL )

mapuser -> An welchen Benutzer dieses Prinzipal gebunden wird.
In diesem Fall sehen also die Parameter beispielsweise folgendermaßen aus.
Clarity  Perfection  Security
64
User Authentifizierung

Benutzer : gpLogin

Hostname der Firewall : x-serie

Vollständiger Domänenname : testcenter.gateprotect.test

Passwort des Benutzers : hallo1
Vorbereiten der Firewall
Im gateprotect Client wird unter dem Punkt Einstellungen > Benutzerauthentifizierung > Single Sign On die Kerberos-Authentifizierung aktiviert und die vorher erzeugte Key-Datei importiert.
(Bitte beachten Sie die Ausgaben im Bericht falls der Import fehlschlägt.)
Vorbereiten der Windows-Clients
Auf dem gateprotect Installationsmedium befindet sich ein Ordner UAClientSSO. Hier befinden sich drei Dateien.
Als erstes die pure UAClientSSO.exe. Die Datei benötigt zwei Parameter die beim Start mitgegeben werden müssen.
Als erstes der Hostname der Firewall (unter Servereinstellungen > Netzwerk > Hostname ) und als zweites die IPAdresse der Firewall.
Beispiel
c:\Programme\gateprotect\UAClientSSO.exe x-serie 192.168.0.1
(Am einfachsten über eine Verknüpfung in der dann diese Parameter mitgegeben werden)
Die zweite Datei ist die UAClientSSOSetup.exe.
Diese Setup-Datei installiert die UAClientSSO.exe nach c:\Programme\gateprotect\UAClientSSO.exe.
Auch hier benötigen Sie die beiden Parameter Hostname und IP.
Die dritte Datei ist die UAClientSSO.msi.
Hier die Installationsroutine als MSI Datei, die über eine Softwareverteilung (Gruppenrichtlinien) automatisiert an die
Rechner verteilt werden kann.
Auch hier benötigen Sie die beiden Parameter Hostname und IP. Der MSI Datei können keine Parameter übergeben
werden.
HINWEIS
KOPIEREN SIE DIE UACLIENTSSO.EXE IN DIE NETZWERKFREIGABE „NETLOGON“ DES AD-SERVERS UND KONFIGURIEREN SIE EIN NETLOGONSCRIPT.
Beispiel
.Start \\<SERVERNAME>\NETLOGON\ UAClientSSO.exe <Hostname der Firewall> <IP der Firewall>
Clarity  Perfection  Security
65
User Authentifizierung
Testen der Einstellungen / Troubleshooting
Wenn Sie die Punkte abgearbeitet haben, wird es Zeit die Einstellungen zu testen.
Loggen Sie sich von einem Domänencomputer ein. Im besten Fall sehen Sie in der Taskleiste ein Icon, das Ihnen anzeigt das Sie eingeloggt sind.
Im Fehlerfall prüfen Sie noch einmal alle Punkte.
Testen Sie die Benutzerauthentifizierung ohne SSO über den Webclient.
Rufen Sie UAClientSSO.exe mit den Parametern von der Kommandozeile aus auf.
Starten Sie den Windowsclient neu.
Kontrollieren Sie den Bericht der Firewall.
Kontrollieren Sie Zeitunterschiede zwischen Domänencontroller, Firewall und Windowsclients (Kerberos ist zeitkritisch, d.h. es sollten Zeitserver verwendet werden). Wenn es nicht funktioniert: Löschen Sie den Benutzer „gpLogin“
und legen ihn neu an. Erzeugen sie danach den Key neu und importieren sie ihn erneut auf die Firewall.
5.3
Benutzer
Benutzer und AD-Gruppen können auf dem Desktop, genauso wie Rechner, als einzelne Benutzer oder als Benutzergruppen abgelegt werden. Für diese Objekte definieren Sie dann die Regeln, die dem Benutzer zugewiesen werden sollen, sobald er sich einloggt.
Loggt sich ein Benutzer von einem Rechner aus ein, dem selbst bestimmte Regeln zugeordnet sind, so gelten für
den Benutzer sowohl seine persönlichen Regeln, als auch die Regeln des Rechners.
In die Benutzergruppen auf dem Desktop können Sie Benutzer und AD-Gruppen aus der lokalen Firewall-Liste und
aus dem openLDAP bzw. Active Directory Authentifizierungsserver auswählen.
Es gibt auch eine spezielle Default Benutzergruppe.
In diese Benutzergruppe werden keine Benutzer eingefügt. Sie umfasst alle Benutzer, die sich zwar einloggen können, aber nicht als einzelne Benutzer oder Mitglieder von anderen Benutzergruppen auf dem Desktop hinterlegt
worden sind. Ist eine solche Default Benutzergruppe auf dem Desktop eingerichtet und haben Sie dieser Regeln zugewiesen, wird ein später neu im Active Directory Server eingerichteter Benutzer automatisch in diese Default Benutzergruppe eingeordnet. Nach dem Einloggen werden diesem neuen Benutzer dann automatisch die DefaultRegeln zugewiesen, ohne zusätzlichen Administrationsaufwand für jeden einzelnen Benutzer.
5.4
5.4.1
Beispiele
Windows-Domäne
Wenn Sie eine Windows-Domäne haben, können Sie die User Authentifizierung mit dem Windows DomainController verbinden.
Geben Sie dazu im Register Einstellungen des Dialogs Authentifizierungsserver die Daten Ihres Domänen-Kontrollers
ein. In der Benutzerliste sehen Sie daraufhin alle Benutzer, die sich in sich in dieser Domäne befinden. Anschließend
können Sie Benutzer-Icons auf den Konfigurationsdesktop ziehen und mit Regeln versehen.
Die Benutzer müssen nun die IP-Adresse der Firewall mit „https“ in ihrem Browser aufrufen und sich anmelden. Ist
die Anmeldung erfolgreich, werden die Firewall-Regeln des Benutzers der mitgelieferten IP-Adresse zugewiesen.
Wird das Browser-Fenster geschlossen, läuft das Session-Cookie ab und die Regeln verfallen.
Clarity  Perfection  Security
66
User Authentifizierung
5.4.2
Terminalserver
Wenn Sie einen Terminalserver verwenden, sollte dieser von der User Authentifizierung ausgenommen werden, da
sonst nach dem Einloggen eines Benutzers alle weiteren Benutzer die gleichen Rechte erhalten, wie der erste Benutzer.
Um den Terminalserver von der User Authentifizierung auszunehmen gehen Sie folgendermaßen vor:

Doppelklicken Sie auf das Symbol des Terminalservers auf dem Konfigurationsdesktop.

Aktivieren Sie das Auswahlfeld Dieses Objekt von der User Authentifizierung ausschließen.
Für einen Terminalserver bietet sich der intransparente HTTP-Proxy an. Stellen sie dazu den HTTP-Proxy unter Einstellungen > Proxy-Einstellungen auf intransparent.
HINWEIS
DIE BROWSER MÜSSEN DEN HTTP-PROXY : FIREWALL-IP-ADRESSE IN IHREM SUBNETZ UND DEN PORT 10080 EINGESTELLT HABEN. UM DOWNLOAD-LOOPS ZU VERMEIDEN, SOLLTE
DIESE FIREWALL-IP-ADRESSE IN „DIESE IP-ADRESSE VON PROXY AUSNEHMEN“ IM BROWSER EINSTELLEN.
Alle Benutzer, die sich nun auf dem Terminalserver anmelden, erhalten beim Öffnen des Browsers zunächst eine
Meldung, in dem sie nach Benutzer und Passwort gefragt werden. Sobald Sie sich gegenüber der lokalen User Authentifizierung, dem Active Directory oder dem OpenLDAP/Krb5 authentifiziert haben, können sie mit dem Terminalserver im Internet surfen.
Die angemeldeten Benutzer können solange surfen, bis die letzte Browser-Instanz geschlossen wird. Beim erneuten
Öffnen des Browsers müssen Sie sich auch wieder erneut anmelden.
Angemeldete Benutzer erhalten ihre eigenen URL- und Content-Filter-Einstellungen und werden in der Statistik einzeln unter ihrem Namen mitgeloggt.
Clarity  Perfection  Security
67
Web-Filter (URL,Content und Application)
6
W EB -F ILTER ( U RL ,CONTE NT U ND APPL IC AT IO N)
6.1
URL-Filter
Die URL-Filter-Funktion des gateprotect Firewallservers überprüft die in der HTTP-Datenkommunikation enthaltenen
Internetadressen (URL, Uniform Ressource Locator, bestehend aus Servernamen, Pfad und Dateinamen) nach erlaubten und/oder nicht erlaubten Begriffen entsprechend ihrer Einteilung in Black- und Whitelisten.
HINWEIS
FÜR DIE VERWENDUNG DES URL-FILTERS IST DER EINSATZ DES HTTP-PROXY ZWINGEND ERFORDERLICH. NUR WENN IM REGELEDITOR FÜR EINE VERBINDUNG DIE VERWENDUNG DES
HTTP-PROXY AKTIVIERT IST, KANN DIE HTTP-DATENKOMMUNIKATION DIESER VERBINDUNG AUCH NACH URL-LISTEN GEFILTERT WERDEN.
Enthält die URL einer Webseite Begriffe, die in einer Black-Liste stehen, wird der Zugriff auf diese Seite blockiert.
Sollen bestimmte Begriffe von der Sperrliste ausgenommen werden, können Sie einer Whiteliste hinzugefügt werden.
Beispiele
http://www.servername.de/sex/index.html
Der Begriff „sex“ steht auf einer Black-Liste. Die genannte URL wird deshalb blockiert.
http://www.servername.de/finanzierungsexperte.html
Der Webseitenname finanzierungsexperte enthält auch den Begriff sex und würde deshalb ebenfalls blockiert. Damit dies nicht geschieht, muss der
Begriff „Finanzierungsexperte“ in eine Whiteliste eingetragen werden.
Während der Installation des Administrationsclient werden von gateprotect vordefinierte Black-Listen und verschiedene Kategorien für den URL-Filter angelegt. Diese vordefinierten Kategorien und Listen können Sie über den Administrationsclient beliebig ergänzen oder bereits enthalte Einträge aus den Listen entfernen.
6.1.1
Ein- und Ausschalten des URL-Filters
URL-Filter-Kategorien aktivieren oder deaktivieren Sie über den Regeleditor:
Schritt 1
Doppelklicken Sie im Konfigurationsdesktop auf eine Verbindung.
Schritt 2
Klicken Sie im Dialog Regeleditor auf die Registerkarte URL-/Content Filter.
Schritt 3
In dieser Registerkarte können Sie einzelne URL-FilterKategorien ein- oder ausschalten.
Aktivieren oder deaktivieren Sie dazu für die jeweilige Kategorie in der Spalte URL-Filter das Auswahlfeld für die entsprechende Black- und Whitelisten.
Schritt 4
Um die einzelnen Kategorien und URL-Listen zu bearbeiten,
klicken Sie auf die Schaltfläche URL-/Content Filter Einstellungen.
Im nachfolgend beschriebenen Dialog URL-/Content Filter können Sie die Kategorien und Listen des URL-Filters individuell anpassen.
Clarity  Perfection  Security
68
Web-Filter (URL,Content und Application)
6.2
Content-Filter
Enthalten Webseiten keine überprüfbaren Begriffe in ihren URLs ist ein URL-Filter alleine, wie im vorhergehenden
Kapitel beschrieben, nicht ausreichend. Als weitere Filter-Methode bietet der gateprotect Firewallserver deshalb die
Möglichkeit, die HTTP-Datenkommunikation anhand der Inhalte (Content) der Webseiten zu filtern. Zu diesem
Zweck ist ein Content-Filter in den Firewallserver integriert, der auf der Content-Filter-Technologie der Firma Commtouch basiert.
Commtouch durchsucht ähnlich wie Suchmaschinen im Internet verfügbare Webseiten, analysiert und kategorisiert
diese und stellt die Ergebnisse in einer Datenbank zusammen.
HINWEIS
FÜR DIE VERWENDUNG DES CONTENT-FILTERS IST DER EINSATZ DES HTTP-PROXY ZWINGEND ERFORDERLICH. NUR WENN IM REGELEDITOR FÜR EINE VERBINDUNG DIE VERWENDUNG DES HTTP-PROXY AKTIVIERT IST, KANN DIE HTTP-DATENKOMMUNIKATION DIESER VERBINDUNG AUCH AUF INHALT GEFILTERT WERDEN. SÄMTLICHE CONTENT-FILTER FUNKTIONEN WERDEN NACH ABLAUF DER 30-TAGE-DEMONSTRATION AUTOMATISCH DEAKTIVIERT. WENN SIE DIESE FUNKTIONEN WEITERHIN NUTZEN MÖCHTEN BENÖTIGEN SIE EINE
ZUSÄTZLICHE LIZENZ FÜR DEN CONTENT-FILTER.FÜR WEITERE INFORMATIONEN ÜBER DIE LIZENZIERUNG DER COMMTOUCH CONTENT-FILTER TECHNOLOGIE IN DEN GATEPROTECT
FIREWALLSERVER WENDEN SIE SICH BITTE AN UNSEREN VERTRIEB.
6.2.1
Content-Filter aktivieren
Aktivieren können Sie den Content-Filter über den Regeleditor. Gehen Sie dazu wie nachfolgend beschrieben vor:
Schritt 1
Doppelklicken Sie im Konfigurationsdesktop auf eine Verbindung.
Schritt 2
Klicken Sie im Regeleditor auf die Registerkarte URL-/Content Filter.
Schritt 3
In dieser Registerkarte können Sie generelle Einstellungen für
den Content-Filter vornehmen.
Aktivieren oder deaktivieren Sie für die jeweiligen Kategorien
in der Spalte Content-Filter die entsprechenden Optionen.
Schritt 4
Um die vorhandenen Kategorien oder URL-Listen zu bearbeiten, klicken Sie auf die Schaltfläche URL-/Content Filter Einstellungen (vgl. Kap. 6.2.2 URL- und Content-Filter konfigurieren).
Clarity  Perfection  Security
69
Web-Filter (URL,Content und Application)
6.2.2
Konfiguration über den Dialog URL-/Content-Filter
Im Dialog URL-/Content Filter können Sie

