Astaro Handbuch V4
Contents
1. 140 Log Files Accounting 2ersersereern 257 Admin Access 248 Daemon senreeeeeenenen 246 Fehler Codes 248 grep inrsin nern 245 HTTP Proxy cnensneneeeneenn 246 IPSec VPN 4 2 4 4 454 246 Kernel m 245 Notification 248 Packet Filter 246 POPS un er 258 Portscan eeesenseeneeenenen 247 PPTP Roadwarrior Access246 Selfmonitor sisareen 247 SMTP Relay acc 245 WELFE ae aan 258 Masquerading Regel definieren 139 Regel editieren 139 Regel l schen 139 Masquerading 138 Microsoft Outlook Regeln erstellen 203 NAT NAT Regel definieren 136 Regel editieren 138 Regel l schen 138 NAT ann 134 Network GroupS 2erernnre rn 97 Networks eunuserenanennenanne nn 96 Netzwerke editieren nasies vsi 4440 97 Einf hrung 2z srere nr 96 hinzuf gen 2r sre rer 96 l schen 444us0n san 97 Netzwerkgruppe editieren 98 l schen ee 98 Index Netzwerkgruppen definieren 2 98 Einf hrung ccecce 97 Netzwerkkarten MAC Adressen ermitteln 115 Wireless LAN Security 113 Notification 2r2erseree rennen 42 Paketfilterregel aktiv inaktiv 167 editieren eeen 168 Einf hrung 164 l schen isi eiiiai 168 Regelsatz Tabelle sortieren EE E E TA 168 Reihenfolge ndern 168 SELZEN ae 166 Pattern2. 4 Tragen Sie in das Eingabefeld Attribute Value den Attri butwert ein Der Attributwert ist der DN Daa nia Bei Microsoft Active Directory wird der DN powem des Attributs ber die mwm Management Console sasao ei im Verzeichnis ADSI m Edit angzeigt W hlen lo Sie ber den Base DN a Beispiel dc example es dc com den Attribut namen Beispiel socks da A _users aus und klicken darauf mit der rechten Maustaste Das Fenster CN socks_users Properties wird ge ffnet Fat Seite 84 System bedienen amp beobachten W hlen Sie nun im Drop down Men Select which properties to view den Wert Both und im Drop down Men Select a property to view den Wert distinguishedName aus Der im Feld Value s angezeigte Wert ist der Attributwert 5 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Save Nun ist jeder Benutzer der als MemberOf der Security Group socks_users definiert wurde berechtigt diesen Dienst zu verwenden Seite 85 System bedienen amp beobachten 5 1 7 WebAdmiin Site Certificate Ein wichtiger Bestandteil des Internet Sicherheitssystems sind die Verschl sselungsverfahren Diese kryptographischen Verfah ren werden bei der bertragung vertraulicher Daten ber Virtual Private Networks Kapitel 5 6 ab Seite 209 der Benutzerauthentifizierung und beim Up2Date Service sowie zur sicheren Administration des Internet Siche
3. Actions delete Virus protection so Enable ken durch den Proxy geleitet TE werden Die entsprechende Einstellung wird in der Tabelle A ee Configured Proxied Net m works angezeigt no data in table Falls POP3 Anfragen nur aus bestimmten Netzwerken weitergeleitet werden sollen muss die Konfiguration ge ndert werden Beachten Sie dabei dass in den Drop down Men s nur die Netzwerke zur Verf gung stehen die zuvor im Men Definitions Networks definiert wurden Beispiel POP3 Anfragen aus dem Sub Netzwerk 192 168 0 0 255 255 0 0 an pop yoursite com Sollen durch den Proxy ge leitet werden Diese Netzwerke m ssen zuerst im Men Net works definiert werde Anschlie end gehen Sie wie folgt vor 1 ffnen Sie im Verzeichnis Proxies das Men POP3 2 Schalten Sie den Proxy durch einen Klick auf die Schalt fl che Enable ein Seite 187 System bedienen amp beobachten 3 Definieren Sie im Fenster Proxied Networks aus welchen Netzwerken POP3 Anfragen vom Proxy weitergeleitet wer den sollen Source W hlen Sie hier die Quelladresse aus Beispiel Name des Netzwerks 192 168 0 0 255 255 0 0 Destination W hlen Sie hier die Zieladresse aus Beispel Name des Netzwerks pop yoursite com 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Virus Protection Mit dieser Funktion werden E Mails und An h nge Attachments auf gef hrlic
4. Service Dienst mit Zieladresse Im Men Definitions Services m ssen Sie zuvor diesen Dienst definieren To Server IP Adresse des Webservers oder Any Action Allow HTTPS Anfragen TCP IP Port 443 werden unbearbeitet durch den Proxy weitergeleitet Hinweis Um den Proxy im Modus Standard verwenden zu k nnen muss der Browser entsprechend konfiguriert werden TCP IP Adresse der Firewall und der im Men Proxies HTTP eingestellte TCP Port Des Weiteren muss f r den Proxydienst HTTP ein g ltiger Nameserver DNS aktiviert sein Ohne konfigurierten Browser kann der Proxy nur im Modus Transparent betrieben werden Die Betriebsmodi Operation Mode Standard Sie m ssen alle Netzwerke ausw hlen die in der La ge sein sollen auf den HTTP Proxy zuzugreifen Alle nicht ausge w hlten Netzwerke k nnen nicht zugreifen auch wenn der Proxy im Browser konfiguriert ist Ist der Proxy nicht im Browser konfiguriert so kann durch Set zen entsprechender Regeln im Paketfilter Clients der Zugriff auf Webserver im Internet ohne Proxy erm glicht werden Beispiel From Client IP Adresse des lokalen Client Service HTTP To Server IP Adresse des Webservers oder Any Action Allow Sie k nnen den Proxy verwenden wenn Sie die IP Adresse Ihrer Firewall und Port 8080 konfigurieren Transparent Die HTTP Anfragen auf Port 80 aus dem internen Netzwerk werden abgefangen und durch den Proxy geleitet F r Seite 176
5. Sicherheitshinweis Ta Setzen Sie sichere Passw rter Ihr Vorname r ck w rts buchstabiert ist beispielsweise kein ausrei u chend sicheres Passwort besser w re z B xfT35 4 Network Interface Card W hlen Sie f r die Datentrans fer Verbindung eine Netzwerkkarte aus Diese Netzwerk karte kann sp ter nicht mehr konfiguriert werden Wichtiger Hinweis N Die Netzwerkkarten m ssen auf beiden Systemen gt die gleiche Sys ID haben z B eth 3 s F r die berwachung mittels Heart Beat Anfrage w hlen Sie in diesem Auswahlfeld bei beiden Syste men Normal Modus und Hot Standby Modus eine Netzwerkkarte aus die Link Beat unterst tzt Transfer Network Tragen Sie in das Eingabefeld die Netzwerk Adresse der Datentransfer Verbindung ein Seite 91 System bedienen amp beobachten Seite 92 l Hinweis h F r die Datentransfer Verbindung kann nur ein Class C Netzwerk Netzwerkmaske 255 255 255 0 s verwendet werden Die Bit Masken Darstellung kann hier nicht verwendet werden Das f r den Datenaustausch definierte Netzwerk darf nirgends sonst verwendet werden un Das Eingabefeld enth lt vom Internet Sicherheitssystem generierte Vorschl ge Diese Vorschl ge m ssen von Ihnen nicht bernommen werden Serial Interface OPTIONAL Zus tzlich zur Datentrans fer Verbindung kann die berwachung des aktiven Systems durch das Hot Standby System ber die serielle Schnittstel
6. System bedienen amp beobachten den Browser des Endanwenders ist dieser Vorgang v llig un sichtbar Es entsteht kein zus tzlicher Administrationsaufwand da f r den Browser des Endanwenders keine Einstellungen ge n dert werden m ssen Alle Netzwerke die transparent weitergeleitet werden sollen m ssen im Auswahlfeld Allowed networks eingetragen sein Im Modus Transparent ist es nicht m glich durch etwaige Einstellungen im Browser Zugriff auf den HTTP Proxy zu erhalten Des Weiteren k nnen in diesem Modus keine Daten von einem FTP Server heruntergeladen werden Ebenso m ssen HTTPS Verbindungen SSL ber den Paketfilter Packet Filter abgewickelt werden User Authentication Dieser Modus entspricht in der Funktio nalit t dem Modus Standard Der Benutzer bekommt zus tzlich nur durch vorherige Authentifizierung Zugriff auf den HTTP Proxy l Hinweis m b Jede nderung in Proxies wird ohne eine weitere Meldung so gt fort wirksam HTTP Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men HTTP 2 Schalten Sie den Proxy durch einen Klick auf die Schalt fl che Enable ein 3 W hlen Sie im Drop down Men Operation mode den Be triebsmodus aus Beachten Sie bei den Modi die jeweils notwendige Zusatzkonfiguration 4 Bestimmen Sie im Drop down Men Log level den von diesem Proxy generierten Informationsumfang Full Alle Daten werden protokolliert Access Log only Nur die behandelte
7. e tnan o IPSec Policy Please select Endpoint Global IPSec Settings jefinition aani EE z In diesem Fenster schalten EEES Fass oa Sie IPSec VPN durch einen Klick auf die Schaltfl che C Enable Disable neben Sta Ce I gi tus ein und aus Remote ubne A ci IKE Debugging Diese Auikemiteren Funktion steht Ihnen zur a berpr fung der IPSec Ver ey Please select bindung zur Verf gung Mit dieser Funktion werden in den IPSec Logs ausf hrliche Informationen protokolliert Diese Protokolle k nnen Sie mit der Funktion Live Log entweder weiter unten im Fenster IPSec Live Log oder im Men Log Files IPSec VPN in Echtzeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Log Files werden im Kapitel 5 8 ab Seite 244 beschrieben Wichtiger Hinweis Die Funktion IKE Debugging ben tigt einen gro en Teil der Systemresourcen und kann daher den IPSec VPN Verbindungs s aufbau erheblich verlangsamen Schalten Sie daher die Funk tion nur f r den eigentlichen Debugging Vorgang ein NAT Traversal Wenn diese Funktion eingeschaltet ist k nnen Hosts einen IPSec Tunnel durch NAT Ger te aufbauen Dieses Modul versucht zu ermitteln ob zwischen Server und Client NAT Seite 217 System bedienen amp beobachten Ger te verwendet werden Wenn NAT Ger te entdeckt werden verwendet das System zur Kommunikation mit dem externen Host UDP Pakete Dies funktioniert allerdings nur wenn bei
8. gt Setzen Sie sich in diesem Fall mit dem Support Ihres Sicher heitssystem Anbieters in Verbindung r Achtung Wenn Sie die IP Adresse der internen Netzwerkkarte ethO 2 ndern besteht die M glichkeit dass Sie sich aussperren u Seite 107 System 5 3 1 1 Advanced options Hardware Type Address Netmask Default Gateway bedienen amp beobachten Standard Ethernet Interface F r eine Standard Ethernet zum Schnittstelle zu einem inter eo Enable nen oder externen Netzwerk muss auf der Netzwerkkarte eth2 VIA Technologies Inc VT6102 Rhine I Standard ethernet interface e a die prim re Netzwerkkarten mo Adresse eingerichtet werden Static m Alle auf dem Internet e z Sicherheitssystem installier ooo ten Netzwerkkarten werden in der Tabelle Hardware Device Overview angezeigt Standard Ethernet Netzwerkkarte einrichten Seite 108 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein W hlen Sie im Drop down Men Hardware die Netzwerk karte aus Tipp ram W hlen Sie als Schnittstelle zum externen Netzwerk Internet die Netzwerkkarte mit der Sys ID ethi aus W hlen Sie im Drop down Men Type den Schnittstellen Typ Standard ethernet interface aus Beachten
9. r s Kapitel 5 5 2 ab Seite 183 eingeschaltet und konfiguriert wurde oder wenn im Men SMTP Kapitel 5 5 6 ab Seite 190 die Route f r eingehende E Mails definiert wurde Seite 42 System bedienen amp beobachten Use external indicators Dieser Schalter wird nur angzeigt wenn das Internet Sicherheitssystem auf einer Appliance mit LCD Anzeige l uft Mit diesem Schalter k nnen Sie die LCD Anzeige ein und ausschalten Time Settings ber dieses Men stellen Sie das aktuelle Datum und die Uhrzeit des Internet Sicherheitssystems ein Sie k nnen die Uhrzeit und das Datum mit Hilfe der Drop down Men s manuell einstellen oder t glich mit einem NTP Server Network Time Protocol synchronisieren Beachten Sie dass gro e Zeitspr nge zu L cken im Reporting und im Logging f hren Wichtiger Hinweis F hren Sie keine Umstellung von Winterzeit auf Sommerzeit 2 durch Tragen Sie am Besten die Central European Time CET ein W hrend der Sommerzeit entspricht dies einer Abweichung von minus einer Stunde Durch Verstellen der Systemzeit kann es zu folgenden Time Warp Effekten kommen Uhrzeit vorstellen Winter auf Sommerzeit e Der Time out f r den WebAdmin ist abgelaufen und Ihre Session ist nicht mehr g ltig e In den zeitbasierten Reports fehlen f r die entsprechende Zeitspanne die Log Daten Die meisten Diagramme stellen diese Zeitspanne als gerade Linie in H he des alten Wertes dar e F r das Accou
10. ASCTARD security IINUX Bedienungshandbuch Installation WebAdmin L al Il Handbuch f r Astaro Security Linux V4 Version 4 021 Stand 15 04 2004 Die in dieser Dokumentation enthaltenen Angaben und Daten k nnen ohne vorherige Ank ndigung ge ndert werden Die in den Beispielen verwendeten Namen und Daten sind frei erfunden soweit nichts anderes angegeben ist Ohne ausdr ckliche schriftliche Erlaubnis der Astaro AG darf kein Teil dieser Unterlagen f r irgendwelche Zwecke vervielf ltigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln elektronisch oder mechanisch dies geschieht Astaro AG Alle Rechte vorbehalten Pfinztalstrasse 90 76227 Karlsruhe Germany http www astaro com Portions Kaspersky Labs Astaro Security Linux und WebAdmin sind Markenzeichen der Astaro AG Linux ist ein Markenzeichen von Linus Torvalds Alle weiteren Markenzeichen stehen ausschlie lich den jeweiligen Inhabern zu Einschr nkung der Gew hrleistung F r die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie bernommen Hinweise auf Fehler und Verbesserungen nehmen wir gerne unter der E Mail Adresse documentation astaro com entgegen Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis zuuuunua0anananananananananunununnnnnnanananananananunn 5 1 Willkommen bei Astaro unuauanananananananananunununnnnnnnnann 9 2 E
11. Der Absender der E Mail erh lt eine entspre chende Nachricht Virus detected rcpt message In einer E Mail wurde ein Virus entdeckt Der Empf nger der E Mail erh lt eine ent sprechende Nachricht Per Default Einstel lung wird diese E Mail allerdings nicht an den Empf nger abgeschickt ail delivery failed Fine E Mail kann wegen eines andauernden Fehlers nicht an die Empf ngeradresse gesen det werden bzw das Zeitintervall in der das System versucht die E Mail an den Emp f nger weiterzuleiten ist abgelaufen Der Absender der E Mail erh lt eine entspre chende Nachricht ail delivery deferred Fine E Mail kann wegen eines vor bergehenden Fehlers nicht an die Empf ngeradresse gesendet werden Der Absender der E Mail er h lt ein ntsprechende Nachricht Das Sys tem versucht nun innerhalb eines bestimmten Zeitintervalls die E Mail an die Empf nger adresse weiterzuleiten Nach Ablauf des Zeitintervalls erfolgt die eldung WAR 035 060 080 081 System bedienen amp beobachten Surf Protection remote database connection failure retrying Beim Remote Zugriff auf die Surf Protection Datenbank ist ein Fehler aufgetreten Die Verbindung wird neu gestartet HA check no link beat on interface retrying Die berwachung des Firewall Systems im Normal Modus mittels Link Beat ist fehlge schlagen Der Versuch w
12. HTTP Proxy konfigurieren Falls Rechner im internen Netzwerk unter Verwendung des Proxies auf das Internet zuzugreifen sollen ffnen Sie im Verzeichnis Proxies das Men HTTP und schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Die Konfiguration des HTTP Proxy wird in Kapitel 5 5 1 ab Seite 174 beschrieben Damit die Rechner im internen Netzwerk anschlie end unter Verwendung des HTTP Proxy auf das Internet zugreifen k nnen m ssen die Browser entsprechend konfiguriert werden Die Paketfilterregeln setzen ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die Paketfilterregeln Neue Regeln werden inaktiv an letzter Stelle angef gt und m ssen dann einsortiert werden Die Regeln werden von oben nach unten abgearbeitet wobei die Verarbeitung Seite 31 Installation 14 15 durch die erste zutreffende Regel beendet wird Durch einen Klick auf die Statusampel wird die Regel aktiv Statusampel zeigt Gr n Beachten Sie dass aufgrund von Stateful Inspection nur f r den Verbindungsaufbau Paketfilterregeln gesetzt werden m ssen Die Antwort oder R ckpakete werden automatisch erkannt und akzeptiert Das Setzen von Paketfilterregeln Packet Filter wird in Kapitel 5 4 ab Seite 164 beschrieben Paketfilter beobachten Debugging Im Men Packet Filter Filter Live Log k nnen Sie sehen welche Datenpakete in Ihrem Paketfilter gefiltert werden Wenn nach der Installation d
13. NIC IP Address I T Sicherheitssystem eine Ether NIC Netmask ZZ net Netzwerkkarte und ein Address to Ping Oooo externes ADSL Modem mit Usemame I Ethernet Anschluss Die Ver Password bindung zum Internet erfolgt ber zwei Teilstrecken Zwi schen dem Internet Sicherheitssystem und DSL Modem dem ADSL Modem erfolgt die Verbindung EI Fe mit dem Protokoll PPTP over Ethernet Modem Die Verbindung vom ADSL Modem zum P Address Internet Service Provider ISP erfolgt mit dem ADSL Einwahlprotokoll PPP over ATM siehe Grafik PPTPoE h m F r die Konfiguration ben tigen Sie die DSL Zugangsdaten inklusive Passwort Die Daten erhalten Sie von Ihrem Provider Internes Netzwerk 4 Firewall Address eth0 192 168 2 100 Bsp Address eth1 NIC IP Address l Hinweis m Die Installation und die n tigen Einstellungen am Internet erkl rt Nachdem die Schnittstelle geladen wurde ist das Sys tem 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach einem zeitunabh ngigen Tarif erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http docs astaro org Seite 128 System bedienen amp beobachten PPTP over Ethernet PPPoA DSL einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen 3 Trag
14. nen in das Auswertungs Tool WebTrends Logfile Analysis Suite importiert werden Die WELF Log Files enthalten die proto kollierten Paketfilter Verletzungen Diese k nnen mit WebTrends analytisch dargestellt werden Ausf hrliche Informationen zu WebTrends erhalten Sie unter folgender Internetadresse http www webtrends com 5 8 14 POP3 In den POP3 Logs werden die Aktivit ten des POP3 Dienstes protokolliert Alle ausgehenden E Mails werden darin aufgef hrt Zus tzlich werden alle Unregelm igkeiten z B Ausf lle oder blockierte E Mails protokolliert Seite 258 System bedienen amp beobachten 5 9 Die Hilfe Funktionen Help Im Men Help stehen Ihnen neben Online Help drei weitere Funktionen zur Verf gung Search Mit Hilfe dieser Funktion wird im WebAdmin und in Online Help nach dem von Ihnen eingegebenen Begriff gesucht und der Begriff wird in einem separaten Fenster angezeigt Suche starten 1 ffnen Sie im Verzeichnis Help das Men Search 2 Geben Sie in das Eingabefeld Search term den Begriff ein 3 Bestimmen Sie im Auswahl wie viel Begriffe angezeigt wer den sollen 4 Um die Suche zu starten klicken Sie auf die Schaltfl che seek Falls der Begriff im WebAdmin oder in Online Help gef hrt wird liefert das Ergebnis folgende Infos Pfad zur entsprechenden Funktion im WebAdmin Link zum gesuchten Begriff in Online Help Kurze Info zur im Pfad angezeigten Seite im WebAdmin Index Hie
15. Ein IPSec SA besteht aus drei Komponenten dem Security Parameter Index SPI der IP Adresse des Empf ngers einem Security Protocol Authentication Header AH oder Encapsulation Security Payload ESP Die SA erm glicht dem IPSec VPN Tunnel folgende Sicherheits funktionen Geheimhaltung durch Verschl sselung Datenintegrit t durch Datenauthentifizierung Senderauthentifizierung durch PSK RSA oder X 509 Zertifikate Die Sicherheitsfunktionen k nnen beliebig kombiniert werden und richten sich nach den aktuellen Anforderungen Die meisten Netzwerksicherheits Designer verwenden die Verschl sselung und die Authentifizierung Es gibt mehre Szenarien eine VPN zu nutzen 1 NET to NET Verbindung B ro New York B ro Berlin f R LAN Internet SES Firewall Firewall M a I verschl sselt gt unverschl sselt Z5 Ein Netzwerk kommuniziert mit einem anderen Netzwerk Zwei Unternehmens Netzwerke von rtlich getrennten Niederlas sungen k nnen VPN nutzen um miteinander zu kommunizieren als w ren sie ein Netzwerk Seite 210 System bedienen amp beobachten Diese Art der Verbindung k nnte man auch nutzen um ver trauensw rdigen Firmen Zulieferer Berater gesicherten Zugriff auf interne Informationen zu erm glichen 2 HOST to NET Verbindung Host B ro Berlin Internet i E Laptop Au endienst n mitarbeiter Firewall verschl sselt unverschl
16. Rijndael AES 192bit keylength Rijndael AES 256bit keylength Serpent 128bit keylength und Twofish Authentication algorithm Hier wird angezeigt welcher Algorithmus verwendet wird um die Vollst ndigkeit der IKE Nachricht zu pr fen Unterst tzt werden die Algorith men MD5 128bit SHA1 160bit SHA2 256bit und SHA2 512bit Der zu verwendende Algorithmus wird von der Gegenstelle der IPSec Verbindung bestimmt Wichtiger Hinweis r o Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen einen hohen Anteil der Systemresourcen IKE DH Group Die IKE Group Diffie Hellmann Group be zeichnet und beschreibt die asymetrische Verschl sselung w hrend des Schl sselaustauschs Die IPSec VPN Funktion dieses Internet Sicherheitssystems unterst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X MODP 3072 und Group X MODP 4096 Die zu verwendende Gruppe wird von der Gegenstelle der IPSec Verbindung bestimmt SA lifetime secs Hier definieren Sie die Dauer der IKE Verbindung in Sekunden Nach der Installation sind stan dardm ig 7800 Sekunden 2h 10 min eingestellt Generell ist eine Zeitspanne zwischen 60 und 28800 Sekun den 8 Stunden m glich Definieren Sie im Fenster IPSec Settings die Einstellungen f r die IPSec Verbindung IPSec mode Dieses System unterst tzt nur den Tunnel Mode System bedienen amp beobachten IPSec protocol Dieses System unterst tzt nur da
17. end ffnet sich das Fenster Traffic Accounting Bestimmen Sie die Netzwerke mit dem Auswahlfeld Ignored networks Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben Seite 159 System bedienen amp beobachten 5 3 9 Connection Tracking Das Connection Tracking ist eine interne Funktion des inter net Sicherheitssystems In diesem Men wird der Netzwerk datenverkehr analysiert und eine Liste mit den gegenw rtig erstellten Verbindungen dargestellt In den Spalten Source und Destination Address stehen die IP Quell und Zieladressen der Verbindung Falls m glich werden auch die Hostnamen angegeben In der Spalte Service wird der Quell und der Zielport sowie der verwendete Dienst dargestellt Hinweis In diesem Men werden nur Verbindungen mit den Protokollen i TCP UDP GRE und ICMP dargestellt 5 3 10 Tools Im Men Tools stehen Ihnen m drei Werkzeuge zur Verf gung mit deren Hilfe Sie die Netzwerkverbindungen und Funktionalit t Ihres Internet Sicherheitssystems testen k nnen Ping und Traceroute dienen zur berpr fung von Netz werkverbindungen auf IP Ebene F r diese Tools muss im Men PACKET FILTER ICMP die Funktion ICMP on firewall aktiviert sein Mit TCP Connect k nnen Sie TCP Dienste auf ihre Erreichbarkeit testen T Name resolution Start Tracerout te Host T Name resolution Start TCP comnec tz Host TCP port T
18. l Hinweis b WebAdmin kann nicht ber den eigenen Proxy aufgerufen werden Die IP Adresse des Internet Sicherheitssystems muss daher im Browser von der Verwendung des Proxyservers ausge schlossen werden Netscape Communicator Proxy ausschalten 1 ffnen Sie das Men Bearbeiten Einstellungen Erwei tert Proxies 2 Klicken Sie bei Manuelle Proxies Konfiguration auf die Schaltfl che Anschauen 3 Tragen Sie in das Eingabefeld Kein Proxy f r die IP Adres se Ihrer Firewall ein 4 Um die Eingaben zu speichern klicken Sie auf die Schalt fl che OK Microsoft Explorer Proxy ausschalten 1 ffnen Sie das Men Extras Internetoptionen W hlen Sie die Registerkarte Verbindungen ffnen Sie das Men LAN Einstellungen Erweitert en Tragen Sie in das Eingabefeld unter Ausnahmen die IP Adresse Ihrer Firewall ein 5 Um die Eingaben zu speichern klicken Sie auf die Schalt fl che OK Der HTTP Proxy setzt das HTTP Protokoll im Allgemeinen TCP IP Port 80 zur bertragung von Webseiten um Hierbei sollte beachtet werden dass Teile eines Webservers z B Bilder aus einer Datenbank nicht ber Port 80 abgefragt werden sondern ber einen anderen TCP Port Da diese Anfragen im Modus Transparent nicht erfasst werden m ssen sie durch eine entsprechende Regel im Men Packet Filter Rules behandelt werden Seite 175 System bedienen amp beobachten Beispiel From Client ein lokales Netzwerk
19. le erfolgen ber diese Verbindung erfolgt kein Datenaus tausch W hlen Sie im Drop down Men die entsprechende serielle Schnittstelle aus Hinweis Ta Wenn Sie nun die Eingaben wie nachfolgend be _ _ schrieben speichern wird das System im Anschluss _ s heruntergefahren und sofort wieder gestartet Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Save Das System 1 wird nun neu gebootet Falls eine Tastatur angeschlossen ist blinkt auf dem Keyboard die LED Anzeige Num Sobald das System den Hot Standby Modus erreicht ert nen kurz hintereinander zwei Beeps und die LED Anzei ge h rt auf zu blinken Da das System 2 noch ausgeschaltet ist bootet das System 1 weiter in den Normal Modus und die LED Anzeige Num blinkt wieder Nachdem das System 1 den Bootvorgang abgeschlossen hat h rt die LED Anzeige Num auf zu blinken und es ert nen im Sekundentakt f nf Beeps Die MiddleWare hat nun alle Services Regeln und Prozesse initialisiert System bedienen amp beobachten Hinweis er S Falls die Signalt ne nicht ert nen und die LED An zeige noch blinkt konnte die MiddleWare nicht alle Dienste Regeln und Prozesse initialisieren Wenden Sie sich in diesem Fall an den Support Ihres Sicher heitssystem Anbieters Firewall System 2 Hot Standby Modus konfigurieren 8 Starten Sie das System 2 9 F hren Sie auch hier die Schritte 3 bis 6 durch und klicken Sie anschlie end zur
20. sselt m Ein Computer kommuniziert mit einem Netzwerk Au endienstmitarbeiter oder Heimarbeiter k nnen VPN benutzen um sicher mit dem Unternehmens Netzwerk zu kommunizieren 3 HOST to HOST Verbindung Host Host Internet er A TS verschl sselt Ein Computer kommuniziert mit einem anderen Computer Zwei Computer k nnen durch VPN ber das Internet kommuni zieren um ihren Informationsaustausch zu verschl sseln Seite 211 System bedienen amp beobachten Ein VPN Server ist eine kosteng nstige und sichere L sung um Informationen zu bertragen und kann teuere Datendirekt Ver bindungen Standleitungen zwischen Unternehmen ersetzen Das IPSec Konzept IP Security IPSec ist eine Suite von verschiedenen Protokollen f r die kryptographische sichere Kommunikation auf IP Ebene Layer 3 siehe auch Kapitel 2 ab Seite 10 IPSec besteht aus zwei Betriebsarten Modi und aus zwei Proto kollen e Transport Modus e Tunnel Modus e Authentication Header AH Protokoll f r Authentifizierung e Encapsulation Security Payload ESP Protokoll f r Ver schl sselung und Authentifizierung Des Weiteren bietet IPSec Methoden f r die manuelle sowie die automatische Verwaltung von Security Associations SA und zur Schl sselverteilung Alle diese Merkmale wurden in einem Domain of Interpretation DOI zusammengefasst IPSec Architecture Transport Mode ne Tunnel Mode AH E A ESP Protocol Authenticatio
21. 20 07 52 Men korrekt zu verwalten This message was intercepted by the POP3 proxy It contains a virus or other harmful content T 18aCgb 00061r 00 smtp_err 2003 01 19 11 28 bounce gt do not reply fw notify net Subject mx domain example WAR 035 Mail delivery failed returning message to sender Content Scanner no checks done ID Jede E Mail in diesem Internet Sicherheitssystem erh lt eine eindeutige ID Diese ID ist im Header einer Mail enthalten und identifiziert au erdem die E Mail in den Log Files Type Der Proxy Content Manager unterteilt die gefilterten E Mails in drei Typen e smtp_queue Die E Mail wird an die Empf ngeradresse ver sendet Falls eine E Mail mit diesem Status l ngere Zeit auf der Firewall liegen bleibt so deutet dies auf tempor re Probleme auf dem Zielhost hin Die E Mail wird ausgeliefert sobald der Zielhost wieder in der Lage ist sie anzunehmen e smtp_err Die E Mail wurde entweder als Frozen bounce eingestuft oder aufgrund der Einstellung Quarantine in einer der SMTP Content Control Module in Quarant ne genommen In der E Mail wurden unerw nschte oder f r Ihr System sogar gef hrliche Komponenten z B Viren entdeckt E Mails mit diesem Status werden niemals versendet es sei denn dass dies explizit beabsichtigt wird E Mails mit diesem Status Seite 205 System bedienen amp beobachten verbleiben in der Tabelle bis sie von Ihnen gel scht oder explizit versendet werd
22. 34 Starte Nc 2 0 ante en 41 Statusampel rnnnerer 35 TOOTIS isinisisi 2 34 Verzeichnis ssssseseerrere 34 Widths araara en 34 WebAdmin TCP Port andern ana 46 Zertifikat f r WebAdmin erstellen niam ha 87 installieren csseesaennnen nn 87 Seite 275 Astaro AG
23. 5 PPTP Roadwarrior Access In den PPTP Logs wird der Verlauf beim Zugriff des externen Clients auf das System protokolliert Dies beinhaltet das Einlog gen und die Authentifizierung sowie eventuelle Fehler beim Ver bindungsaufbau Wenn Sie im Men Network PPTP Roadwarrior Access f r die Funktion Logging den Parameter Extensive eingestellt ha ben werden im PPTP Log auch ausf hrliche Informationen zur PPP Verbindung angezeigt 5 8 6 IPSec VPN In den IPSec Logs werden umfangreiche Informationen zu den Einstellungen der IPSec Verbindung protokolliert Dies beinhaltet auch Informationen zum Schl sselaustausch Key Exchange und zur Verschl sselung Encryption 5 8 7 Daemon In diesen generischen Log Files werden verschiedene Informa tionen zu Daemon Prozessen auf dem Internet Sicherheits system protokolliert Dies beinhaltet den SOCKS Proxy den Authentication Deamon den SuperDaemon und den DNS Server Seite 246 System bedienen amp beobachten 5 8 8 Selfmonitor Das Selfmonitoring gew hrleistet die Systemintegrit t des Internet Sicherheitssystems und setzt den Administrator ber wichtige Ereignisse in Kenntnis Das Selfmonitoring berwacht die Funktion Performance und Sicherheit der relevanten System Parameter und greift bei Abweichungen die ber eine gewisse Toleranz hinausgehen regulierend ein Anschlie end erh lt der zust ndige Administrator per E Mail einen Bericht Das Selfmonitoring des Internet
24. Add In vom PSD ausgenommenen Netzwerkkombinationen werden keine Portscans mehr erkannt Seite 147 System bedienen amp beobachten 5 3 6 Status PPTP Roadwarrior Access Mit Point to Point Tunneling Protocol PPTP k nnen Sie einzelnen Hosts den Zugang zu Ihrem Netzwerk ber einen ver schl sselten Tunnel erm glichen PPTP ist wesentlich einfacher einzurichten und ben tigt auf Microsoft Windows Clients keine zus tzliche Software PPTP ist in Microsoft Windows ab Version 95 enthalten Um PPTP mit dem Internet Sicherheitssystem verwenden zu k n nen muss der Client die MSCHAPv2 Authentifizierung unterst t zen Zu diesem Zweck muss auf MS Windows 95 und 98 Clients ein Update aufgespielt werden Dieses Update finden Sie bei Microsoft unter http support microsoft com support kb articles Q191 5 40 ASP Sie ben tigen dort das VPN Update und eventuell das RAS Update wenn Sie Microsoft Windows 95 verwenden PPTP Roadwarrior Network Access In diesem Fenster schalten Sie den PPTP Roadwarrior Logging j j ra AE 5 Zugang durch einen Klick auf en m die jeweilige Schaltfl che iege JEEN Enable Disable ein und aus Logging Hier stellen Sie ein wie ausf hrlich die Informationen in den PPTP Roadwarrior Access Logs protokolliert werden Stellen Sie den Protokollumfang auf Ausf hrlich Extensive wenn Verbindungsprobleme zum Host auftreten und ffnen an schlie end das Live Log Fenster Sobal
25. Algorithm NDS Teobr z die Art des Schl sselaustau SA lifetime secs o o sches der IPSec Verbindung PFS PFS Group 5 MODP1536 B Compression C Die g ngigen Varianten sind Manual Key Exchange Internet Key Exchange IKE Das IPSec VPN dieses Internet Sicherheitssystems unterst tzt IKE als Key Exchange Methode Die Manual Key Exchange Methode ist nicht m glich IPSec Policy konfigurieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Policies 2 Klicken Sie auf die Schaltfl che New um das Men New IPSec Policy zu ffnen 3 Tragen Sie im Eingabefeld Name einen Namen f r die neue IPSec Policy ein Name Definieren Sie einen Namen der diese Policy ein deutig beschreibt z B den verwendeten Verschl sselungs Algorithmus Sie k nnen den Namen auch im letzten Schritt vor dem Erzeugen der Policy definieren Key exchange Als Schl sselaustauschs Methode wird nur IKE unterst tzt Seite 223 System bedienen amp beobachten Seite 224 Definieren Sie im Fenster ISAKMP IKE Settings die Ein stellungen f r die IKE Verbindung IKE mode Der IKE Modus beschreibt das f r den Schl s selaustausch n tige Protokoll Derzeit wird nur Main Mode unterst tzt Encryption algorithm Der Encryption Algorithmus be schreibt den Algorithmus f r die Verschl sselung der IKE Verbindung Die IPSec VPN Funktion dieses Internet Sicher heitssystems unterst tzt 3DES CBC Blowfish Rijndael AES 128bit keylength
26. B 2048 kBit s Reserved unshaped Bandwidth kbits Wenn Sie die Schnittstelle f r das Modul Quality of Service QoS freige geben haben QoS Status auf On k nnen Sie hier eine be stimmte Bandbreite in kBit s f r Pakete reservieren die vom Bandbreitenmanagement nicht ber cksichtigt werden soll MTU Size Die obere Grenze f r die Gr e der Datenpakete wird mit MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Bei einer Ethernet Netzwerkarte betr gt die MTU maximal 1500 Byte Bei den folgenden Schnittstellen Typen ist per Default bereits ein MTU Wert definiert Standard Ethernet Interface 1500 Byte PPTP over Ethernet PPPoA DSL connection 1460 Byte Seite 132 5 3 2 System bedienen amp beobachten Routing Add Static Ri Network Target _ Jeder an ein Netzwerk ange 3 schlossene Rechner verwen det eine Routing Tabelle Mit tels dieser Routing Tabelle stellt der Rechner fest ob er ein Datenpaket direkt an
27. Backup File verschl sseln 1 2 Seite 64 ffnen Sie im Verzeichnis System das Men Backup Scrollen Sie zum Fenster Encryption Backup File Schalten Sie die Funktion durch einen Klick auf die Schalt fl che Enable bei Status ein Die Funktion Encryption Backup file ist eingeschaltet wenn die Statusampel Gr n zeigt Tragen Sie in das Eingabefeld Passphrase das Passwort ein l Sicherheitshinweis rm Bei einem Passwort mit bis zu sieben Zeichen wird die Backup Datei mit DES verschl sselt ab acht s Zeichen mit 3DES System bedienen amp beobachten 5 Tragen Sie das Passwort zur Best tigung nochmals in das Eingabefeld Confirmation ein 6 Speichern Sie die Einstellungen durch einen Klick auf die Schaltfl che Save Alle Backup Dateien die nun von Ihnen manuell oder vom Sys tem automatisch generiert werden sind mit dem definierten Passwort verschl sselt Wichtiger Hinweis Eine mit Encryption Backup File verschl sselte Backup Datei _ kann nur mit dem Passwort wieder auf dem System eingespielt wurde 5 1 5 Syslog Mit dieser Funktion k nnen Sie die Log Meldungen des Internet Sicherheitssystems an verschiedene Hosts weiterleiten Dies ist besonders dann sinnvoll wenn Sie die Log Dateien verschie dener Systeme auf einzelne Hosts zusammenf hren wollen l Achtung a W hlen Sie im Men System Syslog als Zieladresse Host i kein Interface des Internet Sicherheitssystems z
28. Best tigung auf die Schaltfl che Save Das System 2 wird nun neu gebootet Falls eine Tastatur angeschlossen ist blinkt auf dem Keyboard die LED Anzeige Num Sobald das System den Hot Standby Modus erreicht er t nen kurz hintereinander zwei Beeps und die LED Anzeige h rt auf zu blinken Das System 2 erkennt ber die Datentransfer Leitung das aktive System 1 und verbleibt im Hot Standby Modus Das High Availability System ist nun aktiv ber die Datentransfer Verbindung wird das Internet Sicher eitssystem im Hot Standby Modus st ndig aktualisiert Sobald das aktive System wegen einem Hardware Defekt ausf llt f hrt das zweite System automatisch in den Normal Modus und ber nimmt dessen Funktion Seite 93 System bedienen amp beobachten 5 1 9 Shut down Restart Mit Restart wird das Internet Sicherheitssystem herunterge fahren und wieder gestartet Der Restart kann je nach Hard ware und Konfiguration bis zu 5 Minuten dauern Restart 1 ffnen Sie im Verzeichnis System das Men Shut down Restart 2 W hlen Sie im Drop down Men Select action die Aktion Restart aus 3 Best tigen Sie Ihre Auswahl durch einen Klick auf die Schaltfl che Start 4 Beantworten Sie die Frage Do you really want to restart durch einen Klick auf die Schaltfl che OK Mit Shut down k nnen Sie das Internet Sicherheitssystem herunterfahren F r Applikationen ohne Bildschirm und oder LCD Display ist besonders inter
29. Dynamic Alle Einstellungen werden sofort bernommen Das Verzeichnis f ber das Verzeichnis gelangen Sie in Hostname MX die einzelnen Men s um das Internet Postmaster address Sicherheitssystem zu administrieren ee a Damit Sie im Handbuch die entsprechende sccs omina Mai Funktionsbeschreibung TETA in J schnell finden ent Nereak Graup ee i spricht das Kapitel 5 Satoe io System bedienen amp I beobachten der Ver zeichnisstruktur des WebAdmin DNS Die Pinne Falls Sie w hrend der Konfiguration zwischen mehreren Men s wechseln m ssen haben Sie die mis M glichkeit durch einen Klick auf die entsprechende Pinne dieses Verzeichnis ge ffnet zu halten Das Verzeichnis bleibt ge ffnet wenn die Nadel der Pinne nach unten zeigt Seite 34 WebAdmin Werkzeuge 4 3 Men F r jede Funktion des Internet Sicherheitssystems ist im Konfi gurationstool WebAdmin ein separates Men enthalten Diese Men s enthalten hilfreiche Werkzeuge die in diesem Kapitel erkl rt werden 4 3 1 Die Statusampel Einige Funktionen des Internet Sicher heitssystems sind nach der Installation per Default Einstellung ausgeschaltet da diese zuerst konfiguriert werden m ssen Der aktuelle Status einer Funktion wird durch die Statusampel TE angezeigt Allowed networks Emmy Status oo m Status os Diszble DNS admin e mail Fiewel ienotiy net a Interfaces to listen on Emmy i
30. Exchange IKE Protokolls f hrt IPSec die Schl sselverwaltung selbst ndig durch Die Schl ssel werden automatisch erzeugt und sicher ausgetauscht Das IKE Protokoll erm glicht das Erzeugen und Verwalten mehrerer VPN Seite 215 System bedienen amp beobachten Tunnel sowie die Verwendung von dynamischen IP Adressen Au erdem werden vom IKE Protokoll die Security Associa tions SA automatisch verwaltet Das Internet Sicherheitssystem unterst tzt drei Authentifizie rungsarten innerhalb des IKE Protokolls e IKE mit Preshared Keys PSK e IKE mit RSA Keys RSA e IKE mit X 509v3 Zertifikaten X509 Die Authentifizierung mit Preshared Keys PSK erfolgt durch Schl ssel mit einem geheimen Kennwort die vor der eigent lichen Verbindung unter den Beteiligten ausgetauscht werden Wenn nun ein VPN Tunnel aufgebaut werden soll pr fen die bei den Gegenstellen ob ihnen dieses geheime Kennwort bekannt ist Wie sicher solche PSKs sind h ngt davon ab wie gut das Kennwort gesetzt wurde Allgemeine W rter sind z B sehr unsicher da sie sehr anf llig auf W rterbuch Angriffe sind Daher sollte bei dauerhaften IPSec VPN Verbindungen diese Authentifizierungsmethode durch Zertifikate oder durch RSA ersetzt werden Die Authentifizierung mit RSA Keys basiert auf einem Schl ssel Key Paar und beinhaltet einen Public Key ffentlichen Schl ssel und einen Private Key privaten Schl ssel Der Private Key wird zur Verschl s
31. IPSec Verbindung zur Authentifizierung der Benutzer an den beiden Gegenstellen verwendet Die daf r verwendeten Informationen sind in den X 509 Zertifikaten gespeichert Sie k nnen aber auch Zertifikate verwenden die von kommer ziellen Anbietern z B VeriSign signiert wurden Hinweis Jedes Zertifikat ist in der CA hinsichtlich der darin verwendeten Informationen Name Firma Ort usw eindeutig Es kann kein zweites Zertifikat mit dem gleichen Inhalt erzeugt werden auch nicht wenn das Erste zuvor gel scht wurde Mit dem Men CA Management sind Sie in der Lage drei ver schiedene Zertifikats Typen zu verwalten Diese k nnen wie derum f r verschiedene Zwecke eingesetzt werden Dies h ngt davon ab ob jeweils der Private Key mit abgespeichert wurde CA Certificate Authority Certificate Wenn ein CA ohne Private Key gespeichert wird kann dieses bei ankommenden IPSec Verbindungen zur Authentifizierungs berpr fung des Host und Benutzer Zertifikats verwendet werden Ein solches CA wird als Verification CA bezeichnet Wenn im CA ein Private Key vorhanden ist kann es zum Signieren von Zertifikatsanfragen verwendet werden um daraus ein g ltiges Zertifikat zu erstellen Dieses CA wird dann Signing CA genannt Auf Ihrem System k nnen mehrere Verfication CAs vorhanden sein allerdings nur ein Signing CA Host CSR Certificate Signing Request Dies ist eine Zertifikats Anfrage von einem Host Wenn Sie die Anfrage
32. Ihr System ber sehr wenig Arbeitsspeicher RAM wird die SWAP Nutzung stark ansteigen Harddisk Usage In der Tabelle wird die Partition der System daten und der jeweilige Speicherplatz auf der Festplatte ange zeigt Process List In der Baumstruktur werden die aktuellen Prozes se auf dem Internet Sicherheitssystem dargestellt 5 7 2 Network In diesem Men wird die Da tenverkehr Auslastung der ein Fa EEE EL INN zelnen Netzwerkkarten grafisch M R EEEE E dargestellt Voraussetzung f r E dieses Reporting ist dass alle TEE E man Netzwerkkarten unter Net work Interfaces korrekt kon figuriert wurden mey E Die Konfiguration der Netz E De re re werkkarten wird in Kapitel 5 3 1 ab Seite 104 beschrie ben 1 ea ee System Interfaces In dieser ne Tabelle werden alle konfigu rierten externen und internen Schnittstellen aufgef hrt Routing Table In diesem Fenster wird die komplette Routing Tabelle Ihres Systems dargestellt Besonders relevant sind die Spalten Destination Gateway und Iface Interface Destination ist die Adresse des Zielsystems Gateway ist die Adresse des Routers und Interface gibt den Namen der eigenen Schnittstelle an ber die das Paket verschickt werden soll Die Routen der Netzwerkkarten werden per Default eingetragen und k nnen nicht editiert werden Weitere manuelle Eintr ge werden im Men Network Routing durchgef hrt Sehen Sie dazu das Kap
33. Ihrem internen LAN und dem las externen Netzwerk Internet el f WA E herstellen Da m Firewall 1 Netzwerkkarte eth0 Web FTP E Mail 2 Netzwerkkarte eth1 Server Server Server 3 Netzwerkkarte eth2 Seite 19 Installation Adresstabelle IP Adresse Netzwerkmaske Default Gateway Mit internem Netzwerk verbundene Netzwerk Mit exter nem Netz werk ver bundene Netzwerk Mit DMZ verbundene Netzwerk Netzwerk karte f r HA System Die dritte und weitere Netzwerkkarten sind optional 2 Netzwerkkarte f r High Availability HA Seite 20 Installation 3 2 Installationsanleitung Ab hier werden Sie schrittweise durch die Installation gef hrt Achtung am Bei der Installation der Software werden alle bestehenden Da ten auf dem Rechner gel scht _ Vorbereitung Bitte legen Sie vor der Installation folgende Unterlagen bereit e Internet Sicherheitssystem CD ROM e die ausgef llte Adresstabelle mit den zu verwendenden IP Adressen und den Netzmasken sowie die IP Adresse des Default Gateway 3 2 1 Software installieren Den ersten Teil der In stallation f hren Sie im Installationsmen durch linkes Bild Zuerst erfolgt ein Hard ware Check Anschlie Bend geben Sie ber den Dialog die Daten ein und danach wird die Software auf Ihrem PC eingespielt Hinweis am Falls Ihr SCSI Adapter nicht unterst tzt
34. Interfaces und f hren netzwerk spezifische Einstellungen durch 5 3 1 Interfaces Externes Netzwerk Internet Internes Netzwerk Firewall WA 1 Netzwerkkarte eth0 2 Netzwerkkarte eth1 3 Netzwerkkarte eth2 Web FTP Server Um ein internes Netzwerk LAN vor einem externen Netzwerk Internet zu sich ern ben tigt eine Firewall mindestens zwei Netzwerk karten In unseren Beispie len ist die Netzwerkkarte ethO immer die Schnittstelle zum internen Netzwerk Die Netzwerkkarte ethi ist die Schnittstelle zum externen Netzwerk Internet Diese beiden Seiten werden auch Trusted und Untrusted ge nannt W hrend der Installation werden die Netzwerkkarten automa tisch erkannt Falls sp ter weitere Netzwerkkarten hinzugef gt werden ist eine Neu Installation des Internet Sicherheitssys tems notwendig Verwenden Sie die Backup Funktion um nach der Neu Installation Ihre alte System Konfiguration wieder ein zuspielen Internet Firewall Seite 104 Die Firewall muss wie in der linken Grafik darge stellt die Schnittstelle zwischen dem LAN und dem Internet sein Alle Datenpakete m ssen das Inter net Sicherheitssystem passieren System bedienen amp beobachten Internet A Wir raten dringend davon ab die Schnitt 1 gt Router _ a stellen der Firewall wie in der rechten Grafik segment zu legen wenn dieser nicht als a E hub sungen Addre
35. Internet Sicherheitssystems dass hier kein NTP Server ausgew hlt ist Sollte dies nicht der Fall sein w hlen Sie im Drop down Men No NTP Server aus Time zone W hlen Sie nun die Zeitzone aus Hinweis Ta Die neu definierte Zeitzone hat nur eine Auswirkung auf die derzeit eingestellte Uhrzeit wenn Sie bereits s einen NTP Server eingerichtet haben Use slow adjustment Durch diese Option werden m gliche Time Warp Effekte wie sie in der Einleitung be schrieben sind ausgeglichen Hinweis DS Beim Zur ckstellen erfolgt das Heranf hren der Systemzeit an die neu eingestellte Uhrzeit in kleinen s Schritten Dies kann dann bei gro en Zeitintervallen Tage oder sogar Wochen dauern Set time Stellen Sie das Datum und die Uhrzeit ein Seite 44 System bedienen amp beobachten Wichtiger Hinweis en h Beachten Sie bei der Eingabe des aktuellen Datums das Ausgabedatum des License Key Falls das Aus gt gabedatum des Keys nach dem aktuellen Datum liegt wird die Lizenz deaktiviert Es wird nicht automatisch die Evaluation License 30 Tage Testlizenz aktiviert 3 Speichern Sie Ihre Einstellungen durch einen Klick auf die Schaltfl che Save Die Uhrzeit des Systems wird nun aktualisiert ns l Hinweis D Falls Sie die Option Use slow adjustment aktiviert haben wird der Haken aus dem Optionsfeld gel scht und die alte s Systemuhrzeit System time wird weiterhin angezeigt Die An
36. Mail Pro gramm des Empf ngers zu sortieren oder zu filtern Expressions Tragen Sie in die Kontrollliste die Zeichenketten ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben In Microsoft Outlook 2000 Regeln erstellen In MS Outlook k nnen die von der Firewall gefilterten und an schlie end durchgelassenen E Mails sortiert werden Vorausset zung hierf r ist dass im Drop down Men Action der entspre chenden Module auf der Firewall die Funktion Pass ausgew hlt wurde 1 Starten Sie MS Outlook 2 Klicken Sie auf Posteingang 3 ffnen Sie das Men Extras Regel Assistent 4 Klicken Sie auf die Schaltfl che Neu Anschlie end ffnet sich der Assistent zur Erstellung neuer Regeln Dieser Regel Assistent f hrt Sie nun schrittweise durch die Konfiguration 5 Welche Art von Regel m chten Sie erstellen Schritt 1 W hlen Sie die Regel Nachricht bei Ankunft pr fen aus Klicken Sie anschlie end auf die Schaltfl che Weiter 6 Welche Bedingung en m chten Sie berpr fen Schritt 2 W hlen Sie in diesem Fenster die Bedingung mit bestimm ten W rtern in der Nachrichtenkopfzeile aus Klicken Sie im Fenster Regelbeschreibung auf den unter strichenen Textabschnitt und tragen Sie in das Eingabefeld Seite 203 System bedienen amp beobachten 10 Seite 204 Text suchen den Namen des Headers ein Beispiel X Spam Score Klic
37. Min BW 100Mbit Max BW 100Mbit Class 10 Reserved Bandwidth for unshaped traffic in BW 10Mbit ax BW 100Mbit Class 11 in BW 67 50Mbit ax BW 100Mbit Filter Protocol tcp Protocol udp Source 192 168 2 240 255 255 255 255 Destination 192 168 0 0 255 255 0 0 Destination Port 1433 Class 12 in BW 22 50Mbit ax BW 22 50Mbit Filter Protocol udp Destination 130 207 244 240 255 255 255 255 Destination Port 123 Seite 157 System bedienen amp beobachten 5 3 8 Status Interfaces Ignored networks Accounting Mit dem Accounting werden 29 auf den Netzwerkkarten alle transportierten IP Pakete er fasst und die Datenmenge auf summiert In diesem Men k nnen Sie spezifizieren auf welchen Netzwerkkarten der anfallende Datenverkehr gez hlt werden soll Sie haben die M glichkeit die gesammelten Daten im Men Log Files Accounting herunter zuladen oder eine t gliche Auswertung der Daten im Men Reporting Accounting zu konfigurieren Wichtiger Hinweis Im Normalfall sollte das Accounting nur auf einer Netzwerk karte durchgef hrt werden da sonst weitergeleitete Datenpa kete mehrmals gez hlt werden Wenn Sie Masquerading verwenden sollten Sie das Accoun ting auf der internen Netzwerkkarte durchf hren Datenpakete die auf der externen Netzwerkkarte das Internet Sicherheits system verlassen wurden bereits auf die neue Quelladresse umgeschrieben
38. Netzwerk und DFU Verbindungen Klicken Sie auf das Icon Neue Verbindung erstellen Der Netzwerksverbindungs Assistent ffnen sich Klicken Sie auf die Schaltfl che Weiter W hlen Sie die folgende Option aus Verbindung mit ei nem privaten Netzwerk ber das Internet herstellen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie eine permanente Verbindung ins Internet haben w hlen Sie die folgende Option aus Keine Anfangsver bindung automatisch w hlen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie sich zuerst ber einen Provider in das Internet einw hlen klicken Sie auf die Option Andere Verbindung zuerst w hlen und w hlen im Auswahlmen Ihren Provi der aus Diese Einstellungen k nnen Sie auch sp ter im Dialog Eigenschaften vornehmen bzw ndern Tragen Sie nun in das Eingabefeld Zieladresse die IP Adresse des Servers ein Klicken Sie anschlie end auf die Schaltfl che Weiter Bestimmen Sie nun im Fenster Verf gbarkeit der Verbin dung ob der PPTP Zugang f r alle Benutzer oder nur f r Sie selbst zu Verf gung stehen soll Klicken Sie anschlie end auf die Schaltfl che Weiter Geben Sie im Fenster Fertigstellen des Assistenten in das Eingabefeld einen beliebigen Namen f r die PPTP Ver bindung ein Klicken Sie anschlie end auf die Schaltfl che Weiter Mit einem Klick mit der rechten Maustaste auf das neue Symbol im Men Start Einstellungen Netzwerk und DF Verbindun
39. Passwort der Signing CA ein Klicken Sie auf die Schaltfl che Start Anschie end wird aus dem Antrag CSR KEY das fertige Zerti fikat CERT KEY erstellt und in der Tabelle entsprechend aus getauscht Schritt 4 Zertifikat herunterladen 1 W hlen Sie in der Tabelle Host CSRs and Certificates das neue Zertifikat aus W hlen Sie im Drop down Men in der Fu zeile der Tabelle ein Download Format aus DER Tragen Sie in das Eingabefeld Passphrase das Pass wort des Privat Key ein Seite 235 System bedienen amp beobachten PEM F r dieses Format wird kein Passwort ben tigt PKCS 12 Tragen Sie in das Eingabefeld Passphrase das Passwort des Private Key ein In das Eingabefeld Export Pass geben Sie ein zus tzliches Passwort ein Dieses Passwort ben tigen Sie oder ein anderer Benutzer um das Zertifikat auf dem externen Client zu importieren 3 Klicken Sie auf die Schaltfl che Start Das Zertifikat muss nun auf dem externen IPSec VPN Client installiert werden Der Installationsablauf h ngt von der IPSec Software ab die auf diesem Client verwendet wird Seite 236 System bedienen amp beobachten 5 7 System Management Reporting ber das Reporting k nnen Sie sich im Internet Sicherheitssys tem aktuelle Systeminformationen und Systemzust nde anzei gen lassen sowie verschiedene Protokollfunktionen in Echtzeit ffnen Alle Diagramme im Verzeichnis Reporting zeigen im ersten Schritt einen
40. Schnittstelle setzt sich aus der Sys ID der verwendeten Netz werkkarte und des zugeteilten Tag zusammen Advanced Options Durch einen Klick auf die Schaltfl che Enable bei Advanced op tions werden die Eingabefelder und Drop down Men s f r die erweiterten Funktionen ge ffnet Die erweiterten Funktion Advanced Options werden f r alle Schnittstellen Typen im Kapitel 5 3 1 7 ab Seite 131 beschrie ben 5 3 1 5 PPPOoE DSL Verbindung ne Diesen Schnittstellen Typ be s n tigen Sie wenn Sie eine Sc VIA Technologies Inc YT6102 Rhine Il DSL Verbi nd u ng zu im Inter a u net mit dem Protokoll PPP a T over Ethernet aufbauen eeuk caeca EO E m chten F r die Konfigura Usamama I tion ben tigen Sie die DSL Password Zugangsdaten inklusive Pass wort Die Daten erhalten Sie von Ihrem Internet Service Provider 192 168 2 15 255 255 255 0 2i d jernet interface tion3c905C TX TX M Tornado Gateway 192 168 Seite 125 System bedienen amp beobachten Hinweis h Die Installation und die n tigen Einstellungen am Internet Sicherheitssystem speziell f r den Internet Zugang mit T DSL Telekom Deutschland wird im Leitfaden Netzwerk mit T DSL erkl rt Nachdem die Schnittstelle geladen wurde ist das Sys tem 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach dem T
41. Sie dass einer Netzwerkkarte nicht gleichzeitig der Typ Standard ethernet interface und PPP over Ethernet PPPoE DSL connection oder PPPTP over Ethernet PPPoA DSL connection zugewiesen werden kann F hren Sie nun die spezifischen Einstellungen f r den Schnittstellen Typ durch System bedienen amp beobachten Address Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m ch ten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintra gen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netzwerkmaske durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gateway definieren m chten w hlen Sie im Drop down Men None aus Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle I
42. Sie hier den DNS Na men Ihres Internet Sicherheitssystems ein Protokoll W hlen Sie hier RADIUS aus IP Adresse des Clients Dies ist die interne IP Adresse Ihres Internet Sicherheitssystems Seite 68 System bedienen amp beobachten Client Vendor Tragen Sie hier RADIUS Standard ein Shared Secret Tragen Sie ein beliebiges Passwort ein Dieses Passwort ben tigen Sie sp ter zur Konfiguration des RADIUS Servers im Konfigurationstool WebAdmin Sicherheitshinweis Ten F r das Shared Secret werden nur Passw rter bestehend aus alphanumerischen sowie Minus und _ Punkt Zeichen unterst tzt Sonderzeichen z B _ sind nicht m glich Wechseln Sie nun zum Men RAS Richtlinien Hier ist eine Standardrichtlinie eingetragen Wenn Sie IAS nur f r das Internet Sicherheitssystem verwenden wollen k nnen Sie diese l schen Tragen Sie nun f r jeden Proxy eine Richtlinie ein Auf diese Weise k nnen Sie den Namen entsprechend w hlen z B HTTP Zugriff F gen Sie zwei Bedingungen hinzu 1 Bedingung Das Feld NAS Identifier muss einem String laut folgender Tabelle entsprechen Proxytyp NAS Identifier entspricht String HTTP http SOCKS socks SMTP smtp WebAdmin Access webadmin Surf Protection Profilname PPTP kein Identifier eintragen 2 Bedingung Die Windows Gruppe des zugreifenden Be nutzers muss der in Schritt 2 angelegten Benutzergruppe entsprechen Nur wenn vom Benutze