Kategorien bearbeiten, löschen oder hinzufügen,

Begriffe zu Black- oder Whitelisten hinzufügen oder aus diesen löschen,

Black- und Whitelisten importieren und exportieren sowie

SafeSearch aktivieren
Sie erreichen den Dialog über den Menüpunkt Sicherheit > URL-/Content Filter oder, wie nachfolgend beschrieben,
über den Regeleditor:
Schritt 1
Klicken Sie im Regeleditor auf die Registerkarte URL-/Content Filter.
Schritt 2
Klicken Sie auf die Schaltfläche URL-/Content Filter Einstellungen, um die vorhandenen Kategorien und URL-Listen
zu konfigurieren.
Der Dialog URL-/Content Filter wird angezeigt.
Clarity  Perfection  Security
70
Web-Filter (URL,Content und Application)
Einstellung
Beschreibung
Logs anonymisieren
Aktivieren Sie dieses Auswahlfeld, um Benutzernamen der am Webinterface
angemeldeten Benutzer nicht zu loggen. Die Statistik für Benutzer der Benutzerverwaltung wird dadurch ausgeschaltet. Die Statistik auf IP-Ebene wird aber
weiterhin geführt.
SafeSearch
Ist SafeSearch aktiviert, wird in den Suchmaschinen Google, Bing und Yahoo
bei der Bildersuche automatisch die Einstellung Safe Search = Strikt gesetzt
und sollte sich auch nicht mehr ändern lassen.
Kategorien
In der Liste Kategorien sind die von gateprotect vorgegebenen und die von
Ihnen erstellten und bearbeiteten Kategorien aufgeführt. Eine Kategorie besteht jeweils aus einer Black- und Whiteliste und einer Auswahl von ContentGruppen.
URL-Filter
Im Bereich URL-Filter werden alle Einträge der Black- und Whitelisten der jeweils ausgewählten Kategorie angezeigt.
Black
Im Textfeld Black können Sie eigene Begriffe eingeben und durch Klick auf die
„+ -„ Schaltfläche der Black-Liste hinzufügen.
White
Im Textfeld White können Sie eigene Begriffe eingeben und durch Klick auf die
„+ -„ Schaltfläche der White-Liste hinzufügen.
Content Filter
Die Content-Filter Gruppen sind durch Commtouch vorgegeben und können
nicht verändert werden.
URL-Suche
Wenn sie eine konkrete URL haben, die geblockt wurde, können Sie mit dieser
Suche schnell herausfinden, in welchen URL-Listen Ausdrücke stehen, die zum
Blocken führen.
Clarity  Perfection  Security
71
Web-Filter (URL,Content und Application)
6.2.3
Hinzufügen von URLs über den Administrations- oder Statistik-Client
Eigene URL-Listen können entweder im Dialog URL-/Content-Filter erstellt und bearbeitet werden oder direkt aus
dem Statistikfenster des Administrationsclient und Statistik-Client heraus.
Schritt 1
Klicken Sie dazu mit der rechten Maustaste auf den entsprechenden Diagrammbalken.
Schritt 2
Wählen Sie aus dem Kontextmenü die Kategorie aus, welcher der Eintrag zugeordnet werden soll.
Clarity  Perfection  Security
72
Web-Filter (URL,Content und Application)
6.3
Application Filter
Um die Sicherheit im Unternehmensnetzwerk weiter zu erhöhen, ist die Kombination aller Filter – URL- /Contentund Applikationsfilter - zwingend erforderlich.
Die einfache Handhabung des URL / Content Filter filtert schnell und sicher alle nicht erwünschten aus dem Datenverkehr heraus. Im Weiteren wird durch den Einsatz des Application Filter in den verbleibenden und notwendigen
Diensten und Webseiten die darin enthaltenen Inhalte granular gefiltert.
Der Application Filter ist unter dem Menü-Punkt Sicherheit zu finden.
6.3.1
Profile erstellen
Zuerst muss wenigstens ein Profil mit einer Auswahl zu blockierender Protokolle erstellt werden.
DER APP-FILTER KANN EINIGE PROTOKOLLE GGF. ERST NACH MEHREREN PAKETEN KLASSIFIZIEREN. AUF DIESE WEISE KANN EIN ERSTER KONTAKT Z.B. BEI SKYPE NICHT
VERHINDERT WERDEN. DIE FOLGENDEN PAKETE WERDEN DANN ABER GEBLOCKT.
Clarity  Perfection  Security
73
Web-Filter (URL,Content und Application)
6.3.2
Application Filter auf Verbindungen anwenden
Der Application Filter wird analog zum URL- & Content-Filter im Regeleditor für einzelne Verbindungen konfiguriert.
DER APPLICATION FILTER LÄSST SICH DERZEIT NUR AUF IP-BASIERTE VERBINDUNGEN ANWENDEN. FÜR BENUTZER UND BENUTZERGRUPPEN IST DIES NICHT MÖGLICH.
Schritt 1
Doppelklicken Sie im Konfigurationsdesktop auf eine Verbindung.
Schritt 2
Klicken Sie im Regeleditor auf die Registerkarte Application Filter.
Schritt 3
In dieser Registerkarte finden Sie die unterschiedlichen
Profile und rechts daneben die jeweils Aktiven Regeln für
dieses Profil.
Aktivieren oder deaktivieren Sie die entsprechenden Profile
mit einem Haken bei Blacklist.
6.3.3
Allgemeine Einstellungen des Application Filters
Außerdem können in den Einstellungen noch verschiedenen Features des App-Filters aktiviert werden.
Clarity  Perfection  Security
74
Web-Filter (URL,Content und Application)
6.3.3.1
Erweiterte Konfiguration
„Erweiterte Konfiguration“ aktiviert die Application
Filter Einstellungen für einzelne Dienste.
Application Filter Profile können nun über die Spalte
Zusätzliche Optionen auf einzelne Dienste im Regeleditor angewendet werden.
In dieser Registerkarte finden Sie die unterschiedlichen Profile und rechts daneben die jeweils Aktiven
Regeln für dieses Profil.
Aktivieren oder deaktivieren Sie die entsprechenden
Profile mit einem Haken bei Blacklist.
6.3.4
Statistik
Sofern der Punkt „Statistik“ in den Application Filter Einstellungen aktiviert wurde, werden Statistiken über den AppFilter geschrieben. Diese können dann im Statistik-Modul des Administrations-Clients ausgewertet werden.
„Deep Packet inspection statistics“ geben eine sehr viel genauere Aussage über die genutzten und blockierten Protokolle, belasten die Hardware der Firewall aber stark.
Clarity  Perfection  Security
75
LAN Accounting
7
L AN ACCOU NT ING
7.1
Lan Accounting Einleitung/Erklärung/Möglichkeiten
Der Begriff Accounting beschreibt die Erfassung von Daten bezüglich der Nutzung von Netzwerk-Services bezogen
auf einen Kunden. Die erhobenen Daten sind die Dauer der Nutzung und die verursachte Datenmenge. Mit Hilfe
dieser Informationen lassen sich dann Systeme zur Einschränkung und Abrechnung der Dienstleistung erstellen.
Das gateprotect Lan Accounting bietet dem Firewall Administrator die Möglichkeit die Netzwerkzeiten und die
Netzwerktraffic-Menge für Benutzer zu steuern. Es erlaubt das Einstellen individuellen Zeit- und Volumenprofilen.
7.2
Konfiguration Lan Accounting
Den Dialog zur Lan Accounting-Konfiguration erreichen Sie, indem Sie über das Hauptmenü Einstellungen den
Menüpunkt Lan Accounting wählen.
7.2.1
Zeitprofil erstellen
Im Konfigurationsdialog des Zeitprofils haben Sie die Möglichkeit entweder ein zyklisches oder ein nicht zyklisches
Profil zu erstellen. Im zyklischen wird ein Zeitkontingent innerhalb eines bestimmten Zeitraums definiert. (z.B. 6
Stunden pro Tag)
Das nicht zyklische Profil legt einen Gesamtzeitraum für den Benutzer fest und bestimmt wie lange dieser die ausgewählten Netzwerkdienste nutzen kann.
Clarity  Perfection  Security
76
LAN Accounting
7.2.2
Volumenprofil erstellen
Im Konfigurationsdialog des Volumenprofils haben Sie ebenfalls die Möglichkeit entweder ein zyklisches oder ein
nicht zyklisches Profil zu erstellen. Im zyklischen definieren Sie ein Volumenkontingent innerhalb eines bestimmten,
sich wiederholenden Zeitraums (z.B. pro Tag/Woche/Monat) und im nicht zyklischen Profil können Sie einen fixen
Wert vorgeben.
Sie haben bei beiden Profiltypen die Möglichkeit zwischen Upload- und Downloadtraffic zu unterscheiden.
Nachdem Sie die Profile konfiguriert haben können Sie den Benutzern die Profile zuweisen.
Clarity  Perfection  Security
77
LAN Accounting
7.3
Lan Accounting aktivieren
Die Lan Accounting Einstellungen werden erst aktiv, wenn Sie den entsprechenden Haken im Konfigurationsmenü
setzen.
Um die Nutzung des Netzzugangs an bestimmten Tageszeiten zu steuern, können Sie den Regeleditor verwenden.
Clarity  Perfection  Security
78
Traffic Shaping & Quality of Service
8
TR AFF IC SH AP ING & Q UAL IT Y OF SE RV ICE
8.1
8.1.1
Einleitung
Ziel
Ziel des Traffic Shaping ist entweder Bandbreite auf den Leitungen für wichtige Dienste oder bevorzugte Benutzer
zu garantieren, oder umgekehrt die Bandbreite für bestimmte Benutzer, Rechner oder Dienste zu beschränken. Die
gateprotect Firewall bietet dafür zwei Methoden an, das eigentliche Traffic Shaping und Quality of Services (QoS).
Beide Methoden können sowohl einzeln wie auch gemeinsam genutzt werden.
HINWEIS
DAS EIGENTLICHE TRAFFIC SHAPING STEHT NUR IN DER X-SERIE DES GATEPROTECT FIREWALLSERVERS ZUR VERFÜGUNG, DIE A-UND OFFICE SERIE DES GATEPROTECT FIREWALLSERVERS BIETEN LEDIGLICH QUALITY OF SERVICE.
8.1.2
Technischer Hintergrund
Traffic Shaping und Quality of Service werden über verschiedene Warteschlangen im Linux-Kernel realisiert. In diese
werden IP Pakete nach bestimmten Regeln einsortiert.
Ohne Traffic Shaping und Quality of Service werden die Pakete einfach in der Reihenfolge ihres Eintreffens durchgereicht und weiter auf die Leitung geschickt (FIFO, first in first out).
Beim Quality of Service realisiert die gateprotect Firewall eine so genannte Prio-Qdisc auf allen Netzwerkkarten und
VPN-Tunneln für eingehenden und ausgehenden Netzwerkverkehr. Voraussetzung für Quality of Service ist, dass
Anwendungen oder Geräte, wie z.B. VoIP-Telefonanlagen, in IP-Datenpaketen das TOS-Feld (Type of Service) setzen.
Der Firewallserver sortiert dann die Pakete nach dem Wert des TOS-Feldes und damit nach festgelegter Wichtigkeit
in mehrere Warteschlangen mit unterschiedlicher Priorität. Datenpakete aus der Warteschlange mit höchster Priorität werden sofort weitergleitet. Datenpakete aus Warteschlangen mit niedrigerer Priorität werden erst dann weitergeleitet, wenn zuvor alle Warteschlangen mit höherer Priorität leer sind. Welche Datenpakete mit welcher Priorität
behandelt werden, können Sie selbst frei konfigurieren.
Der gateprotect Firewallserver richtet das Traffic Shaping nur auf den Leitungen zum Internet ein. Voraussetzung ist,
dass die Bandbreiten der Leitungen im Up- und Download korrekt eingestellt sind. Ist die Bandbreite zu niedrig eingestellt, verhindert Traffic Shaping, dass mehr als die eingestellte Bandbreite genutzt wird.
Ist die Bandbreite dagegen zu hoch eingestellt, wirkt die Leitungskapazität als begrenzender Faktor und setzt das
Traffic Shaping außer Kraft, bevor es regulierend eingreifen kann.
Das Traffic Shaping in der gateprotect Firewall arbeitet nach dem HTB-Modell (Hierarchical Token Bucket Modell)
mit bis zu zwei Hierarchieebenen.
Auf der obersten Ebene können für einzelne auf dem Desktop des Administrationsclient eingerichteten Objekte garantierte minimale Bandbreiten oder begrenzende maximale Bandbreiten jeweils für Up- und Download getrennt
festgelegt werden. Soweit keine maximalen Bandbreiten eingestellt sind, die niedriger als die gesamte Kapazität der
Leitung sind, wird die von anderen Objekten ungenutzte Bandbreite, auch über die garantierte minimale Bandbreite
hinaus, anderen Objekten zur Verfügung gestellt, die sie nutzen möchten.
Unterhalb der Objektebene kann die einem Objekt zugeteilte Bandbreite nach dem gleichen Verfahren auf verschiedene Dienste weiter aufgeteilt werden, d.h. den einzelnen Diensten kann für das jeweilige Objekt eine minimale Bandbreite garantiert werden bzw. Dienste durch eine maximale Bandbreite begrenzt werden. Diese Werte müssen im Rahmen der für das Objekt konfigurierten Bandbreiten liegen. Alle Bandbreiten für das Traffic Shaping werden auf der gateprotect Firewall in kBit pro Sekunde angegeben.
Clarity  Perfection  Security
79
Traffic Shaping & Quality of Service
Werden Traffic Shaping und Quality of Service gleichzeitig genutzt, bleibt es auf den internen Netzwerkkarten im
Intranet bei der Prio-Qdisc. Auf den Schnittstellen zu den Internetleitungen ordnet sich das Quality of Service dagegen in das HTB-Modell ein. Der Firewallserver definiert dazu für Datenpakete mit gesetztem TOS-Feld gemäß der
eingestellten Konfiguration eine eigene HTBKlasse auf der obersten Ebene. Für diese Klasse muss deshalb auch wieder eine minimale und maximale Bandbreite konfiguriert werden, damit Netzwerkverkehr mit verschiedenen konfigurierten TOS-Feldern entsprechend ihrer Priorität weitergleitet wird.
8.2
Einstellungen Traffic Shaping
Das eigentliche Traffic Shaping steht ab der GPA 400 zur Verfügung. Konfigurieren können Sie das Traffic Shaping
über den Menüeintrag Einstellungen > Traffic Shaping in der Registerkarte Regeln.
Um Traffic Shaping zu verwenden, aktivieren Sie zunächst das Auswahlfeld Traffic Shaping aktiv.
Für jede Internet-Verbindung (z.B. eine Router-Verbindung) finden Sie eine Registerkarte mit den entsprechenden
Traffic-Shaping-Einstellungen für die jeweilige Verbindung.
Darin müssen Sie zunächst die richtige Up- und Download-Rate für die Leitung in KBit/s angegeben. Die entsprechenden Werte entnehmen Sie z.B. den Informationen Ihres Internet-Providers.
Für jedes Objekt auf dem Desktop gibt es eine Zeile, in der die Einstellungen für die garantierte und die maximale
Rate des Internet-Verkehrs für dieses Objekt im Up- und Download vorgenommen werden können. Wenn Sie das
Auswahlfeld aktivieren, wird das Objekt in das Traffic Shaping mit einbezogen.
Clarity  Perfection  Security
80
Traffic Shaping & Quality of Service
Jede Zeile kann erweitert werden, wenn Sie auf den Pfeil vor dem Auswahlfeld klicken. Dann erscheinen unter dem
Objekt weitere Zeilen für die einzelnen dem Objekt erlaubten Dienste.
Diese Dienste können als zweite Hierarchieebene in das Traffic Shaping einbezogen werden. Die Raten für diese
einzelnen Dienste sind immer ein Teil der Rate des übergeordneten Objektes.
Die erste Zeile in dem Fenster ist jeweils für die Firewall-Services reserviert. Sie werden zusammen wie ein Objekt auf
dem Desktop behandelt. Aktiviert man das Traffic Shaping für die Firewall Services, dann kann man wie bei jedem
Objekt auf dem Desktop darunter wiederum Raten für die einzelnen Dienste auf der Firewall festlegen. Das kann
z.B. eine Rate für den Netzwerkverkehr sein, der von einem Proxy auf der Firewall erzeugt wird.
8.3
Einstellungen Quality of Service
Abhängig von der verwendeten Appliance finden Sie die Einstellungen für Quality of Service über das Menü Einstellungen > Traffic Shaping in der Registerkarte QoS bzw. über das Menü Einstellungen > Quality of Service.

Über Hinzufügen definieren Sie einen neuen Dienst, für den Quality of Service eingerichtet werden soll.

Tragen Sie in die entsprechenden Felder Namen und Hexadezimal-Wert des TOS-Feldes ein, das die Anwendung oder das Gerät für den Dienst setzt. Informationen dazu finden Sie in der Dokumentation der Anwendung, des Gerätes oder erfragen Sie diesen Wert beim Hersteller.
Als Administrator haben Sie auch die Möglichkeit, den von der Anwendung erzeugten Netzwerkverkehr mitzuschneiden und den entsprechenden Datenpaketen zu entnehmen.

Bei mehreren eingetragenen Diensten entspricht die Anordnung der Dienste im Fenster gleichzeitig ihrer Priorität. Der oberste Dienst hat die höchste Priorität.
Die Priorität verändern Sie, indem Sie einen Dienst durch Anklicken auswählen und die Schaltfläche Priorität
erhöhen oder Priorität verringern benutzen.