43. Tragen Sie hier die Zeichenkette ein Durch einen Klick auf das Optionsfeld case insensitive wird die Gro Kleinschreibung bei der Suche ignoriert Starten Sie anschlie end den Suchvorgang durch einen Klick auf die Schaltfl che go Nach Beendigung des Suchvorgangs werden alle gefundenen Zeilen mit dieser Zeichenkette in einer Tabelle dargestellt Falls keine Zeile mit dieser Zeichenkette enthalten ist wird ein leeres Fenster angezeigt 5 8 1 Kernel In den Kernel Logs wird der System Status protokolliert inklusive der Meldungen von den Ger tetreibern der Meldung des Boot Prozesses sowie der vom Paketfilter Packet Filter geblockten Datenpakete 5 8 2 SMTP Relay In den SMTP Relay Logs werden die Aktivit ten des SMTP Dienstes protokolliert Alle eingehenden E Mails werden darin aufgef hrt Zus tzlich werden alle Unregelm igkeiten z B zugewiesene Bounce Stati Ausf lle oder blockierte E Mails protokolliert Seite 245 System bedienen amp beobachten 5 8 3 HTTP Proxy In den HTTP Proxy Logs werden die Aktivit ten von HTTP Clients protokolliert Im Men Reporting HTTP Proxy Usage werden die protokol lierten Daten ausgewertet und strukturiert in Form von HTML Seiten dargestellt Das Men HTTP Proxy Usage wird in Kapitel 5 7 4 ab Seite 240 beschrieben 5 8 4 Packet Filter In den Packet Filter Logs werden alle geblockten Datenpakete protokolliert Diese Log Files sind ein Teil der Kernel Logs 5 8
44. Up2Date installieren automatisch 58 installieren manuell 58 Ping Einf hrung 161 starten isir rin araiy 161 POP3 konfigurieren sasse 187 Portscan Detection Einf hrung 145 einschalten ausschalten 146 Netzwerk ausschlie en 147 PPTP Roadwarrior Access Einf hrung 148 MS Win 2000 Szenario 150 PPTP Roadwarrior Network ACCESS anne 148 PPTP Roadwarrior VPN Optional Parameters 150 PPTP IP Pool 149 Protokolle Alles 99 100 ESP 2er 99 100 EPs ea 99 UDParaan er 99 Proxy Seite 273 Index DNS el 183 Einf hrung esscr 174 HTTP 0 04 174 Ident rn 189 PORB ne sr 187 Proxy Content Manager 205 SMIP 2er 190 SOCKS nA iaaa 185 Proxy abschalten MS EXplOrer sa 175 Netscape sscereerreenne 175 Proxy Content Manager Delete all content of type REE EE 208 Mail Di synoria 205 010 oe EAEE 206 SMEP_EIT sssssrrrrrrrrrrrrrne 205 SMtp_qUEUE nsssssssrrsssnn 205 Type ern 205 PSD Network Exclusion 147 Qualitiy of Service QoS SELZEN ran ana 155 Quality of Service QoS Quality of Service Rules 156 Quality of Service QoS 154 Reporting Accounting definieren 242 Accounting ersersereenn nn 241 Hardware ecce 237 HTTP Proxy Cache 239 HTTP Proxy Usage 240 Network uneennennseneenenn nn 238 Packet Filter 242 Restaria eii une 94 Routing Einf hrung esscr 133 Kernel Routing Table 134 Rules
45. amp beobachten l Sicherheitshinweis N m Setzen Sie sichere Passw rter Ihr Vorname r ck lt _w rts buchstabiert ist beispielsweise kein ausrei chend sicheres Passwort besser w re z B xfT35 4 4 Wenn der Benutzer sich ber PPTP in Ihrem Netzwerk anmelden soll aktivieren sie die Option Remote access PPTP Wenn dem Benutzer bei der Anmeldung eine bestimmte IP Adresse zugewiesen werden soll tragen Sie diese in das Eingabefeld Address ein Weitere Informationen zu PPTP Roadwarrior Access finden Sie im Kapitel 5 3 6 ab Seite 148 5 Legen Sie nun durch einen Klick auf die Optionsfelder fest auf welche Dienste der Benutzer Zugriff hat Eingabe Optionen HTTP Proxy SMTP Proxy SOCKS Proxy und WebAdmin 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird der neue Benutzer in die Be nutzer Tabelle eingetragen Anschlie end stehen Ihnen in der Spalte Command weitere Funktionen zur Verf gung Weitere Funktionen Benutzer editieren Durch einen Klick auf die Schaltfl che edit werden die Daten in das Men geladen Anschlie end k nnen Sie die Eingaben bearbeiten Benutzer l schen Durch einen Klick auf die Schaltfl che del wird der Benutzer aus der Tabelle gel scht Seite 103 System bedienen amp beobachten 5 3 Netzwerkeinstellungen Network Im Verzeichnis Network konfigurieren Sie die Netzwerkkarten und virtuellen Schnittstellen
46. an das Ende der Datei und f gen einger ckt die folgende Zeile ein append console ttyS0 9600n8 Speichern Sie die nderungen mit der folgenden Tasten kombination Ctrl K X Geben Sie den folgenden Befehl ein und best tigen Sie dies mit der Enter Taste lilo r emergency boot Geben Sie den folgenden Befehl ein und best tigen Sie dies mit der Enter Taste kill 1 1 Anschlie end ist die serielle Schnittstelle am Internet Sicher heitssystem als Zugang f r eine serielle Konsole aktiviert Seite 262 6 2 Zus tzliche Funktionen Factory Reset Mit Factory Reset wird das Internet Sicherheitssystem in den urspr nglichen Zustand nach der Installation zur ckgesetzt d h alle Daten die nach der Installation auf dem System erzeugt oder eingegeben wurden werden gel scht Dies betrifft insbe sondere die gesamte Konfiguration den HTTP Proxy Cache die E Mail Queues die Accounting und Reporting Daten alle Passw rter und alle noch nicht installierten Up2Dates Der Versionsstand des Internet Sicherheitssystems bleibt erhal ten alle installierten System Up2Dates und Pattern Up2 Dates werden nicht ver ndert Factory Reset 1 Loggen Sie sich als Shell Administrator user ein Benutzernamen root Password Passwort des Shell Administrator Benutzers 2 Geben Sie ber die Konsole folgende Zeile ein und best tigen Sie dies mit der Enter Taste cd sbin init d 3 Geben Sie ber die Konsole folgende Zeile ein und
47. auf den Proxy bewilligt wird und eine entsprechende Antwort zur ckliefern Microsofts IAS RADIUS Server einstellen IAS wird mit allen Microsoft Windows 2000 Server Versionen ausgeliefert ist aber standardm ig meist nicht installiert F r Microsoft Windows NT4 ist IAS Bestandteil von NT4 Option Pack und ist ohne Aufpreis erh ltlich Die MS Windows NT4 IAS Version hat weniger Features als die 2000er Version jedoch reicht diese f r die gebr uchlichen Authentifizierungs Einstel lungen dieses Internet Sicherheitssystems vollkommen aus 1 Installieren Sie den IAS Dienst falls er nicht bereits in stalliert ist 2 Legen Sie f r jeden Proxy der verwendet werden soll eine Benutzergruppe an Tipp m b Benennen Sie die Gruppe entsprechend des zuge _ordneten Proxydienstes Die Gruppe f r den HTTP Proxy k nnte z B HTTP Proxybenutzer lauten 3 Nun ordnen Sie dieser Gruppe alle Benutzer zu die in der Lage sein sollen den entsprechenden Proxy zu benutzen 4 Stellen Sie sicher dass bei allen Benutzern in diesen Grup pen das Benutzerflag Einwahlzugriff auf das Netzwerk erlauben aktiviert ist Diese Einstellung finden Sie in den Benutzereigenschaften MS Windows NT 2000 ben tigt dieses Flag um RADIUS Anfragen positiv zu beantworten 5 ffnen Sie das Verwaltungsprogramm f r den IAS Dienst 6 F gen Sie einen Client hinzu Dazu m ssen Sie folgende An gaben machen Beliebiger Client Namen Tragen
48. beliebiger L nge einen 128 bit langen Hash Wert Dieser resultierende Hash Wert wird als eine Art Fingerabdruck des Paketinhalts verwendet um den Absender zu pr fen Dieser Hash Wert wird auch als digitale Signatur oder als Message Digest bezeichnet Der Secure Hash SHA 1 Algorithmus erzeugt analog zum MDS5 einen 160 bit langen Hash Wert SHA 1 ist aufgrund des l ngeren Schl ssels sicherer als MDS Der Aufwand einen Hash Wert mittels SHA 1 zu berechnen ist im Vergleich zum MDS5 Algorithmus etwas h her Dies kommt allerdings infolge der heutigen Prozessor Performance nur zum tragen wenn sehr viele IPSec VPN Verbindungen ber ein Security Gateway verschl sselt werden Das Encapsulation Security Payload Protokoll ESP bietet zus tzlich zur Verschl sselung auch die M glichkeit der Absender Authentifizierung und der Inhaltsverifizierung Wenn man ESP im Tunnel Modus verwendet wird das komplette IP Paket Header und Payload verschl sselt Zu diesem verschl sselten Paket wird ein neuer unverschl sselter IP und ESP Header hin zugef gt Der neue IP Header beinhaltet Absender und Seite 214 System bedienen amp beobachten Empf nger IP Adresse Diese IP Adressen entsprechen denen des VPN Tunnels ESP mit Verschl sselung ist grunds tzlich mit folgenden Ver schl sselungs Algorithmen m glich e Keine Verschl sselung NULL e Triple Data Encryption Standard 3DES e Advanced Encryption Standard AES Eine hohe Sic
49. ben Seite 121 System bedienen amp beobachten 5 3 1 4 Virtual LAN mm Mit Virtual LAN kann ein m Netzwerk auf Ethernet Ebene a ker Layer 2 in mehrere virtuelle 7 T Netzwerksegmente aufgeteilt a qoo werden Dies kann z B aus r Sicherheitsgr nden von Vor Netmack Sa z teil sein wenn bestimmte DI Rechner Clients in einem Ceruk Geisvcw Netzwerk nicht miteinander e u kommunizieren d rfen In gr eren Netzwerken kann es En See Wiederum Praktisch sein wenn weiter entfernte Rech ner Clients im selben Netzwerksegment liegen k nnen Siehe Beispielkonfiguration auf der n chsten Seite Auf einem VLAN f higen Switch k nnen die Ports in verschiedene Gruppen getrennt werden Bei einem Switch mit 20 Ports kann z B das VLAN Gruppe 1 die Ports 1 bis 10 und das VLAN Gruppe 2 die Ports 11 bis 20 erhalten Der Rechner an Port 1 kann nun nicht mehr mit dem Rechner an Port 11 kommunizieren Der Switch wurde demnach in zwei kleinere Switches aufgeteilt F r die Verbindung zwischen dem Internet Sicherheitssystem und den Virtual LANs ben tigen Sie eine Netzwerkkarte mit tag f higem Treiber Ein Tag ist ein kleiner 4 Byte Header der an den Ethernet Header angef gt wird Dieser angeh ngte Header enth lt die VLAN Nummer mit 12 Bit Es sind also 4095 ver schiedene virtuelle LANs m glich Diese VLAN Nummer wird im Konfigurationstool als VLAN Tag bezeichnet Die tagged Pakete di
50. bis einschlie lich 255 Beispiel Eine m gliche IP Adresse ist 212 6 145 1 Seite 267 Glossar Zu jeder IP Adresse geh rt mindestens ein IP Name der Form hostname subdomain s domain Z B kises rz uni konstanz de Hiermit wird ein Rechner namens kises bezeichnet der in der Sub Domain rz der Sub Domain uni konstanz der Domain de steht Wie bei IP Adressen werden die einzelnen Namensteile durch einen Punkt voneinander getrennt Anders als bei IP Adressen jedoch sind IP Namen nicht auf vier Stellen beschr nkt Au erdem k nnen einer IP Adresse mehrere IP Namen zugeordnet sein man spricht dann von Aliasen Masquerading Dynamisches Masquerading bezeichnet das Verbergen interner Netzwerkinformationen LAN nach au en Beispiel Der Rechner eines Mitarbeiters mit der IP Adresse 212 6 145 100 steht in einem maskierten Netzwerk Allen Rechnern in seinem Netzwerk wird eine einzige offizielle IP Adresse zugeordnet d h wenn er nun eine HTTP Anfrage in das Internet startet wird seine IP Adresse durch die IP Adresse der externen Netzwerkkarte ersetzt Damit enth lt das ins externe Netzwerk Internet gehende Da tenpaket keine internen Informationen Die Antwort auf die An frage wird von der Firewall erkannt und auf den anfragenden Rechner weitergeleitet nslookup Ein Unix Programm zur Abfrage von Nameservern Die Haupt anwendung ist die Anzeige von IP Namen bei gegebener IP Nummer bzw umgekehrt Dar ber hinaus k n
51. dem Support Ihres Sicherheitssys tem Anbieters in Verbindung 5 8 12 Accounting In diesem Men sind alle vom System archivierten Accounting Protokolle verf gbar In dieser bersicht k nnen diese Protokolle als ASCII oder CSV Dateien heruntergeladen oder gel scht werden Im Men Reporting Accounting k nnen die Protokolle betrachtet werden In den ASCII Dateien sind die einzelnen Werte durch Tabula toren voneinander getrennt und folgenderma en aufgebaut timestamp proto sre_addr src_port dst_addr dst_po rt bytecount timestamp Ein UNIX Zeitstempel angegeben in Sekunden seit dem 1 Januar 1970 proto Die IP Subprotokollnummer src_addr und src_port Die Quell Adresse und der Quell Port des gez hlten Datenpakets dst_addr und dst_port Die Ziel Adresse und der Ziel Port des gez hlten Datenpakets bytecount Die gesamte Datengr e dieser Verbindung in Bytes inklusive des Headers und eventueller F llbytes Seite 257 System bedienen amp beobachten Die CSV Datei ist genau wie die ASCII Datei aufgebaut Die Werte sind hier allerdings durch Semikolons voneinander getrennt Auf diese Weise k nnen diese Dateien in Microsoft Excel leicht importiert werden Das Accounting wird im Men Network Accounting einge schalten und konfiguriert Die Konfiguration dieser Funktion wird im Kapitel 5 3 8 ab Seite 158 beschrieben 5 8 13 WELF Die WELF Log Files Webtrends Enhanced Logfile Format k n
52. den Zielrechner im gleichen Netz werk oder an einen Router Please select f Save versenden muss Static Routes F r die direkt angeschlossenen Netzwerke tr gt das Internet Sicherheitssystem die entsprechenden Routing Eintr ge selbst ein Weitere Eintr ge m ssen manuell vorgenommen werden Dies ist z B der Fall wenn im lokalen Netzwerk ein weiterer Router existiert ber den ein bestimmtes Netzwerk erreicht werden soll Routen f r Netzwerke die nicht direkt angeschlossen sind aber ber einen Befehl oder eine Konfigurationsdatei in die Routing Tabelle eingetragen werden bezeichnet man als statische Routen In diesem Men k nnen Sie festlegen welches Netzwerk zu wel cher Netzwerkkarte oder zu welcher externen IP Adresse gerou tet wird Statisches Routing definieren 1 ffnen Sie im Verzeichnis Network das Men Routing 2 Klicken Sie auf die Schaltfl che New um das Men Add Static Route zu ffnen 3 W hlen Sie im Drop down Men Network das Netzwerk aus Im Auswahlmen Network sind alle statischen sowie die in den Men s Networks und Interfaces neu definierten Netzwerke enthalten 4 W hlen Sie im Drop down Men Target das Ziel aus Namen in zwei spitzen Klammern kennzeichnen Netzwerk Seite 133 System bedienen amp beobachten karten Interfaces Bei Namen ohne Klammern handelt es sich um einen Host oder um einen Router 5 Best tigen Sie Ihre Eingaben durch einen Klick auf
53. die Schaltfl che Save Nach erfolgreicher Definition wird die neue Route in die Tabelle Static Routes importiert Durch einen Klick auf die Schaltfl che delete wird der Eintrag wieder gel scht Kernel Routing Table Im Fenster Kernel Routing Table werden alle vom System automatisch generierten sowie die statischen Routen aufgelistet wobei die Routen nach der Gr e der Netzmasken sortiert sind Die Routen mit der kleinsten Netzmaske stehen an oberster Stelle Das System arbeitet die Routen in der dargestellten Reihenfolge ab Die erste zutreffende Route wird verwendet Per Default sind die Routen der Netzwerkkarten bereits einge tragen und nicht editierbar 5 3 3 NAT Masquerading 5 3 3 1 NAT Die Funktion Network Ad dress Translation NAT dient zur Umsetzung der meist privaten IP Adressen eines Netzwerkes auf andere meist ffentliche IP Adres sen eines anderen Netzwerkes NAT erm glicht damit mehreren PCs in einem LAN einerseits die IP Adresse des Internet Access Routers f r den Internet Zugang zu nutzen und andererseits versteckt es das LAN hinter der im Internet registrierten IP Adresse des Routers Rule type Wenn ein Client im LAN ein IP Paket an den Router schickt wandelt NAT die Adresse des Absenders in eine g ltige IP Adresse um die ihm etwa der Provider zugeteilt hat bevor es ins Internet weitergereicht wird Kommt von der entfernten Station eine Antwort auf dieses Paket zur ck w
54. die folgenden Systeminformationen und pr fen die laufenden Prozess Hardware Pr fen Si all Wert in diesem Men z B Prozessor CPU Arbeitsspeicher RAM belegter Speicher auf der Festplatte SWAP etc Network Pr fen Sie die Anzahl der Verbin dungen und den Datenverkehr auf den Schnitt stellen ffnen Sie im Verzeichnis Log Files die Men s Kernel und Daemon und pr fen die Protokolle auf Auff lligkeiten Sollten Sie die Ursache nicht finden stel len Si di folgenden Daten zusammen und wenden Sie sich an den Support Ihres Sicher heitssystem Anbieters Hardware Kenndaten die Versionsnummer des Sicherheitssystems die Notification Mails und die obigen Wert und Daten Too much memory for a single process please check F r inen inzelnen Prozess wurde zuviel Arbeitsspeicher RAM ben tigt Gehen Sie in diesem Fall wie bei der Nachricht WAR 101 beschrieben vor Allocating to much swap please check Es wurde f r inen oder mehrer Prozess zuviel Platz auf der Festplatte SWAP zugeteilt Gehen Sie in diesem Fall wie bei der Nachricht WAR 101 beschrieben vor 104 105 200 ERR 000 001 002 System bedienen amp beobachten High Availability slave device not found please check Das Firewall System 2 im Hot Standby Modus Slave wurde nicht gefunden Die Installation und die Funktionsweise des HA Systems wird in Kapitel 5 1 8 ab Seite 89 erkl rt No accou
55. ein neues Internet Sicherheits system installiert und anschlie Save h S gt S Bend das Backup eingespielt werden kann Bereits nach kurzer Zeit ist auf diese Weise ein Ersatzsystem einsatzbereit Achtung In die aktuelle System Version 4 0 kann nur ein Backup aus der gt Version 3 216 oder h her eingespielt werden Falls Sie mehr als drei Netzwerkkarten installiert haben und ber eine entsprechende Lizenz verf gen tragen Sie im Men Licensing zuerst den License Key ein und spielen anschlie end das Backup ein Vom System werden sonst nur drei Netzwerk karten hochgefahren und dies kann dazu f hren dass das Konfigurationstool WebAdmin nicht mehr erreichbar ist Seite 59 System bedienen amp beobachten L Hinweis h Legen Sie nach jeder nderung der Systemeinstellungen eine kc neue Backup Datei an Auf diese Weise haben Sie immer die s aktuellen Einstellungen Ihres Systems gespeichert Bewahren Sie dieses Backup an einem sicheren Ort auf da alle Konfigu rations Einstellungen z B die Zertifikate und Keys darin ent halten sind Pr fen Sie die Backup Datei nach der Generierung immer auf Lesbarkeit Es ist au erdem ratsam durch ein externes MD5 Programm eine Pr fsumme zu generieren die es Ihnen auch sp ter erm glicht die Funktionsf higkeit der Backup Datei zu pr fen Backup manuell generieren Seite 60 ffnen Sie im Verzeichnis System das Men Backup G
56. hrung eccere 65 System Time automatisch synchronisieren System Up2Date einspielen automatisch 54 einspielen lokal 55 einspielen manuell 53 installieren erseseneeeeen 56 installieren auf HA L sung56 Systemvoraussetzungen Administrations PC 19 Beispielkonfiguration 19 Hardware 2usereranserennn 18 TCP Connect Einf hrung eccere 162 Starten ur 163 Time Settings sersensennenn 43 Tools rs 160 Traceroute Einf hrung 161 St rten u san 162 Up2Date Service Einf hrung zer sre Herr 52 Pattern Up2Date 57 System Up2Date 53 Use external indicators 43 User Authentication Einf hrung ccce 66 LDAP einstellen 81 LDAP erweitert 84 LDAP Server ssossserssesrres 73 Microsofts IAS RADIUS einstellen ssrsecccrrn 68 MS Active Directory Server einstellen ssssecccrrn 75 Novell eDirectory Server einstellen ssssecccrrn 80 OpenLDAP Server Konfigurieren 81 RADIUS inrer aienea 67 SAM ui iea aaa 71 SAM NT 2000 XP einstellen sssecccrrn 71 USERS ein 102 WebAdmin Auswahlfelder 222222 35 Darstellung scce 34 Drop down Men 37 Einf hrung 17 40 Hide tooltips 34 Hierarchiefeld 37 HTTPS sen 46 Info Box cseessnnnnanannnnnnn 33 KICK 41 MEN een 35 Online Hilfe aeee 39 Pine
57. ist wer den alle Nameserver Anfragen an die Internet ROOT Name server geschickt Falls Ihr Internet Service Provider oder Sie selbst einen Nameserver betreiben sollte dieser eingetragen sein Abfragen an diesen lokalen Nameserver sind immer schneller als Anfragen an die ROOT Nameserver Die ROOT Nameserver sind ein fester Bestandteil des Internets 15 ROOT Nameserver sind weltweit verteilt und bilden die Ur Instanz f r alle untergeordneten Nameserver Tipp Selbst wenn Sie den DNS Proxy nicht benutzen m chten ist es sinnvoll die Nameserver Ihres Internet Service Providers als Forwarder zu konfigurieren Diese werden dann auch bei abge schaltetem Proxy von der Firewall selbst verwendet Damit wird zur Entlastung des Root Nameservers beigetragen und die Firewall erzeugt nur lokale Anfragen die in der Regel schneller beantwortet werden DNS Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men DNS 2 Schalten Sie den Proxy durch einen Klick auf die Schalt fl che Enable ein 3 Tragen Sie in das Eingabefeld DNS admin e mail die E Mail Adresse des DNS Administrators ein Die E Mail Adres Seite 183 System bedienen amp beobachten se wird f r die syntaktisch korrekte Konfiguration ben tigt und zeigt den Maintainer des DNS Proxy an Speichern Sie die Eingabe durch einen Klick auf die Schalt fl che Save Konfigurieren Sie den DNS Proxy Die Funktionsweise der Auswahlfelder wird in Kapitel
58. kollbefehle weitergeleitet sondern nur die Daten selbst Der SMTP Proxy setzt das SMTP Protokoll auf dem TCP IP Port 25 um Hinweis Um eine einwandfreie Funktion des SMTP Relay zu gew hr gt leisten muss ein g ltiger Nameserver DNS aktiviert sein Die Firewall Benachrichtigungen an den Administrator werden auch bei abgeschaltetem SMTP Proxy verschickt Von der Firewall werden um Denial of Service DoS Atta cken vorzubeugen bis zu 25 gleichzeitig eingehende SMTP Ver s bindungen bearbeitet Die 26 einkommende Verbindung wird nicht mehr angenommen L Sicherheitshinweis Ey pg Seite 190 System bedienen amp beobachten SMTP Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men SMTP 2 Schalten Sie den Proxy durch einen Klick auf die Schalt fl che Enable ein 3 F hren Sie im Fenster Global Settings die Grundeinstel lungen durch Hostname MX Tragen Sie hier den Hostnamen ein Wichtiger Hinweis m Wenn Sie TLS Verschl sselung verwenden m chten muss dieser Hostname identisch sein mit dem in s Ihrer DNS Zone angegebenen MX Record Mail Exchanger Ansonsten werden andere SMTP Server eventuell die Auslieferung von E Mails mit TLS verweigern Postmaster address Geben Sie hier die E Mail Adresse des Postmasters ein Max message size Hier stellen Sie die maximale Datei gr e f r die ein und ausgehenden E Mails ein bliche Werte sind 20 oder 40 MB Bitt
59. nummern Time outs Routen etc Zusammen bilden sie ein Benutzerprofil das in einer Datei oder Datenbank auf dem RADIUS Server gespeichert wird Neben der Authentifizierung von DialUp Usern kann RADIUS aber auch als generisches Authentifizierungsprotokoll verwendet werden Das Protokoll ist sehr flexibel und die RADIUS Server sind f r alle Betriebssysteme eingeschlossen Microsoft Windows NT 2000 verf gbar Die RADIUS Implementierung dieses Internet Sicher heitssystems erm glicht Ihnen die Zugriffsrechte auf Proxy und Benutzerbasis zu konfigurieren Bevor Sie RADIUS Authentication einstellen k nnen ben tigen Sie einen RADIUS Server in Ihrem Netzwerk Da die Passw rter in Klartext bertragen werden empfehlen wir jedoch den RADIUS Server ausschlie lich in einer geswitchten Umgebung zu verwenden Im folgenden Abschnitt wird als Beispiel detailliert das Einrichten von Microsofts IAS RADIUS Server f r MS Windows NT und 2000 beschrieben Falls Sie einen anderen RADIUS Server ver wenden ben tigen Sie die folgenden Informationen um den Betrieb mit der Benutzerauthentifizierung des Internet Sicher heitssystems zu erm glichen Die Authentifizierungsanfrage enth lt drei gesetzte Felder e Benutzername e Passwort in Klartext PAP e Proxyart String http smtp oder socks im Feld NAS Identifier Seite 67 System bedienen amp beobachten Der RADIUS Server muss anhand dieser Informationen ent scheiden ob der Zugriff
60. tion NAT wird in Kapitel 5 3 3 ab Seite 134 beschrieben Auf jeder Netzwerkkarte k nnen bis zu 255 zus tzliche Adressen konfiguriert werden Zus tzliche Adresse einer Netzwerkkarte zuweisen 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen 3 Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein 4 W hlen Sie im Drop down Men Hardware die Netzwerk karte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Additional address on ethernet interface aus 6 F hren Sie nun die spezifischen Einstellungen f r den Schnittstellen Typ durch Address Bei diesem Schnittstellen Type kann nur eine statische IP Adresse gesetzt werden Tragen Sie in das Eingabefeld die Adresse ein Seite 110 System bedienen amp beobachten Netmask Bei diesem Schnittstellen Type kann nur eine statische Netzwerkmaske gesetzt werden Tragen Sie in das Eingabefeld die Netzwerkmaske ein Default Gateway Wenn Sie ein Default Gateway defi nieren m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie kein Default Gateway definieren m chten w hlen Sie im Drop down Men None aus 7 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Das System pr ft nun die IP Adresse und die Netzwerkmas ke auf semantische G ltigkeit Anschlie end wird die neu
61. traceroute visible ET 171 ICMP forwarding 170 ICMP on firewall 171 Ping on firewall 172 Ping Settings 172 Traceroute on firewall 171 Traceroute Settings 171 INdeX zieren 259 Seite 272 Installation Anleitung uusererserernen 21 Einf hrung ccecce 17 Konfiguration secese 26 Software nnuenennneenennnennn 21 Version 3 2x auf 4 0 aktualisieren 17 Vorbereitung 21 Interfaces Einf hrung 104 MTU SIZE na nen 132 IPSec VPN AH Protokoll 214 CA Managemert 232 Client Host Zertifikat erstellen 233 Connections neraernerer 217 Einf hrung 209 Global IPSec Settings 217 IPSee ineei iiaa aaa i 212 IPSec Connections 218 IPSec Live Log 219 IPSec Modi ccecce 213 IPSec Protokolle 214 konfigurieren seses 220 Local IPSec X 509 Key 227 Local Keys eununerernnen 227 Manual Keying 215 Policies ee 223 Policy konfigurieren 223 PSK Authentication 228 Remote Key definieren 229 Remote Keys srren 229 RSA Authentication 228 Schl sselverwaltung 215 Transport Modus 213 Tunnel Modus 213 VPN Routes erseereeerenn 218 VPN Status scc 218 Licensing see 49 Load Balancing Regel definieren 140 Regel editieren 141 Regel l schen 141 Load Balancing
62. und an schlie end im Men Definitions Network Groups zu einer Netzwerkgruppe zusammenfasen Das Hinzuf gen von Netzwerken Networks und die Erstellung von Netzwerkgruppen Network Groups wird in den Kapiteln 5 2 1 und 5 2 2 beschrieben Danach k nnen Sie wie nachfolgend beschrieben die Load Balancing Regel definieren Load Balancing definieren 1 ffnen Sie im Verzeichnis Network das Men NAT Mas querading Anschlie end ffnet sich das Fenster Add new NAT Rule 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Na men f r die Load Balancing Regel 3 W hlen Sie im Drop down Men Rule type die Funktion Load Balancing aus 4 W hlen Sie im Fenster Pre Balancing Target die original Zieladresse und den entsprechenden Dienst Service aus Address Tragen Sie hier die original Ziel Adresse ein In der Regel ist dies die externe Adresse des Internet Sicher heitssystems Service W hlen Sie hier den original Zielport Dienst aus Seite 140 System bedienen amp beobachten 5 W hlen Sie im Drop down Men Post Balancing Target Group die neue Adresse aus In der Regel ist dies eine Netzwerkgruppe aus einzelnen Hosts Nach erfolgreicher Definition wird die Load Balancing Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung Weitere Funktionen Load Balancing editieren Durch einen Klick auf die Schalt fl che edit wird die Regel in das Fenster E
63. und wartet bis ein Daten paket eintrifft Dieser Status leitet die Aushandlung der VPN Verbindung ein ohold Die Aushandlung dauert an Das bedeutet dass alle Da tenpakete gehalten werden bis der VPN Tunnel hochgefahren UP ist tun0x133a 233 23 43 1 Diese oder eine hnliche Meldung wird angezeigt sobald der Tunnel hochgefahren ist Ein VPN Tunnel mit der ID 0x133a ist hochgefahren und die IP Adresse des Remote Endpoint ist 233 23 43 1 Beispiel AB gt C gt D 23 192 168 105 0 24 gt 192 168 104 0 24 gt tun0x1234 123 4 5 6 In diesem VPN Tunnel wurden 23 Datenpakete vom Netzwerk 192 168 105 0 24 zum Netzwerk 192 168 104 0 24 geschickt Der Tunnel hat die ID 0x1234 und der Remote Endpunkt hat die IP Adresse 123 4 5 6 IPSec Live Log Das heutige Protokoll kann durch einen Klick auf die Schaltfl che View IPSec Live Log ge ffnet und in Echtzeit beobachtet werden Diese Funktion steht auch im Men Log Files IPSec VPN zur Verf gung Seite 219 System bedienen amp beobachten IPSec Verbindung konfigurieren 1 Seite 220 ffnen Sie im Verzeichnis IPSec VPN das Men Connec tions Schalten Sie im Fenster Global IPSec Settings das Modul durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich das Fenster New IPSec Con nection Tragen Sie im Eingabefeld Name einen Namen f r die neue IPSec VPN Verbindung ein Name Definieren Sie einen Namen der diesen IPSec VPN
64. vorhandenen Hardware Ressourcen zur Installation der Software nicht ausreichen wird die Installation mit der entsprechenden Fehlermeldung abgebrochen Installation Lizenzbestimmungen Schritt 4 Hinweis m Beachten Sie die rechtlichen Hinweise und Lizenz bestimmungen Die Lizenzbestimmungen akzeptieren Sie mit der F8 Taste Datum und Uhrzeit Schritt 5 W hlen Sie mit den Cursor Tasten das Land aus und best tigen Sie dies mit der Enter Taste W hlen Sie mit den Cursor Tasten die Zeitzone aus und best tigen Sie dies mit der Enter Taste Tragen Sie anschlie end in die Eingabefelder das aktuelle Datum und die Uhrzeit ein Sie k nnen mit der Tab Taste und den Cursor Tasten zwischen den Eingabefeldern wech seln Ung ltige Eingaben werden nicht bernommen Best tigen Sie die Eingaben mit der Enter Taste Netzwerkkarte ausw hlen und konfigurieren Schritt 6 Damit Sie nach der Software Installation das Internet Sicherheitssystem mit dem Tool WebAdmin konfigurieren k nnen m ssen Sie eine Netzwerkkarte definieren Diese Netzwerkkarte ist sp ter die interne Netzwerkkarte eth0 W hlen Sie aus den verf gbaren Netzwerkkarten eine aus und best tigen Sie die Auswahl mit der Enter Taste Definieren Sie anschlie end f r diese Netzwerkkarte die IP Adresse die Netzwerkmaske und das Gateway Default Gateway Beispiel Address 192 168 2 100 Netmask 255 255 255 0 Das Gateway m ssen Sie einge
65. wird wenden Sie sich bitte an den Support Ihres Sicherheitssystem Anbieters Seite 21 Installation Achtung Falls Sie diese Installation aufgrund einer nderung der Hard _warekonfiguration z B durch das Hinzuf gen oder Entfernen von Netzwerkkarten durchf hren m chten wenden Sie sich an den Support Ihres Sicherheitssystem Anbieters In besonderen F llen ist eine Neuinstallation nicht notwendig Seite 22 PC von der CD ROM booten Schritt 1 Die Navigation im Installationsmen erfolgt ber die nach folgenden Tasten Beachten Sie w hrend der Installation auch die zus tzlichen Tastenfunktionen in der gr nen Fu leiste Cursor Tasten Navigation in den Texten z B in den Lizenzbestimmungen und zur Auswahl des Keyboard Lay outs Enter Taste Die Eingabe wird best tigt und zum n chsten Punkt fortgefahren ESC Taste Abbruch der Installation Tab Taste Wechseln zwischen den Text und Eingabefel dern sowie den Schaltfl chen Achtung a Bei der Installation der Software werden alle be stehenden Daten auf dem PC gel scht Keyboard Layout Schritt 2 W hlen Sie mit den Cursor Tasten das Keyboard Layout aus und best tigen Sie dies mit der Enter Taste Hardware Test Schritt 3 Die Software pr ft die folgenden Hardware Komponenten Prozessor Fabrikat und Gr e der Festplatte CD ROM Laufwerk Netzwerkkarten sowie den IDE bzw SCSI Controller Falls die
66. wurde von einer Do main abgeschickt die in der Kontrollliste Zones enthalten ist Dieser Header wird der Nachricht hinzugef gt wenn im Drop down Men Action die Funktion Warn ausgew hlt ist Expression Filter Es besteht auch die M glichkeit dass neue Viren der Firewall noch nicht bekannt sind Diese Viren k nnen aber auch aufgrund einer bekannten Zeichenkette z B der I love you Virus er kannt werden Die Zeichenketten werden in dieses Modul eingegeben Wenn nun eine E Mail diese Zeichenkette enth lt wird sie blockiert Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kom mentars wird der Host der diese E Mail versendet hat wie derum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht e Quarantine Die E Mail wird angenommen kommt aber in Quarant ne Die E Mail wird im Men Proxy Content Mana Seite 202 System bedienen amp beobachten ger als Typ SMTP_ERR angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zur ckzusenden Pass Die E Mail wird vom Filter behandelt aber durchge lassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E
67. 0 255 255 0 0 Netzwerk hinzuf gen 1 ffnen Sie works Adresse und Netzwerkmas ke zusammen In der Netzwerk Tabelle befin den sich bereits statisch einge tragene Netzwerke Diese sta tischen Netzwerke vereinfa chen den Support und k nnen von Ihnen nicht editiert oder gel scht werden im Verzeichnis Definitions das Men Net 2 Tragen Sie im Fenster Add Network in das Eingabefeld Name einen eindeutigen Netzwerknamen ein Diesen Namen verwenden Sie sp ter z B um Paketfilter regeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Seite 96 System bedienen amp beobachten 3 Tragen Sie in das Eingabefeld IP address die Adresse des Netzwerks ein 4 Tragen Sie in das Eingabefeld Subnet mask die Netzwerk maske ein Beispiel Sie k nnen f r ein Class C Netzwerk die 255 255 255 0 eintragen oder die Bit Masken Darstellung verwenden F r ein Class C Netzwerk ist es 24 5 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add WebAdmin pr ft nun Ihre Eingaben auf semantische G ltigkeit Nach erfolgreicher Definition wird das neue Netzwerk in die Netzwerk Tabelle eingetragen Sie finden dieses Netzwerk jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder F r dieses Netzwerk k nnen Sie z B unter System Settings jetzt WebAdmin freischalten Anschlie end s
68. 1 Erstellen einer Security Group 1 Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf die Domain Beispiel Domain example com Klicken Sie mit der linken Maustaste auf die Schaltfl che New und anschlie end auf Group Anschlie end ffnet sich das Fenster New Object Group Definieren Sie im Eingabefeld Group name einen eindeu tigen Namen f r die Gruppe Beispiel socks_users f r den SOCKS Proxy W hlen Sie bei Group type die Option Security aus Speichern Sie die Eingaben durch einen Klick auf die Schalt fl che OK Sie haben nun die neue Security Group mit dem Namen socks_users erstellt Schritt 2 Benutzer der Security Group zuweisen 1 5 6 Seite 76 W hlen Sie im Verzeichnis den Benutzer aus und klicken mit der rechten Maustaste auf den Namen Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register MemberOf aus Um die neue Gruppe auszuw hlen klicken Sie auf die Schaltfl che Add Anschlie end ffnet sich das Fenster Select Groups W hlen Sie nun die Security Group aus System bedienen amp beobachten Beispiel socks_users 7 Speichern Sie die Eingabe durch einen Klick auf die Schalt fl che OK Die neue Security Group wurde nun in das Fenster MemberOf bernommen 8 Speicher
69. 4 3 2 ab Seite 35 beschrieben Interfaces to listen on W hlen Sie die Netzwerkkarte aus ber die der DNS Proxy erreichbar sein soll In der Re gel ist dies die interne Netzwerkkarte Die Netzwerkkarten werden im Men Network Interfaces konfiguriert Die Konfiguration einer Netzwerkkarte bzw Schnittstelle wird in Kapitel 5 3 1 ab Seite 104 beschrieben Allowed networks W hlen Sie die f r diesen Proxy zuge lassenen Netzwerke aus Sicherheitshinweis W hlen Sie im Men Allowed networks m glichst nicht Any aus Der DNS Proxy kann sonst von allen s Internet Teilnehmern genutzt werden Forwarding nameservers Tragen Sie in das Eingabefeld die IP Adresse des Nameservers ein Neue Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 37 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Ver lassen des Men s erhalten Seite 184 System bedienen amp beobachten 5 5 3 SOCKS SOCKS ist ein universeller Proxy der von vielen Client E Applikationen unterst tzt wird Einige Beispiele daf r sind Instant Messaging User authentication s Clients wie ICQ oder AIM FTP Clients und RealAudio SOCKS kann stellvertretend f r Clients TCP Verbindungen aufbauen und als Besonderheit auch eingehende Verbindungen mit dem TCP oder UDP Protokoll annehmen listeni
70. 5 5 7 5 7 1 5 7 2 5 7 3 5 7 4 5 7 5 5 7 6 Inhaltsverzeichnis Quality of Service QOS nunuauanananananunununnnnnnananenn 154 Accounting E 158 Connection Tracking nuauauananananananunununnnnnnnnananann 160 U Klo MRETPETBEFORELLTPLPTELLREPELEFETTLLELLEPRELEETTELLITELELTLELTLTPLT 160 Paketfilter Packet Filter uzzuuu0000000n0ananananannn 164 Rules unununununnananananananununununnnnananananunununununnanananananen 164 ICMP enunununununnnnananananananununununnnnanananananananununnnnnnnnnnn 170 Filter Live LOQ z420u0u00000nanananananan un un nn nn n nn an an an anannn 172 Application Gateways Proxies nuananananunununnnnnn 174 HTTP Surf Protection uuusuunannunnunnunnnnnnnnunnnunnunnn 174 DNS 2nuuununununnananananananununununnnnananananunanunununnanananananen 183 SOCKS ununuaunnanananananununununnnunnnnanananananananununununnnnnnann 185 POPI SPRRRRERRERAREFEREPERETEPERSEREERESTELEEFLERELELTERRLLELELTRTELERELERE 187 Ident nunuaunuanananananununununnnunnnnananananananununununnnnnnnnunn 189 SMTP nununununnanananananananunanunununnnnanananananananununnnnnnnnann 190 Antispam Content Control z uauananananananananununn 195 Proxy Content Manager unuanunnonunnonunnanunnanunnannnnen 205 Virtual Private Networks IPSec VPN z zuuuuu 209 Connections nuauanananananununununnnnananananananunununnnnnnnnann 217 Policies unuauanananunananununununnnnnnanan
71. 5 192 168 2 154 138 Rs 192 168 2 255 138 ma a Sn tretens in Echtzeit 11 29 05 192 168 2 201 137 gt 192 168 2 255 137 11129 24 192 160 2 41 138 gt 102 168 2 266 IS tabellarisch aufgelistet 11 30 12 192 168 2 193 i37 gt 192 168 2 255 137 werden 11 30 25 192 168 2 53 137 gt 192 168 2 255 137 11 30 27 192 168 2 53 137 gt 192 168 2 255 137 Durch einen Klick auf tart LiveL ze an die Schaltfl che stop Live Log start Live Log k nnen Sie die Aktualisierung anhalten und wieder fortsetzen inweis k Beachten Sie bitte dass Regeln die im Regelsatz unter Packet Filter Rules mit der Aktion Drop und Reject versehen sind u _ s nicht im Packet Filter violation Live Log auftauchen Current Packet Filter rules Im Fenster Current Packet Filter rules k nnen fortgeschrittene Administratoren in Echtzeit das Ergebnis der Filterregel Tabelle sehen und deren Umsetzung im Kernel Au erdem werden hier auch alle systemgenerierten Filterregeln angezeigt Current NAT rules Unter Current NAT rules werden alle definierten und system generierten NAT Regeln aufgelistet Seite 173 System bedienen amp beobachten 5 5 5 5 1 Status Operation mode Application Gateways Proxies W hrend der Paketfilter Packet Filter auf Netzwerk Ebene den Datenverkehr filtert wird durch den Einsatz von Proxies Application Gateways die Sicherheit der Firewall zus tzlich auf Application Ebene erh ht d
72. ARP ausgeschaltet Off Sie schalten die Funktion ein indem Sie im Drop down Men On ausw hlen QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit dem Modul Quality of Service QoS durchzuf hren muss zuvor die Schnittstelle freigegeben und konfiguriert wer den Bandbreitenmanagement kann mit Ausnahme von Add itional address on ethernet interface auf allen Schnittstellen Typen durchgef hrt werden Um die Schnittstelle f r das Modul Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Seite 131 System bedienen amp beobachten l Wichtiger Hinweis N Neben der Schnittstellenfreigabe QoS Status m ssen Sie die piz Werte Link BW kbits und Reserved unshaped Bandwidth s kbits definieren wenn Sie das Modul Quality of Service QoS einsetzen m chten Die beiden Werte dienen als Re chengrundlage f r das Bandbreitenmanagement Falsche Anga ben f hren zu einem ungenauen Management der Datenstr me Die Funktion Quality of Service QoS wird in Kapitel 5 3 7 ab Seite 154 beschrieben Link BW kbits In dieses Eingabemen tragen Sie die f r diese Schnittstelle verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorgeschalteten Schnitt stelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z
73. Anfragen ber die Datentransfer Leitung werden link beat f hige Netzwerkkarten gt ben tigt Die vom Internet Sicherheitssystem unterst tzten Hardware Komponenten sind unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compati bility List for Astaro Security Linux aufgelistet High Availability System installieren Vorbereitung 1 Installieren Sie zuerst die Software auf den beiden Rech nern und konfigurieren das Firewall System 1 wie in Kapitel 3 2 ab Seite 21 beschrieben Wichtiger Hinweis h Falls Sie das High Availability HA System nach _tr glich installieren achten Sie darauf dass das s System 2 auf die selbe Version wie System 1 upge dated wird 2 Fahren Sie beide Systeme herunter 3 Schlie en Sie das Firewall System 2 an das Firewall System 1 wie in der Grafik dargestellt an Seite 90 System bedienen amp beobachten Firewall System 1 Normal Modus konfigurieren 4 Starten Sie das System 1 5 ffnen Sie im Verzeichnis System das Men High Availa bility 6 Schalten Sie die Funktion durch einem Klick auf die Schalt fl che Enable bei Status ein Name of the device Tragen Sie in das Eingabefeld einen eindeutigen Ger tenamen ein Dieser Namen dient Ihnen zur Orientierung welches der beiden Systeme zur Zeit im Normal Modus l uft Der Ger tenamen kann maximal 11 Zeichen lang sein Encryption Key Tragen Sie in das Eingabefeld ein Pass wort ein
74. Auswahlfeld Members die Netzwerke aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben 5 Best tigen Sie nun Ihre Eingabe durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird die neue Netzwerkgruppe in die Tabelle Network Groups eingetragen Sie finden diese Netz werkgruppe jetzt unter seinem Namen auch in verschiedenen an deren Men s wieder Weitere Funktionen Netzwerkgruppe editieren Durch einen Klick auf die Schalt fl che edit werden die Daten in das Men geladen Anschlie end k nnen Sie der Netzwerkgruppe weitere Netzwerke hinzuf gen oder einzelne Netzwerke aus der Gruppe entfernen Netzwerkgruppe l schen Durch einen Klick auf die Schalt fl che delete wird die gesamte Netzwerkgruppe aus der Tabelle gel scht Seite 98 System bedienen amp beobachten 5 2 3 Services Dienste Services sind Defi Name Protocol S Port Client D Port Server Pre s I fr a e TEE a nitionen f r den Datenverkehr ber Netzwerke z B das Protocol D Port Server Command n A m a es EIS te Internet Eine Dienstedefinition BGP tcp ER 179 static b t ht N P ia EEE vn au besteht aus Namen Pro EUDORA 1024 65535 106 tatii FTP i 1024 65535 20 21 sac tokollen und Ports FTP CONTROL tep 1024 65535 21 static HBCI tep 1024 65535 3000 static HTTP tep 1024 65535 30 static HTTPS 024 65535 43 tatii ienr 1024 655385 i as Folgende Protokolle stehe
75. Authentication methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men Set tings User Authentication konfigurier haben Seite 193 System bedienen amp beobachten Die lokalen Benutzer Users werden im Men Definitions Users verwaltet Global Whitelist Euren Trusted Hosts Networks U mugg In dem Auswahlfeld kann ei ne Global Wightlist mit ver PR einer trauensw rdigen Hosts oder E Netzwerken definiert werden die in diesem Fall von den folgenden Optionen ausgeschlossen werden Selected Available e Realtime Blackhole Lists e Sender Verification e MIME Error Checking e Spam Detection e Expression Filter Dies hat zur Folge dass die ben tigte Rechenleistung f r Scan vorg nge herabgesetzt wird und dass problematische Hosts vom Content Scanning ausgeschlossen werden k nnen Trusted Domains In der Hierarchieliste kann eine Global Wightlist mit vertrauensw rdigen Domain Namen definiert wer den l Sicherheitshinweis je a Diese Funktion sollte allerdings nur mit Vorsicht eingesetzt wer den da Absenderadressen auch leicht gef lscht werden k n E Seite 194 System bedienen amp beobachten 5 5 6 1 Antispam Content Control Block RCPT Hacks Der Proxy akzeptiert keine E Mails die eine Absenderadresse mit den Zeichen o oder einem zus tzlichen enth lt Des
76. Authentifizierung SMTP ist normalerweise unverschl sselt und kann von Dritten leicht mit gelesen werden Die Funktion sollte aus diesem Grund m glichst eingeschaltet werden Authentication methods Empty list Wichtiger Hinweis Einige Mail Server z B Lotus Domino haben teilweise Fehler ie in ihrer TLS Konfiguration Diese Mail Server k ndigen beim Bii gt Verbindungsaufbau TLS an obwohl sie durch eine unvoll st ndige Konfiguration nicht in der Lage sind eine TLS Sitzung aufzubauen Wenn TLS eingeschaltet ist k nnen keine E Mails an diese Server verschickt werden Bitte kontaktieren Sie in solch einem Fall die Administratoren dieser Mailserver Wenn die Funktion TLS Transaction Encryption aktiviert ist k nnen Sie auch SMTP Authentication einschalten Mail Clients z B Microsoft Outlook Outlook Express oder Netscape Messenger k nnen sich dann am SMTP Proxy authentifizieren Dies ist f r dynamische IP Endpunkte die nicht im Men Out going Mail definiert werden k nnen sehr n tzlich Bitte verwenden Sie in den SMTP Authentifizierungseinstellungen des Clients nicht die Funktion SPA Secure Password Authenti cation Dies ist eine alternative Verschl sselungsmethode die von der Firewall nicht unterst tzt wird Verwenden Sie stattdes sen eine unverschl sselte Authentifizierungsmethode und schal ten zus tzlich f r ausgehende E Mails das TLS oder SSL Proto koll ein Mit dem Auswahlfeld
77. B eth0 aus Per Default ist die Funktion ausgeschaltet Um sie zu aktivieren w hlen Sie im Fenster Remote Syslog einen Host aus der die entsprechende Log Daten empfangen soll Nach Auswahl eines Hosts wird die Weiterleitung der entsprechenden Log Daten ohne eine weitere Meldung gestartet Die dazu n tige Definition des Hosts Netzwerk mit Netzmaske 255 255 255 255 nehmen Sie im Men Definitions Networks vor Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 96 beschrieben Seite 65 System bedienen amp beobachten 5 1 6 User Authentication Benutzerauthentifizierung User Authentication ist auf diesem Internet Sicherheitssystem mit den Proxydiensten HTTP SMTP und SOCKSv5 m glich Es kann festgelegt werden welcher Benutzer diese Proxydienste in Anspruch nehmen darf Die Benutzer Accounts k nnen lokal auf dem System im Men Definitions Users angelegt werden Es k nnen aber auch externe Benutzer Datenbanken abgefragt werden Unterst tzt werden die Authentifizierungsmethoden RADIUS SAM Windows NT Windows 2000 XP Server Microsoft Active Directory und OpenLDAP Dies kann von Vorteil sein wenn bereits eine Benutzerdatenbank auf einem solchen Server vorhanden ist und die Benutzer somit nicht noch einmal auf dem Internet Sicherheitssystem eingetragen werden m ssen Die Authentifizierung des Clients bei Anfragen an einen Proxy dienst muss durch Benutzernamen und Passwort erfolgen Auf diese Weis
78. Backup Datei erstellt werden soll Die m glichen Zeitintervalle sind T glich einmal pro Wo che und einmal pro Monat Tragen Sie in das Eingabefeld E Mail to die Adresse ein an die die automatisch erstellten Backup Dateien in regelm i gen Abst nden gesendet werden soll Durch einen Klick auf die Schaltfl che Add neben dem Ein gabefeld E Mail to bernehmen Sie die neue Adresse in das Hierarchiefeld Wenn Sie weitere E Mail Adressen hinzuf gen m chten wiederholen Sie den Schritt 5 Seite 63 System bedienen amp beobachten Falls die erste Backup Datei sofort generiert und abge schickt werden soll klicken Sie auf die Schaltfl che Start neben Send backup now Pr fen Sie die neu generierten Dateien auf Lesbarkeit in dem Sie die jeweilige Backup Datei importieren und auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System ge laden und berpr ft Wenn die Pr fsummen stimmen erhal ten Sie nun die Backup Information Brechen Sie anschlie end den Einspielvorgang ab indem Sie auf ein Men im Verzeichnis klicken E Mail Adressen bearbeiten Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 37 beschrieben Encryption Backup File Die Backup Datei enth lt alle Konfigurations Einstellungen sowie die darin enthaltenen Zertifikate und Keys Mit der Funktion En cryption Backup File kann die Datei mit DES oder 3DES ver schl sselt werden E Mail
79. Benutzern auf een bestimmte Internetseiten Extremite Stes abh ngig von der Kategorie Available der URL zu verhindern Die Kategorien basieren auf A E der URL Datenbank von Empty list a Source Networks Whitelist Blacklist oF Cobion Security Technolo Iemal Bidet gies S intemalh interface _ Internal_h_Network _ m Selected Available PEN Dieses Modul kann erst konfi Eu guriert werden wenn der HTTP Proxy eingeschaltet ist Add EI Fs no data in table Marag omas Networks Seite 179 System bedienen amp beobachten Surf Protection Profile konfigurieren Seite 180 ffnen Sie im Verzeichnis Proxies das Men HTTP ffnen Sie durch einen Klick auf die Schaltfl che New das Men Add Surf Protection Profiles Vergeben Sie im Eingabefeld Name einen eindeutigen Pro filnamen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zei chen sind m glich W hlen Sie im Auswahlfeld Categories die Themen der Internetseiten aus die von Ihrem System aus nicht ge ffnet werden sollen Die Firewall enth lt bereits 17 Surf Protection Kategorien Diese vordefinierten Kategorien k nnen von Ihnen auch editiert werden Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben W hlen Sie in den Auswahlfeldern Users und Source Net works di
80. Falls die Tabelle mehr als ein System Up2Date Pa ket enth lt starten Sie die Installation mit der kleinsten Version Auf dem HA System kann immer nur ein Paket installiert werden System bedienen amp beobachten Klicken Sie nun in der Spalte Actions auf Install Die Installation des Up2Date Pakets auf dem System 1 wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldung DONE erscheint Anschlie end wird die Installa tion automatisch auf dem Sys tem 2 gestartet In der Tabelle Unapplied Up2Dates Slave Actions install polled by slave eson n 3330 wu wird w hrend des Vorgangs eem s das Up2Date Paket und die 0 Meldung Polled by slave no locally stored Up2Date packages available an g eze i g t Die Installation auf dem System 2 wurde erfolgreich be endet wenn in der Tabelle wieder die Meldung No locally stored Up2Date packages available erscheint Falls in der Tabelle Unapplied Up2Dates Master noch Up2Date Pakete angezeigt werden wiederholen Sie die Schritte 2 und 3 solange bis keine Up2Date Pakete mehr verf gbar sind Auf dem HA System wurden alle verf gbaren Up2Date Pa kete installiert wenn in der Tabelle Unapplied Up2Dates Master die Meldung No locally stored Up2Date packages available erscheint und die angezeigten Versio nen der beiden Systeme bereinstimmen Pattern Up2Date Mit der Funktion Pattern Up2Da
81. Fenster mindestens ein Parameter ausgew hlt werden Wenn Sie die original Adresse auf ein gesamtes Netzwerk umleiten werden die darin enthaltenen IP Adressen der Reihe nach ausgew hlt Change source to SNAT W hlen Sie die neue Quell adresse f r die IP Pakete aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service source Dieses Drop down Men wird angezeigt wenn Sie bei Change source to eine Adresse ausgew hlt haben Es k nnen hier nur Dienste Services mit einem Quellport ausgew hlt werden Seite 137 System bedienen amp beobachten Change destination to DNAT W hlen Sie die neue Zieladresse f r die IP Pakete aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service destination Dieses Drop down Men wird ange zeigt wenn Sie bei Change destination to eine Adresse ausw hlen 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird die neue DNAT SNAT Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen in der NAT Tabelle weitere Funktionen zur Verf gung Weitere Funktionen Eintr ge editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie Bend k nnen Sie die Eingaben bearbeiten Eintr ge l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 3 3 2 Masquerading Masquerading i
82. Generell ist eine Zeitspanne zwischen 60 und 28800 Sekun den m glich PFS Die IPSec Schl ssel f r die IPSec Verbindung werden auf der Basis von Zufallsdaten generiert Mit Perfect Forwarding Secrecy PFS wird sichergestellt dass diese Zufallsdaten nicht bereits zur Erstellung eines anderen Schl ssels z B f r die IKE Verbindung verwendet wurden Seite 225 System bedienen amp beobachten Falls ein lterer Schl ssel gefunden oder berechnet wird k nnen daher keinerlei R ckschl sse auf den neuen Schl s sel gezogen werden Die IPSec VPN Funktion dieses Internet Sicherheitssystems unterst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X MODP 3072 und Group X MODP 4096 Wenn Sie PFS ausschalten m chten w hlen Sie No PFS aus Per Default ist bei dieser Funktion bereits Group 5 MODP 1536 eingestellt Wichtiger Hinweis mM PFS ben tigt durch den Diffie Hellmann Schl s selaustausch zus tzliche Rechenleistung PFS ist au erdem nicht immer 100 ig kompatibel unter den verschiedenen Herstellern Bei Problemen mit der Rechner Performance oder mit dem Verbin dungsaufbau zur Gegenstelle schalten Sie diese Funktion bitte aus Compression Mit Hilfe dieser Algorithmen k nnen Sie die IP Pakete bevor sie verschl sselt werden komprimieren Dieses System unterst tzt zur Zeit nur den Deflate Algo rithmus 6 Falls Sie f r diese IPSec Policy noch kei
83. IOS Namen der NT 2000 Server name und eine IP Adresse 1 ffnen Sie im Verzeichnis System das Men User Authentication 2 Schalten Sie die Funktion im Fenster SAM NT 2000 XP Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein PDC Name Tragen Sie in dieses Eingabefeld den Namen des Domain Controllers ein Da ab Microsoft Windows 2000 diese Namen auch offizielle DNS Namen sind unterst tzen wir nur Namen bestehend aus alphanumerischen sowie Minus und Punkt Zeichen Sonderzeichen z B _ werden als Fehler gewertet Seite 71 System bedienen amp beobachten PDC Address Tragen Sie in dieses Eingabefeld die IP Adresse des Domain Controllers ein BDC Name Wenn Sie einen Backup Domain Controller ver wenden tragen Sie in dieses Eingabefeld den Namen ein Falls Sie keinen BDC verwenden tragen Sie hier den Namen des PDC ein BDC Address Tragen Sie in dieses Eingabefeld die IP Adresse des Backup Domain Controllers ein Falls Sie keinen BDC verwenden tragen Sie hier die IP Adresse des PDC ein NT4 Domain Tragen Sie hier den Namen Ihrer MS Windows NT 2000 Domain ein Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 das Minus Zeichen und Unterstrich Hinweis Ta Dies ist keine Internet Domain wie etwa Firma de sondern ein einfacher Bezeichner z B Intranet 7s Falls Sie das Microsoft Domain Konzept nicht benutzen sondern nur einen einfachen Server haben tra