Um Quality of Service für den jeweiligen Dienst zu verwenden, aktivieren Sie das Auswahlfeld Quality of Service. Als weitere Option können Sie entscheiden, ob Quality of Service auch auf PPTP-Tunnel angewendet
werden soll. In der Regel werden Sie diese Einstellung nicht benötigen und dieses Feld deaktiviert lassen.
HINWEIS
EINE AKTIVIERTE OPTION QUALITY OF SERVICE AUF PPTP-TUNNELN BELASTET DEN FIREWALLSERVER ERHEBLICH BEIM AUF- UNDABBAU VON PPTP-VERBINDUNGEN, WAS ZU VERZÖGERUNGEN BEIM AUFBAU EINER INTERNET-VERBINDUNG FÜHREN KANN. WOLLEN SIE QUALITY OF SERVICE GLEICHZEITIG MIT DEM TRAFFIC SHAPING NUTZEN, MÜSSEN IM REITER
REGELN DATENRATEN GRÖßER ALS NULL FÜR DAS QUALITY OF SERVICE IM UP- UND DOWNLOAD ZWINGEND EINGETRAGEN WERDEN
Clarity  Perfection  Security
81
Zertifikate
9
ZE RT IF IK ATE
9.1
Einleitung
Für die Sicherung von verschlüsselten Verbindungen nutzt die gateprotect Firewall digitale Zertifikate nach dem
X.509-Standard. Das betrifft verschiedene Bereiche: IPsec und VPN-SSL, die Benutzerauthentifizierung auf der Firewall, den HTTPS-Proxy der Firewall sowie die Verbindungen des Command Centers zu den von ihm administrierten
Firewalls.
Die Verwaltung der Zertifikate für diese verschiedene Zwecke ist in einer Zertifikatsverwaltung auf der Firewall zusammengefasst. Eine gateprotect Firewall wirkt dabei auch als Zertifizierungsstelle, welche die Vertrauenswürdigkeit
und Gültigkeit der von den Anwendungen genutzten Zertifikate bestätigt. Dafür dient ein so genanntes CAZertifikat (CA steht für Certificate Authority). Will man die Zertifikatsverwaltung an einem Ort zentralisieren, so
empfiehlt es sich, auf einer zentralen Firewall das CA-Zertifikat zu erstellen, welches die Zertifikate für die Anwendungen direkt signiert. In diesem Fall spricht man von einstufigen Zertifikatsketten.
Alle Zertifikate für Anwendungen müssen dann auf der zentralen Firewall signiert werden. Soll so ein Zertifikat auf
einer anderen Firewall (einer Außenstelle) genutzt werden, so muss auf dieser zunächst ein Request für ein Zertifikat
erstellt werden, welcher dann auf der zentralen Firewall signiert und das so ausgestellte Zertifikat wieder auf der
Firewall der Außenstelle importiert wird.
Will man dagegen auch in einzelnen Niederlassungen Zertifikate für vornehmlich lokale Zwecke ausstellen können,
die aber dennoch in der ganzen Firma oder Organisation als gültig erkannt werden sollen, so empfehlen sich zweistufige Zertifikatsketten. Dafür wird auf einer zentralen Firewall ein so genanntes Root-CA-Zertifikat ausgestellt. Mit
diesem signiert man dann untergeordnete CA-Zertifikate, deren Requests wiederum auf der Firewall je einer Niederlassung erzeugt wurden. Nachdem die untergeordneten CA-Zertifikate dann wieder auf die Firewall der jeweiligen
Niederlassung importiert wurden, können sie dort Zertifikate für Anwendungen signieren. Um diese Beziehungen
übersichtlich darzustellen, präsentiert die Zertifikatsverwaltung der gateprotect Firewall dies in einer Baumstruktur.
Clarity  Perfection  Security
82
Zertifikate
9.2
Zertifikate
Liste mit Zertifikaten.
In der Liste fett gedruckte CA`s können Zertifikate signieren.
Es kann neben der Command Center CA und der HTTPS Proxy CA nur eine weitere signierende CA, sowie eine signierende Unter-CA geben.
Wird eine neue CA erstellt so wird diese zur aktiv signierenden CA. In der Liste befinden sich auch die auf der Firewall erstellten Requests. Diese werden beim importieren des signierten Zertifikates automatisch gelöscht. Unter der
Liste sind die Buttons zum Erstellen und Löschen der Zertifikate. Des Weiteren ein Button zum Signieren von Requests, Importieren/Exportieren, Sperren/Entsperren und Verlängern.
Rechts im Reiter Allgemein befinden sich allgemeine Informationen zum Zertifikat. Diese können über das darunterliegende Feld Suche durchsucht werden. Unter dem Punkt Verwendung steht wofür das Zertifikat verwendet werden kann und ggf. wofür es gerade verwendet wird. Der Name der Zertifikate wir immer in der Form „Common
Name [Serial Number]“ angezeigt.
Zertifikate Dialog - Details
Unter diesem Reiter gibt es erweiterte Informationen über das ausgewählte Zertifikat.
Clarity  Perfection  Security
83
Zertifikate
Löschen Dialog
In der Liste werden die Zertifikate mit angezeigt, die entweder selektiert wurden oder von der Löschaktion mit betroffen sind. Zusätzlich kann hier ein Grund angegeben werden. Zertifikate, welche noch benutzt werden können
nicht gelöscht werden.
Export Dialog
Exportieren von Zertifikaten ist in das PEM und PKCS12 Format möglich. Beim PEM Format ist nur der public Key
exportierbar.
Es muss die Datei angegeben werden, in welche
exportiert werden soll. Bei PKCS12 muss das
Passwort für die PKC12 Datei angegeben werden und das Passwort zum entschlüsseln des
private Keys. Es wird beim PEM und beim
PKCS12 Format immer die gesamte Zertifikatskette (public Keys) exportiert.
Clarity  Perfection  Security
84
Zertifikate
Import Dialog
Der Import von Zertifikaten ist analog zum Export möglich.
Das PEM Format importiert nur public keys.
Allerdings immer auch die gesamte Kette. So
müssen CA und Zertifikat nicht getrennt importiert werden. Bei PKCS12 wird das Passwort
zum Entschlüsseln der PKCS12 Datei gebraucht, das angegebene Key Passwort verschlüsselt den privaten Schlüssel auf der Firewall neu.
Verlängern Dialog
Das selektierte Zertifikate wird verlängert. Dabei wir ein neues
Zertifikat mit den gleichen private Key und den gleichen Daten
erstellt.
Clarity  Perfection  Security
85
Zertifikate
9.3
Templates
Templates vereinfachen die Zertifikatserstellung indem immer wieder gleiche Angaben wie der Organisationsname
einmal in ihnen hinterlegt werden und dann in jedem neu zu erstellenden Zertifikat vorweg ausgefüllt werden. Es
können auch beliebig viele verschiedene Templates erstellt werden, von denen dann jedes Mal ein passendes auszuwählen ist.
Template Reiter im Zertifikatsdialog. Hier werden alle Templates aufgelistet.
Template Hinzufügen/Bearbeiten
Clarity  Perfection  Security
86
Zertifikate
9.4
OCSP / CRL
In Fällen wie dem Ausscheiden eines Mitarbeiters oder dem Verlust eines privaten Schlüssels muss man die betroffenen Zertifikate sperren können, damit die Sicherheit der Organisation oder Firma weiterhin gewährleistet bleibt.
Dies geschieht immer auf der Firewall, auf der das Zertifikat ausgestellt wurde. Das Löschen eines Zertifikats auf der
ausstellenden gateprotect Firewall schließt immer auch die Sperrung mit ein. Um entfernten Firewalls den Status
eines Zertifikats als gesperrt oder nicht gesperrt mitteilen zu können, implementiert die gateprotect Firewall zwei
verschiedene Mechanismen. Bei dem Online Certificate Status Protocol (OCSP) fragt die entfernte Firewall bei der
ausstellenden Firewall in dem Augenblick, wo das Zertifikat benötigt wird, online an wie der Status ist. Außerdem
können in regelmäßigen Abständen Sperrlisten (CRLs, Certificate Revocation Lists) ausgestellt werden, die dann von
den entfernten Firewalls heruntergeladen werden. Dann muss die Anwendung nur prüfen, ob das benötigte Zertifikat in der zuständigen und aktuell gültigen CRL als gesperrt aufgelistet ist. VPN-SSL unterstützt derzeit kein OCSP
sondern nur CRLs.
Will man CRLs und/oder OCSP nutzen, so muss dies einmal allgemein mit den nötigen Einstellungen (insbesondere
der Port für Download bzw. Online-Anfrage) aktiviert werden. Dann muss zusätzlich noch bei der Ausstellung oder
Verlängerung eines CA-Zertifikats angegeben werden, ob damit CRLs ausgestellt und/oder OCSP-Anfragen signiert
werden sollen und unter welcher Adresse (URL) dieser Dienst angeboten werden soll. Diese Angaben werden dann
auch in die damit ausgestellten Zertifikate geschrieben, so dass die Anwendungen auf entfernten Firewalls bzw.
Rechnern wissen wo und wie der Status des Zertifikats zu überprüfen ist.
Einstellungen für OCSP/CRL
Clarity  Perfection  Security
87
Zertifikate
9.5
Benachrichtigungen über Zertifikats-Ereignisse
Um informiert zu werden, wenn Zertifikate bald
ablaufen oder bereits abgelaufen sind, ist es
möglich sich in diesen Fällen eine Email schicken zu lassen.
Diese Einstellung ist unter dem Punkt Einstellungen > Reporting möglich.
Clarity  Perfection  Security
88
Virtual Private Networks (VPN)
1 0 V I R T U AL P R I V ATE NET WO R KS ( VP N)
10.1
Einleitung
VPN – Virtuelles privates Netzwerk
VPNs werden genutzt, um mehrere Standorte mit größtmöglicher Sicherheit über das Internet zu verbinden. Über
verschlüsselte Verbindungen haben Sie oder Ihre Außendienstmitarbeiter auch von außerhalb direktem Zugriff auf
Ihr Unternehmensnetzwerk. Des Weiteren verbinden Sie andere Filialen oder Dienststellen mit ihrer Unternehmenszentrale.
Mit der gateprotect Firewall können Sie die drei am weitesten verbreiteten Protokolle PPTP, IPSec und SSL (OpenVPN) für eine gesicherte Anbindung nutzen. Folgende Verbindungsarten stehen Ihnen dabei zur Verfügung:
Client-to-Site-Verbindung (PPTP/IPSec/SSL)
Bei einer Client-to-Site-Verbindung wird von außen eine Verbindung in das Unternehmensnetzwerk aufgebaut.
Die Authentifizierung erfolgt entweder über eine Benutzername-Passwort-Kombination (PPTP) oder bei IPsec über
ausgestellte Zertifikate oder so genannte PSK (Preshared Key). Des Weiteren bei SSL (Open VPN) mit Zertifikaten.
ACHTUNG !
BEI EINER IPSEC CLIENT-TO-SITE-VERBINDUNG WIRD EINE SEPARATE CLIENTSOFTWARE (Z.B. GATEPROTECT VPN-CLIENT) BENÖTIGT.
Site to Site-Verbindung (IPSec/SSL)
Bei einer Site–to-Site-Verbindung werden zwei Standorte über einen verschlüsselten Tunnel zu einem virtuellen Netz
verbunden und können über dieses Daten austauschen. Die beiden Standorte können über feste IP-Adressen verfügen. Alternativ wird auch die Verbindung über eine DynDNS-Hostnamen unterstützt. Es ist auch möglich, IPSecVerbindungen zwischen zwei dynamischen IP-Adressen mittels DynDNS herzustellen.
PPTP
Das PPTP Protokoll wurde für den Client-to-Site Einsatz entworfen. Die Sicherheit des Protokolls hängt maßgeblich
von dem gewählten Passwort ab (ein Passwort gilt erst dann als sicher, wenn es aus mindestens sechs, oder besser
acht Zeichen besteht und sowohl Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen enthält).
Eine PPTP Verbindung ist sehr einfach einzurichten, da bei den Windows Versionen (2000/XP/Vista/7) der Client
schon integriert ist.
IPSec
IPSec zeichnet sich durch einen höheren Sicherheitsstandard als PPTP aus und wird auch höchsten Anforderungen
gerecht. Für eine IPSec Site-to-Site Verbindung benötigen Sie zwei VPN IPSec fähige Server. Für eine Client-to-Site
Verbindung, wie oben beschrieben, eine gesonderte Client Software. Die Konfigurationen der Verbindungen werden auf den folgenden Seiten beschrieben.
Die gateprotect-Firewall ist in der Lage gesicherte Verbindungen nach der IPSec-Protokollsuite aufzubauen und zu
nutzen – hierbei wird ESP im Tunnelmode genutzt.
Der Schlüsseltausch kann sowohl nach Version 1 des IKE-Protokolls, als auch nach dem neueren IKEv2 vorgenommen werden, wahlweise mit Preshared Keys oder X.509-Zertifikaten. In Verbindung mit IKEv1 kann als zusätzlicher
Authentifizierungsmechanismus XAUTH aktiviert werden. Die Firewall ist ebenfalls in der Lage als Server für IPsecgesichertes L2TP zu fungieren.
SSL (OpenVPN)
Diese Art von VPN bietet eine schnelle und sichere Möglichkeit einen Roadwarrior (Client-to Site) anzubinden. Der
größte Vorteil von SSL (OpenVPN) ist die Tatsache, dass der gesamte Datenverkehr über einen TCP oder UDP-Port
abläuft und keine speziellen Protokolle wie bei PPTP oder IPSec benötigt werden.
Clarity  Perfection  Security
89
Virtual Private Networks (VPN)
10.2
PPTP-Verbindungen
Es ist auf der Firewall möglich, eine PPTP-VPN Verbindung mit dem VPN-Wizard zu erstellen (Unter dem Punkt VPN
Einstellungen > VPN-Wizard). Da dies selbsterklärend ist, wird in diesem Handbuch nur die manuelle Einrichtung
von PPTP-Verbindungen beschrieben.
10.2.1 PPTP Client-to-Server Verbindung manuell einrichten
PPTP-Verbindung erstellen
Damit Sie eine PPTP Verbindung nutzen können, benötigen Sie einen PPTP Client (In Windows 2000/XP/VISTA ist
bereits ein PPTP Client integriert).
Um eine PPTP-Verbindung einzurichten, wählen Sie aus dem Menü VPN-Einstellungen den Menüpunkt PPTP...
Hier erscheint nun dieser Dialog.
Setzen Sie einen Haken bei Aktiv. Die Client-IP-Adressen müssen Sie im
Normalfall nicht anpassen. Das Gateway im Allgemeinen auch nicht.
Wenn Sie eine Namensauflösung Ihrer Active Directory Domäne wünschen, müssen Sie den DNS- Server (im Normalfall Ihr AD - Server) hier
eintragen. Wenn Sie mit WINS arbeiten, können Sie auch hier den
WINS - Server eintragen. Diesen Dialog können Sie nun mit OK bestätigen.
PPTP-Benutzer anlegen
Damit ist die Firewall bereit PPTP-Tunnel entgegen zu nehmen und entsprechende Regeln zu erzeugen. Im nächsten
Schritt werden PPTP-Benutzerkonten für die Einwahl per PPTP erstellt. Öffnen Sie die Benutzerverwaltung.

Klicken Sie dazu im Menü Einstellungen auf den
Menüpunkt Benutzerverwaltung.

Klicken Sie auf Hinzufügen um einen neuen Benutzer anzulegen.

Tragen Sie einen Benutzernamen und optional
eine Beschreibung ein. Achten Sie darauf, dass
der Benutzername keine Leerzeichen enthält.

Wählen sie die Registerkarte PPTP aus.

Aktivieren in der Registerkarte PPTP das Auswahlfeld Benutzer für PPTP-Verbindungen freischalten.

Weisen sie dem Benutzer eine IP-Adresse zu, oder
lassen Sie das Feld leer, damit eine IP-Adresse aus
dem Adress-Pool vergeben wird.

Vergeben Sie ein Passwort für die PPTP-Anmeldung
und klicken Sie auf OK.
Damit ist die Einrichtung des Benutzerkontos abgeschlossen.
Clarity  Perfection  Security
90
Virtual Private Networks (VPN)
Ein VPN-Objekt (PPTP) erstellen
10.3

Ziehen Sie einen neuen VPN-Rechner aus der Menüleiste auf den Konfigurationsdesktop.

Vergeben Sie in dem Dialog eine Beschreibung für das
neue Objekt.

Wählen Sie die Option PPTP aus und wählen Sie über
die Schaltfläche […] einen Benutzer aus.
IPSec-Verbindungen
Es ist auf der Firewall möglich, eine IPSec-VPN Verbindung mit dem VPN-Wizard zu erstellen (Unter dem Punkt VPN
Einstellungen > VPN-Wizard). Da dies selbsterklärend ist, wird in diesem Handbuch nur die manuelle Einrichtung
von IPSec-Verbindungen beschrieben.
10.3.1 Eine IPSec-Verbindung manuell einrichten
IPsec-Verbindungen/globale Optionen
Dialog zur Übersicht aller IPsec-Verbindungen, aufgeteilt in Site-to-Site und Client-to-Site Verbindungen, mit Informationen über die Authentifizierung und den Verbindungsstatus.
Mögliche Optionen
Aktiv
Erlaubt IPsec komplett zu aktivieren/deaktivieren
IPsec neustarten
Startet IPSec neu, was den Abbruch und Neuaufbau aller
Tunnel zur Folge hat.
Buttonleiste mit folgenden Aktionen (von links nach rechts):

Aktivieren/Deaktivieren von einzelnen Verbindungen

Neustarten von einzelnen Verbindungen (der Tunnel wird abgebaut – wenn angegeben ist, das er
von der lokalen Seite aus aufgebaut wird, wird der
Aufbau neu initiiert)

Hinzufügen, Löschen, Editieren und Exportieren der
markierten IPsec-Verbindung
Allgemein – Client-to-Site
Clarity  Perfection  Security
91
Virtual Private Networks (VPN)
Name
Beliebiger Name für die Verbindung
Interface-Einstellungen
Auswahl des/der zu nutzenden Interfaces/
Internetverbindung für den IPsec-Tunnel.
Eigenes Netzwerk
Lokales Netz, welches durch den Tunnel erreichbar ist
Client-Einstellungen
L2TP aktiviert die Nutzung von IPsec/L2TP. Hierbei wird das eigene Netz deaktiviert, da der IPsec-Tunnel nur noch
zur Übertragung der L2TP-Pakete genutzt wird und das eigentliche Tunneling von Nutzdaten auf L2TP-Ebene geschieht. Hierbei öffnet sich auch ein Bestätigungsdialog, wonach automatisch IKEv1 aktiviert, PFS deaktiviert und die
Port- und Protokollbeschränkung auf UDP/1701 umgestellt wird, um das Zusammenspiel mit Windows-Clients zu
gewährleisten.
Ohne L2TP kann noch eine virtuelle Quelladresse für den Client unter IP Adresse des Client-Rechners angegeben
werden, was bei der Benutzung des gateprotect-Clients notwendig ist.
Clarity  Perfection  Security
92
Virtual Private Networks (VPN)
Allgemein – Site-to-Site
Name, die Interface Einstellungen und Eigenes
Netzwerk entsprechen den Client-to-Site Einstellungen.
Die Ziel-Adresse der IPsec Gegenstelle, wahlweise als IP-Addresse oder FQDN.
Unter Fremdes Netzwerk geben Sie an, welches
Netzwerk auf der Gegenseite erreichbar ist.
Wenn die Option dynamische IP gewählt ist,
wird eine Verbindung von jeder Gegenstelle
akzeptiert, die sich entsprechend den späteren
Einstellungen authentifizieren kann – hierbei
wird Zieladresse ausgegraut und es ist nicht
mehr möglich die Verbindung von der lokalen
Seite aus zu initiieren.
Beim Verbindungsaufbau sind folgende Optionen möglich:

Die lokale Firewall soll die Verbindung nicht initiieren – die Gegenstelle baut den Tunnel auf.

Die Firewall soll den Tunnel bei Bedarf initiieren – hier wird eine Trap im Kernel eingerichtet, die dafür sorgt,
das der Tunnel aufgebaut wird, so bald ein Paket versandt/geroutet wird, das entsprechend den Einstellungen
bei den Netzwerken durch den Tunnel geschickt werden müsste.

Die Firewall soll den Tunnel immer initiieren, wenn er nicht gerade aufgebaut ist.
10.3.2 L2TP / XAUTH
Während eine IPsec Client-to-Site-Verbindung meist eine Clientsoftware benötigt, da die wenigsten Systeme IPsec
von Haus aus unterstützt, gewährleistet die Verfügbarkeit von L2TP die Interoperabilität diverser Systeme (wie
Windows) ohne eine solche – hier kann schlicht eine Netzwerkverbindung eingerichtet werden. Zu beachten ist
hierbei, dass ausschließlich PAP zur Authentifizierung auf PPP-Ebene genutzt werden kann, was u.U. im Client explizit aktiviert werden muss, weil es prinzipiell als unsicher gilt, da das Passwort unverschlüsselt übertragen wird. Da
die PPP-Verbindungsaushandlung aber erst nach dem Aufbau des IPsec-Tunnels stattfindet, der sämtlichen PPPTraffic schützt, stellt dieses in der Kombination mit IPsec keinen Sicherheitsverlust dar.
Clarity  Perfection  Security
93
Virtual Private Networks (VPN)
Globale L2TP-Einstellungen
IP-Adressbereich
IP-Adresspool in Form einer IP-Range, aus denen
Clients eine Adresse zugewiesen bekommen (muss
angebenen werden, um L2TP nutzen zu können)
Lokale Server-IP
Adresse, die die Firewall als PPP-Adresse zur Kommunikation mit den Clients nutzt (muss angebenen werden, um L2TP nutzen zu können)
Optionale DNS-Server-Adresse, die dem Client beim
Verbindungsaufbau übermittelt wird
Optionale WINS-Server-Adresse, die dem Client beim
Verbindungsaufbau übermittelt wird
Authentifizierung – PSK
Unter dem Button Identifier können benutzerdefinierte
Identifier angegeben werden, die dann anstatt der IPAdressen genutzt werden.
Hier haben Sie die Möglichkeit XAUTH zu aktivieren
(nur mit IKEv1):
Bei XAUTH kann die Firewall wahlweise die Serveroder Clientrolle einnehmen. In dem Fall, das er die
Serverseite darstellt, müssen hier keine weiteren Einstellungen vorgenommen werden, weiteres geschieht
in der Benutzerverwaltung (siehe Kapitel 5.3 – Benutzer).
Als Client müssen der Benutzername und das Passwort
angegeben werden, mit denen sich die Firewall gegenüber der Gegenstelle authentifiziert.
Clarity  Perfection  Security
94
Virtual Private Networks (VPN)
10.3.2.1
Regeln
Die Firewall-Regeln, die bestimmten welche Dienste durch einen Tunnel zugänglich sind, werden üblicherweise
durch die VPN-Objekte (VPN-Gruppen für Site-to-Site-Verbindungen, VPN-Rechner für Client-to-Site-Verbindungen
dargestellt). Eine Ausnahme hierzu bilden L2TP- und XAUTH-Tunnel. Für diese wurden die VPN-Benutzer/VPNBenutzergruppen geschaffen.
Anhand der zusätzlichen Benutzerdaten (Benutzername/Passwort von XAUTH bzw. des PAP-Logins bei L2TP) findet
eine Validierung der Daten gegen die Benutzerauthentifizierung statt. Wenn diese erfolgreich ist, werden dem Benutzer die Regeln zugewiesen, über die das entsprechende VPN-Benutzer-Objekte auf dem Konfigurationsdesktop
verfügt.
Hierbei ist es unerheblich über welchen Tunnel der Benutzer sich angemeldet hat – ein Login ist über jeden konfigurierten Tunnel möglich, bei dem der entsprechende Authentifizierungsmechanismus aktiviert ist. Einschränkungen,
welche Benutzer welche Tunnel nutzen dürfen, lassen sich durch die vorhergehende ISAKMP-Authentifizierung erreichen.
Authentifizierung – Zertifikate
Es ist notwendig das eigene Zertifikat anzugeben,
mit dem sich die Firewall gegenüber ihrer Gegenstelle authentifiziert – für dieses muss ein privater Key
verfügbar sein.
Für die Gegenstelle kann wahlweise eine Certificate
Authority oder ein fremdes Zertifikat angegeben
werden:
Wenn die Certificate Authority gewählt wird, muss
das Zertifikat der CA vorhanden sein und ausgewählt werden – hier wird beim Tunnelaufbau dann
jedes Zertifikat akzeptiert, das (unmittelbar) durch
die angegebene CA signiert wurde. Auf diese Weise
ist es nicht nötig für jeden entfernten Host, zu dem
ein Tunnel verfügbar sein soll, ein Zertifikat zu importieren, sofern eine vertrauenswürdige CA verfügbar ist, die die Zertifikate der Hosts signiert hat.
Ein Zertifikat kann direkt als fremdes Zertifikat angeben werden. Die Gegenstelle muss für dieses beim Verbindungsaufbau den privaten Key haben, damit der Tunnel zustande kommt.
Es gibt die Möglichkeit, die Identifier festzulegen.
Hierbei gibt es folgende Optionen:

Der Distinguished Name der Zertifikate kann genutzt werden, was für Verbindungen zwischen gateprotect
Firewalls der Version 8.5 zu empfehlen ist.

Der erste Subject Alternate Name kann genutzt werden – dieses Verhalten ist bei Firewalls bis einschließlich
der 8.1 üblich gewesen und muss beim Tunnelaufbau zu diesen so konfiguriert sein.

Benutzerdefinierte Identifier sind möglich. Während hier zu beachten ist, das die hier angegebenen, zu benutzenden Daten durch den Distinguished Name oder einen Subject Alternate Name der Zertifikate gedeckt sein
muss, damit ein Tunnelaufbau möglich ist, kann es aus verschiedenen Gründen sinnvoll sein ihn per Hand anzugeben. Neben der Möglichkeit hier Werte einzutragen, die Fremdprodukte als Gegenstelle erwarten, lassen
sich hier Wildcards benutzen – so es beispielsweise möglich eine CA-Authentifizierung zu wählen, aber die
Gegenstelle durch einen benutzerdefinierten Identifier auf alle Mitglieder einer OU (Organisation Unit) zu beschränken.
Clarity  Perfection  Security
95
Virtual Private Networks (VPN)
Verschlüsselung
Es besteht die Wahl zwischen IKEv1 (Internet
Key Exchange) und dessen Nachfolger IKEv2.
IKEv2 ist beim Tunnelaufbau und Rekeying
schneller, während IKEv1 aus Kompatibilitätsgründen erhalten bleibt und XAUTH nur damit
möglich ist.
Es können Verschlüssungs- und Authentifizierungsalgorithmen und DH-Gruppen für den IKE
ausgewählt werden.
Es kann die Gültigkeitsdauer der ISAKMP-SA
angegeben werden. (Dies beeinflusst den Zeitpunkt der Neuaushandlung nur mittelbar – der
konkrete Zeitpunkt hierfür wird zufällig bestimmt, um zu vermeiden das sämtliche Tunnel
gleichzeitig neu aufgebaut werden und so eine
große Systemlast entsteht)
Wenn IKEv2 gewählt wurde, kann Mobile IKE aktiviert werden, welches es erlaubt das eine Seite ihre IP-Adresse
wechselt, ohne das der Tunnel abbricht.
Es können Verschlüssungs- und Authentifizierungsalgorithmen für den Quick Mode (zur Aushandlung der IPsec-SA)
ausgewählt werden.
Es kann die Gültigkeitsdauer der IPsec-SA angegeben werden. (Der konkrete Zeitpunkt der Neuaushandlung wird
wie bei der ISAKMP-SA zufällig bestimmt).
Wenn IKEv1 gewählt wurde, kann PFS (Perfect Forward Secrecy) aktiviert oder deaktiviert werden. Während es wegen des Sicherheitsgewinns zu empfehlen ist, muss es für Gegenstellen die es nicht unterstützen (wie Windows XP)
deaktiviert werden. Bei IKEv2 wird PFS immer genutzt.
Wenn PFS aktiv ist, kann eine unter PFS Group eine Diffie-Helman-Gruppe für die PFS angegeben werden.
Folgende Verschlüssungs-/Authentifizierungsalgorithmen/DH-Groups werden unterstützt:
Verschlüsselungsalgorithmen
Authentifizierungsalgorithmen
DH-Gruppen
AES 128
SHA 1
DH Gruppe 1 (modp 768)
AES 196
SHA 256
DH Gruppe 2 (modp 1024)
AES 256
SHA 368
DH Gruppe 5 (modp 1536)
3DES
SHA 512
DH Gruppe 14 (modp 2048)
Blowfish 128
MD5
DH Gruppe 15 (modp 3072)
Blowfish 192
DH Gruppe 16 (modp 4096)
Blowfish 256
DH Gruppe 17 (modp 6144)
DH Gruppe 18 (modp 8192)
Erweiterte Einstellungen
Clarity  Perfection  Security
96
Virtual Private Networks (VPN)
Hier können Port und Protokoll für die Traffic
Selectors eingeschränkt werden. Dies hat den
Effekt, das nur noch entsprechende Pakete durch
den Tunnel gesandt werden. Dies ist vorallem für
L2TP nötig, wo eine Beschränkung auf L2TPPakete (UDP, Port 1701) vorgenommen wird.
Hier können die vorgegebenen Protokolle ausgewählt werden oder die von IANA vergebene
Nummer angegeben werden.
Zuletzt kann die Datenkomprimierung durch IPComp aktiviert werden.
10.4
VPN over SSL
Es ist auf der Firewall möglich, eine VPN-SSL Verbindung mit dem VPN-Wizard zu erstellen (Unter dem Punkt VPN
Einstellungen > VPN-Wizard). Da dies selbsterklärend ist, wird in diesem Handbuch nur die manuelle Einrichtung
von VPN-SSL Verbindungen beschrieben.
VPN-SSL bietet die Möglichkeit neben Client-to-Site auch Site-to-Site und SSL-Bridges zu erstellen. Diese Verbindung
ist immer zertifikatsbasiert und setzt eine funktionstüchtige Zertifikatsverwaltung voraus.
Unter der Registerkarte Einstellungen können allgemeine Einstellungen für Client-to-Server Verbindungen, Serverto-Server Verbindungen mit Routing und Server-to-Server Verbindungen mit Bridging vorgenommen werden.
Der Verschlüsselungs-Algorithmus kann hier wie bei IPSec ausgewählt werden, Protokoll und Port, auf denen die
Firewall auf eingehende Verbindungen lauscht, können ebenfalls gewählt werden.
Clarity  Perfection  Security
97
Virtual Private Networks (VPN)
BEACHTEN SIE, DASS BEI MEHREREN INTERNETLEITUNGEN IM LOADBALANCING NUR DAS TCP-PROTOKOLL ZUVERLÄSSIG FUNKTIONIERT.
Ähnlich wie bei IPSec wird auch bei VPN-SSL während der bestehenden Verbindung der Sitzungsschlüssel erneuert,
um die Sicherheit zu erhöhen. Diese Intervalle sind für jede der drei VPN-SSL Arten unabhängig zu konfigurieren.
(Erneute Verhandlung des Schlüssels)
Unter Routing können für die ersten beiden Verbindungstypen Routen angegeben werden, die der Client bzw. die
andere Firewall, welche die Verbindung aufbaut, einrichten sollen. Diese Routen gelten dann für alle Verbindungen.
(Es können aber auch Routen in den einzelnen Verbindungen eingetragen werden.)
Mit Timeout kann festgelegt werden, nach welcher Zeit ein Tunnel bei Inaktivität beendet werden soll, 0 bedeutet
gar nicht.
DNS- und WINS-Server, die Clients bei aufgebautem Tunnel verwenden sollen, können hier auch eingetragen werden.
Der Log Level bestimmt, wie ausführlich die Meldungen im Bericht werden.
Es ist außerdem möglich ein Hostzertifikat der Firewall für die VPN-SSL Verbindungen zu wählen. Anders als bei IPSec ist dies aber nicht für die einzelnen Verbindungen, sondern nur für den kompletten Dienst wählbar.
Bei der Einrichtung einer Verbindung für den gateprotect VPN-Client wählt man unter den VPN-SSL Eigenschaften
in der Registerkarte Allgemein den Button „Hinzufügen“ und wählt dann als Verbindungstyp gateprotect VPN Client
aus.
Der Name der Verbindung kann frei vergeben werden, als Zertifikat muss man ein zuvor erstelltes Zertifikat für den
Client auswählen. Ist noch kein Zertifikat erstellt, so kann man dafür auch den Button Zertifikatsmanager benutzen.
Unter Zusätzliche Server Netzwerke kann man Netzwerke an der Firewall angeben, zu denen der Client für diese
Verbindung (zusätzlich zu den allgemein festgelegten Routen) Routen erstellen soll. Die IP-Adresse des Clients kann,
muss aber nicht, fest vorgegeben werden.
Die Option Standardgateway setzen bestimmt, ob der VPN-Client den Tunnel als Standardroute verwenden soll. Ist
diese Option nicht gewählt, müssen konkrete Routen an den Client übermittelt werden.
Wenn als Verbindungstyp Server To Server ausgewählt wird, so kann man analog zu Client to Server Zusätzliche eigene Netzwerke angeben, die wie die Zusätzliche Server Netzwerke zuvor behandelt werden, d.h. dass die andere
Firewall, welche die Verbindung aufbaut, Routen in diese Netze erstellt.
Unter Fremden Netzwerke wird angegeben, welche Netzwerke auf der gegenüberliegenden Firewall verfügbar sind.
Clarity  Perfection  Security
98
Virtual Private Networks (VPN)
Soll die Verbindung von dieser Seite aufgebaut werden, so muss unter Fremder VPN-Server ein DNS-Namen bzw.
die IP-Adresse der gegenüberliegenden Firewall, sowie der Server Port angegeben werden. Verbindungsversuche für
legt fest werden, ab welcher Zeit erfolglose Verbindungsversuche nicht weiter wiederholt werden, 0 bedeutet hier,
dass die Verbindungsversuche für immer fortgesetzt werden.
Wählt man als Verbindungstyp Bridging aus, so hat man die Möglichkeit, die zu erstellende Verbindung einer bestehenden Bridge bzw. einer neu erstellten Bridge zuzuordnen.
10.5
VPN over SSL ohne Standardgateway
In einer VPN over SSL Verbindung besteht die Möglichkeit einen Client dazu zu zwingen, den VPN-Tunnel als Standardgateway zu benutzen. Diese Option stellt einen Sicherheitsgewinn dar und sollte in den meisten Fällen genutzt
werden, da eventuell auf dem Client installierte Schadsoftware so keine Daten mehr aus dem Firmennetzwerk über
die zusätzlich vorhandene (normale) Internet-Verbindung versenden kann.
Sollte es z.B. für einen Supportmitarbeiter gewünscht sein, die Standardgateway-Option nicht zu nutzen, dann sind
folgende Schritte notwendig.

Im gateprotect Administrationsclient ist unter VPN-Einstellungen > VPN-SSL das Auswahlfeld Standardgateway
bei der entsprechenden Verbindung zu deaktivieren.

Wenn sich nun der gateprotect VPN-Client zur Firewall verbindet, werden keine zusätzlichen Routen mehr geschrieben, dies heißt auch, dass dem Client-Computer der Weg in das Firmennetz nicht bekannt ist. Daher
müssen Sie sicherstellen, dass Sie unter Zusätzliche Server Netzwerke oder in den allgemeinen VPN-SSL Routingeinstellungen Routen hinterlegt haben.
Clarity  Perfection  Security
99
Virtual Private Networks (VPN)
10.6
Der gateprotect VPN-Client
Der gateprotect VPN-Client bietet eine einfache und sichere Methode zur Erstellung von VPN-Tunneln per VPN over SSL oder IPSec.
Wenn Sie auf dem gateprotect Firewallserver mit dem VPN-Clientto-Server-Wizard eine VPN over SSL- oder IPSec-Verbindung erstellt
haben, sollten Sie im weiteren Verlauf ein VPN-Konfigurationsdatei
auf einem Wechseldatenträger gespeichert haben.
Ist der gateprotect VPN-Client installiert, reicht ein Doppelklick auf
die zuvor abgespeicherte Konfigurationsdatei, um die VPN Verbindung auf dem Client einzurichten. Dabei wird das Passwort abgefragt und anschließend der VPN-Tunnel aufgebaut. Beim Entfernen
des Wechselmediums wird die Verbindung automatisch getrennt.
10.6.1 Automatisches Einrichten einer VPN-Verbindung aus einer Konfigurationsdatei
Die einfachste Methode zum Erstellen einer VPN-Verbindung ist das Einrichten über eine Konfigurationsdatei. Beim
Einrichten einer VPN-Verbindung auf dem Firewallserver mit dem VPN-Wizard haben Sie eine passwortgeschützte
Konfigurationsdatei erstellt.
Schritt 1
Übertragen Sie die Konfigurationsdatei per Email oder auf einem Wechseldatenträger an den Client.
Schritt 2
Öffnen Sie (oder der Besitzer des Rechners) diese Datei per Doppelklick.
Dadurch startet der mit diesem Dateityp verknüpfte VPN-Client.
Schritt 3
Geben Sie (oder der Besitzer des Rechners) das Passwort für die Konfigurationsdatei ein.
Schritt 4
Die VPN-Verbindung wird etabliert und die Einrichtung ist damit abgeschlossen.
Optional ist es möglich, im gateprotect VPN Client eine VPN-Konfigurationsdatei über den Button Import zu importieren.
10.6.2 Einrichten oder Bearbeiten einer VPN-Verbindung
Um eine VPN Verbindung mit dem gateprotect VPN-Client zu erstellen, benötigen Sie das Client-Zertifikat und den
Public-Key der Server Certificate Authority (Root-CA). Diese beiden Dateien können Sie in der Zertifikatsverwaltung
der gateprotect Firewall erstellen und anschließend exportieren. Bitte exportieren Sie das Clientzertifikat im Format
PKCS#12.

Um eine neue VPN Verbidung zu erstellen, klicken Sie im Hauptfenster des gateprotect VPN-Clients auf New
und wählen Sie zwischen SSL connection oder IPSec connection.