84. Interface Status In diesem Fenster konfigurie rss e FEN Sie die Netzwerkkarten ay 102 161 und virtuellen Schnittstellen i CORURSEN Interfaces In der Tabelle Yia Tsetmanges move aa a werden alle bereits konfigu 1 5 mac 00 50 BA E7 88 E0 type eth io e 5 ya ee rierten Netzwerkarten ange rg 10 mac 00 50 BA 12 46 1A typeseth io c800 zeigt Das linke Bild zeigt das Men Interfaces nach der Installation der Software mit drei eingebauten Ethernet Netzwerkkarten W hrend der Installation wurde die Schnittstelle mit der Bezeich nung ethO bereits konfiguriert Sie ist die Schnittstelle zwischen dem Internet Sicherheitssystem und dem internen Netzwerk LAN Per Default wird dieser Netzwerkkarte der Namen Internal zugewiesen In der Tabelle sind alle Informationen zu den konfigurierten Schnittstellen enthalten Schnittstelle ein aus Statusampel zeigt Gr n Rot der aktuelle Funktionszustand Up Down Name Name Bezeichnung Sys ID und Netzwerkkarten Typ eth wlan sowie IP Adresse und Netzwerkmaske Parameters Durch einen Klick auf die Statusampel in der Spalte Admin wird die Schnittstelle ein und ausgeschaltet Mit den Funktionen in der Spalte Actions k nnen Sie die Schnittstellen bearbeiten edit oder entfernen delete Bei diesem Internet Sicherheitssystem weisen Sie jeder virtuel len Schnittstelle einen Namen und eine bestimmte Netzwerk karte zu F r jede konfigurierte Schnittstelle werd
85. Leitfaden unter der Internetadresse http docs astaro org Die Funktionalit t von Source Network Address Translation SNAT entspricht der von DNAT mit dem Unterschied dass statt der Zieladresse Destination Address der IP Pakete die Quelladresse Source Address umgeschrieben wird Dies kann in komplexen Netzwerken n tzlich sein um Antworten Seite 135 System bedienen amp beobachten auf Verbindungen in andere Netzwerke oder auf andere Hosts umzuleiten l Tipp OS Um eine einfache Anbindung von privaten Netzwerken an das _ _externe Netzwerk Internet zu erreichen sollten Sie anstatt SNAT die Funktion Masquerading verwenden Im Gegensatz zum dynamischen Masquerading handelt es sich bei SNAT um eine statische Adressumsetzung d h jeder internen IP Adresse wird genau eine extern sichtbare IP Adres se zugewiesen DNAT SNAT Regel definieren Hinweis jj Um den Port 443 HTTPS umzuleiten m ssen Sie im Men oraren Sennas den WebAdmin TCP Port auf einen an s deren Wert ndern z B 1443 Diese Funktion wird in Kapitel 5 1 1 im Abschnitt WebAdmin Settings beschrieben Hinweis Da die Adressumsetzung vor der Filterung durch Paketfilterre i gelin erfolgt m ssen Sie im Men Packet Filter Rules die entsprechenden Regeln setzen Das Setzen der Paketfilterregeln wird ausf hrlich in Kapitel 5 4 ab Seite 164 beschrieben 1 ffnen Sie im Verzeichnis Network das Men NAT Mas q
86. Log Files werden Informationen zu Einlogg Prozessen ins Konfigurationstool WebAdmin ins Remote Shell oder in die lokale Konsole protokolliert 5 8 11 Notification In den Notification Log Files werden alle Notification E Mails die durch das Internet Sicherheitssystem abgeschickt wurden protokolliert Auf diese Weise kann der Administrator auch kritische Systemvorg nge beobachten wenn ihn keine Notification E Mails erreicht haben Hier sind alle Fehler Warnungs und Informations Codes aufge f hrt INF 000 010 050 051 052 Seite 248 System was restarted Backup file nistrator verschickt No new System Up2Dates available E Mail Text aufgef hrt Die System Up2Date Daten sind im aufgef hrt Das System wurde neu gestartet gebootet Eine Backup Datei wurde vom System automa tisch generiert und per E Mail an den Admi Das System ist auf dem aktuellsten Stand System Up2Dates successfully fetched Ein oder meherer System Up2Dates wurden auf das System geladen aber noch nicht in stalliert Die System Up2Date Daten sind im System Up2Dates successfully installed Ein oder mehrere System Up2Dates wurden er folgreich auf dem System installiert E Mail Text 053 054 060 070 System bedienen amp beobachten No new version in file var recovery incoming Es sind keine installierbaren Up2Date Pakete vorhanden New Pattern have been installed E
87. Mails in der Betreffzeile angezeigt Installation Administrator e mail addresses Tragen Sie in das Hie rarchiefeld die E Mail Adresse des Administrators ein Weitere Informationen zu diesen Funktionen erhalten Sie in Kapitel 5 1 1 ab Seite 42 Speichern Sie abschlie end die Eingaben durch einen Klick auf die Schaltfl che Save Interne Netzwerkkarte eth0 editieren ffnen Sie im Verzeichnis Network das Men Interfaces und pr fen Sie die Einstellungen der internen Netzwerkkarte eth0 Die Netzwerkkarte eth0 zum internen Netzwerk wurde von Ihnen w hrend der Installation der Software definiert Diese Netzwerkkarte wird nach dem ersten Start des Internet Sicherheitssystems im Fenster Current Interface Status angezeigt Falls Sie bei dieser Netzwerkkarte Ein g stellungen ndern m chten z B ei nen anderen Na men f hren Sie diese jetzt durch Um die Einstellungen zu editieren ffnen Sie das Men Edit Interface durch einen Klick auf die Schaltfl che edit 905C TX TX M Tornado sii 04 76 10 A7 03 type eth io c000 ine 11 00 50 BA E7 88 E0 type eth io c400 Phine 11 02 0 10 mac 00 50 BA 12 46 1A type zeth io c800 Achtung b Wenn Sie die IP Adresse der internen Netzwerk karte ethO ndern besteht die M glichkeit dass Sie sich aussperren Die Konfiguration der Netzwerkarten und virtuellen Schnitt stellen Interfaces wird in Kapitel 5 3 1 ab Seite 104 beschr
88. NDOWS Techniken kommunizieren k n nen und dabei alle Vorteile von TCP IP nutzen k nnen 1 ffnen Sie im Verzeichnis Network das Men DHCP Server Falls der DHCP Server bereits eingeschaltet ist ffnet sich das Fenster DHCP Server 2 Tragen Sie in die Eingabefelder DNS Server 1 und DNS Server 2 die IP Adressen der Nameserver ein 3 Tragen Sie in das Eingabefeld Gateway IP die IP Adresse des Default Gateways ein 4 Falls Sie einen WINS Server zuweisen m chten f hren Sie die folgenden zwei Einstellungen durch WINS Server IP Tragen Sie hier die IP Adresse des WINS Servers ein WINS node type W hlen Sie im Drop down Men die Me thode aus die der Client zur Namensaufl sung anwenden soll Falls die Einstellung Do not set note type ausgew hlt ist wird das Vorgehen vom Client selbst bestimmt Seite 143 System bedienen amp beobachten 5 Speichern Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Save Statische Adresszuweisung konfigurieren Hier k nnen Sie einigen oder sogar allen Clients in diesem Netz werk eine bestimmte IP Adresse statisch zuweisen Daf r ben ti gen Sie die MAC Adresse der Netzwerkkarte dieses Clients Wie Sie die MAC Adresse der Netzwerkkarte erhalten wird ab Seite 115 erkl rt 1 ffnen Sie im Verzeichnis Network das Men DHCP Server 2 Tragen Sie in das Eingabefeld MAC Address die MAC Adresse der Netzwerkkarte ein Die MAC Adresse muss wie im Beispiel darges
89. Name DNS und Windows Server zuweisen Verbindung mit MS Windows 2000 Hier wird in einem Beispiel Szenario beschrieben wie eine Verbindung mit PPTP Roadwarrior Access konfiguriert wird wenn auf dem Host Microsoft Windows 2000 installiert ist 1 Seite 150 ffnen Sie im Verzeichnis Network das Men PPTP Road warrior Access Schalten Sie im Fenster PPTP Roadwarrior Network Access den PPTP Status durch einen Klick auf die Schalt fl che Enable ein Statusampel zeigt Gr n Bestimmen Sie im Drop down Men Encryption die Ver schl sselungsst rke Sie k nnen zwischen weak 40 Bit und strong 128 Bit w hlen Beachten Sie dass bei Microsoft Windows 2000 im Gegen satz zu MS Windows 98 und Windows ME nur die Verschl s selungsst rke 40 Bit standardm ig installiert ist F r eine 128 Bit Verschl sselungsst rke ben tigen Sie zu s tzlich das High Encryption Pack oder Service Pack 2 SP2 kann aber sp ter nicht mehr deinstalliert werden Die ausgew hlte Verschl sselungsst rke wird sofort ber nommen System bedienen amp beobachten l Wichtiger Hinweis m Ci b Damit die Verbindung zustande kommt muss auf beiden Seiten lt die gleiche Verschl sselungsst rke eingestellt sein Wenn im WebAdmin die Verschl sselungsst rke 40 Bit eingestellt ist und Sie auf der Gegenstelle in MS Windows 2000 die Ver schl sselungsst rke 128 Bit ausw hlen kommt f lschlicher weise die Meldung unter W
90. Name resolution Alle drei Tools beinhalten die Zusatzfunktion Namensaufl sung Name Resolution Sie dient dazu dass die IP Adressen der Antwortpakete in g ltige Namen umgesetzt werden Damit die Funktion aktiviert werden kann muss im Men Proxies DNS der DNS Proxy eingeschaltet sein Seite 160 System bedienen amp beobachten Ping Mit Ping k nnen Sie die Verbindung zu einem entfernten Host testen Das Programm Ping verschickt an einen anderen Rech ner ein ICMP Echo Paket Wenn der Rechner das ICMP Echo Paket erh lt muss sein TCP IP Stack ein ICMP Echo Reply Paket an den Absender zur ckschicken So k nnen Sie fest stellen ob eine Verbindung zu einem anderen Netzwerk Rechner m glich ist Hinweis F r das Tool Ping muss im Men PACKET FILTER ICMP die Funktion ICMP on firewall aktiviert sein s F r die Funktion Name Resolution muss im Men Proxies DNS der DNS Proxy eingeschaltet und konfigu riert sein Ping starten 1 ffnen Sie im Verzeichnis Network das Men Tools 2 W hlen Sie im Drop down Men die Anzahl der Pings Sie k nnen w hlen zwischen 3 10 und 100 Pings 3 Tragen Sie in das Eingabefeld Host die IP Adresse oder den Namen ein 4 Wenn Sie die Funktion Name Resolution aktivieren m ch ten klicken Sie auf das Optionsfeld 5 Starten Sie die Testverbindung durch einen Klick auf die Schaltfl che Start Traceroute Traceroute ist ein Werkzeug um Fehler beim Routing i
91. Netzwerk 1 und Netzwerk 2 erstellt haben und die komplette Kommuni kation zwischen diesen beiden Netzwerken erlauben m chten m ssen Sie die folgenden zwei Regeln setzen 1 2 ffnen Sie im Verzeichnis Packet Filter das Men Rules Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 1 From Client Netzwerki Service Any To Server Netzwerk2 Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 2 From Client Netzwerk2 Service Any To Server Netzwerki Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Anschlie end ist die komplette Kommunikation zwischen den bei den VPN Gegenstellen m glich Seite 222 System bedienen amp beobachten 5 6 2 Policies ne Im Men Policies definieren a Sie die Parameter f r die Dar BE IPSec Verbindung und ge an rung nerieren daraus eine Policy Sue Tr l Die Policy wird f r die Erstel Enc alg 3DES CBC Authentication Algorithm MD5 160bi z lung einer IPSec Verbindung ben tigt und beinhaltet die Konfiguration der Key Ex IKE DH Group DH Group 5 MODP1536 SA lifetime secs a IPSec Setings change Methode IKE und IPSec mode me ooo die der IPSec Verbindung IPSec protocol ESP z Enc ala w Der Key Exchange steht f r Authentication
92. OpenLDAP kann jeweils das Attribut Common Name CN Surname SN oder Unique Identifier UID LDAP Server Settings Attribute Name Dieses Status gt Eingabefeld wird nur an LDAP type 3 gezeigt wenn im Drop Unique User Attribute Seifdeined down Men Unique User Attribute Name Attribute die Einstellung 1P Address Bi Selfdefined ausgew hlt wurde Definieren Sie in diesem Eingabefeld das eigene Attribut zur Bestimmung des Benutzernamens Seite 82 System bedienen amp beobachten IP Address Tragen Sie in das Eingabefeld die IP Adresse des Stand alone LDAP Servers ein TCP port Tragen Sie in das Eingabefeld den TCP Port ein Per Default ist der Standard Port 389 bereits eingetragen Bind DN Der hier einzutragende Wert h ngt vom Type des Stand alone LDAP Servers ab 1 Microsoft Active Directory Sie k nnen den User Principal Name UPN oder den ge samte Distinguished Name DN des Benutzers eintra gen Beispiele UPN admin example com DN cn administrator cn users dce example dce com 2 Novell eDirectory Tragen Sie in das Eingabefeld den gesamten Distinguished Name DN des Benutzers ein Beispiel DN cn administrator o our_organisation 3 OpenLDAP Bei OpenLDAP oder OpenLDAP konformen Stand alone Servern kann nur der Distinguished Name DN des Benutzers eingetragen werden Base DN Tragen Sie in das Eingabefeld die Objektnamen ein von wo aus der Client d
93. P Ebene wird aus der Absenderadresse und dem Absenderport sowie der Zieladresse und dem Zielport identifiziert Wenn Sie also z B testen wollen ob Sie von dem Internet Sicherheitssystem aus einen bestimmten Webserver erreichen k nnen m ssen Sie die IP Adresse des Webservers und Port 80 eingeben Seite 162 System bedienen amp beobachten Hinweis F r die Funktion Name Resolution muss im Men Proxies DNS der DNS Proxy eingeschaltet und konfiguriert sein TCP Connect starten 1 ffnen Sie im Verzeichnis Network das Men Tools 2 Tragen Sie in das Eingabefeld Host die IP Adresse oder den Namen ein 3 Tragen Sie im Eingabefeld TCP port die entsprechende Portnummer ein Beispiel Portnummer 80 f r den HTTP Dienst 4 Wenn Sie die Funktion Name Resolution aktivieren m ch ten klicken Sie auf das Optionsfeld 5 Starten Sie nun die Testverbindung durch einen Klick auf die Schaltfl che Start Seite 163 System bedienen amp beobachten 5 4 Paketfilter Packet Filter Der Paketfilter Packet Filter ist der zentrale Teil der Fire wall ber die Paketfilterregeln definieren Sie welchen Daten verkehr Sie zwischen den Netzwerken Hosts erlauben Sie k n nen au erdem festlegen dass spezielle Pakete gefiltert werden und die Firewall nicht passieren d rfen Im Men Rules setzen Sie die Paketfilterregeln und f hren das Management durch Im Men ICMP schalten Sie die ICMP Weiterleitung zwischen d
94. P erlaubt SMTP Pakete von allen anderen IP Adressen aus dem restlichen Netzwerk B d rfen nicht passieren Eine Paketfilterregel setzt sich immer aus der Quelladresse From einem Dienst Service einer Zieladresse To und einer Ma nahme Action zusammen Als Quell und Zieladresse k nnen die folgenden Werte ausge w hlt werden Die Funktionen werden in den Kapiteln zu den entsprechenden Men s erkl rt e Ein Netzwerk Network die Netzwerke werden im Men Definitions Networks definiert e Eine Netzwerkgruppe Network Group die Netzwerkgrup pen werden im Men Definitions Network Groups defi niert e Ein Schnittstellen Netzwerk Interface diese logischen Netzwerke werden beim Konfigurieren der Netzwerkkarten und Schnittstellen vom System automatisch definiert Die Schnittstellen werden im Men Network Interfaces konfi guriert Ein IPSec Remote Key Object Diese Adresse oder Portrange ben tigen Sie wenn Sie Paket filterregeln f r IPSec Roadwarrior Endpoints setzen m chten Nachdem die Paketfilterregel von Ihnen definiert wurde wird sie deaktiviert an letzter Stelle in die Tabelle eingetragen Die aktivierten Paketfilterregeln werden der Reihe nach von der Firewall abgearbeitet bis eine Regel zutrifft Die Reihenfolge der Abarbeitung wird in der Tabelle No angezeigt Falls Sie die Ta belle sp ter sortieren z B nach dem Absendernetzwerk From Client beachten Sie bitte dass die Anzeige der Regeln n
95. P y f gb Die Ta 10date tmepheckeroth 3 4 311 0 01 100 00 0 00 00 00 00 324 0 00 rox vertu ar Ie a 11date ti 192 168 2 61 3 4 128 0 01 100 00 0 00 00 00 00 88 0 00 1 2 AP E en 2 gesprotokolle k nnen anschlie 13date time192 168 2 200 i 1 343 0 00 100 00 0 00 00 00 00 2 0 00 ne N i Sig Bend ber die jeweilige Mo a E nats bersicht ge ffnet werden Im Tagesprotokoll wird f r jeden Benutzer USERID eine Zeile mit den aufsummierten Datenpaketen BYTES erstellt In die sem Tagesprotokoll k nnen Sie wiederum durch einen Klick auf die Benutzernamen und IP Adressen weitere Protokolle ffnen und so detaillierte Informationen ber den Zugriff auf den HTTP Proxy von diesem Client aus erhalten Monats bersicht laden Um eine bestimmte Protokoll bersicht zu ffnen w hlen Sie mit dem Drop down Men Select month das Jahr und den Monat aus und klicken Sie anschlie end auf die Schaltfl che Show Die Protokolle werden anschlie end in der darrunterliegenden Tabelle angezeigt Protokoll ffnen Durch einen Klick auf die Schaltfl che view wird ein Fenster mit dem Protokoll dieses Tages ge ffnet Seite 240 System bedienen amp beobachten Protokoll l schen Durch einen Klick auf die Schaltfl che del wird das Protokoll aus der Tabelle gel scht Mit Hilfe der Optionsfelder und Drop down Men in der Fu zeile der Tabelle k nnen Sie mehrere Protokolle auf einmal l schen Markieren Sie daf r die entspreche
96. Pass Die E Mail wird vom Filter behandelt aber durchgelas sen Der E Mail wird aber ein Header hinzugef gt der es er m glicht diese auf dem Mail Server oder im E Mail Programm des Empf ngers zu sortieren oder zu filtern Trigger on In diesem Drop down Men legen Sie fest welche Fehler dazu f hren dass die E Mail laut Funktion Action be handelt wird e Level 1 Diese Stufe bewirkt dass nur die E Mails mit den schwersten Fehlern behandelt werden Diese Einstellung wird Seite 197 System bedienen amp beobachten empfohlen da viele Anwender ein fehlerhaftes Verschl s selungsprogramm verwenden das bei den h heren Stufen Level 2 und 3 bereits anspricht Level 2 Mit Ausnahme der mit allt glichen Fehlern behafte ten E Mails werden alle behandelt Level 3 Alle E Mails mit Fehlern werden behandelt File Extension Filter Mit diesem Modul filtert die Firewall die Anh nge Attachments mit den Erweiterungen aus der Kontrollliste Extensions Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kom mentars wird der Host der diese E Mail versendet hat wie derum eine Bounce Nachricht an die Absenderadresse schicken Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie
97. SMTP Cancel message Die E Mails werden mit dem Vermerk cancelled by administrator an die jeweiligen Absender zur ck geschickt Diese Funktion kann nur am Typ smtp_queue ange wendet werden SMTP Attempt dequeue Der Status der E Mail wird zur ck gesetzt und der Versuch wird gestartet diese sofort zu versen den Falls durch diese E Mail nochmals ein Fehler verursacht wird erh lt Sie wieder den alten Status Diese Funktion ist bei den Typen smtp_queue und smtp_err m glich Seite 207 System bedienen amp beobachten Delete all Content of Type Um den belegten Festplattenspeicher Ihres Internet Sicherheits systems m glichst gering zu halten k nnen Sie hier alle E Mails eines bestimmten Typs l schen E Mails die w hrend des L schvorgangs vom Internet Sicher heitssystem versendet oder weitergeleitet werden sind davon nicht betroffen Achtung Seite 208 System bedienen amp beobachten 5 6 Virtual Private Networks IPSec VPN Ein Virtuell Private Network VPN ist eine sichere Kommuni kationsverbindung ber ein ungesichertes Netzwerk z B das Internet Ein VPN ist immer dann n tzlich wenn Informationen ber das Internet gesendet oder empfangen werden und gew hrleistet sein muss dass diese Informationen von keinem Dritten gelesen oder ver ndert werden k nnen Diese Verbindung wird durch die Software gesichert die auf beiden Seiten der Verbindung installiert ist Diese Software erm glicht Authenti
98. Sicherheitssystems stellt sicher dass zentrale Dienste z B der Syslog Daemon der HTTP Proxy oder das Network Accounting ordnungsgem funktionieren Zugriffsrechte auf Dateien werden ebenso berwacht wie der Anteil einzelner Prozesse am Verbrauch der Systemresourcen wodurch eine eventuelle berlastung des Systems bereits im Vorfeld verhindert wird Dar ber hinaus erh lt der System verwalter rechtzeitig Hinweise auf sich abzeichnende Ressour cen Engp sse wenn z B der verf gbare Festplattenspeicher knapp werden sollte Erforderliche Ma nahmen zur Systemer weiterung bzw Entlastung k nnen so rechtzeitig geplant werden 5 8 9 Portscan Das Portscan System erkennt Portscans und benachrichtigt den Administrator per E Mail Wenn Sie die Log Files in diesem Men analysieren ziehen Sie keine voreiligen Schl sse hin sichtlich der in diesen Protokollen angegebenen Quelladresse SRC IP Source Address und dem Quell Port SPT Source Port Diese Angaben k nnen vom eigentlichen Absender leicht gef lscht werden N tzliche Informationen erh lt man durch die Auswertung der Ziel Adresse DST Destination IP Adresses und des Ziel Portes DPT Destination Port Die Funktion Portscan Detection wird im Men Network Portscan Detection eingeschalten und konfiguriert Die Administrator E Mail Adresse richten Sie im Men Sys tem Settings ein Seite 247 System bedienen amp beobachten 5 8 10 Admin Access In diesen
99. Sie haben auch die M glichkeit Hosts oder Netzwerke vom Accounting auszuschlie en Nach Installation des Internet Sicherheitssystems sind alle Netzwerke in die Accounting Funk tion einbezogen Netzwerk vom Accounting auszuschlie en k nnte von Interesse sein wenn z B die Netzwerkkarte zur DMZ im Accounting ein getragen ist aber ein einzelner Rechner im DMZ nicht mitgez hlt werden soll Da er eventuell nur f r interne Zwecke genutzt wird macht es keinen Sinn seine Traffic Daten in die Abrechnung einzubeziehen Im Men Reporting Accounting k nnen Sie nach entsprechen der Definition das Accounting beobachten Seite 158 e System bedienen amp beobachten l Wichtiger Hinweis h F hren Sie das Accounting nicht auf Gigabit Netzwerkkarten aus Durch die hohen Datenmengen kann diese Funktion sonst s zu einer Auslastung des Prozessors CPU f hren Netzwerkkarte hinzuf gen entfernen ffnen Sie im Verzeichnis Network das Men Accounting Schalten Sie die Funktion durch einen Klick auf die Schalt fl che Enable ein Anschlie end ffnet sich das Fenster Traffic Accounting Bestimmen Sie die Netzwerkkarten mit dem Auswahlfeld Interfaces Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben Netzwerk ausschlie en 1 2 ffnen Sie im Verzeichnis Network das Men Accounting Schalten Sie die Funktion durch einen Klick auf die Schalt fl che Enable ein Anschlie
100. Sie mit der linken Maustaste unter Active Direc tory Schema auf das Verzeichnis Classes Klicken Sie mit der rechten Maustaste auf das Verzeichnis Users Anschlie end ffnet sich das Fenster User Properties Klicken Sie auf das Register Attributes und f hren Sie die folgenden Einstellungen durch Optional W hlen Sie im Auswahlfeld das Attribut aus und bernehmen Sie dieses durch einen Klick auf die Schalt fl che Add Beispiel Socks Speichern Sie die Eingaben durch einen Klick auf die Schalt fl che OK Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema Klicken Sie mit der linken Maustaste auf die Schaltfl che Reload the Schema Schritt 4 Attribut einem Benutzer User zuweisen 1 Klicken Sie im Verzeichnis ADSI Edit mit der rechten Maustaste auf den entsprechenden Benutzer Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register Attributes aus und f hren Sie die folgenden Einstellungen durch Select which properties to view W hlen Sie Both aus Select a property to view W hlen Sie hier das Attribut aus Beispiel Socks Seite 79 System bedienen amp beobachten Syntax Dieser Wert wird beim Erstellen des Attributs ge setzt und kann hier nicht mehr ge ndert werden Beispiel I
101. System bedienen amp beobachten Destination und Port ausgew hlt Falls mehrere Verletzungen mit derselben Quell und Zieladresse und denselben Ports stattfanden wird in der Spalte Start der Zeitpunkt der ersten und in der Spalte End der Zeitpunkt der letzten Verletzung angegeben Weitere Funktionen Protokoll einsehen Durch einen Klick auf die Schaltfl che view wird ein Fenster mit dem Bericht dieses Tages ge ffnet Protokoll l schen Durch einen Klick auf die Schaltfl che del wird der Eintrag aus der Tabelle gel scht Mit Hilfe der Optionsfelder und dem Drop down Men in der Fu zeile der Tabelle k nnen Sie mehrere Protokolle auf einmal l schen Markieren Sie daf r die entsprechende Zeile durch einen Klick auf das Optionsfeld W hlen Sie anschlie end im Drop down Men delete aus und klicken Sie auf die Schaltfl che go Seite 243 System bedienen amp beobachten 5 8 Log Files Log Files ber Log Files k nnen Sie sich die vom System archivierten Protokolle anzeigen lassen Mit Ausnahme von Accounting und WELF k nnen die Protokollfunktionen mit Live Log in Echtzeit beobachtet werden Alle Protokoll Log File bersichten im Verzeichnis Log Files sind gleich aufgebaut und beinhalten bis auf wenige Ausnahmen die gleichen Funktionen Beim ffnen einer Protokoll St i Live Log Ser Log File bersicht wird im Select month 2002 06 x _Show d k Il M mer der aktuelle Monat a
102. Tunnel eindeutig beschreibt Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 und Unterstrich Type W hlen Sie hier den Verbindungs Typ aus Der Typ Standard dient f r NET to NET Verbindungen Der Typ Roadwarrior eignet sich f r HOST to NET Ver bindungen z B f r Au endienstmitarbeiter Diese k nnen ber ihr Laptop eine IPSec Verbindung zum firmeninternen LAN aufbauen Eine Roadwarrior Verbindung kann nur ber ein Default Gateway angeschlossen werden Hinweis S An eine Roadwarrior Verbindung k nnen mehrere Remote Key Objekte hinzugef gt werden Der Konfi Sg gurationsaufwand wird dadurch erheblich verringert Die weiteren Einstellungen richten sich nun nach dem aus gew hlten Verbindungs Typ W hlen Sie im Drop down Men IPSec Policy eine Policy aus In der Policy werden die Parameter f r die IPSec Ver bindung generiert Dies beinhaltet die Einstellung der Key Exchange Methode IKE und der IPSec Verbindung Im Drop down Men sind bereits vordefinierte Policies ent halten Im Men IPSec VPN Policies k nnen Sie eigene IPSec Policies konfigurieren System bedienen amp beobachten Die Konfiguration einer IPSec Policy wird in Kapitel 5 6 2 ab Seite 223 beschrieben 5 W hlen Sie im Fenster Endpoint Definition die Endpunkte des IPSec Tunnels aus Local Endpoint W hlen Sie hier den lokalen Endpunkt aus W hlen Sie als lokalen Endpunkt immer die Netzwerk karte aus die in Richtung des and
103. Weiteren werden auch E Mails nicht akzeptiert die mit einem Dot beginnen Realtime Blackhole Lists RBL Mit dem Modul RBL k nnen externe Datenbanken mit den ihnen bekannten Spam Hosts abgefragt werden Im Internet werden mehrere Dienste dieser Art angeboten Durch diese Funktion kann der Umfang an unerw nschten E Mails stark reduziert wer den Einen kommerziellen Dienst finden Sie unter der Internetadresse http www mail abuse org Action In diesem Drop down Men legen Sie fest wie eine gefilterte E Mail behandelt wird die von einer der aufgef hrten Domains abgeschickt wurde Folgende Aktionen sind m glich e Warn Wenn eine E Mail von einer Domain abgesendet wur de die in einer der Datenbanken in der Kontrollliste Zone enthalten ist wird ihr der Header X RBL Warning hinzuge f gt Die verschiedenen Header wird in der Beschreibung zum Modul Spam Detection erkl rt e Reject Die E Mails die von einer Domain aus der Datenbank in er Kontrollliste zugesendet wurden werden nur zur ckge wiesen e Zone Tragen Sie in die Kontrollliste die Adressen der Daten banken ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Seite 195 System bedienen amp beobachten Sender Address Verification Mit dieser Funktion werden die Absenderadressen von einge henden E Mails berpr ft Es wird gepr ft ob die Domain des Absenders existiert F
104. a zwischen Client und Server keine direkte Verbindung besteht Jeder Proxy kann speziell f r seinen Dienst wiederum weitere Sicherheitsdienste anbieten Durch das Wissen jedes Proxies um den Kontext seines Dienstes ergeben sich umfangreiche Si cherungs und Protokollierungsm glichkeiten Die Analyse ist auf dieser Kommunikationsebene besonders intensiv m glich da der Kontext der Anwendungsdaten jeweils klar durch Protokollstan dards definiert ist Die Proxies konzentrieren sich dabei auf das Wesentliche Im Verzeichnis Proxies w hlen Sie die gleichnamigen Proxies aus und konfigurieren die Einstellungen Zu Beginn sind alle Proxies ausgeschaltet Die Firewall beinhaltet die Proxydienste HTTP Web DNS Nameserver SOCKS Punkt zu Punkt Verbindung POP3 Ident SMTP E Mail und Proxy Content Manager HTTP Surf Protection M Te Mei HTTP Konfigurieren N 3 Sie die Firewall als HTTP E Cache Proxy Dieser Proxy Log level Anonymity TCP Port mu ist neben dem reinen Weiter leiten von WWW Anfragen auch in der Lage diese Sei Cave Allowed networks Allowed target services ten zwischenzuspeichern H ufig aufgerufene Seiten werden dann nicht mehr ber das Internet neu geladen sondern nach der ersten Selected FTP CONTROL HTTP HTTPS LDAP_TCP sau d Selected bertragung nur noch aus dem Cache des Proxies ab gerufen Seite 174 System bedienen amp beobachten
105. absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Quarant ne Die E Mail wird im Men Proxy Content Mana ger als Typ SMTP_ERR angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zur ckzusenden Pass Die E Mail wird vom Filter behandelt aber durchge lassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Pro gramm des Empf ngers zu sortieren oder zu filtern Extensions Tragen Sie in die Kontrollliste alle Dateierweite rungen z B exe ein die von der Firewall gefiltert werden sollen Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Seite 198 System bedienen amp beobachten Virus Protection Mit dieser Funktion werden E Mails und Anh nge Attachments auf gef hrliche Inhalte z B Viren und Trojanische Pferde unter sucht Der Scanvorgang wird im E Mail Header vermerkt Falls Virus Protection eine infizierte E Mail entdeckt wird diese von der Firewall gefiltert Die weitere Behandlung der E Mail h ngt von der Einstellung im Drop down Men Action ab Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund diese
106. ach dem das Internet Sicherheitssystem automatisch den spezifizierten Up2Date Server anw hlt und diesen auf neue Pattern Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde jeden Tag einmal pro Woche Sicherheitshinweis mn Stellen Sie das Intervall auf jede Stunde ein damit Ihr Virenscanner immer auf dem aktuellsten Stand Seite 58 System bedienen amp beobachten Der automatische Pattern Up2Date ist jetzt aktiviert Das Internet Sicherheitssystem pr ft nun regelm ig auf dem Up2Date Server ob neue Pattern Up2Dates zur Verf gung stehen Sobald ein neues Pattern Up2Date installiert ist erh lt der Administrator eine E Mail in der die zuletzt installierten Virensignaturen aufgelistet sind Beim High Availability HA System wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert 5 1 4 Backup Mit der Backup Funktion Spare basin Eerme k nnen Sie die Einstellungen Import backup E Ihres Internet Sicherheitssys Emal Backup nie tems auf einer lokalen Fest Status ee platte sichern Emalto U E Mit Hilfe der Backup Datei sind DE gx Sie in der Lage ein neu instal Beh EE J liertes System auf einen iden Send backup now Status Passphrase Confirmation tischen Konfigurationsstand zu bringen Dies ist bei einem Start pangsi iatu di Hardwaredefekt besonders s9 hilfreich da binnen Minuten
107. achten Mit diesen Regeln wird im Worst Case jedem Datenpaket von diesen beiden Servern je die H lfte der Bandbreite 1MBit s zu gewiesen Falls Sie z B dem FTP Server im Drop down Men Weight den Anteil high 3 und dem Web Server den Anteil low 1 zuweisen erh lt das Datenpaket vom FTP Server 1 5 Mbit s und das Datenpaket vom Web Server 0 5Mbit s der Band breite QoS Regel setzen Bevor Sie in diesem Men die Regeln f r das Bandbreiten management setzen k nnen m ssen Sie im Men Network Interfaces die entsprechende Schnittstelle f r das Modul QoS freigeben und die Werte Link BW und Reserved unshaped BW definieren Die speziellen Einstellungen auf der Schnittstelle f r das Modul QoS werden im Kapitel 5 3 1 7 ab Seite 131 erkl rt 1 ffnen Sie im Verzeichnis Network das Men Quality of Service QoS 2 W hlen Sie im Drop down Men from Client die Daten quelle aus 3 W hlen Sie im Drop down Men Service den Dienst Service oder die Dienstegruppe Service group aus Mit Ausnahme von FTP k nnen nur Dienste ausgew hlt wer den die keine Portrange enthalten 4 W hlen Sie im Drop down Men To Server das Datenziel aus 5 Definieren Sie mit dem Drop down Men Weight den Anteil mit dem diese Regel am Bandbreitenmanagement beteiligt ist high 3 low 2 medium 1 6 Definieren mit dem Drop down Men Borrow das Verhalten dieser Regel den anderen Datenpaketen gegen ber don t borrow Die
108. aiapidu 164 Schlie en automatisch s es 46 Schnittstellen Seite 274 Aktuelle bersicht 106 Einf hrung 104 Ethernet Netzwerkkarte 108 Hardware bersicht 107 Link BW ncccsscr 132 PPPoA DSL einrichten 129 PPPoE DSL einrichten 126 PPPoE DSL Verbindung 125 128 Proxy ARP vneesnennnnenenennn 131 QoS Status s 131 Resered unshaped Bandwidth 132 Virtual LAN acsee 122 Virtual LAN einrichten 124 Wireless LAN sscccssssse 112 Wireless LAN Access Point einrichten 116 Wireless LAN Station einrichten 119 Zus tzliche Adresse 110 zus tzliche Adresse ZUWEISEN zeneeneeneeeeeenn 110 Zus tzliche Einstellungen BER RUE ORTHTT EINE 131 Search Suche starten sescas2 2 259 Search zur E e 259 Secure Shell ussusssaennneennn 48 Serielle Konsole 2s22222 261 Service GrOUPS ssec 101 SErVICES asiana aaka aa 99 SEtLINgS inne Haren nn 42 Shut down seecnssnnnnnnnnnennn 94 Shut down Restart 94 SMTP Antispam Content Control De en dere 195 Encryption Authentication EC RER HERNE TEEN 193 Global Whitelist 194 SMTP Proxy konfigurieren cesce 191 SMTP Queue BOUNCE sarisi eat 206 fFOZEN a 206 frozen bounce ssec 206 SMTP Relay Postmaster address 191 SOCKS Proxy Benutzerauthentifizierung En a a N aA 186 konfigurieren secc 185 Statisches Routing definieren ur 133 Einf hrung esscr 133 Syslog Einf
109. ail erfolgen W hlen Sie im Drop down Men VPN Identifier den VPN ID Type der Gegenstelle aus Bei den Optionen E Mail Ad dress Full qualified domain name und IP Address m ssen Sie die zugeh rige Adresse oder den Namen in das darunter liegende Eingabefeld eintragen X 509 W hlen Sie im Drop down Men VPN Identifier den VPN ID Type aus Bei den Optionen E Mail Address Full qualified Domain Name oder IP Address m ssen Sie die zugeh rige Adresse oder den Namen in das darunter liegende Eingabefeld eintragen F r den VPN ID Type Distinguished Name ben tigen Sie die folgenden Daten aus dem X 509 Verzeichnisbaum Country C State ST Local L Organization O Unit UO Common Name CN und E Mail Address E Mai Hinweis TS Beachten Sie zum Aufbau eines X 500 Verzeichnis ses auch den Leitfaden Directory Services unter der Internetadresse http docs astaro org 5 Um das neue IPSec Remote Key Objekt zu bernehmen klicken Sie auf die Schaltfl che Add Das neue IPSec Remote Key Objekt wird anschlie end in der Tabelle Remote Keys angezeigt Seite 231 System bedienen amp beobachten Die CA Management Remote Keys werden in einer separaten Tabelle angezeigt 5 6 5 CA Management Certificate Authority CA ist die Ausgabestelle von Zerti fikaten f r ffentliche Schl ssel Im Men CA Management k nnen Sie Ihre eigene X 509 Certificate Authority CA er stellen und verwalten Diese werden bei einer
110. al Users nen und Diensten die entsprechende Authentifizierungsmethode oder ei Select to append i _ ne Netzwerkkarte Interface zuge wiesen Die Authentifizierungsmethode und die Netzwerkkarten m ssen vom Administrator zuerst konfiguriert werden Falls entspre chende Definitionen zur Verf gung stehen wird die Meldung Select to append angezeigt Falls dem Auswahlfeld keine Definitionen zur Verf gung stehen erscheint die Meldung Empty List Authentifizierungsmethode oder Netzwerkkarte zuordnen 1 2 Seite 36 ffnen Sie das Drop down Men W hlen Sie die Authentifizierungsmethode bzw die Netz werkkarte aus indem Sie mit der Maus auf den entspre chenden Namen klicken Der Name wird sofort in das Feld verschoben WebAdmin Werkzeuge Authentifizierungsmethode oder Netzwerkkarte entneh men 1 Markieren Sie im Auswahlfeld den Namen der aus der Zuordnung gel scht werden soll durch einen Doppelklick Der Name wird sofort in das Drop Down Men verschoben 4 3 3 Europe Berlin z NTP_Server_Atlanta NTF_Server_Berlin NTP_Server_Bern NTP_Server_Canberra NTP_Server_Colorado NTP_Server_Erlangen NTF_Server_Fukuoka NTP_Server_Hong Kong NTP Server Palo Alto 4 3 4 Das Hierarchiefeld Add aw av 1 dummy fw notify net RAvY 2 mustermann agency com RAvVY 3 rstriegel astaro com RAvY 4 mueller agen
111. alls die Domain nicht existiert wird die E Mail zur ckgewiesen Wenn zus tzlich die Funktion Callout eingeschaltet ist nimmt der Proxy Verbindung zum SMTP Relay des Absenders auf und pr ft durch einen RCPT Befehl ob der Absender von diesem Server akzeptiert wird Sollte dies nicht der Fall sein wird der Proxy keine E Mails von dieser Adresse mehr annehmen Sender Blacklist Mit dieser Funktion k nnen E Mails von bestimmten Absender adressen z B von bekannten Spam Hosts geblockt werden Beide Absenderadressen auf dem Umschlag sowie die From und Reply To Header der eingehenden E Mails werden mit der Kon trollliste verglichen Tragen Sie die E Mail Adressen wie nachfolgend beschrieben in die Kontrollliste Patterns ein e E Mails einer bestimmten Adresse sollen geblockt werden Eingabe user domain com e Alle E Mails einer bestimmten Domain sollen geblockt werden Beispiel domain com e Alle E Mails eines bestimmten Benutzers sollen blockiert wer den egal von welcher Domain diese abgesendet werden Beispiel user Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Wenn die Firewall nun eine E Mail von einer Adresse aus der Kontrollliste empf ngt wird diese mit der Fehlermeldung 5xx und dem Kommentar Your address envelope or header is blacklisted at this site zur ckgesendet Seite 196 System bedienen amp beobachten MIME Error Check
112. anananununununnanananananen 223 Local KeyS unuauananananunununnnnnnananananununununnnnnnananananannn 227 Remote KeyS uunuunnunnunnunnunnnunnunnunnunnunnunnnnnnunnunnunnen 229 CA Management unnanunnonunnannnnanunnannnnunnnnannnnan namen 232 System Management Reporting unuananananan 237 Hardware nununuananunananunununnnnnnananananunununununnnnananananannn 237 Network ununuauananananananununununnnnananananunununununnanananananen 238 HTTP Proxy Cache ununununnananananananunanunnnnanananananen 239 HTTP Proxy Usage nnuunnonnonnonnunnunnunnunnnunnunnunnunnunnen 240 Accounting uusauauananananananananunununnnnnnanananananananannnn 241 Packet Filter zzu20u000000nnananananananununnnnnnan an an an anne 242 Seite 7 Inhaltsverzeichnis 5 8 5 8 1 5 8 2 5 8 3 5 8 4 5 8 5 5 8 6 5 8 7 5 8 8 5 8 9 5 8 10 5 8 11 5 8 12 5 8 13 5 8 14 5 9 5 10 6 6 1 6 2 Glossar Seite 8 Log Files Log Files nunuananananunununnnunnnnananananannn 244 CS 2 1 EE O O 245 SMTP Relay nunuanananananunanunununnnnanananananananununnnnnnnnann 245 HTTP Proxy nuunnunnunnunnunnnunnnnnunnunnunnunnunnnunn un nun nun nun nen 246 P acket Filter uuua00saan innen ann inniinn 246 PPTP Roadwarrior AcceSS uuunuunnnnunnnunnunnnnnunnnnnnnunn 246 IPSec VPN u 10 0 a nn aaa nn a aan 246 Daemon uuuuu00000nnnnnnnnnnnnnnnnnnnnn nun nun nn nun nun nnnnnnnnnnn 246 Selfmoni
113. andelt NAT die Empf ngeradresse wieder in die urspr ngliche IP Adresse der Seite 134 System bedienen amp beobachten lokalen Station um und stellt das Paket ordnungsgem zu Theoretisch kann NAT interne Netzwerke LANs mit beliebig vielen Clients verwalten Durch Destination Network Address Translation DNAT wird die Zieladresse Destination Address der IP Pakete um geschrieben Dies ist besonders interessant wenn Sie ein priva tes Netzwerk hinter Ihrem Internet Sicherheitssystem betreiben und Netzwerkdienste im Internet verf gbar machen wollen l Wichtiger Hinweis S DNAT kann nicht in Verbindung mit PPTP Roadwarrior Access verwendet werden Beispiel Ihr internes Netzwerk hat den Addressraum 192 168 0 0 255 255 255 0 Sie m chten nun Ihren Webserver der auf dem Server mit der IP Addresse 192 168 0 20 auf Port 80 l uft f r Clients aus dem Internet erreichbar machen Die Clients k nnen dessen Adresse nicht direkt ansprechen da der Adressbereich 192 168 im Internet nicht geroutet wird Es ist jedoch m glich vom Internet aus die externe Addresse Ihres Internet Sicherheitssystems anzusprechen Mit DNAT k nnen Sie z B den Port 80 auf der externen Schnittstelle des Internet Sicherheitssystems auf den Webserver umleiten l Hinweis m b Die Einstellungen f r einen Webserver hinter dem Internet piz Sicherheitssystem werden im Leitfaden Web Server DNAT beschrieben Sie finden den aktuellen
114. ang befin den Im Fenster Regelbeschreibung k nnen Sie Ihre Einstel lungen ndern Klicken Sie anschlie end auf die Schaltfl che Fertig stellen Regeln in dieser Reihenfolge anwenden Schritt 6 System bedienen amp beobachten Im Regel Assistenten k nnen Sie die Regeln durch einen Klick auf das Optionsfeld aktivieren und deaktivieren sowie Anderungen durchf hren Um den Regel Assistenten zu schlie en klicken Sie auf die Schaltfl che OK 5 5 7 Proxy Content Manager Im Men Proxy Content Manager k nnen Sie alle E Te MALS einsehen die von den f f 2003 01 28 07 01 14 8340 1 pop3 2003 01 28 07 28 i De EP REE EE Proxies der Firewall gefiltert R a wurden oder wegen eines J 18afzY 000112 00 smtp_err 2003 01 20 18 45 bounce gt do not reply fw notify net Fehlers nicht weitergeleitet e a m 035 Mail delivery failed returning message to sender werden kon nten Cause 2003 01 20 18 45 48 do not reply fw notify net R dnslookup T remote_smtp retry time not reached for any host after a long failure period Frozen delivery error message T 18afvm 00000G 00 smtp_err 2003 01 20 18 41 D i ena chfo g en d au fg ef h rte n bounce gt do not reply fw notify net N a Begriffe und Stati ben tigen Cause 2003 01 20 18 41 54 do not reply fw notify net R dnslookup T remote_smtp retry time not 5 F f E hed fe hi ft I fail d er Sie um die E Mails in diesem f 2003 01 20 07 01 09 14825 2 pop3 2003 01
115. arif dsl flat erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http docs astaro org PPP over Ethernet PPPoE DSL einrichten Seite 126 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein W hlen Sie im Drop down Men Hardware die Netzwerk karte aus Tipp am W hlen Sie als Schnittstelle zum externen Netzwerk gt Internet die Netzwerkkarte mit der Sys ID ethi es aus Eine Netzwerkkarte auf der bereits die prim re Netzwerk karten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden W hlen Sie im Drop down Men Type den Schnittstellen Typ PPP over Ethernet PPPoE DSL connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein System bedienen amp beobachten Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Username Tragen Sie hier die Zugangsdaten Ihres Provi ders ein Password Tragen sie hier das Passwort Ihres Providers ein 6 Best tigen Sie Ihre Einga
116. arstellung 2 Verzeichnis 2m 2 gaf TH 82 Language 3 Men ea T Use siow adjustment 4 Online Hilfe 4 1 Info Box 4 1 1 Astaro AV security linux Enterprise Gigabit Version System Manages the basid Enter your liceng Proxies Definition of proxy IPSec YPN Definition of the V I Hide tooltips width ME Reporting System status an Last Login Zeigt an Info Box WebAdmin Darstellung In der linken oberen Ecke wird die von Ihnen erworbene Lizenz die Systemzeit und die Zeitzone angezeigt Die hinter legte Info Box wird ge ffnet wenn Sie mit der Maus die Zeitangabe ber hren Folgende Informationen werden ange zeigt j Uptime Dokumentiert die Verf gbarkeit Ihres Internet Sicherheitssystems d h den Zeitraum seit dem das System ohne Unterbrechung verf gbar ist User Zeigt an welcher Benutzer von welchem Client aus gerade auf den WebAdmin zugreift wann und von welchem Client aus das letzte Mal auf den WebAdmin zugegriffen wurde Seite 33 WebAdmin Werkzeuge 4 1 2 4 2 Proxy content manager WebAdmin Darstellung Hide tooltips Durch einen Klick auf das Optionsfeld werden die gelben Info Anzeigen Tooltips in den Men s ausgeschaltet Width In diesem Drop down Men k nnen Sie die Aufl sung des WebAdmin Ihrem Monitor anpassen M gliche Einstellungen sind 1024x768 800x600 und
117. ass der jeweilige Mail Server die E Mails an unbekannte Adressen auf SMTP Ebene zur ckweist Die Grundregel ist Wenn der Mail Server die E Mail zur ckweist dann wird auch die Firewall diese zur ckweisen W hlen Sie nun im Fenster Outgoing Mail die Netzwerke oder Hosts aus die in der Lagen sein sollen ber den SMTP Proxy E Mails zu versenden Sicherheitshinweis mn TS Die Nachrichten die von diesen Netzwerken aus ab piz geschickt werden werden von Spam Detection nicht s gescant Use Smarthost Wenn Sie zum Versenden von E Mails einen Upstream Smarthost verwenden m chten schalten Sie diese Funktion ein und tragen den Hostnamen oder die IP Adresse in das Eingabefeld ein Der Proxy stellt in diesem Fall die E Mails nicht selbst zu sondern schickt alles an den Smarthost Dies gilt allerdings nicht f r E Mails deren Domain im Fenster Incoming Mail definiert sind F r den Smarthost k nnen optional noch Benutzername Username und Passwort Password definiert werden System bedienen amp beobachten Encryption Authentication Encryption Authentication Mit der Funktion TLS Trans action Encryption werden alle ein und ausgehenden E TLS transaction encryption eo Enable TLS transaction encryption os Ne 2 nn Mails automatisch stark ver schl sselt Voraussetzung ist dass der externe Host diese Funktion unterst tzt TLS wird auf der Firewall nur zur Verschl sselung eingesetzt nicht zur
118. aten wie FTP Dateien News WWW Sei ten abgerufen werden Ein Host wird im Internet auch als Node Knoten bezeichnet Auf einem Internet Host im Unterschied zum Localhost kann man zum Beispiel ber Telnet auch aus der Ferne arbeiten Remote Access ICMP Neben dem IP Protokoll gibt es eine Variante mit speziellen Funktionen Das Internet Control Message Protocol ICMP wird zur bermittlung von Kontrollinformationen zwischen akti ven Netzwerkkomponenten oder Rechnern verwendet Den meis ten Anwendern sind die ICMP Typen Echo Typ 8 und Echo Reply Typ 0 im Zusammenhang mit dem Programm ping be kannt Empf ngt ein Rechner ein ICMP Echo Paket so muss sein IP Stack ein ICMP Reply Paket an den Absender zur ckschicken Man macht dies mit dem Programm ping um festzustellen ob eine andere Netzwerkkomponente ber IP zu erreichen ist IP Das Internet Protocol ist das Basisprotokoll f r die Daten bertragung im Internet das seit 1974 nahezu unver ndert in Gebrauch ist Es regelt den Verbindungsauf und abbau sowie die Fehlerkennung Durch Verwendung von NAT und Mas querading k nnen private Netzwerke auf offizielle IP Adressen gemappt werden auf diese Weise wird der Ipv4 Adressraum noch lange ausreichen IP Adresse Jeder Host besitzt eine eindeutige IP Adresse vergleichbar mit einer Telefonnummer Eine IP Adresse besteht aus vier durch Punkte voneinander getrennte dezimale Ziffern Die m glichen Ziffern sind O
119. ation einer Schnittstelle zum Virtual LAN ben gt tigen Sie eine Netzwerkkarte mit tag f higem Treiber Die vom S Internet Sicherheitssystem unterst tzte Hardware ist unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufgelistet Seite 123 System bedienen amp beobachten Virtual LAN einrichten 1 2 Seite 124 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein W hlen Sie im Drop down Men Hardware eine Netzwerk karte aus W hlen Sie im Drop down Men Type den Schnittstellen Typ VLAN ethernet interface aus F hren Sie nun die spezifischen Einstellungen f r den Schnittstellen Typ VLAN ethernet interface durch Address Weisen Sie der virtuellen Schnittstelle eine IP Adresse zu Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m ch ten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintra gen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netzwerkmaske durch einen DHCP Server zu weisen lassen m ch
120. ationstool WebAdmin von Ihrem Ar beitsplatz aus Hinweise zur Funktionali t t des WebAdmin ent nehmen Sie der Online Help Die Hilfe wird ber die Schaltfl che ge ff C net Zur Zeit ist die On _ line Hilfe nur in engli scher Sprache verf gbar Hostname Time zone Use NTP server Please select z Auf den folgenden Seiten i rs k nnen Sie die Daten zur Boe Konfiguration z B das Default Gateway und die l IP Adressen der instal lierten Netzwerkkarten in die entsprechenden Felder eintragen und an schlie end archivieren Language Engish z Ei webadnn verson 4 000 on host domari con 192 168 2 15 A 8 rener Achtung Falls Sie Ihr Internet Sicherheitssystems von Version 3 2x auf Version 4 0 aktualisieren und die bestehende Konfiguration bernehmen wollen m ssen Sie zuvor Ihr bestehendes System mindestens auf Version 3 216 updaten Weitere Infor mationen zum Up2Date Service und zur Backup Funktion er halten Sie in den Kapiteln 5 1 3 und 5 1 4 Seite 17 Installation 3 1 Systemvoraussetzungen Damit Sie das Internet Sicherheitssystem auf Ihrer Hardware in stallieren k nnen m ssen die nachfolgenden Voraussetzungen erf llt sein Hardware e Prozessor Pentium II oder kompatibel e 128 MB Arbeitsspeicher e 8 GB IDE oder SCSI Festplatte e Bootf higes IDE oder SCSI CD ROM Laufwerk e 2 oder mehr PCI Ethernet Netzwerk
121. atte oder des Prozessors Bei diesem High Availability HA System werden zwei Internet Sicherheitssysteme mit identischer Hardware parallel geschaltet Das Firewall System 1 l uft im Normal Modus Master Das Firewall System 2 befindet sich im Hot Standby Modus Slave und berwacht das aktive Sicherheitssystem ber die Daten transfer Leitung mittels Link Beat Das Firewall System 1 schickt ber diese Verbindung in regelm igen Abst nden Heart Beat Anfragen die vom Firewall System 2 beantwortet werden ber die Datentransfer Leitung wird das Firewall System 2 bei Bedarf auch aktualisiert damit es bei einem Ausfall des aktiven Systems sofort deren Funktion bernehmen kann Externes Netzwerk lt gt Eee Router gt Internet EI switch Internes Netzwerk LAN l externe IP Datentransfer Firewall 1 Firewall 2 Normal Hot Standby Modus Switch Modus Seite 89 System bedienen amp beobachten Hardware und Software Voraussetzungen e Die High Availability HA Lizenz e 2 Internet Sicherheitssysteme mit identischer Hardware e 2 zus tzliche Ethernet Netzwerkkarten f r die Datentransfer Leitung falls die berwachung mittels Heart Beat Anfragen erfolgen soll ben tigen Sie hier 2 link beat f hige Ethernet Netzwerkkarten e Ein Ethernet Crossover Kabel e Ein Serielles Schnittstellenkabel optional Wichtiger Hinweis F r die berwachung mittels Heart Beat
122. auf die Schalt fl che Enable bei Status ein Anschlie end ffnet sich das Fenster DHCP Server 3 W hlen Sie im Drop down Men Network to serve das Netzwerk aus in dem die IP Adressen zugewiesen werden sollen 4 Bestimmen Sie mit den Drop down Men s Range Start und Range End den IP Adressenbereich Die Einstellungen werden anschlie end ohne weitere Best tigung bernommen Seite 142 System bedienen amp beobachten DNS Server und Gateway IP Adressen zuweisen Sie k nnen den Clients weitere Parameter zur Netzwerkkonfi guration bergeben Dazu geh ren die DNS Server Adressen und das Default Gateway welches die Clients verwenden sollen In der Regel wird das Internet Sicherheitssystem selbst diese Auf gaben bernehmen In diesem Fall sollten Sie die interne Adres se ihres Internet Sicherheitssystems in diesen Einstellungen angeben Die Konfiguration des DNS Proxy erfolgt im Men Proxies DNS Die Funktionalit t des DNS Proxy wird in Kapitel 5 5 2 ab Seite 183 beschrieben F r NetBIOS Netzwerke kann zur Namensaufl sung ein WINS Server eingetragen werden WINS ist die Abk rzung f r Windows Internet Name Service Ein WINS Server ist ein MS Windows NT Server auf dem Microsoft TCP IP und die WINS Serversoftware ausgef hrt werden Auf WINS Servern wird eine Datenbank ver waltet in der Computernamen den IP Adressen so zugeordnet werden dass die Benutzer problemlos mit anderen Computern unter Benutzung der WI
123. aufen des Event Logs zu verhindern spei chert das Internet Sicherheitssystem die vom RADIUS Server gelieferten Daten f r f nf Minuten Das bedeutet allerdings auch dass sich nderungen an der Benutzerdatenbank gegebenenfalls erst nach maximal f nf Minuten bemerkbar machen Seite 70 System bedienen amp beobachten 5 1 6 2 SAM NT 2000 XP Bei dieser Authentifizierungsmethode wird zur Bewertung der Anfragen ein MS Windows NT 2000 Domain Controller oder ein Stand alone Server verwendet Viele Unternehmen verwenden bereits MS Windows NT 2000 Netzwerke die auf dem MS Windows NT 2000 Active Directory Domain Konzept basieren Der Vorteil von SAM ist dass es sehr einfach zu konfigurieren ist wenn auf dem Netzwerk schon ein Primary Domain Controller PDC oder ein einfacher Server mit Benutzerdatenbank l uft Der Nachteil ist dass bei diesem Modell nicht zwischen verschie denen Benutzergruppen unterschieden werden kann Sie k nnen entweder alle Benutzer einer SAM Datenbank f r einen be stimmten Proxy freischalten oder keinen SAM NT 2000 XP einstellen SAM NT 2000 XP Server Settings U m d iese Authentifizieru ngs E d methode zu verwenden ben tigen Sie einen Microsoft Win ee dows NT oder 2000 Server in RE Ihrem Netzwerk der die Be nn ei nutzer Daten enth lt Dies kann entweder ein Primary Domain Controller PDC oder ein selbst ndiger Server sein Dieser Server hat einen NETB