Um eine bestehende VPN Verbidung zubearbeiten, klicken Sie neben dem Verbindungsnamen der jeweiligen
Verbindung auf Edit, nachdem Sie das zu dieser Verbindung gehörende Passwort eingegeben haben, öffnet
sich der Einstellungsdialog der Verbindung.
BEACHTEN SIE, DASS ALLE ÄNDERUNGEN DER VERBINDUNG DIREKT IN DER VERBINDUNGSDATEI (.GPCS) GESPEICHERT WERDEN.
Clarity  Perfection  Security
100
Virtual Private Networks (VPN)
10.6.2.1
10.6.2.2
101
Einstellungen einer VPN-SSL Verbindung

File ist die gpcs-Datei (gateprotect Connection Set ings)
in welcher die Verbindungseinstellungen gespeichert
werden

Im Feld IP address ist der Hostname oder die IP-Adresse
des VPN-Servers anzugeben

Port und Protocol und Encryption algorithm müssen mit
den Einstellungen des VPN-SSL Servers übereinstimmen

Fügen Sie die zuvor vom VPN-Server exportierten Zertifikate zu der Verbindung hinzu

Optional können Sie die Verbindungsdatei mit einem
Passwort versehen oder das bestehende Passwort der
Datei ändern. Wenn Sie eine neue Verbindung erstellen,
lassen Sie das Feld Old password hierfür frei.

File ist die gpcs-Datei in welcher die Verbindungseinstellungen
gespeichert werden

Unter Remote gateway ist der Hostname oder die IP-Adresse
des IPSec-Servers anzugeben

Remote network und Local IP müssen mit den Routingeinstellungen im VPN-Server übereinstimmen

Die Einstellungen für IKE (Internet Key Exchange) und IPSec
müssen ebenfalls mit den Einstellungen des VPN-Servers übereinstimmen
Einstellungen einer IPSec Verbindung
Karteireiter Common
Karteireiter Identication
 Sie können einen Preshared Key (PSK) zur Absicherung der
Verbindung nutzen, wir empfehlen jedoch aufgrund einiger
einschränkungen und besserer Authentifizierungsmethoden,
Zertifikate zu verwenden.
 Unter Certificates fügen Sie die zuvor vom VPN-Server exportierten Zertifikate zu der Verbindung hinzu
 Manche Gegenstellen benötigen (meist in Verbindung mit
PSK-Authentifizierung) die Angabe eines Local identifier
Karteireiter Password

Optional können Sie die Verbindungsdatei mit einem Passwort versehen oder das bestehende Passwort der
Datei ändern.

Wenn Sie eine neue Verbindung erstellen, lassen Sie das Feld Old password hierfür frei.
Clarity  Perfection  Security
Hochverfügbarkeit
1 1 H O C HV E R F Ü G B AR KE IT
11.1
Funktionsweise
Hochverfügbarkeit (High Availability bzw. HA) wird eingerichtet um sicherzustellen, dass bei einem Ausfall der Firewall-Hardware die von der Firewall erbrachten Services innerhalb kürzester Zeit und ohne manuelles Eingreifen wieder zur Verfügung stehen.
Die Technik besteht darin, dass eine primäre und eine sekundäre Firewall eine Gemeinschaft bzw. einen Cluster bilden und sich in diesem Cluster gegenseitig überwachen, sowie ihre Konfiguration und Zustände synchronisieren.
Sollte die primäre Firewall ausfallen, übernimmt die sekundäre Firewall ihre Aufgaben (solche Übernahme bezeichnet man als Failover). Wiederum, sollte die sekundäre Firewall ausfallen, so wird im Bericht der primären Firewall
darüber eine Meldung ausgegeben.
Sollte die primäre Firewall ausfallen, so wird die sekundäre zur neuen primären Firewall. Die neue primäre Firewall
übernimmt von der ausgefallenen primären Firewall nahezu ihre ganze Konfiguration, einschließlich ihrer MAC- und
IP-Adressen.
Die ausgefallene Firewall kann nach der Reparatur wieder in den Cluster eingebunden werden. Dabei sorgen spezielle Mechanismen dafür, dass die in den Cluster eingebundene Firewall sekundäre Rolle, sowie MAC- und IPAdressen der sekundären Firewall übernimmt. Es wird gewährleistet, dass es im Cluster zu jedem Zeitpunkt eine
einzige primäre Firewall vorhanden ist und dass es zu keinem MAC- bzw. IP-Adressen-Konflikt kommen kann.
Die Überwachung und Synchronisation im Cluster verursacht ein relativ hohes Datenvolumen. Deswegen wird es
empfohlen für diese Aufgaben dedizierte Netzwerkinterfaces bzw. physikalische Links der Firewalls zu nehmen. Da
die Daten zur Überwachung und Synchronisation unverschlüsselt übertragen werden, ist es sinnvoll, dedizierte
Netzwerkinterfaces der beiden Firewalls direkt (d.h. über ein Crossover Kabel) zu verbinden.
Würde die Überwachung und Synchronisation über einen einzigen dedizierten Link stattfinden, und dieser aus irgendeinem Grund plötzlich ausfallen, so würden die beiden Firewalls einander nicht mehr überwachen können und
daraufhin irrtümlicherweise schließen, dass jeweils die andere Firewall ausgefallen sei. Diese Situation, in welcher
der Cluster zwei primäre Firewalls zählt, muss vermieden werden. Es wird dazu empfohlen für die Überwachung
und Synchronisation mehr als einen dedizierten Link zu reservieren.
11.2
Ausfallzeiten durch den Failover
Ausfallzeiten Ihrer Datenverbindungen sind vom Typ der Internet-Verbindung abhängig, sowie davon, ob Sie Ihre
Datenverbindungen über einen Proxy laufen lassen.
In der aktuellen Version gelten folgende Angaben:

Datenverbindungen über eine Router-Verbindung: Sollten sie nicht über einen Proxy, sondern direkt verlaufen,
so werden sie für maximal 4 Sekunden unterbrochen. Indirekte (d.h. über einen Proxy aufgebaute) Datenverbindungen gehen, im Gegenteil, komplett verloren, können aber nach maximal 4 Sekunden neu aufgebaut
werden.

Datenverbindungen über eine DSL- oder ISDN-Verbindung: Sie gehen verloren, können aber nach maximal 10
Sekunden neu aufgebaut werden.
Clarity  Perfection  Security
102
Hochverfügbarkeit
11.3
Konfiguration
Allgemeines

Zum Einrichten der Hochverfügbarkeit benötigen Sie zwei identische gateprotect Firewalls (unterschiedliche IPAdressen).Insbesondere muss die Anzahl der Netzwerkkarten gleich sein.

Beide Firewalls benötigen die gleiche Lizenzierung.
11.3.1 IP-Adressen von Netzwerkkarten
Wie schon erwähnt, sollten Sie für jede Firewall mindestens zwei (und maximal vier) dedizierte Netzwerkkarten speziell zur Überwachung und Synchronisation einplanen. Sie erhalten die beiden Firewalls mit identisch prekonfigurierten Netzwerkkarten. Als Erstes konfigurieren Sie bitte die Netzwerkkarten folgendermaßen um:

IP-Adressen auf der primären und sekundären Firewall müssen unterschiedlich sein. Die primäre Firewall muss
die erste verfügbare IP-Adresse des verwendeten Netzes nutzen (z.B. 192.168.1.1/255.255.255.0) und die sekundäre Firewall muss die zweite verfügbare IP-Adresse des verwendeten Netzes nutzen. (z.B.
192.168.1.2/255.255.255.0)

P-Adressen von dedizierten Netzwerkkarten müssen im gleichen IP-Subnetz sein.

IP-Adresse der Netzwerkkarte, mit der die primäre Firewall mit dem inneren Netzwerk verbunden ist, muss
identisch sein mit der an allen Hosts eingetragenen Gateway-Adresse.
11.3.2 Verbinden der Firewalls über dedizierte Links
Netzwerkkarten für denselben dedizierten Link müssen identische Namen haben. Wenn Sie z.B. die Netzwerkkarten
eth3 und eth4 auf der primären Firewall nutzen möchten, müssen Sie sie mit den selben Netzwerkkarten der sekundären Firewall verbinden. Es empfiehlt sich, für die dedizierten Links Crossover Kabel zu nutzen.
11.3.3 Aktivieren der Hochverfügbarkeit
Verbinden Sie sich mit der primären Firewall über den Admin-Client. Öffnen Sie im Menü Einstellungen den Dialog
Hochverfügbarkeit. Dort aktivieren Sie das Auswahlfeld Aktiv und wählen Sie die primäre Rolle für diese Firewall.
Wählen Sie Netzwerke, über welche die Überwachung bzw. Synchronisation stattfinden soll. Optional können Sie
angeben, ob Statistik-Daten zwischen der primären und sekundären Firewall synchronisiert werden sollen. Bestätigen Sie nun Ihre Einstellungen mit OK. Verbinden Sie sich mit der sekundären Firewall und konfigurieren Sie im
Hauptmenu Einstellungen den Dialog Hochverfügbarkeit ähnlicher Weise. Ca. 60 Sekunden nachdem beide Firewalls konfiguriert sind, ist Hochverfügbarkeit im operationsfähigen Zustand.
HINWEIS
IST DER OPERATIONSFÄHIGE ZUSTAND HERGESTELLT, WIRD EINE ENTSPRECHENDE MELDUNG IM BERICHT AUSGEGEBEN. IM OPERATIONSFÄHIGEN ZUSTAND WIRD ES EMPFOHLEN
BACKUP VON DER PRIMÄREN FIREWALL ZU ERSTELLEN. FALLS EINE DER FIREWALLS AUSFÄLLT, BENÖTIGEN SIE DAS BACKUP, UM DIE AUSGEFALLENE FIREWALL WIEDER IN BETRIEB ZU
NEHMEN. ES IST ZU BEACHTEN, DASS EINE FIREWALL, SOLANGE SIE DIE SEKUNDÄRE ROLLE SPIELT, ÜBER DIE FIREWALL-CLIENT SOFTWARE NICHT KONFIGURIERBAR BLEIBT.
Clarity  Perfection  Security
103
Hochverfügbarkeit
Folgende Abbildungen zeigen eine Konfiguration als Beispiel und das Dialogfenster.
Clarity  Perfection  Security
104
Hochverfügbarkeit
11.4
Einstellungen der Hochverfügbarkeit verändern
Im operationsfähigen Zustand können Änderungen der Einstellungen vorgenommen werden. Dazu verbinden Sie
sich mit der primären Firewall über den Admin-Client. Öffnen Sie im Hauptmenu Einstellungen den Dialog Hochverfügbarkeit. Dort können Sie andere dedizierte Interfaces zum Synchronisieren auswählen oder angeben, ob Statistik
synchronisiert werden soll. Bestätigen Sie Ihre Eingaben mit OK.
HINWEIS
VERÄNDERUNG DER EINSTELLUNGEN BEWIRKT, DASS HOCHVERFÜGBARKEIT AUF BEIDEN FIREWALLS NEU GESTARTET WIRD.
11.5
Hochverfügbarkeit deaktivieren
Für den Fall, dass der operationsfähige Zustand schon hergestellt ist, verbinden Sie sich mit der primären Firewall
über den Admin-Client. Öffnen Sie im Hauptmenu Einstellungen den Dialog Hochverfügbarkeit. Dort deaktivieren
Sie das Auswahlfeld Aktiv. Auf der sekundären Firewall wird Hochverfügbarkeit dann automatisch deaktiviert. Falls
der operationsfähige Zustand noch nicht hergestellt ist, müssen Sie sich einzeln mit jeder Firewall über den AdminClient verbinden und Hochverfügbarkeit deaktivieren.
11.6
Rollenwechsel
Die Übernahme von Aufgaben der primären Firewall durch die sekundäre wird als Rollenwechsel bezeichnet. Der
Rollenwechsel erfolgt automatisch nach dem Ausfall der primären Firewall. Es wird auch ermöglicht den Rollenwechsel im normalen Betrieb durchzuführen. Dazu verbinden Sie sich mit der primären Firewall über den Administrationsclient. Öffnen Sie im Hauptmenü Einstellungen den Dialog Hochverfügbarkeit. Dort betätigen Sie den Button
Rollenwechsel.
ACHTUNG:
BEI VERWENDUNG ZWEIER UND MEHRERER HA-LINKS IST DER ERSTE HA-LINK FÜR DIE DATENSYNCHRONISIERUNG ZUSTÄNDIG. BEI EINEM ROLLENWECHSEL (MANUELL ODER AUTOMATISCH) MUSS DIESER LINK AKTIV SEIN, DA NUR DANN DIE KONFIGURATION AUF DER SECONDARY AUF DEM AKTUELLEN STAND IST.
BITTE ÜBERPRÜFEN SIE IN IHREM BERICHT DES ADMINISTRATIONS-CLIENT, DASS DER LINK IN EINEM ZEITRAUM VON 5 MIN. VOR EINEM ROLLENWECHSEL NICHT GETRENNT WAR.
HINWEIS
DER ROLLENWECHSEL KANN IM NORMALEN BETRIEB NICHT ERFOLGEN, BEVOR HOCHVERFÜGBARKEIT IM OPERATIONSFÄHIGEN ZUSTAND IST. DER ROLLENWECHSEL HAT EINE SERVICE-UNTERBRECHUNG ZUR FOLGE, WIE BEIM FAILOVER.
11.7
Inbetriebnahme einer Firewall nach dem Ausfall
Falls eine der beiden Firewalls so ausfällt, dass nach der Reparatur die Firewall-Software nicht neu installiert werden
muss, erfordert sie nach dem Booten keine besonderen Maßnahmen: ihre Rolle in Hochverfügbarkeit, sowie MACund IP-Adressen bezieht sie automatisch. Soll der Ausfall einer Firewall und ihre Reparatur mit erneuter Installation
der Firewall-Software verbunden sein, müssen Sie Hochverfügbarkeit auf dieser Firewall in folgender Weise einrichten: Stellen Sie diese Firewall in einem separaten Netzwerk auf und installieren Sie die Firewall-Software mit dem
Backup der primären Firewall neu. Als Letztes stellen Sie diese Firewall im Cluster wieder auf und rebooten Sie sie.
Ihre Rolle in Hochverfügbarkeit und MAC-, IP-Adressen bezieht diese Firewall dann automatisch.
HINWEIS
BEVOR SIE DIE REPARIERTE FIREWALL IM CLUSTER BOOTEN, STELLEN SIE SICHER, DASS SIE ÜBER DIESELBEN DEDIZIERTEN INTERFACES MIT DER PRIMÄREN FIREWALL VERBUNDEN IST,
WIE VOR DEM AUSFALL.
11.8
Backup einspielen oder Software Update durchführen
Verbinden Sie sich mit der primären Firewall über den Admin-Client. Öffnen Sie im Menü Einstellungen den Dialog
Hochverfügbarkeit. Dort deaktivieren Sie Hochverfügbarkeit über das Auswahlfeld Aktiv. (Folglich wird die sekundäre Firewall über den Admin-Client ansprechbar.)
Spielen Sie das Backup oder das Software Update auf beiden Firewalls ein und verneinen Sie die Fragen nach dem
Reboot. Danach aktivieren Sie Hochverfügbarkeit auf beiden Firewalls. Nachdem Hochverfügbarkeit operationsfähig
ist, führen Sie den zweifachen Rollenwechsel durch: Lösen Sie einen Rollenwechsel von der primären Firewall aus.
Dem Rollenwechsel zufolge wird die sekundäre Firewall zur neuen primären Firewall. Nachdem Hochverfügbarkeit
wieder operationsfähig ist, lösen Sie einen zweiten Rollenwechsel von der neuen primären Firewall aus.
Clarity  Perfection  Security
105
Hochverfügbarkeit
HINWEIS
DER ZWEIFACHE ROLLENWECHSEL STELLT SICHER, DASS DAS BACKUP BZW. SOFTWARE UPDATE AUF BEIDEN FIREWALLS WIRKSAM WIRD.
11.9
Meldungen im Bericht
Abläufe in Hochverfügbarkeit werden im Bericht dokumentiert. Folgende Meldungen erscheinen im Bericht nach
dem Aktivieren der Hochverfügbarkeit im normalen Fall:

High availability started, this firewall is primary

High availability started, this firewall is secondary

High availability entered discovery state

High availability entered handshake state

High availability entered heartbeat state

High availability is operational
Folgende Meldungen können im Bericht nach dem Aktivieren der Hochverfügbarkeit in einem Fehlerfall auftreten:

High availability started, this firewall is primary

High availability started, this firewall is secondary

High availability entered discovery state

High availability terminates, because roles primary/secondary set incorrectly

High availability terminates, because dedicated links configured incorrectly

High availability terminates, because not all heartbeat connections could be established
Folgende Meldungen können im operationsfähigen Zustand erscheinen:

High availability detected dedicated link eth3 has failed

High availability detected dedicated link eth3 is operational again

High availability detected all dedicated links have failed

High availability detected primary firewall failed, making failover

High availability detected secondary firewall failed, restarting with old settings

High availability detected harddisk failure on peer firewall
Folgende Meldungen erscheinen, wenn der Administrator über das Dialogfenster Änderungen an Hochverfügbarkeit
vornimmt:

High availability is not ready to change settings, try again later

High availability restarts with new settings

High availability temporarily unable to change roles, try again later

High availability reboots this firewall to change roles, as ordered by admin

High availability terminates, as ordered by admin
Clarity  Perfection  Security
106
INTRUSION DETECTION UND PREVENTION SYSTEM
1 2 INTRUSIO N DETECT ION UND PREVENT ION SYSTEM
Das Intrusion Detection System (IDS) und das Intrusion Prevention System (IPS) sind Systeme zur Erkennung und
Verhinderung von Angriffen und basiert auf dem Open Source Intrusion Detection System SNORT. Es analysiert und
überwacht die Datenkommunikation mit dem Internet in beide Richtungen anhand vorgegebener Regelgruppen,
die jeweils einen typischen Angriff erkennen können.
In jeder dieser Regelgruppen sind mehrere Einzelregeln (Signaturen) zusammengefasst, die jeweils einem typischen
Angriffsmuster, z.B. einem Trojaner, Wurm oder sonstigem Angriff entsprechen. Diese Signaturen werden ständig
aktualisiert und sollten individuell oder automatisch über das Internet aktualisiert werden.
Um die Analyse auf Angriffsmuster in kürzester Zeit und ohne Verzögerungen durchführen zu können, benötigt das
System sehr viel Performance und beansprucht die Systemressourcen sehr stark. Über die Anzahl der Regeln und
über die Zahl der zu überwachenden Rechnersysteme können Sie Systemressourcen einsparen und die Menge der
IDS- und IPS-Berichte und Meldungen gegebenenfalls reduzieren.
12.1
Konfigurieren von IDS/IPS Profilen
Den Dialog zur IDS/IPS-Konfiguration erreichen Sie, indem Sie über das Hauptmenü Sicherheit den Menüpunkt
IDS/IPS wählen.
Zur Konfiguration des IDS/IPS setzt die gateprotect Firewall Profile ein. Jedes Profil ist individuell konfigurierbar und
kann einem Netzwerkinterface zugeordnet werden. Für jede Regel kann ein Status gesetzt werden. Der Status bestimmt, wie mit den, auf die Regel oder Regelgruppen zutreffenden Paketen verfahren wird. Bei IDS-Regeln lassen
sich LOG und DISABLED einstellen und bei IPS-Regeln können Pakete zusätzlich verworfen, geloggt und verworfen
oder zurückgewiesen werden.
Die IDS Konfiguration bietet
darüber hinaus die Möglichkeit die Anzahl der Regeln
über einen Schieberegler
einzustellen.
Portscan Überwachung
Jedes Rechnersystem mit
direktem Anschluß an das
Internet wird ständig von
Würmern, Analyseprogrammen und menschlichen Angreifern durch Portscans
analysiert. Da diese Portscans
die Performance der Firewallservers stark vermindern,
kann die Überwachung auf
Portscans deaktiviert werden.
Clarity  Perfection  Security
107
INTRUSION DETECTION UND PREVENTION SYSTEM
12.2
IDS/IPS-Konfiguration – Internes/Externes Netz
Das Intrusion Detection und Prevention System erzeugt nur dann Alarmmeldungen, wenn Angriffe auf IP-Adressen
einer definierten Rechnergruppe durchgeführt werden. Eine Rechnergruppe kann jeweils aus einzelnen Rechnern
oder ganzen Netzen bestehen, die sich im zu schützenden Bereich des Netzwerks befinden.
In diesem Dialog können Sie einzelne
Rechner oder lokale Netze zu einer Rechnergruppe hinzufügen, löschen oder die
Rechnergruppen bearbeiten.
Über die Schaltfläche Hinzufügen wird
ein Eingabedialog geöffnet, in dem Sie
eine IP-Adresse eines Subnetzes mit
dazugehöriger Subnetzmaske zur Liste
hinzufügen können.
12.3
Konfiguration der IDS/IPS-Einschränkungen
Das Intrusion Detection und Prevention System sollte spezielle Rechnersysteme oder Netze, z.B. einen Webserver,
einen Mailserver oder eine DMZ insbesondere überwachen. Im Konfigurationsfenster Einschränkungen können Sie
Dienste und IP-Adressen für diese Art von Rechnersystemen oder Netzen eintragen.
Ausgewählte Adressen
Über die Schaltflächen Hinzufügen, Löschen und Bearbeiten verwalten Sie die
Dienste, die nur für bestimmte Rechner
überwacht werden sollen.
Nach Betätigung der Schaltfläche Hinzufügen wird der Dialog Adresse geöffnet, in
dem Sie den Dienst, die Adresse und die
Subnetzmaske eines neuen Eintrages eingeben können.
ACHTUNG!
STELLEN WEITERE RECHNER IM NETZWERK DIESE DIENSTE ZUR VERFÜGUNG, MÜSSEN SIE DIESE AUCH ENTSPRECHEND IN DIESE LISTE MIT EINTRAGEN.
Clarity  Perfection  Security
108
INTRUSION DETECTION UND PREVENTION SYSTEM
12.4
Aktivieren des Intrusion Detection und Prevention Systems
Sie können den IDS/IPS-Konfigurationsdialog über den Menüpunkt Sicherheit im Hauptmenü erreichen. Um ein Profil zu aktivieren muss dieses einem Interface zugewiesen werden.
12.5
Die IDS- und IPS-Regeln können durch individuelle Regeln erweitert werden
Diese Funktion sollte nur von Systemadministratoren, die Erfahrung mit der Erstellung von auf SNORT basierenden
IDS-Regeln haben, verwendet werden. Selbst erstellte Regeln können den gesamten Netzwerkverkehr blockieren
und einen Zusammenbruch des Netzwerks verursachen.
Clarity  Perfection  Security
109
INTRUSION DETECTION UND PREVENTION SYSTEM
12.6
IDS/IPS - Updates
Da sich die Angriffsmethoden ständig ändern, z.B. durch Exploits neuer Sicherheitslücken, müssen auch die Signaturen des Intrusion Detection und Prevention Systems regelmäßig aktualisiert werden, um solche Angriffe zu erkennen
und zu verhindern. Die Einstellungen für diese Updates finden Sie in den IDS/IPS-Einstellungen unter dem Menüpunkt Updates.
HINWEIS
ES WIRD EMPFOHLEN DAS INTRUSION DETECTION SYSTEM REGELMÄßIG, MÖGLICHST JEDEN TAG ZU AKTUALISIEREN, DA NUR AKTUELLE SIGNATUREN DAS ERKENNEN AKTUELLER ANGRIFFE GEWÄHRLEISTEN KÖNNEN.
In diesem Dialog können Sie, indem Sie den Pfad des Update Servers auf http://ipsupdate.gateprotect.com/full ändern, von dem Basispaket auf das komplette Regelpaket wechseln.
NUR FÜR ERFAHRENE BENUTZER EMPFOHLEN !
Manuelle Updates
Klicken Sie auf die Schaltfläche Updates
starten, um die Signaturen des Intrusion Detection und Prevention Systems
sofort zu aktualisieren. Der Firewallserver baut sofort eine Verbindung zu
einem Signatur-Server auf und lädt von
dort die aktuellen Signaturen.
Automatische Updates
Im Bereich Update-Einstellungen können Sie eine Liste mit regelmäßigen
Updates festlegen. Über die Schaltfläche Hinzufügen öffnen Sie den Dialog,
in dem Sie Datum, Uhrzeit und Intervall
des automatischen Updates einstellen
können.
12.7
Ergebnisse
Die Ergebnisse, Details und Alarmmeldungen des Intrusion Detection und Prevention Systems finden Sie im Bereich
Berichte des Administratorenclients oder im Statistik-Client. Über die Benachrichtigungseinstellungen des Firewallservers können Sie sich gezielt über einzelne Ergebnisse informieren lassen.
Weitere Informationen zu diesem Thema finden Sie unter Kap. 19 Statistiken.
Clarity  Perfection  Security
110
Reporting
1 3 REPORT ING
13.1
Allgemein
Sie können sich unter Einstellungen > Reporting Mails mit Log-Datei-Auszügen schicken lassen.
Hierzu geben sie zunächst ein gültiges eMail-Konto
auf einem SMTP Server an, über welches die Reporting-Mails versandt werden können.
Mit dem Brief-Button kann eine Testmail verschickt
werden. So kann getestet werden, ob die Einstellungen korrekt sind. Hierfür muss jedoch zunächst
mind. ein Benachrichtigungs-Auftrag erstellt werden.
Mit dem Button Hinzufügen erstellen Sie so viele
Benachrichtigungsaufträge wie Sie benötigen.
Benachrichtigungseigenschaften
Neben den allgemeinen Einstellungen zu Empfänger
und Betreff ist es hier möglich, verschiedene Intervalle und Benachrichtigungsstufen zu wählen.
Sie haben zu allen Bereichen des Firewall-Servers die
Möglichkeit, die Benachrichtigungsstufe zu wählen.
Fehler & Warnungen & Informationen ist die umfangreichste Benachrichtigungsstufe.
HINWEIS
MIT DIESER EINSTELLUNG KÖNNEN MAILS SCHNELL BEACHTLICHE GRÖßEN ANNEHMEN.
13.2
Partitionen
Hier sind alle Partitionen der Firewall aufgelistet. Die Firewall überwacht selbstständig den Füllstand der einzelnen
Partitionen. Sollte eine Partition einen kritischen Level überschreiten, können Sie sich per E-Mail benachrichtigen lassen. Sollte ein weiterer Grenzwert überschritten werden, kann die Firewall Plattenplatz freigeben, in dem sie beispielsweise alte Log-Einträge komprimiert oder löscht.
Clarity  Perfection  Security
111
Reporting
Sie haben die Möglichkeit diese Einstellungen zu verändern.
Benachrichtigen
Hier können Sie den Füllstand in Prozent eingeben,
bei dem Sie benachrichtigt werden wollen. Die
Reporting Mails werden an jeden Empfänger der
Hardware Informationen geschickt. Richten Sie die
Reporting Mails wie in Kapitel 13.1 beschrieben ein.
Speicher freigeben
Stellen Sie den Prozentsatz ein, bei dem Plattenplatz freigegeben werden soll. Es werden in diesem
Fall alte Daten gelöscht.
Sie erhalten eine Mail mit Informationen über die
Partitionsbereinigung mit den Reporting Mails der
Kategorie Hardware.
Bei Partitionen mit Programmdaten kann kein Speicher freigegeben werden. Diese Partitionen können aber auch
nicht vollgeschrieben werden.
13.3
Syslog-Export
Syslog ist ein auf TCP/IP basiertes Protokoll zur Übertragung von Logmeldungen. Das Logging der Firewall kann an
einen oder mehrere Syslog-Server ausgedehnt werden. Tragen Sie hierzu die Syslog-Server in den Syslog-Dialog unter Reporting ein. Die Firewall-Berichte werden dann zusätzlich an die eingetragenen Server exportiert.
Clarity  Perfection  Security
112
Reporting
13.4
SNMP
SNMP (Simple Network Management Protocol) ist ein Netzwerkverwaltungsprotokoll. Mit diesem Protokoll ist es
möglich die Firewall von einem zentralen Rechner aus zu überwachen (read). Das konfigurieren über SNMP (write)
ist nicht möglich. Der SNMP Dienst wurde in der 8.0 etwas erweitert. Neu sind eigene MIBs für gateprotect und das
Senden von SNMP-Traps.
Um die neuen MIBs zu nutzen, sollten diese zuerst in der jeweiligen Software installiert werden.
Die neuen MIBs finden sie unter: http://www.gateprotect.de/snmp/
Die SNMP-Einstellungen befinden sich in Einstellungen > Reporting > SNMP hier wird der Community-String eingetragen, dieser gilt auch für die
Traps. Darunter findet sich eine Liste, in der die
Empfänger von SNMP-Traps eingetragen werden
können.
Auf einem eigenen Reiter für SNMP-Traps können sie wählen, was für Traps geschickt werden sollen.
HINWEIS
ZWISCHEN DEM EINTRETEN EINER AKTION UND DEM VERSENDEN EINES TRAPS, KÖNNEN BIS ZU 60 SEKUNDEN VERGEHEN.
Clarity  Perfection  Security
113
Monitoring
1 4 M O N IT O R IN G
14.1
Einleitung
Das Monitoring liefert Ihnen aktuelle Hardware- und Systeminformationen.
Über die linke Auswahlleiste können Sie auswählen, welche Systemgruppen bzw. Systeminformationen jeweils im
rechten Fenster angezeigt werden sollen.
Im Kopf der Seite können Sie die angezeigten Daten einer Seite aktualisieren und gegebenenfalls zusätzliche Optionen für die Auswertung auswählen:

Den Zeitraum oder das Intervall für zeitliche Statistiken festlegen,

Falls verfügbar zusätzliche Komponenten auswählen,

Bereiche der grafischen Auswertung ein- oder ausblenden, usw.
Clarity  Perfection  Security
114
Monitoring
14.2
Im Monitoring angezeigte Komponenten
Monitoring
Beschreibung
Hardwareinformationen
Liefert Systeminformationen über den Firewall-Server, über die Festplatten, das RAIDSystem (falls vorhanden) und das Netzwerk, bzw. die Netzwerkkarten.
Systemressourcen
Liefert Informationen über die zeitliche Auslastung der verwendeten und freien Systemressourcen.
Festplatten
Liefert zeitliche Informationen über Festplattenbelegung und Festplattenauslastung.
Netzwerk
Liefert Informationen über die Netzauslastung, die erreichte Traffic-Auslastung und
eventuell aufgetretene Fehlerraten.
Prozesse
Zeigt die prozentuale und zeitliche Anwendung der in der Firewall konfigurierten
Dienste.
Aktive Verbindungen
Zeigt eine Liste der aktiven VPN-Verbindungen und aktiven Benutzer.
Clarity  Perfection  Security
115
Anti-Spam / Mailfilter
1 5 ANT I-S PAM / M AILF ILTE R
15.1
Mailfilter
Der Mailfilter funktioniert nur im Zusammenhang mit dem SMTP-Proxy. Durch ihn ist es möglich, Mails anhand ihrer
Zieladresse herauszufiltern, so dass die Mail den eigentlichen Mailserver gar nicht mehr erreicht. Der Mailfilter wird
in folgendem Fenster unter dem Menüpunkt Sicherheit AntiSpam / Mailfilter konfiguriert:
Es können folgende Einstellungen vorgenommen werden:

Aktiv
Aktiviert den Mailfilter

Whitelist Modus
Alle Adressen, die durch die Liste beschrieben werden, werden weitergeleitet.

Blacklist Modus
Alle Adressen, die durch die Liste beschrieben werden, werden abgelehnt.

Emails ablehnen
Abgelehnte Emails werden mit einer RFC-Konformen Antwort abgelehnt.Der Absender wird darüber informiert, dass diese Mailadresse nicht bekannt ist.