124. ault Einstellung ist jeder berechtigt auf den SSH Dienst zuzugreifen Im Auswahlfeld Allowed networks ist die Option Any eingetragen Aus Sicherheitsgr nden empfehlen wir den Zugriff auf den SSH Dienst zu beschr nken Alle anderen Netz werke sollten sie l schen Schalten Sie aus Sicherheitsgr nden den SSH Zugang nach Ab schluss der Arbeiten wieder ab Seite 48 System bedienen amp beobachten 5 1 2 Licensing Einige Funktionen dieses Internet Sicherheitssystems z B der Up2Date Service High Availability HA Surf Protection und Virus Protection sowie das Support Angebot des Astaro Partners k nnen nur mit einem entsprechend g ltigen License Key in Anspruch genommen werden Ausf hrliche Informationen zur Lizensierung sowie den entsprechenden License Keys erhal ten Sie bei einem zertifizierten Astaro Partner oder Sie wenden sich ber die E Mail Adresse sales astaro com direkt an Astaro a astaro Onine Deme Downieads Sign in to MyAstaro What is your e mail address My e mail address is m Picasa Vs rc Lena emd cs ft alt ramamber tho emal ars created Why sign up for MyAstaro Creating an account takes only a few minutes and alows you to Ab Astaro Security Linux Version 3 ben tigen Sie zu erst den Activation Key Mit diesem Activation Key aktivieren Sie in MyAstaro den License Key Auf diese Weise k nnen Sie selbst den Beginn des Lizenzzeitraums des Internet Sicherheitssys tems be
125. ben wenn Sie mit einem PC auf das Konfigurationstool WebAdmin zugreifen m ch ten der au erhalb des Netzwerkbereichs liegt Beachten Sie dabei dass das Gateway innerhalb des Netzwerkbereichs liegen muss Seite 23 Installation Seite 24 Bei der Netzwerkmaske 255 255 255 0 wird das Sub Netz werk durch die ersten drei Werte definiert In unserem Beispiel lautet der relevante Bereich 192 168 2 Wenn nun Ihr Administrations PC z B die IP Adresse 192 168 10 5 hat liegt er nicht im selben Sub Netzwerk und in diesem Fall ben tigen Sie ein Gateway F r unser Beispiel nehmen wird die folgende Adresse Gateway 192 168 2 1 Falls der Administrations PC innerhalb des Netzwerkbe reichs liegt geben Sie den folgenden Wert ein Gateway none Best tigen Sie die Eingaben mit der Enter Taste Abschlie ende Hinweise Schritt 7 Achtung Beachten Sie die abschlie enden Hinweise zur In stallation der Software Nach Best tigung des Warn hinweises werden alle bestehenden Daten auf dem PC gel scht Falls Sie Eingaben ndern m chten k nnen Sie nun mit der F12 Taste wieder zu Schritt 1 des Installationsmen s ge langen Sie starten die Installation der Software mit der Enter Taste Software installieren Schritt 8 Die Installation der Software kann nun einige Minuten dau ern Sie k nnen den Installationsvorgang mit Hilfe von vier Konsolen verfolgen Installation Die vier Konsolen aa en raa Instal
126. ben durch einen Klick auf die Schaltfl che Add Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot 7 Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Advanced Options Durch einen Klick auf die Schaltfl che Enable bei Advanced op tions werden die Eingabefelder und Drop down Men s f r die erweiterten Funktionen ge ffnet Die erweiterten Funktion Advanced Options werden f r alle Schnittstellen Typen im Kapitel 5 3 1 7 ab Seite 131 beschrie ben Seite 127 System bedienen amp beobachten 5 3 1 6 PPTPoE PPPoA DSL Verbindung Sutas Diesen Schnittstellen Typ be Ba n tigen Sie falls Sie eine Advanced options eo Enable DSL Verbindung zum Inter net mit dem Protokoll PPP Hardware th VIA Technologies Inc VT6102 Rhine I Type PPTP over Ethemet PPPoA DSL connect tion m Ben over ATM aufbauen m ch Beruk GAEE Bere ten Zur konfiguration ben ti Modem IP Address rn gen Sie auf dem Internet
127. berblick der tagesaktuellen Auslastung Durch einen Klick auf die Schaltfl che more oder auf die jeweilige Grafik ffnen Sie ein Zusatzfenster mit den w chentlichen mo natlichen oder j hrlichen Durchschnittswerten Mit einem Klick auf die Schaltfl che back gelangen Sie wieder in die aktuelle bersicht Die Inhalte der Tabellen k nnen in vier verschiedenen Gr en angezeigt werden Die Gr e ndern Sie mit dem Drop down Men Front size 5 7 1 Hardware In diesem Men werden die aktuellen Werte Ihrer System S Hardware angezeigt Die ver A onen E EEEE f gbaren Werte sind die CPU Auslastung sowie die RAM und SWAP Auslastung Die Grafiken werden alle f nf Minuten aktualisiert Die Funk tion wird nicht durch jeden Browser unterst tzt In diesem e won Fall kann das Men durch einen Klick auf die Schaltfl che MT ee i i aie Aktualisieren Reload Ihres Maximum 55399 kb Average 48239 kb Current 53614 kb Wi Browsers aktualisiert werden CPU Utilisation Das Diagramm zeigt die aktuelle Auslastung des Prozessors durch das Internet Sicherheitssystem an RAM Utilisation Hier wird die Gesamtsumme des genutzten Hauptspeichers dargestellt Je mehr Funktionen zur selben Zeit ausgef hrt werden umso weniger Hauptspeicher steht zur Verf gung Seite 237 System bedienen amp beobachten SWAP Utilisation Das Diagramm stellt die aktuelle Nutzung des virtuellen Speichers dar Verf gt
128. best tigen Sie dies mit der Enter Taste factory_reset reset 4 Beantworten Sie die Sicherheitsabfrage mit yes Alle laufenden Prozesse und Programme werden beendet Das Factory Reset wird durchgef hrt und das Internet Sicherheitssystem in den Halt Zustand gefahren Die LED Anzeige SCROLL auf der Tastatur blinkt und es ert nen Beeps im Sekundentakt 5 F hren Sie einen Hardware Reset durch Strg Alt Entf oder Reset Nach dem Neustart wird die interne Netzwerkkarte mit der bei der Installation festgelegten Konfiguration initialisiert Im Konfigurationstool WebAdmin m ssen nun alle Passw rter neu gesetzt und die System Konfiguration neu erstellt werden Seite 263 Zus tzliche Funktionen Backups k nnen soweit die Version der im Backup enthaltenen Konfigurations Daten daf r vorgesehen sind installiert werden Seite 264 Glossar Glossar Broadcast Die Adresse an die sich ein Rechner wendet wenn er alle Rech ner im gleichen Subnetz ansprechen will Beispiel Bei einem Netzwerk mit der IP Adresse 212 6 145 0 und der Netzmaske 255 255 255 240 w re ein Broadcast die Adresse 212 6 145 15 Client Ein Client ist ein Programm das ber ein Netzwerk mit einem Server kommuniziert um den von ihm zur Verf gung gestellten Dienst zu nutzt Beispiel Netscape ist ein WWW Client mit dessen Hilfe man Informationen von einem WWW Server abrufen kann Client Server Prinzip Nach dem Client Server Prinzip g
129. c Key angezeigt 2 Tragen Sie in das Eingabefeld Name einen Namen f r den neuen Remote Key ein 3 Auto Paket Filter und Virtual IP Key sind optionale Funk tionen f r Roadwarrior Verbindungen Wenn Sie den IPSec Remote Key f r eine Standard Verbindung konfigurieren fahren Sie mit Schritt 4 fort Auto Packet Filter Wenn diese Funktion eingeschaltet ist werden Paketfilterregeln die den Datenverkehr zwischen Seite 229 System bedienen amp beobachten Seite 230 dem Roadwarrior mit diesem IPSec Remote Key Objekt und dem lokalen Sub Netzwerk erlauben automatisch hinzuge f gt Jedes mal wenn ein Roadwarrior mit seinem Remote Key erfolgreich einen IPSec Tunnel aufgebaut hat bekommt er automatisch Zugang zum lokalen Sub Netzwerk oder Host Das lokale Sub Netzwerk Local Subnet oder den Host w hlen Sie im Men IPSec VPN Connections aus Sicherheitshinweis am Wenn Sie die Security Policy konsequent durch lt f hren m chten schalten Sie die Funktion Auto s Packet Filter aus und setzen stattdessen die ent sprechende Paketfilterregel im Men Packet Filter Rules Virtual IP key Mit dieser Funktion k nnen Sie einem Roadwarrior eine virtuelle IP Adresse zuweisen Dies ist die einzige Methode eine virtuelle IP Adresse manuell auszu tauschen Wenn Sie in das Eingabefeld eine IP Adresse ein tragen dann muss diese auch auf dem Roadwarrior einge tragen werden Wichtiger Hinweis an Die Funktion Virt
130. ch Time zone W hlen Sie zuerst die Zeitzone aus Use NTP server W hlen Sie hier den NTP Server aus Die Uhrzeit des Internet Sicherheitssystems wird nun mit dem externen System jede volle Stunde synchronisiert WebAdmin Settings In diesem Men richten Sie den Zugang zum Konfigurationstool WebAdmin ein Automatisch schlie en Dauer einstellen Im Eingabefeld Timeout seconds geben Sie die Zeitspanne in Sekunden an in der Sie vom WebAdmin automatisch ausge loggt werden wenn keine Aktionen stattfinden Nach der Instal lation sind standardm ig 300 Sekunden eingestellt Die kleinst m gliche Zeitspanne betr gt 60 Sekunden Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save Wenn sie den Browser mit einer offenen WebAdmin Session schlie en ohne den WebAdmin ber Exit zu verlassen bleibt die letzte Session bis zum Ablauf des Time outs aktiv WebAdmin TCP Port ndern Falls Sie den Standard Port 443 f r den HTTPS Dienst ander weitig verwenden wollen z B eine Umleitung mit DNAT m s sen Sie hier einen anderen TCP Port f r dass WebAdmin Interface angeben M gliche Werte sind 1024 65535 wobei Seite 46 System bedienen amp beobachten bestimmte Ports f r andere Dienste reserviert sind Um den WebAdmin nach einer nderung anzusprechen m ssen Sie den Port mit einem Doppelpunkt getrennt an die Sicherheitssystem IP Adresse anh ngen z B https 192 168 0 1 1443 Im Auswahlfel
131. ch auf bzw absteigend dar gestellt Mit den Schaltfl chen und in der mittleren Spalte werden die Eintr ge alphanumerisch auf bzw absteigend dargestellt Die funktionale Reihenfolge der Eintr ge wird mit den Schalt fl chen in der rechten Spalte ver ndert Durch einen Klick auf die Schaltfl chen oder wird der jeweilige Eintrag um eine Zeile nach vorne bzw nach hinten verschoben Durch einen Klick auf die Schaltfl che oder wird der jeweilige Eintrag in die erste bzw in die letzte Zeile der Tabelle ver schoben Eintrag hinzuf gen Schreiben Sie die neue Adresse in das Eingabefeld und klicken Sie auf die Schaltfl che Add Die neue Adresse wird anschlie end in die letzte Zeile der Ta belle eingef gt Eintrag l schen Durch einen Doppelklick auf die entsprechen de Adresse wird diese sofort aus der Tabelle gel scht Eintrag bearbeiten Durch einen Klick auf die entsprechende Adresse wird diese in das Eingabefeld geladen Der Eintrag kann nun im Eingabefeld bearbeitet werden Durch einen Klick auf die Schaltfl che Replace wird der alte Eintrag ersetzt Seite 38 WebAdmin Werkzeuge 4 4 Online Hilfe Jedes Men im Konfigura tionstool WebAdmin enth lt eine Online Hilfe Online Help in der die Funktionen kurz erl utert werden Die Hilfe ist zur Zeit nur in englischer Sprache verf gbar Administrator e mail addresses Die Hilfe wird durch einen Klick auf die Schal
132. ch ein bereits vollst ndig eingerichteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis Directory kann wiederum um selbstdefinierte Attribute erweitert werden Diese Attribute die f r jeden Be nutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden In diesem Konfigurations Bei h cse kunden Hep Deu a ex Jen m ws e gt msee anavas spiel wird die kleine Domain E E Bomm example com dargestellt E B Active Directory Schema computers Container Default container For upor men Sea en PE Im Verzeichnis Trainees be Bone Satama findet sich der Benutzer Hans Ba Mustermann am aamen DN cn hans mustermann a ou trainees dc example dc com LogonName mustermann example com l Dieser Benutzer k nnte sich mit seinem LogonName und seinem Passwort z B am SOCKS Proxy anmelden Das Internet Sicherheitssystem berpr ft in diesem Fall den DN und das Passwort von Hans Mustermann Falls es dann zum LogonName mustermann example com einen eindeu tigen DN gibt und das eingegebene Passwort g ltig ist kann der Benutzer den Dienst SOCKS verwenden Seite 75 System bedienen amp beobachten Falls Sie den Abfrage Typ MemberOf verwenden m chten f hren Sie am Stand alone LDAP Server Microsoft Active Directory folgende Einstellungen durch Schritt
133. cherheitssystem die allerdings nur f r erfahrene Administratoren geeignet ist Man ben tigt f r den Zugriff per SSH einen SSH Client der in den meisten Linux Distributionen bereits vorhanden ist Unter MS Windows ist das Programm Putty als SSH Client zu empfehlen Der Zugriff per SSH ist verschl sselt und somit f r Fremde nicht mitzulesen Die Funktion Shell Access ist per Default eingeschaltet wenn Sie im Fenster Setting System Passwords f r die Konfiguration ber den Astaro Configuration Manager ein Passwort gesetzt haben Wenn Sie ber SSH auf das Internet Sicherheitssystem zugrei fen wollen muss der SSH Status eingeschaltet sein Status ampel zeigt Gr n SSH ben tigt f r die Protokollierung des Zugriffs Namensauf l sung g ltige Nameserver anderenfalls gibt es bei der SSH Anmeldung einen Time out Dieser Time out dauert etwa eine Minute an In dieser Zeit sieht es so aus als w re die Verbin dung eingefroren oder w rde nicht zustande kommen Danach geht es ohne Verz gerung weiter Zus tzlich m ssen Sie im Auswahlfeld Allowed networks die Netzwerke hinzuf gen von denen aus per SSH auf das Internet Sicherheitssystem zugegriffen werden soll Per Default Einstellung ist im Auswahlfeld Allowed networks f r eine reibungslose Installation die Option Any eingetragen d h jeder ist berechtigt auf den SSH Dienst zuzugreifen Netzwerke definieren Sie im Men Definitions Networks Sicherheitshinweis Per Def
134. cy com Zavy 5 martin agency com RAVS 6 siegel agency com RavX 7 bachmann agency com RAvX 8 king agency com RAvX 9 koenig agency com RAvX 10 mayer agency com Ravy 1 dummy fw notify net zave 2 mustermann agency com zave 3 rstriegel astaro com AavX Das Drop down Men Das Drop down Men wird bei Funk tionen verwendet f r die immer nur ein bestimmter Wert eingestellt wer den kann Bei den Drop down Men s werden die ausgew hlten Werte in der Regel so fort vom System bernommen Das Hierarchiefeld kommt bei Funk tionen zum Einsatz bei denen mehrere E Mail oder IP Adressen zugewiesen werden k nnen Im Hierarchiefeld wer den pro Seite 10 Eintr ge dargestellt Im Men Interfaces wird das Hierar chiefeld als Zugriffskontrollliste zur Konfiguration des Schnittstellen Typs Wireless LAN Access Point einge setzt In der ersten Zeile wird die Anzahl der Seiten Page und der Eintr ge angezeigt Die aktuelle Seitenzahl ist wei dargestellt Wenn Sie mit der Maus die roten Seitenzahlen ber hren werden in einer Info Box die darin ent Seite 37 WebAdmin Werkzeuge haltenen Intervalle angezeigt kleines Bild Mit den Pfeilen in der zweiten Zeile kann die Reihenfolge der Eintr ge ver ndert werden Die hier durchgef hrten Einstellungen haben allerdings keinen Einfluss auf die Funktionalit t Mit den Schaltfl chen und in der linken Spalte werden die Eintr ge in der Tabelle numeris
135. d Allowed networks werden die Netzwerke hinzugef gt von denen aus auf WebAdmin zugegriffen werden darf Wie auch bei SSH ist hier f r eine reibungslose Installation Any eingetragen In diesem Fall darf falls das Passwort zur Ver f gung steht von berall auf WebAdmin zugegriffen werden Sicherheitshinweis am Sobald Sie einschr nken k nnen von wo aus das Internet Sicherheitssystem administriert werden soll z B Ihre IP s Adresse im lokalen Netzwerk ersetzen Sie den Eintrag Any im Auswahlfeld Allowed networks durch ein kleineres Netzwerk Am sichersten ist es wenn nur ein Administrations PC per HTTPS auf das Internet Sicherheitssystem Zugriff hat Netzwerke definieren Sie im Men Definitions Networks Mit dem Auswahlfeld Authentication methods bestimmen Sie die Methode zur Authentifizierung Damit Sie nach der Instal lation ber das Konfigurationstool WebAdmin Zugriff auf das Internet Sicherheitssystem haben wurde hier bereits w hrend der Installation die Authentifizierungsmethode Local Users de finiert und im Auswahlmen Allowed Users der entsprechende Benutzer User angelegt Weitere m gliche Authentifizierungsmethoden sind NT 2000 XP Server RADIUS Database und LDAP Server Die lokalen Benutzer Users werden im Men Definitions Users verwaltet Seite 47 System bedienen amp beobachten SSH Shell Access Settings Die Secure Shell SSH ist eine textorientierte Schnittstelle zum Internet Si
136. d Keys PSK werden keine zus tzlichen Einstellungen f r den lokalen IPSec Key ben tigt W hrend des Schl sselaustauschs Key Exchange wird passend zum verwendeten IKE Main Mode nur IPv4 Address als IPSec Identifier unterst tzt Die IPSec Identifier werden im IKE Main Mode automatisch durch PSK verschl sselt die Authentifizie rung mit PSK kann daher nicht verwendet werden Die IP Seite 228 System bedienen amp beobachten Adressen der IKE Verbindung werden automatisch als IPSec Identifier verwendet Den PSK Key tragen Sie im Men IPSec Policies Remote Keys ein Er wird dann automatisch als Local PSK Key einge setzt 5 6 4 Remote Keys Im Men Remote Keys definieren Sie die IPSec Remote Key Objekte Ein IPSec Remote Key Objekt repr sentiert eine IPSec Gegenstelle Diese Gegenstelle kann ein Security Gateway ein Host oder auch ein Roadwarrior mit dynamischer IP Adresse sein Ein IPSec Remote Key Objekt enth lt drei Parameter e Die IKE Authentifizierungsmethode PSK RSA X 509 e Die IPSec ID der Gegenstelle IP Hostname E Mail Adresse Certificate e Die Authentifizierungsdaten Shared Secret mit PSK Public Key mit RSA X 509 Zertifikate werden w hrend dem Key Exchange bermittelt F r jede IPSec Gegenstelle muss ein IPSec Remote Key Objekt definiert werden IPSec Remote Key definieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Remote Keys Anschlie end wird das Fenster New Remote IPSe
137. d Sie nun die Verbindung starten k nnen Sie den Vorgang in Echtzeit nachverfolgen Encryption Hier stellen Sie die Verschl sselungsst rke 40 Bit oder 128 Bit dieser VPN Verbindungsart ein Beachten Sie dass bei Microsoft Windows 2000 im Gegensatz zu Windows 98 und Windows ME nur die Verschl sselungsst rke 40 Bit installiert ist Sie ben tigen zus tzlich das High Encryption Pack oder Service Pack 2 SP2 kann allerdings sp ter nicht mehr deinstal liert werden Seite 148 System bedienen amp beobachten l Sicherheitshinweis LN b Stellen Sie im Drop down Men Encryption die Verschl s lt _ selungsst rke immer auf Strong 128 Bit ein es sei denn der Endpunkt Host unterst tzt diese Verschl sselungsst rke nicht Mit dem Drop down Men Authentication w hlen Sie die Au thentifizierungsmethode aus Wenn Sie im Men System User Authentication einen RADIUS Server konfiguriert haben k nnen Sie hier auch RADIUS Authentifizierung einsetzen Die Konfiguration des Microsoft IAS RADIUS Servers und die Einstellungen im WebAdmin werden in Kapitel 5 1 6 ab Seite 66 erkl rt Im Fenster PPTP Live Log werden wichtige Vorg nge oder Fehlermeldungen dargestellt Den Umfang der Meldungen k n nen Sie mit dem Auswahlmen Logging bestimmen PPTP IP Pool MEN Hier legen Sie fest welche IP es mee U Adressen den Hosts bei der BE Einwahl zugewiesen werden Per Default Einstellung wird beim ersten Aktivieren de
138. de IPSec Endpunkte NAT Traversal unterst tzen und auf dem Road warrior Endpunkt eine virtuelle IP Adresse eingestellt ist Zus tzlich muss auf dem NAT Ger t der IPSec Durchgang ausgeschaltet sein da dies NAT Traversal unterbrechen kann Wichtiger Hinweis F r die Funktion Virtual IP k nnen keine lokalen IP Adressen verwendet werden da das Internet Sicherheitssystem keine ARP Anfragen f r diese Adressen beantwortet IPSec Connections In der Tabelle IPSec Connections werden alle aktuellen VPN Verbindungen angezeigt VPN Status Im Fenster VPN Status wird der Status der aktiven Verschl s selungs Algorithmen alle aktiven IPSec Verbindungen und detaillierte Informationen zu jeder Security Association SA angezeigt VPN Routes Im Fenster VPN Routes werden alle aktiven IPSec SA Verbin dungen angezeigt Solange hier keine Eintr ge vorhanden sind existieren keine IPSec Verbindungen Routing Eintr ge werden nach folgendem Schema angezeigt AB gt C gt D 3 192 168 105 0 24 gt 192 168 104 0 24 gt hold 8 192 168 105 0 24 gt 192 168 110 0 24 gt trap 0 192 168 105 0 24 gt 192 168 130 0 24 gt tun0x133a 233 23 43 1 Seite 218 System bedienen amp beobachten Spalte A Anzahl der Pakete in dieser VPN Verbindung Spalte B Das lokale Sub Netzwerk oder den Host Spalte C Das entfernte Sub Netzwerk oder den Host Spalte D Der Status der VPN Verbindung trap Die Verbindung ist im Leerlauf
139. des Empf ngers zu sortieren oder zu filtern Des Weiteren wird in den Betreff des E Mails der Hinweis SPAM hinzugef gt Strategy Mit diesem Drop down Men justieren Sie den H chstwert zur Bewertung der E Mails Der Unterschied zwischen den H chstwerten definiert sich auch durch die Wahrschein lichkeit dass ungef hliche Mails z B HTML Newsletter gefiltert werden Die Folgenden drei Strategien sind m glich e Aggressive Diese Strategie filtert die meisten Spam Mails Allerdings werden mit hoher Wahrscheinlichkeit auch unge f hrliche Nachrichten z B HTML Newsletter zur ckgewiesen e Reasonable Diese Strategie ist per Default voreingestellt und liegt zwischen Aggessive und Reasonable e Conservative Diese Strategie filtert nur Nachrichten bei de nen es sich mit sehr hoher Wahrscheinlichkeit um Spam Mails handelt Ungef hrliche E Mails werden meist nicht gefiltert Spam sender whitelist Diese Kontrollliste kann nur f r das Modul Antispam definiert werden Tragen Sie in die Liste die E Mail Adressen der Absender ein deren Nachrichten nicht gefiltert werden sollen Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Die Header Es gibt viel Funktionen bei denen der Nachricht ein Header hinzugef gt wird Dieser Header soll den Benutzer ber spezielle Eigenschaften dieser Nachricht informieren Wenn nun in der entsprechenden Funktion Pass a
140. die Enter Taste Sofern der Zielrechner erreichbar ist erhalten Sie eine Ant wort 5 Geben Sie den folgenden Befehl ein arp g 6 Dr cken Sie auf die Enter Taste In Ihrer lokalen ARP Tabelle befindet sich nun in der Spalte Physikalische Adresse die MAC Adresse und die dazuge h rige IP Adresse Wenn Sie eine Netzwerkverbindung zu einem anderen Rechner herstellen m chten erfolgt die Adressierung der Frames ber die MAC Adresse Diese Adresse muss also bekannt sein weshalb der Zielrechner einen ARP Request erh lt und zur Bekanntgabe der MAC Adresse veranlasst wird Der Quellrechner erh lt da raufhin eine Antwort und die Informationen werden in der loka len ARP Tabelle abgelegt Wenn Sie nun die PCMCIA Karte f r das Wireless LAN als Access Point konfigurieren m chten gehen Sie wie nachfolgend beschrieben vor Die Konfiguration der PCMCIA Karte als Station wird ab Seite 119 erkl rt Wireless LAN Access Point einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen 3 Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein 4 W hlen Sie im Drop down Men Hardware die Wireless LAN Netzwerkkarte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Wireless LAN Access Point aus Seite 116 System bedienen amp beobachten F hren Sie nun die spezifischen Einstellungen f r den Schnitt
141. ding e Source NAT SNAT e Destination NAT DNAT erlaubt es ein gesamtes Netzwerk hinter einer oder wenigen offiziellen IP Adressen zu verbergen und die Erkennung Ihrer Netztopologie von au en zu verhindern Bei nach wie vor voll verf gbarer Internet Konnektivit t ist nach au en hin keine Identifikation 5 Antwort f von Endsystemen mehr m glich A gt Durch Destination NAT ist es 5 4 3 2 1111 Anfrage trotzdem m glich Server inner halb des gesch tzten Netzwerks oder der DMZ zu platzieren und f r einen bestimmten Dienst Internet LAN 1 1 1 1 88 nach au en hin verf gbar zu l l N machen r nfrage gt Beispiel Ein Benutzer wie in DMZ r der linken Grafik dargestellt mit gt der IP Adresse 5 4 3 2 Port Antwort 1111 schickt eine Anfrage an E den Web Server in der DMZ Er Web kennt nur die externe IP Adres Server Firewall se 1 1 1 1 Port 88 10 10 10 99 80 Durch DNAT ndert nun die Firewall die Zieladresse der Anfrage in 10 10 10 99 Port 80 und schickt diese an den Web Server Der Web Server schickt anschlie end die Antwort mit seiner internen IP Adresse 10 10 10 99 Port 80 und der IP Adresse des Benutzers ab Die Firewall erkennt das Paket anhand der Benutzeradresse und ndert nun die Quelladresse von der Seite 14 Einf hrung in die Technologie internen IP 10 10 10 99 Port 80 in die externe IP Adresse 1 1 1 1 Port 88 Die Gesch ftswelt stellt heu
142. dit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Load Balancing l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht Seite 141 System bedienen amp beobachten 5 3 4 DHCP Server Das Dynamic Host Config Eee ten EAE uration Protocol DHCP R En weist den angeschlossenen RENER Rechnern Clients aus einem festgelegten Bereich von IP ee Adressen automatisch Adres en sen zu und spart so bei gr Beren Netzwerken viel Konfi WINS node type er gurationsarbeit Des Weiteren kann den Clients die Adresse n des Default Gateways Rou ters und der zust ndigen Nameserver DNS zugewie sen werden Static Mappings MAC Address 1P Address Neben der einfacheren Konfiguration der Clients und der M glich keit mobile Rechner problemlos in unterschiedlichen Netzwerken zu betreiben lassen sich in einem DHCP Netzwerk Fehler ein facher lokalisieren da die Konfiguration des Netzwerks geht es um die Adressen prim r von der Konfiguration des DHCP Ser vers abh ngt Au erdem lassen sich Adressbereiche effektiver nutzen da keineswegs alle Hosts gleichzeitig im Netzwerk aktiv sind Die IP Adressen k nnen so je nach Bedarf nacheinander an verschiedene Hosts vergeben werden DHCP Server konfigurieren 1 ffnen Sie im Verzeichnis Network das Men DHCP Server 2 Schalten Sie die Funktion durch einem Klick
143. dress In diesem Eingabefeld k nnen Sie Ihre Adresse korrigieren Password Tragen Sie Ihr gew nschtes Passwort ein First Name Tragen Sie Ihren Vornamen ein Last Name Tragen Sie Ihren Nachnamen ein Klicken Sie anschlie end auf die Schaltfl che Register Bei erfolgreicher Registrierung wird nun die Seite mit der Meldung Congratulations you have created your System bedienen amp beobachten MyAstaro account Des Weiteren wird Ihnen per E Mail eine Best tigung zugesendet Sie k nnen nun in MyAstaro verschiedene Versionen des Internet Sicherheitssystems herunterladen und zu Ihrer Lizenz die folgenden Aktionen durchf hren 1 V4 Lizenzen zu Version 5 Lizenzen konvertieren 2 gekaufte Version 4 Activation Keys registrieren 3 Optionen zu registrierten Lizenzen hinzuf gen 4 eine kostenlose Home User Lizenz herunterladen Internet Sicherheitssystem lizenzieren 1 2 ffnen Sie im Verzeichnis System das Men Licensing Tragen Sie den License Key in das Eingabefeld License Key ein und klicken Sie anschlie end auf die Schaltfl che Save Die Generierung des Systems dauert ca 5 bis 10 Sekunden Nach erfolgreicher Registrierung des Internet Sicherheitssystems erhalten Sie im Fenster License Information Angaben zu Ihrer Lizenz Seite 51 System bedienen amp beobachten 5 1 3 System Up2Date Prefetch Up2Dates now Automatic Up2Dates Prefetch Up2Date Service Click Start to prefetch availabl
144. e Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Sta tusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu la den Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Advanced Options F r diesen Schnittstellen Typ k nnen keine erweiterten Funktio nen Advanced Options eingestellt werden Seite 111 System bedienen amp beobachten 5 3 1 3 Wireless LAN EIER F r Wireless LAN gelten die n Standards der Gruppe IEEE Advanced options 802 11 Das Internet Sicher heitssystem unterst tzt die Variante IEEE 802 11b Die ser Standard arbeitet auf ne sen mman a a dem Funkfrequenzband 2 4 GHz und liegt im ISM Fre quenzbereich ISM steht f r VE yacen peson o Industrial Scientific and N ee ch nes Medical Diese ISM Frequen TA zen k nnen von der Indu strie der Wissenschaft und der Medizin lizenzfrei genutzt werden d h f r die Nutzung dieser Frequenzen auf privatem Grund und Boden m ssen keine Geb hren bezahlt werden Der Standard IEEE 802 11b erm glicht eine maximale Bandbreite von 11 Mbit s F r die Planung des Wireless LAN muss noch beachtet werden dass die Bandbreite abnim