Emails löschen
Abgelehnte Mails werden durch die Firewall angenommen, aber nicht an den Mailserver weitergeleitet. Für
den Absender sieht es aus, als wäre die Mail angekommen.
ACHTUNG !
DIE EINSTELLUNG „EMAILS LÖSCHEN“ IST NICHT RFC KONFORM. WICHTIGE EMAILS KÖNNTEN BEI FEHLKONFIGURATIONEN VERLOREN GEHEN.
Desweitere können in der Mailfilterliste E-Mail-Adressen oder Muster von E-Mail-Adressen angegeben werden.
‚*‘ steht dabei für beliebig viele Zeichen
‚?‘ für genau ein Zeichen
Im Feld neben der E-Mail-Liste werden alle bekannten E-Mail-Adressen angezeigt. Diese wird aber nur gefüllt, wenn
die Daten für Active Directory Anbindung vollständig angegeben wurden.
15.2
Anti-Spam
In der gateprotect Firewall ist ein kommerzieller Spamfilter integriert. Dieser kann optional mittels einer eigenen Lizenz aktiviert werden.
Jeder Firewall steht generell ein 45-Tage Testzeitraum zur Verfügung, um die Effektivität des Filters zu testen.
Der Spamfilter wurde von der Firma Commtouch entwickelt und hat eine völlig andere Funktionsweise als beispielsweise der Spamassassin.
Kommt eine Mail an der Firewall an, wird ein Hash-Wert über diese Mail generiert. Dieser Hash-Wert wird an einen
zentralen Commtouch-Server geschickt. Dieser Server ermittelt die Wahrscheinlichkeit, dass es sich bei dieser Mail
um Spam handelt anhand einer umfangreichen Datenbank und aufwendiger Algorithmen. Anders als in herkömmlichen Spamfiltern wird hier nicht der Inhalt analysiert, sondern die Häufigkeit des Auftauchens dieser Mail im Internet. Zu diesem Zweck hat Commtouch weltweit bei vielen Mail-Providern Analyseprogramme im Einsatz.
Diese Wahrscheinlichkeit wird dann an die Firewall zurückgeschickt und markiert dann gegebenenfalls die Mail als
Spam.
Clarity  Perfection  Security
116
Anti-Spam / Mailfilter
Es wird in folgende drei Kategorien unterschieden:
Verdächtig
Diese Mail tauchte bereits häufiger im Netz auf, aber
noch nicht so häufig, um sie eindeutig als Spam zu klassifizieren (z.B. am Anfang einer Spamaktion).
Bekannt
Diese Mail ist bereits so häufig im Netz gesehn worden,
das man sie als Spam bezeichnen kann. Allerdings ist der
Absender keine bekannte Spamadresse.
Bestätigt
Diese Mail kommt von eine Adresse, die als Spammailer
bekannt ist. Durch den Schieberegeler werden alle Mails
mit der Kategorie des Reglers und der rechts davon
liegenden Kategorien als Spam markiert.
15.3
Spam-Kennzeichnung
Im Menü der Spam-Einstellungen findet sich auf dem dritten Reiter die Möglichkeit die Kennzeichnung der als Spam
erkannten Mails anzupassen.
Attachment
Dieser Punkt hängt eine gefundene Spammail als Attachment an eine Ersatzmail, die im Subject den unten
stehenden Formatierungstext hat und es wird zusätzlich
ein X-Header geschrieben.
Subject
Dieser Punkt ersetzt das Subjekt der Spammail durch
den unten eingetragenen Subject-Text. Zusätzlich wird
wieder ein X-Header geschrieben.
Header
Dieser Punkt ändert die Spammail nur in einem normalerweise nicht sichtbaren X-Header. In unverdächtigen
Mails wird kein X-Header angehängt.
 X-Pimp-Spam-Class: Dieser X-Header kann auf
„Commtouch“ (durch Commtouch gefundener
Spam) oder „Spam“ (durch Black-List gefundener
Spam) stehen.
 X-Pimp-Spam-Class-Num:
Dieser X-Header beschreibt die Sicherheit, mit der
es sich bei der Mail um Spam handelt.
Die Werte des Headers können „NONE, UNKNOWN, SUSPECT, BULK, CONFIRMED, BLACKLISTED“ (von kein Spam
bis 100% Spam) sein, je nach Einstufung der Spammail.
Clarity  Perfection  Security
117
Virenschutz
1 6 V IRE NS C HUTZ
16.1
Einleitung
Der gateprotect Firewallserver schützt Ihr internes Netz vor Computerviren durch den integrierten Virenscanner der
Firma Kaspersky. Als einer der bekanntesten Anbieter von Virenschutz-Lösungen bietet Kaspersky mit regelmäßigen
Updates der Viren-Pattern und aktualisierten Virenschutz-Engines den bestmöglichen Schutz vor gefährlichen Computerviren.
16.2
Lizenzierung
Der Anti-Virus-Scanner der gateprotect Firewall ist kein Bestandteil der gateprotect Firewall-Lizenz. Eine gültige Lizenz für den Virenscanner muss gesondert erworben werden. Unser Vertrieb hilft Ihnen diesbezüglich gerne weiter.
Wenn Sie über eine gültige Lizenznummer für den Kaspersky Virenscanner verfügen, müssen Sie diese im Administrationsclient der gateprotect Firewall lizenzieren.
ACHTUNG !
AB DER INSTALLATION DES FIREWALL-SERVERS, LÄUFT IHR VIRENSCANNER 45 TAGE ALS TESTVERSION. NACH ABLAUF DIESER ZEIT BLEIBT DER VIRENSCANNER ZWAR WEITERHIN
AKTIV, ES WERDEN JEDOCH KEINE UPDATES UND AKTUALISIERUNGEN MEHR DURCHGEFÜHRT. WEITERE INFORMATIONEN ZUR LIZENSIERUNG FINDEN SIE IM KAPITEL 2.5 LIZENZIERUNG.
16.3
Einstellungen
16.3.1 Antivirus-Einstellungen: Allgemein
1.
Dieser Dialog liefert Ihnen im Bereich Scanner
eine Übersicht der Internet-Protokolle, die
durch den Virenscanner überwacht werden.
2.
Im Bereich Produktinformationen finden Sie
sowohl Informationen über die Gültigkeitsdauer
der Anti-Viren-Lizenz als auch das Datum des
letzten Updates. Hier kann auch ein manuelles
Update durchgeführt werden.
Clarity  Perfection  Security
118
Virenschutz
16.3.2 Scanner
In den Dialogen HTTP Scanner, FTP Scanner, POP3 Scanner und SMTP Scanner können Sie Antivirus-Einstellungen
für die jeweiligen Protokolle vornehmen. Durch Aktivieren oder Deaktivieren der Auswahlfelder können Sie die entsprechenden Optionen ein- oder ausschalten.
Option
Bedeutung
Archiv-Dateien scannen
Archivdateien (z.B. zip, tar, arc, rar) werden vom Scanner „geöffnet“ und die einzelnen Bestandteile auf Viren überprüft.
Gepackte Dateien scannen
Gepackte Dateien werden entpackt und die einzelnen Bestandteile auf Viren gescannt.
Selbstentpackende Dateien scannen
Selbstentpackende Dateien werden entpackt und die einzelnen Bestandteile auf
Viren gescannt.
Mailbasis scannen
E-Mail-Datenbanken werden zerlegt und die einzelnen Bestandteile auf Viren gescannt.
Textmails scannen
Einfache Texte in E-Mails werden auf Viren überprüft.
Dateien mit Viren blockieren
Dateien mit eindeutig identifizierten Viren werden blockiert.
Verdächtige Dateien blockieren
Dateien, die der Virenscanner nicht zuordnen, entpacken, oder analysieren kann,
werden blockiert.
Scan Heuristic aktivieren
Binärdaten werden auf Code untersucht, der ähnliche Eigenschaften aufweist wie
ein Virus oder anderen Schaden anrichten könnte. Über dieseMethode können Unterarten von Viren erkannt werden, für die unter Umständen noch keine eigene
Signatur vorliegt
Erweiterte Einstellungen
In den erweiterten Einstellungen des FTP- und HTTP-Scanners legen Sie die maximale Größe von Dateien fest, die direkt im Hauptspeicher gescannt werden oder
die aufgrund ihrer Größe vom Scanprozess ausgeschlossen werden.
Maximale Scangröße
(bei POP3- & SMTP)
Mit der Einstellung „Maximale Scangröße“ kann der Administrator festlegen bis zu
welcher Größe der einzelnen Mime-Objekte im Mail-Anhang nach Viren gesucht
wird. Dies ist sowohl für SMTP als auch für POP3 möglich.
16.3.3 Vertrauensliste
Im Dialog Vertrauensliste können Sie vertrauenswürdige Hosts oder Server in eine Liste eintragen. Per HTTP oder FTP
übertragene Daten von diesen Hosts werden nicht auf Viren gescannt.
1. Um einen Host zur Vertrauensliste hinzuzufügen, klicken sie auf die Schaltfläche Hinzufügen.
Der Eingabedialog Vertrauenswürdiger Host wird geöffnet.
2. Geben sie die vollständige Adresse des Hosts in das Eingabefeld ein und klicken Sie auf OK.
Clarity  Perfection  Security
119
Virenschutz
16.3.4 Updates
Im Dialog Updates können Sie automatische Updates konfigurieren. Um Einstellungen für automatische Updates
vorzunehmen, klicken Sie im Bereich Automatisches Update auf die Schaltfläche Hinzufügen. Der Dialog UpdateEinstellungen wird geöffnet.
Geben Sie Datum, Uhrzeit des ersten Updates und die Intervallzeit, nach dem das Update erneut durchgeführt werden soll in die entsprechenden Felder ein und klicken Sie auf die Schaltfläche OK.
Clarity  Perfection  Security
120
Updates
1 7 UPDATES
17.1
Einleitung
Das gateprotect Update-System ermöglicht Ihnen Ihre Firewall stets auf dem neusten Stand zu halten. Hotfixes,
Security Updates und neue Funktionen können schnell und unkompliziert auf den Firewall Server installiert werden.
Weiterhin ist das Update-System mit verschiedenen Funktionen zur Benachrichtigung des Systemadministrators ausgestattet, falls neue Updates vorhanden sind. Ein Verlauf der eingespielten Updates wird ebenfalls angezeigt.
Damit keine unerlaubten oder böswilligen Updates auf der Firewall installiert werden können, werden alle Updates
von gateprotect digital signiert. Nur Updates mit gültiger Signatur werden angezeigt und eingespielt. Alle anderen
werden vom System entfernt.
Die Updates können vom Update-Server automatisch oder manuell herunter geladen werden. Das Update-System
unterstützt mehrere Update-Server. Diese werden der Reihe nach kontaktiert. Falls der erste nicht erreicht werden
kann, wird die Firewall versuchen, eine Verbindung zum nächsten aufzubauen. Für den Fall, dass die Firewall keinen
Zugriff auf das Internet hat, ist es auch möglich Updates von einem lokalen Speichermedium zu installieren.
Sie erreichen den Dialog mit den Einstellungen des Update-Systems im Administrationsclient unter dem Menüpunkt
Einstellungen > Updates.
Der erste Reiter in diesem Fenster enthält eine Liste der bekannten Updates, ein Textfeld mit Informationen über die
einzelnen Updates, Buttons zum herunterladen und einspielen von Updates, sowie einen Statusbereich.
Auf dem zweiten Reiter kann das automatische Herunterladen der Updates eingestellt werden, die Liste der UpdateServer bearbeitet werden, sowie der Update-Verlauf angesehen werden.
Clarity  Perfection  Security
121
Updates
17.2
Updates
Alle verfügbaren Updates werden im Updates-Dialog in tabellarischer Form angezeigt. Die Liste zeigt den Namen,
den Typ, das Erscheinungsdatum und den Status des Updates an. Es werden sowohl neue als auch bereits installierte Updates angezeigt. Diese Unterscheiden sich durch den Status. Installierte Updates können außerdem nicht ein
zweites Mal eingespielt werden.
Das Update-System unterscheidet zwischen vier verschiedenen Update-Typen:
Typ
Erläuterung
Security-Hotfix
Enthält Korrekturen, die die Sicherheit der Firewall betreffen
Empfohlener Hotfix
Enthält Korrekturen, Performance- und Stabilitätsoptimierungen
Hotfix
Enthält außer Korrekturen für die Firewall-Module auch eventuell neue Funktionen
Upgrade
Enthält ein Update auf die nächste Firewall-Version
Clarity  Perfection  Security
122
Updates
Rechts neben der Updates-Liste befindet sich ein Textfeld mit erweiterten Informationen über die einzelnen Updates. Um diese Informationen anzuzeigen, müssen Sie zuerst ein Update aus der Liste selektieren.
Dieses Feld zeigt in der Regel folgende Informationen:
Information
Erläuterung
ID
Eine eindeutige Identifikationsnummer
Name
Kurzbeschreibung des Updates
Beschreibung
Enthält eine detaillierte Beschreibung des Updates
Weiterhin werden hier ggf. Abhängigkeiten zu anderen Updates angezeigt.
17.3
Updates automatisch herunterladen
Die Firewall kann automatisch nach neuen Updates suchen Um diese Funktion zu aktivieren, öffnen Sie den Dialog
Updates, gehen Sie zum Reiter Einstellungen und aktivieren Sie die Option Automatisch nach neuen Updates suchen. In der Auswahlbox Intervall können Sie festlegen wie häufig nach Updates gesucht werden soll. Die Suche
kann stündlich, täglich oder wöchentlich erfolgen. Im Feld Anfangszeit tragen Sie das Datum und Uhrzeit der ersten
Suche. Alle nachfolgenden Aktualisierungen der Updates finden zu der angegebenen Uhrzeit statt.
Wenn die Option Neue Updates automatisch installieren aktiviert ist, werden neue Updates automatisch auf dem
Firewall-Server eingespielt. Diese Funktion ist jedoch auf Security- und empfohlene Hotfixes beschränkt.
17.4
Updates manuell herunterladen
Um manuell nach neuen Updates zu suchen, öffnen Sie den Dialog Updates und gehen Sie zum Reiter Updates. Klicken Sie auf den Button Nach Updates suchen. Dieser Prozess kann einige Zeit in Anspruch nehmen. Während der
Aktualisierung können sie im Status-Bereich den Status der Suche beobachten. Nachdem die Suche beendet ist,
wird die Updates-Liste aktualisiert.
17.5
Updates installieren
Um verfügbare Updates zu installieren, öffnen Sie den Dialog Updates und gehen Sie zum Reiter Updates. Wählen
Sie die Updates, die Sie installieren wollen, aus. Dazu markieren Sie die jeweiligen Check-Boxen und drücken Sie
Selektierte Updates installieren.
17.6
Updates vom lokalen Speichermedium installieren
Um ein Update vom lokalen Speichermedium zu installieren, öffnen Sie den Dialog Updates und gehen Sie zum Reiter Updates. Klicken Sie auf den Button Update hochladen. Es öffnet sich ein Datei-Dialog. Wählen Sie die UpdateDatei, die Sie einspielen wollen und klicken Sie auf OK. Die Datei wird zur Firewall übertragen. Der Server überprüft
die Signatur der Datei und spielt das Update anschließend an. Dieser Prozess kann einige Zeit in Anspruch nehmen.
Sie können im Status-Bereich den Status der Installation beobachten.
Clarity  Perfection  Security
123
Updates
17.7
Firewall-Anfragen
Das Update-System erlaubt es der Firewall bei bestimmten Updates Informationen anzuzeigen oder Anfragen an
den Benutzer zu stellen. Die Anfragen können in der Form einer Ja-/Nein- Frage sein, oder eines Feldes zum Eingeben von Text. Sobald die Firewall eine Information für den Anwender hat, wird diese sofort in einem MessageDialog angezeigt.
Bei Anfragen teilt der Client dem Anwender im Status-Bereich zuerst mit, dass eine Anfrage bereit steht. Um diese
zu beantworten, klicken Sie zuerst den Button „Anfrage beantworten“. Der Client zeigt dann ein Dialog mit der
entsprechenden Anfrage, die beantwortet werden muss. Solange diese nicht beantwortet ist, bleibt die Firewall in
Wartestellung und installiert keine weiteren Updates.
Clarity  Perfection  Security
124
Fallbeispiele
1 8 F ALLBEISPIELE
18.1
Einleitung
Dieses Kapitel behandelt mehrere in der Praxis übliche Problemstellungen als Fallbeispiele. Für die behandelten Fallbeispiele wird der Einfachheit halber jedes Mal folgende Konfiguration als Ausgangspunkt verwendet und je nach
Beispiel ergänzt. Alle verwendeten Daten sind fiktiv und nur als Beispiel gedacht.
Gegeben ist ein kleines Unternehmen mit drei Abteilungen:

Marketing

Vertrieb

Technik
Jede Abteilung hat Ihr eigenes Netzwerk und ist dadurch von den anderen physikalisch getrennt (Netztrennung).
Außerdem verfügt das Unternehmen noch über einen internen Mailserver, der die Mails von externen Mailservern
abholt und den Mitarbeitern intern zur Verfügung stellt.
Über einen Fileserver, der im gleichen Netz wie der Mailserver steht, bietet das Unternehmen einen zentralen Ort
zum Speichern von firmeninternen Daten im Netzwerk an.
Als Internetanbindung dient eine zeitlich unbegrenzte DSL-Einwahlverbindung.
Dabei sind folgende Regeln mit dem Client konfiguriert worden:
Marketing
Das Marketing Netzwerk (192.168.0.0/24) darf mit den Diensten HTTP (Internetseiten), FTP (Dateidownload), HBCI
(Homebanking), SMTP (E-Mail versenden) und POP3 (E-Mail empfangen) immer auf das Internet zugreifen (keine
zeitliche Beschränkung, kein Webblocking).
Vertrieb
Das Vertriebs Netzwerk (192.168.1.0/24) darf mit den Diensten HTTP (Internetseiten) und FTP (Dateidownload) auf
das Internet zugreifen. Allerdings nur an Wochentagen zwischen 8:00h – 20:00h. Der Zugriff über HTTP ins Internet
ist weiterhin mit dem
„Webblocking“ und der Wortliste „Sex“ beschränkt.
Technik
Das Netzwerk der Technik (192.168.2.0/24) darf mit den Diensten HTTP (Internetseiten), FTP (Dateidownload), POP3
(E-Mail
empfangen), SMTP (E-Mail senden), SSH (verschlüsselter Fernzugriff), PPTP (verschlüsselter Fernzugriff) und PING
(Netzwerktest) auf das Internet zugreifen (keine zeitliche Beschränkung, kein Webblocking).
Allgemein
Jedes interne Netzwerk darf auf den internen Mailserver (über POP3 und SMTP) und auf den internen Fileserver
(über NetBIOS, KERBEROS, LDAP und MySQL) zugreifen. Der interne Fileserver hat die IP-Adresse 192.168.0.100
und der interne Mailserver hat die IP-Adresse 192.168.4.6.
Clarity  Perfection  Security
125
Fallbeispiele
18.2
Einrichtung des Internetzugangs mit fester IP-Adresse
18.2.1 Einrichtung einer Standleitung mit festen IP-Adressen über einen Router.
Schritt 1
Sie haben von Ihrem Provider folgende Daten bekommen:
216.239.37.96/29 oder 216.239.37.96 / 255.255.255.248
Dieses Netz gliedert sich in folgende Bereiche
Netzwerkadresse:
216.239.37.96
Router des Providers (Gateway):
216.239.37.97
Eigene Verwendung:
216.239.37.98 – 216.239.37.102 (fünf Adressen)
Broadcast-Adresse:
216.239.37.103
Dies ist ein typischer 29-Bit IP-Adressbereich, so wie er meist von deutschen Providern zur Verfügung gestellt wird.
Sie haben acht IP-Adressen, von denen Sie fünf für Adressierungen verwenden können.
Von den acht Adressen werden zwei für die Netzlogik verwendet (Netzwerkadresse und Broadcast-Adresse) und
eine IPAdresse wird dem Router des Providers fest zugeordnet, meist die erste nach der Netzwerkadresse.
Schritt 2
Um eine Internetverbindung über den Router herstellen zu können, muss die Firewall eine der nutzbaren
sen bekommen und die vom Provider zugewiesene Subnetzmaske.
Adres-
Als erstes wird im Menü Einstellungen > Firewall > Netzwerkkarten einer Netzwerkkarte (in unserem Beispiel eth0)
die IP-Adresse 216.239.37.98 mit der Subnetzmaske 255.255.255.248 zugewiesen.
Clarity  Perfection  Security
126
Fallbeispiele
Schritt 3
Im nächsten Schritt wird mit dem Internet-Verbindungsassistenten über den Menüpunkt Einstellungen und dann
Internet mit der Schaltfläche Hinzufügen eine Router-Verbindung eingerichtet.
Schritt 4
Als Router Adresse geben Sie die IP-Adresse des Provider-Routers ein (in unserem Beispiel 216.239.37.97).
HINWEIS
SOLLTE DIE INTERNETVERBINDUNG NICHT AUF ANHIEB FUNKTIONIEREN, DANN STARTEN SIE BITTE DEN ROUTER NEU. WIE SIE AUCH DIE ANDEREN VIER IP-ADRESSEN ÜBER DIE FIREWALL NUTZBAR MACHEN, LESEN SIE BITTE IM TEILKAPITEL 18.3.3 DMZ NACHQUELL-IP NACH.
18.2.2 Einrichtung einer DSL-Verbindung mit fester IP-Adresse
Eine DSL-Verbindung mit fester IP-Adresse (meist als SDSL, xDSL oder DSL-Business bezeichnet) richten Sie wie eine
normale DSL-Verbindung ein.
HINWEIS
BITTE RICHTEN SIE DIE FESTE IP-ADRESSE NICHT AN EINER DER NETZWERKKARTEN DER FIREWALL EIN. DA SIE ALLE VERBINDUNGSDATEN (AUCH DIE IP-ADRESSE) VON IHREM PROVIDER ZUGEWIESEN BEKOMMEN, IST EINE ÄNDERUNG AN DER FIREWALL NICHT NOTWENDIG UND KANN ZU PROBLEMEN MIT EINIGEN DIENSTEN FÜHREN.
18.3
Demilitarisierte Zone (DMZ)
18.3.1 Einfaches Portforwarding
In den allermeisten Fällen ist eine Weiterleitung eines einzelnen oder einiger weniger Ports gewünscht, um z.B. einen Webserver aus dem Internet erreichbar zu machen.
Schritt 1
Dazu wird ein Server von der Werkzeugleiste auf den Konfigurationsdesktop gezogen, in dem sich anschließend
öffnenden Dialog die IP-Adresse des Servers eingetragen (in diesem Fall 192.168.4.5), sowie die Netzwerkkarte, an
die der Server angeschlossen ist (hier eth4).
Zur besseren Übersicht auf dem Konfigurationsdesktop wird dem Symbol
noch ein eindeutiger Name zugewiesen (z.B. Webserver).
Schritt 2
Nun erstellen Sie mit dem Verbindungswerkzeug eine Verbindung vom
Server zur Internetwolke.
In dem sich öffnenden Regeleditor wählen Sie über den Button Hinzufügen den Dienst, der an den Server weitergeleitet werden soll (in diesem
Fall HTTP).
Schritt 3
In der zweiten Spalte Aktion wird der Pfeil auf Stateful Inspection, vom Internet in Richtung Rechner und wieder
zurück zum Internet, eingestellt. Mit dieser Einstellung kann
aus dem Internet auf den internen Server zugegriffen werden, aber der Server kann nicht auf das Internet zugreifen.
Soll der Webserver auf das Internet zugreifen können, stellen Sie hier bitte einen Doppelpfeil ein.
Clarity  Perfection  Security
127
Fallbeispiele
Schritt 4
Klicken Sie auf die letzte Spalte Zusätzliche Optionen
und aktivieren Sie den Haken DMZ / Portforwarding
für diesen Dienst aktivieren.
Schritt 5
Die Eingabefelder in diesem Bereich lassen sie bitte
frei, die Funktion der Eingabefelder wird in den nächsten beiden Teilkapiteln erläutert.
Schritt 6
Nachdem der Regeleditor über OK bestätigt und die Konfiguration über F9 aktiviert wurde, werden alle Daten, die
zu Ihrer externen IP-Adresse und auf den Port 80 gehen, an den internen Web-Server weitergeleitet.
HINWEIS
DAS PORTFORWARDING KANN NUR VON EINEM EXTERNEN ZUGANG GETESTET WERDEN, SIE KÖNNEN IHRE EXTERNE IP-ADRESSE NICHT AUS DEM LOKALEN NETZ ANSPRECHEN.
18.3.2 Portforwarding mit Portumleitung
Eine Portumleitung kann dann sinnvoll sein, wenn Sie den gleichen Dienst (z.B. http) über eine einzige IP-Adresse
erreichbar
machen möchten. Weiterhin kann es Sicherheitsvorteile bringen, wenn für bestimmte Dienste keine Standard-Ports
benutzt werden (z.B. Telnet, SSH). Um dies zu realisieren, kann man einen Port umleiten. Dieses Beispiel bezieht sich
auf die im vorherigen Teilkapitel gemachten Einstellungen und Regeln.
Schritt 1
In diesem Beispiel möchten wir den SSH Dienst (zur Fernwartung über eine Textkonsole) unseres Webservers (in diesem Fall 192.168.4.5) über einen anderen als den Standard SSH Port (22/tcp) aus dem Internet erreichbar machen.
Wir entscheiden uns für den extern erreichbaren Port 10022, dieser soll an den Webserver auf Port 22 weitergeleitet
werden.
Schritt 2
Zu diesem Zweck klicken Sie bitte doppelt auf den Verbindungsknoten zwischen der Internetwolke und dem Symbol
Webserver. In dem sich öffnenden Regeleditor wählen Sie über den Button Hinzufügen den Dienst Frei definiert.
Schritt 3
n dem nun erscheinenden Dialog vergeben wir einen Namen für unseren Dienst, wir wählen SSH 10022. Unter Port
tragen Sie in das erste Feld den gewünschten Port ein 10022. Das zweite Feld bei Port benötigen Sie nur, wenn Sie
mehrere Ports in Folge für diesen Dienst vergeben möchten (Portrange).
Bei Transportprotokoll wählen Sie TCP (Transmission Control Protocol)
Clarity  Perfection  Security
128
Fallbeispiele
Schritt 4
In der zweiten Spalte Aktion wird der Pfeil auf
Stateful Inspection, vom Internet in Richtung
Rechner und wieder zurück zum Internet, eingestellt. Mit dieser Einstellung kann aus dem Internet
auf den internen Server zugegriffen werden, aber
der Server kann nicht selbstständig auf das Internet zugreifen.
Schritt 5
In der letzten Spalte Zusätzliche Optionen aktivieren Sie den Haken DMZ / Portforwarding für diesen Dienst aktivieren. Da wir den Ausgangsport
(10022) auf dem Webserver auf den Port 22 umleiten möchten, geben Sie bitte in dem Feld ZielPort als Port 22 an. NAT wird für diesen frei definierten Dienst nicht benötigt.
Nun bekommt der Webserver die externe Anfrage auf 10022 auf seinem Port 22 (der für SSH reserviert ist).
18.3.3 DMZ nach Quell-IP
Wenn es eine Internetverbindung mit mehreren festen IP-Adressen gibt, werden vielleicht mehrere Mailserver oder
mehrere Webserver von den unterschiedlichen externen IP-Adressen hinter der Firewall betrieben.

Der Webserver mit der internen IP-Adresse 192.168.4.5 soll auf der externen IP-Adresse 216.239.37.99 erreichbar sein.

Der Mailserver mit der internen IP-Adresse 192.168.4.6 soll auf der externen IP-Adresse 216.239.37.100 erreichbar gemacht werden.
Schritt 1
Als erstes müssen wir der externen Netzwerkkarte der Firewall (die mit dem Provider-Router verbunden ist) die von
uns zu benutzenden IP-Adressen zuweisen.
Schritt 2
Unter Einstellungen >
Interfaces wird die entsprechende mit dem
Router verbundene
Netzwerkkarte ausgewählt und unter Virtuelle IP-Adressen die virtuellen IP-Adressen hinzugefügt.
Damit ist die gateprotect Firewall für diese zusätzlichen IP-Adressen konfiguriert.
Clarity  Perfection  Security
129
Fallbeispiele
130
Schritt 3
Als nächstes wird ein Server von der Werkzeugleiste auf den Konfigurationsdesktop gezogen und in dem sich anschließend
öffnenden Dialog die Netzwerkkarte ausgewählt und die interne IP-Adresse des Servers eingetragen (in diesem Fall
192.168.4.5). Das Gleiche wird für den Mailserver mit der internen IP-Adresse 192.168.4.6 durchgeführt.
Zur besseren Übersicht auf dem Konfigurationsdesktop wird den Symbolen noch ein eindeutiger Name zugewiesen
(z.B.Web-Server und Mail-Server).
Webserver
Schritt 1
Nun erstellen Sie mit dem Verbindungswerkzeug eine Verbindung vom Server zur Internetwolke. In dem sich öffnenden
Regeleditor wählen Sie über den Button Hinzufügen den Dienst, der an den Server weitergeleitet werden soll. Zwischen
dem Webserver und dem Internet wird der Dienst HTTP eingefügt.
Schritt 2
Nun wird die DMZ dadurch erstellt, das in den zusätzlichen Optionen der Haken bei DMZ gesetzt wird. Entscheidend, dass
nun auch die oben konfigurierte IP-Adresse benutzt wird ist, das in dem Feld Quell-IP die offizielle IP-Adresse des Webservers eingetragen wird.
Diese Konfiguration wird aktiviert und der Webserver ist unter dieser IP-Adresse erreichbar.
ACHTUNG !
DER HTTP-PROXY IST NICHT IN EINER HTTP-DMZ ZU AKTIVIEREN!
Webserver von intern über den Namen aufgelöst erreichen
Wenn ein Webserver noch obigem Beispiel eingerichtet wurde ist dieser von intern nach wie vor nur über seine interne IPAdresse zu erreichen.
Manche Anwendungen verlangen aber den Hostnamen des Rechners, also z.B. www.Ihre_Firma.de
Schritt 1
Um zu vermeiden, dass Nameservereinträge gepflegt oder verändert werden müssen, gibt es die Möglichkeit, dies mit der
gateprotect Firewall zu realisieren.
Schritt 2
Mit dem Verbindungswerkzeug erstellt man eine Verbindung vom Webserver-Symbol zum internen LAN. Im erscheinenden
Regeleditor wird der Dienst HTTP hinzugefügt und in den zusätzlichen Optionen die DMZ mit der offiziellen Quell-IP Adresse eingetragen.
Mailserver
Bei einem Mailserver verhält es sich normalerweise wie bei einer http-DMZ. Es gibt allerdings Sonderfälle in denen es erwünscht ist nur bestimmten Mailservern zu erlauben sich mit dem internen Mailserver zu verbinden (sogenannte
Smarthosts). Hier bietet die gateprotect Firewall die Möglichkeit eine dedizierte DMZ zu erstellen.
Schritt 1
Hierzu wird der interne Mailserver als Einzelserversymbol angelegt.
Schritt 2
Nun wird ein weiteres Serversymbol auf den Desktop gezogen. In dessen Konfiguration wird als Netzwerkkarte das Internet ausgewählt und als IP-Adresse die externe
angegeben.
ACHTUNG !
BEI DEM VERBINDEN DER BEIDEN SYMBOLE MUSS BEACHTET WERDEN, DASS ZUERST DER INTERNE RECHNER ANGEKLICKT WIRD UND ERST DANN DER EXTERNE.
Schritt 3
SMTP wird nun als Dienst eingerichtet und die DMZ in den zusätzlichen Optionen aktiviert. Als Quell-IP wird die offizielle Mailserver IP-Adresse eingetragen.
Clarity  Perfection  Security
Fallbeispiele
18.4
Beispiele zur User Authentifizierung
18.4.1 Windows-Domäne
Wenn Sie eine Windows-Domäne haben, können Sie die Benutzerauthentifizierung mit dem Windows DomainController verbinden. Geben Sie dazu im Register Einstellungen des Dialogs Authentifizierungsserver die Daten Ihres
Domain-Controller ein. In der Benutzerliste sehen Sie daraufhin alle Benutzer, die sich in sich in dieser Domäne befinden. Anschließend können Sie Benutzer- Icons auf den Konfigurationsdesktop ziehen und mit Regeln versehen.
Die Benutzer müssen nun die IP-Adresse der Firewall mit „https“ in ihrem Browser aufrufen und sich anmelden. Ist
die Anmeldung erfolgreich, werden die Firewall-Regeln des Benutzers der mitgelieferten IP-Adresse zugewiesen.
Wird das Browser-Fenster geschlossen, läuft das Session-Cookie ab und die Regeln verfallen.
18.4.2 Terminalserver
Wenn Sie einen Terminalserver verwenden, sollte dieser von der Benutzerauthentifizierung ausgenommen werden,
da sonst nach dem Einloggen eines Benutzers alle weiteren Benutzer die gleichen Rechte erhalten, wie der erste Benutzer.Um den Terminalserver von der Benutzerauthentifizierung auszunehmen gehen Sie folgendermaßen vor:
Schritt 1
Doppelklicken Sie auf das Symbol des Terminalservers auf dem Konfigurationsdesktop.
Schritt 2
Aktivieren Sie das Auswahlfeld Dieses Objekt von der Benutzerauthentifizierung ausschließen.
Für einen Terminalserver bietet sich der intransparente
HTTP-Proxy an. Stellen sie dazu den HTTP-Proxy unter Einstellungen > Proxy auf intransparent.
HINWEIS
DIE BROWSER MÜSSEN DEN HTTP-PROXY MIT DER IP-ADRESSE DER FIREWALL IN IHREM SUBNETZ EINTRAGEN UND DEN PORT 10080 EINGESTELLT HABEN. UM DOWNLOAD-LOOPS
ZU VERMEIDEN, SOLLTE DIESE FIREWALL-IP-ADRESSE IN „DIESE IP VON PROXY AUSNEHMEN“ IM BROWSER EINGESTELLT WERDEN.
Alle Benutzer, die sich nun auf dem Terminalserver anmelden, erhalten beim Öffnen des Browsers zunächst eine
Meldung, in dem sie nach Benutzer und Passwort gefragt werden. Sobald Sie sich gegenüber der lokalen Benutzerauthentifizierung, dem Active Directory oder dem OpenLDAP/Krb5 authentifiziert haben, können sie mit dem
Terminalserver im Internet surfen.
Die angemeldeten Benutzer können solange surfen, bis die letzte Browser-Instanz geschlossen wird. Beim erneuten
Öffnen des Browsers müssen Sie sich auch wieder erneut anmelden.
Angemeldete Benutzer erhalten ihre eigenen URL- und Content-Filter-Einstellungen und werden in der Statistik einzeln unter ihrem Namen oder ihrer IP-Adresse mitgeloggt.
Clarity  Perfection  Security
131
Statistik
1 9 ST AT IST IK
Die Statistik bzw. der externe Statistik-Client dient der Darstellung und Auswertung der Statistik-Funktionen der
Firewall. Weiterführende Informationen zu den vielfältigen Möglichkeiten der Statistik finden sich in Kapitel 3.6.
HINWEIS
1. SIE KÖNNEN NUR EINEN EINZIGEN ADMINISTRATIONSCLIENT AN DER FIREWALL ANMELDEN, ABER EINE UNBEGRENZTE ANZAHL EXTERNER STATISTIK-CLIENTS.
2. UM EINEN STATISTIK-CLIENT MIT DER FIREWALL VERBINDEN ZU DÜRFEN, BRAUCHEN SIE EINEN BENUTZER-ACCOUNT AUF DER FIREWALL, DER DIE RECHTE CLIENT STARTEN UND
STATISTIK ANZEIGEN BESITZT.
3. UM SICH DIE STATISTIKEN FÜR DIE EINZELNEN BENUTZER ANZEIGEN ZU LASSEN, BENÖTIGEN SIE NOCH DAS RECHT STATISTIK PRO BENUTZER ANZEIGEN. AUS TECHNISCHEN GRÜNDEN WIRD DABEI AUCH DAS RECHT KONFIGURATION ÖFFNEN/SPEICHERN GESETZT.
4. MÖCHTEN SIE AUCH DIE MÖGLICHKEIT HABEN, MIT EINEM EINFACHEN KLICK DER RECHTEN MAUSTASTE AUS DER INTERNETSEITEN- TOPLISTE DIE WEB-BLOCKING LISTEN ZU
ERWEITERN, BENÖTIGEN SIE NOCH DAS RECHT WEB-BLOCKING VERWALTEN.
19.1
Bedienung des Statistik-Client / Statistik
19.1.1 Symbolleiste
Über die Symbolleiste im Statistik-Client können Sie:

Die aktuelle Statistik ausdrucken,

Die Sprache des Statistik-Clients für Menü und Bedienung ändern,

Informationen über den Statistik-Client erhalten,

Den Statistik-Client beenden.
19.1.2 Filtermöglichkeiten
Im oberen Bereich des Statistikfensters können Sie die angezeigten Ergebnisse in Abhängigkeit von den bereitgestellten Statistikdaten filtern:

Desktop: gesamtes Netzwerk, Benutzer oder Rechner

Zeitraum: 6, 12 oder 24 Stunden, 7 oder 14 Tage, 1, 3 oder 12 Monate.

Selbstdefinierter Zeitraum mit Angabe von Datum und Uhrzeit jeweils für Beginn und Ende

Zeitfenster: beliebige Tageszeit mit Angabe von Beginn und Ende

Abgewiesene Zugriffe: Eingehend oder Ausgehend
Über die Schaltfläche Aktualisieren werden die aktuellen Daten vom Firewallserver geladen.
Clarity  Perfection  Security
132
Document
Kategorie
Internet
Seitenansichten
21
Dateigröße
4 168 KB
Tags
1/--Seiten
melden