145. e Benutzer oder Netzwerke aus die nicht auf die Internetseiten in diesem Profil zugreifen sollen Hinweis m Die ausgew hlten Benutzer Users werden vor rangig zu den Netzwerken Networks behandelt Ein s Benutzer oder Netzwerk kann immer nur einem Surf Protection Profile zugeordnet werden Tragen Sie in die Zugriffskontrolllisten Whitelist und oder Blacklist die Internetadressen ein die vom definierten Profil abweichen System bedienen amp beobachten l Sicherheitshinweis m W hrend beim HTTP Protokoll der Header vom _ _HTTP Cache Proxy Squid gefiltert wird wird s dieser beim HTTPS Protokoll nur durchlaufen Das Modul Surf Protection kann daher bei HTTPS Verbindungen keine angefragte URL aufgrund der White oder Blacklist blockieren Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Blacklist Hier k nnen Sie zus tzlich zu den Themen im Men Categories bestimmte Internetseiten angeben die von Ihrem System aus nicht ge ffnet werden sollen Whitelist Hier k nnen Sie bestimmte Internetseiten von den im Men Categories gew hlten Themen ausnehmen Beispiel Sie haben im Auswahlfeld Categories das Thema Information and Communication ausgew hlt m chten aber den Zugriff auf die Internetseite www astaro org er lauben dann legen Sie zus tzlich eine Whitelist an indem Sie die Internetadresse in die Zugriffskontrollliste
146. e automatisch gel scht m o many log files oldest ones have been deleted Auf der Festplatte waren zu viele Log Files nthalten Dies Log Files haben auf der Festplatte zuviel Platz eingenommen Die ltesten Log Files wurden automatisch gel scht Portscan detected from lt IP gt Es wurde ein Portscan entdeckt der von der angegebenen IP Adresse aus gestartet wurde Welche Ma nahmen gegen den Angreifer einge leitet werden h ngt von den Einstellungen im Men Portscan Detection ab Das Modul wird im Kapitel 5 3 5 ab Seite 145 erkl rt Virus detected admin message In einer E Mail wurde ein Virus entdeck Ein ntsprechende Mitteilung wird an die ail Adresse des Postmasters gesendet m o Blocked mail due to RegExp In einer E Mail wurde eine unerw nschte String Folge entdeckt Die E Mail wird nicht an die Empf ngeradresse gesendet Der Absen Seite 251 System bedienen amp beobachten 032 033 034 035 036 Seite 252 der der E Mail erh lt in ntsprechend Nachricht Blocked mail due to content type file ex tension In einer E Mail wurde ein Anhang Attach ment mit einer unerw nschten Erweiterung Extension entdeckt Die E Mail wird nicht an die Empf ngeradresse gesendet Der Absen der der E Mail erh lt in ntsprechend Nachricht Virus detected sender messag In einer E Mail wurde ein Virus entdeckt
147. e beachten Sie dass durch die Kodierungsverfahren an E Mails angeh ngte Dateien wesentlich gr er werden k n nen 4 Speichern Sie die Eingaben durch einen Klick auf die Schalt fl che Save 5 Definieren Sie nun im Fenster Incoming Mail die Route f r die eingehenden E Mails Domain Name Damit E Mails f r eine bestimmte Domain entgegengenommen werden k nnen muss der Name der Domain angegeben werden z B meinedomain com SMTP Host Alle E Mails f r diese Domain m ssen an einen bestimmten Host weitergeleitet werden bliche Hosts sind in diesem Fall z B der Microsoft Exchange Server oder Lotus Notes Der Host muss zuvor im Men Definitions Networks definiert werden Sie k nnen auch definieren dass E Mails an die angegebene Domain durch den MX Record zugeschickt werden Jedoch Seite 191 System bedienen amp beobachten Seite 192 m ssen Sie zuvor sicherstellen dass die Firewall IP Adresse nicht selbst der prim re MX Record der Domain ist da sie keine E Mails an sich selbst verschicken wird Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Recipient Verification Der Proxy akzeptiert eingehende E Mails erst nachdem die jeweilige Empf ngeradresse von dem oder den Mail Server n best tigt wurde Dies hat zur Folge dass der Umfang an Spam Mails drastisch gesenkt wird da E Mails an ung ltige Zieladressen nicht mehr ange nommen werden Voraussetzung f r diese Funktion ist d
148. e die folgende Paketfilterregel From Client Any Service Any To Server Broadcast32 Action Drop 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Broadcast auf ein Netzwerksegment F r jede im Men Interfaces konfigurierte Schnittstelle wird automatisch das Netzwerk NAME_Broadcast_ definiert Weitere Informationen hierzu erhalten Sie in Kapitel 5 3 1 ab Seite 104 unter der berschrift Current Interface Status 1 ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die folgende Paketfilterregel From Client Any Service Any To Server W hlen Sie hier das Netzwerk Broadcast des entsprechenden Netzwerksegments aus Beispiel NAME_Broadcast__ Action Drop 2 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Seite 169 System bedienen amp beobachten 5 4 2 ICMP ICMP Settings Zoe Hier werden die Einstellungen ICMP forwarding f r Internet Control Mes sage Protocol ICMP vor genommen ICMP ist notwendig um die Netzwerkverbindungen und Funktionalit t des Internet Sicherheitssystems zu testen Des Weiteren wird ICMP zur Fehlerbenachrichtigung und zu Diagnosezwecken verwendet ICMP on firewall l Hinweis EJ N here Informationen zu ICMP finden Sie auch unter Ping und Traceroute gt S ICMP on firewall und ICMP forwarding beziehen sich immer auf alle IP Adressen Any Wenn diese Funktionen aktiviert s
149. e neue Paketfilter regel immer deaktiviert an letzter Stelle in die Regelsatz Tabelle eingetragen Statusampel zeigt Rot 7 Aktivieren Sie die Paketfilterregel durch einen Klick auf die Statusampel Anschlie end stehen Ihnen zur Bearbeitung der Paketfilterregeln weitere Funktionen zur Verf gung l Hinweis m Neue Regeln werden per Default Einstellung mit dem Status J Inaktiv am Ende der Regelsatz Tabelle erzeugt Die Regel wird s erst wirksam wenn Sie den Status Aktiv vergeben Sehen Sie dazu Regel aktiv inaktiv setzen Weitere Funktionen Paketfilterregel aktiv inaktiv setzen Die Statusampel in der ersten Spalte zeigt den Status der Paketfilteregel an Mit einem Klick auf die Statusampel wechseln Sie zwischen dem Status Aktiv Statusampel zeigt Gr n und Inaktiv Statusampel zeigt Rot Deaktivierte Regeln bleiben gespeichert werden aber vom Pa ketfilter nicht ber cksichtigt Seite 167 System bedienen amp beobachten Paketfilterregel editieren Durch einen Klick auf die Schalt fl che edit werden die Daten in das Fenster Edit Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Durch einen Klick auf die Schaltfl che Save werden die nderungen gespeichert Zum Abbrechen des Vorgangs f hren Sie eine beliebige andere Aktion durch z B durch einen Klick auf Rules im Verzeichnis des WebAdmin Reihenfolge der Paketfilterregel ndern Die Abfolge der Regeln in der Tabelle ist ausschlag
150. e neue Schnittstelle ist geladen wenn die Meldung Up erscheint Advanced Options Durch einen Klick auf die Schaltfl che Enable bei Advanced op tions werden die Eingabefelder und Drop down Men s f r die erweiterten Funktionen ge ffnet Seite 130 System bedienen amp beobachten Die erweiterten Funktion Advanced Options werden f r alle Schnittstellen Typen im nachfolgenden Kapitel 5 3 1 7 ab Seite 131 beschrieben 5 3 1 7 Advanced Options Je nach Schnittstellen Typ sind bestimmte erweiterte Funktionen vorhanden Durch einen Klick auf die Schaltfl che Enable bei Advanced options werden die Eingabefelder und Drop down Men s f r diese Funktionen ge ffnet Proxy ARP Die Funktion Proxy ARP ist nur beim Schnitt stellen Typ Standard Ethernet Interface enthalten Wenn diese Funktion aktiviert ist wird das Internet Sicherheitssystem auf der entsprechenden Netzwerkkarte das ARP Protokoll f r alle ihm bekannten Netzwerke setzen Dies bedeutet dass das System stellvertretend f r alle anderen direkt angeschlossenen Netzwerke Pakete aus dem angeschlossenen Netzwerk anneh men und weiterleiten wird Diese Funktion wird in einigen Spezialf llen ben tigt um z B ein Netzwerk ber das Internet Sicherheitssystem weiterzu reichen falls es nicht m glich ist korrekte Routen f r dieses Netzwerk zu setzen Dies kann der Fall sein wenn Sie keinen Zugriff auf den Router Ihres Internet Providers haben Per Default ist Proxy
151. e system Up2Date packages now Start eo Ene Mit dem Up2Date Service halten Sie Ihr System auf dem neusten Stand Neue Viren Pattern System Patches und Sicherheits Features werden in Ihr laufendes System einge spielt Import from file Start Pattern Up2Date Installed Pattern Date 06 August 2002 Die Up2Date Pakete sind sig niert und verschl sselt und werden zudem ber eine ver schl sselte Verbindung einge spielt Nur Astaro ist berech tigt solche Up2Date Pakete zu erstellen und zu signieren Nicht korrekt signierte Up2Date Pakete werden als solche erkannt und gel scht Click Start to download and install available pattern Up2Date packages now Update now Start Automatic Pattern Up2date eo Enable F r System Up2Date und f r Pattern Up2Date gibt es mehrere Up2Date Server die der Reihe nach angew hlt werden Falls ein Up2Date Server nicht erreichbar ist wird der n chste Server nach System bzw Pattern Up2Dates abgefragt Wichtiger Hinweis Der Up2Date Service benutzt eine TCP Verbindung auf Ziel _ port 222 um die Up2Date Pakete herunterzuladen Das Inter s het Sicherheitssystem selbst erlaubt diese Verbindung ohne weitere Einstellungen Falls Sie jedoch eine bergeordnete Upstream Firewall verwenden m ssen Sie auf dieser die Kommunikation ber Port 222 TCP zu den Update Servern m erlauben Hinweis y eaten Sie beim High Availability HA System d
152. e wird die Authentifizierung personenbezogen User und nicht IP bezogen durchgef hrt Dies erm glicht ein perso nenbezogenes Accounting im HTTP Proxy Zugangsprotokoll Proxydienste und Authentifizierungsmethoden Die Proxydienste HTTP SMTP und SOCKSvS5 k nnen so konfi guriert werden dass sie alle Clients auf IP Adressen basierend oder nur Clients mit einem g ltigen Benutzernamen und Passwort Benutzerauthentifizierung akzeptieren Wenn Sie User Authentication aktivieren m ssen Sie mindestens eine Methode f r Ihr System ausw hlen um die angefragten Be rechtigungsnachweise zu bewerten Ansonsten k nnen Sie den Proxydienst nicht benutzen Das System unterst tzt Benutzerauthentifizierung mit e einem RADIUS Server e einer NT SAM Benutzer Basis e einem LDAP Server e einer lokalen Benutzerdatenbank im WebAdmin Die vier Benutzerdatenbanken k nnen nacheinander abgefragt werden Seite 66 System bedienen amp beobachten 5 1 6 1 RADIUS RADIUS steht f r Remote Authentication Dial In User Service und ist ein Protokoll mit dem z B ein ISDN Router Informationen f r die Benutzerauthentifizierung von einem zen tralen Server abfragen kann Neben den reinen Benutzerinforma tionen f r die Authentifizierung verwaltet RADIUS auch tech nische Informationen die f r die Verst ndigung des Zugangs systems mit dem Endger t des Anrufers n tig sind Dazu geh ren z B die verwendeten Protokolle IP Adressen Telefon
153. eason den Grund f r die ber nahme an und klicken anschlie end auf die Schaltfl che Login Seite 41 System bedienen amp beobachten Nun sind Sie im Internet Sicherheitssystem eingeloggt und k nnen ber das Konfigurationstool WebAdmin das System bedienen und beobachten 5 1 Grundeinstellungen System Im Verzeichnis System f hren Sie die Grundeinstellungen des Internet Sicherheitssystems durch 5 1 1 Settings General System Settings Hostname Tragen Sie in das Eingabenfeld den Hostnamen z B FIREWALL meinedomain com ein und speichern Sie Ihre Eingabe durch einen Klick auf die Schaltfl che Save Administrator e mail addresses Bei wichtigen Ereignissen z B auftretenden Portscans Anmeldungen mit falschem Passwort Meldungen des Selfmonitors bei Up2Date Prozessen oder bei einem Neustart werden die Administratoren ber die im Hierar chiefeld eingetragenen Adressen benachrichtigt Es sollte min destens eine E Mail Adresse eingetragen sein Falls keine Adres se im Hierarchiefeld eingetragen ist wird das komplette Modul Reporting per E Mail ausgeschaltet Neue E Mail Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 37 beschrieben l Wichtiger Hinweis y An die E Mail Adresse des Administrators k nnen Notification E Mails nur zugestellt werden wenn zuvor der DNS Proxy
154. eben Sie im Fenster Backup in das Eingabefeld Export backup einen Kommentar ein Wenn Sie sp ter das Backup wieder einspielen erscheint der Kommentar in der Information Wichtiger Hinweis a Falls die Funktion Encryption Backup File einge schaltet ist wird die Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwort wieder eingespielt werden Um die Backup Datei zu erzeugen klicken Sie nun auf die Schaltfl che Start Das System generiert nun die Backup Datei Wenn die Mel dung Backup has been created successfully erscheint wurde der Vorgang erfolgreich abgeschlossen Um die Backup Datei auf Ihren lokalen PC zu speichern klicken Sie nun auf die Schaltfl che Save System bedienen amp beobachten 5 W hlen Sie in dem Men Dateidownload die Option Datei auf Datentr ger speichern aus und klicken Sie auf die Schaltfl che OK 6 Im Men Datei speichern unter k nnen Sie die Datei nun unter einem beliebigen Dateinamen speichern Der vom Internet Sicherheitssystem erzeugte Dateinamen setzt sich aus Backup Datum und Uhrzeit zusammen backup_yyyymmdd_hhmmss abf astaro backup file Achtung Te Verwenden Sie im Dateinamen nicht die Umlaute Oo und U Die Datei wird sonst vom Internet Sicher _ sheitssystem als corrupt erkannt und kann nicht ein gespielt werden 7 Pr fen Sie die neu generierte Datei auf Lesbarkeit indem Sie die Backup Datei importieren u
155. ebene verarbeiten und anschlie end weiterleiten RADIUS RADIUS steht f r Remote Authentication Dial In User Service RADIUS ist ein Protokoll mit dem ein Router Informationen f r die Benutzerauthentifizier amp ung von einem zentralen Server abfragen kann Router Gateway Ein Router ist ein Vermittlungsrechner der eine intelligente Wegewahl f r die Netzwerkpakete ausw hlt Ein Gateway ist streng genommen etwas anderes als ein Router aber im Zusammenhang mit TCP IP sind beide Begriffe synonym Wenn man Verbindungen ber das eigene Netzwerk hinaus aufbauen m chte muss man dem eigenen Rechner diesen Router Gateway bekannt machen Gew hnlich wird die h chste oder die niedrigste Adresse verwendet z B im Netzwerk 192 168 179 0 24 die Adresse 192 168 179 254 oder 192 168 179 1 Seite 269 Glossar Server Ein Server ist ein Rechner im Netz der besondere i d R stan dardisierte Dienste anbietet z B WWW FTP News usw Um diese Dienste nutzen zu k nnen brauchen Sie als Anwender einen f r den gew nschten Dienst passenden Client SOCKS SOCKS ist ein Proxyprotokoll das dem Anwender erlaubt eine Punkt zu Punkt Verbindung zwischen einem internem und einem externem Rechner ber das Internet zu erstellen SOCKS oft auch Firewall Transversal Protocol genannt existiert derzeit in der Version 5 und klinkt sich auf Clientseite in die SOCKS Aufrufe der Programme ein Subnet Mask Die Subnet Mask oder Netzmaske
156. efinieren 101 Einf hrung 101 DNS Proxy konfigurieren 183 EXIT aussen a ee 260 Factory Reset errre 263 Fehler Ursachen 26 107 Filter Live Log Current NAT rules 173 Current Packet Filter rules FERFER ERS A T 173 Einf hrung 172 Packet Filter Logs 173 General System Settings 42 Glossar Broadcast 265 Clienten onen a r 265 Client Server Prinzip 265 DNS 265 Dual Homed Gateway 266 Firewall aa 266 Header 266 HOSE ee 266 ICMP Ananas 267 IP a 267 IP Adresse zennersersnenn 267 Masquerading 268 NSlIOOKUP n2enennnrenan en 268 Politur aan 268 Seite 271 Index Protokoll 2usensen een 269 Proxy ae 269 RADIUS sauce 269 Router an 269 Server 270 SOCKS HA dee 270 Subnet MaSK 270 UNC Pfad e 270 Glossa f ec nei 259 High Availability 89 High Availability System installieren erseseneeeeen 90 Hochverf gbarkeit 89 Hostname n eni 42 HTTP Clear Proxy Cache 182 Content Filter 182 Surf Protection Profiles 179 HTTP Proxy Surf Protection profile 180 181 User Authentication Modus an Dee 177 HTTP Proxy konfigurieren cesce 177 Standard Modus 176 Transparent Modus 176 ICMP Einf hrung 04 170 Firewall forwards ping 172 Firewall forwards traceroute Firewall is ping visible 172 Firewall is
157. eil einer Firewall besitzt und die mit einem zweiten Netzwerkinterface mit dem externen Teil einer Firewall bzw dem Internet verbunden ist Aufgrund des fehlenden IP Forwarding m ssen alle Verbindungen ber dieses Dual Homed Gateway weitergeleitet werden Firewall Eine Firewall dient der Abschirmung und damit dem Schutz eines Teil Netzwerks z B Astaro von einem anderen Netzwerk z B dem Internet Der gesamte Netzwerkverkehr geht ber die Firewall wo er reguliert und reglementiert werden kann Header Im Allgemeinen ein Bereich am Anfang bzw am Kopf von Dateien in dem grunds tzliche Informationen ber diese Datei gespeichert sind Im Speziellen ist es der Teil einer E Mail oder einer Usenet Nachricht die Informationen ber Inhalt Absender und Datum gibt Host In Client Server Architekturen bezeichnet man als Host den Rechner auf dem die Server Software l uft Dabei k nnen auf einem Host mehrere Server laufen zum Beispiel ein FTP und ein E Mail Server Auf einen Host kann man mit Hilfe von Clients zugreifen zum Beispiel mit einem Browser oder einem E Mail Programm Da der Ausdruck Server au er f r das entsprechende Programm also die Software auch f r den Rechner verwendet wird auf Seite 266 Glossar dem das Programm l uft also die Hardware wird in der Praxis nicht klar zwischen Server und Host unterschieden In der Datenfern bertragung bezeichnet man denjenigen Rech ner als Host von dem D
158. eingeschaltet Statusampel zeigt Gr n Tragen Sie in das Eingabefeld TCP port den TCP IP Port ein Per Default ist hier bereits der TCP IP Port 8080 eingetragen W hlen Sie im Auswahlfeld Allowed networks die f r diesen Proxy zugelassenen Netzwerke aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben W hlen Sie im Auswahlfeld Allowed target services die Dienste Services aus auf die der HTTP Proxy zugreifen 10 11 System bedienen amp beobachten kann Per Default sind bereits die Dienste ausgew hlt zu denen eine Verbindung als sicher gilt Falls Sie im Drop down Men Operation mode den Modus User Authentication ausgew hlt haben definieren Sie nun die Methode zur Benutzerauthentifizierung Authentication methods Zur Auswahl stehen nur Au thentifizierungsmethoden die Sie zuvor im Men Settings User Authentication konfigurier haben Falls Sie die Methode Local Users eingestellt haben w h len Sie nun im Auswahlfeld Allowed users die entspre chenden Benutzer aus Die lokalen Benutzer Users wer den im Men Definitions Users verwaltet Speichern Sie Ihre Einstellungen durch einen Klick auf die Schaltfl che Save Surf Protection Profiles Add Surf Protect Name Categories Users Mit der Funktion Surf Pro I tection Profiles werden Pro file erstellt um den Zugriff von einem Netzwerk oder nur Empty list Selected 62 von einzelnen
159. eintragen 7 Speichern Sie nun das Surf Protection Profile durch einen Klick auf die Schaltfl che Save am Kopf des Men s Nach erfolgreicher Definition wird das neue Profil immer deakti viert an letzter Stelle in die Profil Tabelle eingetragen Status ampel zeigt Rot Durch einen Klick auf die Statusampel wird das Profil aktiviert Wenn nun ein Benutzer oder ein Rechner aus dem definierten Profil auf eine unerlaubte Internetseite zugreift wird der Zugang nicht nur verhindert sondern er erh lt auch eine entsprechende Meldung Surf Protection Categories editieren 1 ffnen Sie im Verzeichnis Proxies das Men HTTP 2 ffnen Sie durch einen Klick auf die Schaltfl che Manage Categories das Men Surf Protection Categories Seite 181 System bedienen amp beobachten In der Tabelle Surf Protection Categories werden die Na men der Kategieren und die darin enthalten Unterkatego rien angezeigt In Klammer wird die Anzahl der vorhanden Kategorien angezeigt 3 Klicken Sie bei der Kategorie die Sie editieren m chten auf die Schaltfl che edit Anschlie end ffnet sich das Fenster Edit Category 4 Editieren Sie mit dem Auswahlfeld die Kategorie Die n derung wird sofort bernommen und in der Tabelle bei der entsprechenden Kategorie angezeigt Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben 5 Klicken Sie nach Durchf hrung der nderungen auf die Schaltfl che Close Ansc
160. eissicherheit gew hrleisten e Protokollauswertung durchf hren e Alarmierung bei sicherheitsrelevanten Ereignissen e Verbergen der internen Netzstruktur e Entkopplung von Servern und Clients durch Proxies e Vertraulichkeit Abh rsicherheit von Daten gew hrleisten Seite 11 Einf hrung in die Technologie Es existieren nun mehrere generische Netzwerkeinrichtungen die unter dem berbegriff Firewall zusammengefasst diese Aufgaben bernehmen Im Folgenden soll kurz auf einige Formen und ihre Ableger eingegangen werden Netzwerkschicht Firewalls Paketfilter Packet Filter Wie der Name schon sagt werden hier IP Pakete bestehend aus Adressinformation einigen Flags und den Nutzdaten gefiltert Mit einer solchen Firewall k nnen Sie basierend auf verschie denen Variablen Zugang gew hren oder ablehnen Diese Varia blen sind u a e die Ursprungsadresse e die Zieladresse e das Protokoll z B TCP UDP ICMP e die Port Nummer Dieser Ansatz bietet gro e Vorteile Seine Geschwindigkeit bei der Bearbeitung der Pakete und er ist betriebssystem und appli kationsneutral In der fortgeschrittenen und komplexeren Entwicklungsform um fasst der Leistungsumfang von Paketfiltern die Interpretation der Pakete auf h herer Kommunikationsebene In diesem Fall wer den Pakete auch auf Transportebene TCP UDP interpretiert und Statusinformationen f r jede aktuelle Verbindung werden bewer tet und festgehalten Dieses Vorgehen wi
161. eit Netzwerke und Dienste zu gruppieren Wenn Sie sp ter diesen Gruppen be stimmte Einstellungen zuweisen gelten diese f r alle darin ent haltenen Netzwerke und Dienste Gruppen k nnen auch wieder in bergeordnete Gruppen zusammengefasst werden Au erdem definieren Sie in diesem Verzeichnis die lokalen Be nutzer f r die Proxydienste Networks Im Fenster Add network k n Subnet mask Hint to create a host entry use the subnet mask 255 255 255 255 or 32 nen Sie ein neues Netzwerk hinzuf gen Ein Netzwerk setzt sich immer aus Namen IP I I ar Subnet mask O nd 255 255 255 0 edit del Internal_Interface Internal_Network _ localhost localnet NTP_Server_Atlanta NTP_Server_Berlin NTP_Server_Bern INTP_Server_Canberra INTP_Server_Colorado INTP_Server_Erlangen NTP_Server_Fukuoka INTP_Server_Hong Kong NTP_Server_Palo_Alto NTP_Server_Rocquencourt NTP_Server_Saskatchewan NTP_Server_Stockholm NTP_Server_Washington_DC Private_Network_10 0 0 0 Private_Network_172 16 0 0 Private_Network_192 168 0 0 192 168 2 15 192 168 2 0 127 0 0 1 127 0 0 0 130 207 244 240 131 188 3 220 133 100 9 2 137 189 65 18 192 168 0 0 255 255 255 255 255 255 255 0 255 255 255 255 255 0 0 0 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 240 0
162. eld Interval den Zeitabstand nach dem das System automatisch den spezifizierten Up date Server anw hlt und diesen auf neue System Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde jeden Tag einmal pro Woche Neu eingespielte Up2Date Pakete werden in der Tabelle Un applied Up2Dates mit der Versionsnummer und dem Datei namen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Seite 54 Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt System bedienen amp beobachten System Up2Date von lokalem Datentr ger einspielen Der Dateiname eines Up2Date Pakets setzt sich aus der Ver sionsnummer der Bezeichnung tar f r ein verschl sseltes Archiv und dem Dateitype gpg zusammen Beispiel 3 033 tar gpg Up2Date Pakete finden Sie auf dem FTP Server ftp astaro com 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster System Up2Date auf die Schalt fl che Durchsuchen bei Import from file 3 W hlen Sie im Fenster Datei ausw hlen das Up2Date Paket aus das Sie importieren m chten und klicken auf die Schaltfl che Offnen Wichtiger Hinweis Ta Verwenden Sie zum Importieren der Up2Date Pa kete unter Microsoft Windows keinen UNC Pfad s W hlen Sie die Pakete mit Hilfe des Auswahlfe
163. eme im weltumspannenden Netzwerk kommunizieren ber das Internet Protocol IP und verschiedene andere Pro tokolle die darauf aufsetzen z B TCP UDP ICMP Basis einer solchen Kommunikation sind die IP Adressen mit der F higkeit alle erreichbaren Einheiten im Netzwerk eindeutig zu identifi zieren Das Internet selbst existiert als Zusammenschluss verschieden artiger Netzwerke die sich sowohl durch die verwendeten Protokolle als auch durch die Ausbreitung unterscheiden An Knotenpunkten die zwei oder mehrere Netzwerke miteinander verbinden entstehen eine Vielzahl von Aufgaben die von Rou tern Bridges oder Gateways bernommen werden Ein spezieller Fall eines solchen Knotenpunktes ist die Firewall Hier treffen in aller Regel drei Typen von Netzwerken aufei nander e Externes Netzwerk Wide Area Network WAN e Internes Netzwerk Local Area Network LAN e De Militarized Zone DMZ Eine Beispiel Konfiguration sehen Sie auf der n chsten Seite Seite 10 Einf hrung in die Technologie Externes Netzwerk gt Internet Internes Netzwerk _ Jill Firewall Web FTP E Mail Server Server Server Die Firewall Ein Modul dieses Internet Sicherheitssystems ist die Firewall Die charakteristischen Aufgaben einer Firewall als Schnittstelle zwi schen WAN LAN und DMZ sind e Schutz vor unbefugten Zugriffen e Zugangskontrolle wer darf wie und worauf zugreifen e Bew
164. en 1 ffnen Sie im Verzeichnis IPSec VPN das Men CA Management 2 Klicken Sie in der Tabelle Certificate Authorities auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Certificate Authority 3 W hlen Sie die Option Generate aus Seite 233 System bedienen amp beobachten Vergeben Sie im Eingabefeld Name einen eindeutigen Na men f r das Zertifikat Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 und Unterstrich Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke aus Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CA ein Um die Eintr ge zu speichern Klicken Sie auf die Schalt fl che Start Anschlie end wird die Signing CA in die Tabelle Certificate Authorities geladen Diese CA wird nun dazu verwendet um Zertifikats Antr ge CSR zu signieren und dann daraus ein Zertifikat zu erstellen Schritt 2 Den Zertifikats Antrag Request erstellen 1 Seite 234 Klicken Sie in der Tabelle Host CSR or Certificate auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Host CSR or Certificate W hlen Sie die Option Generate CSR aus W hlen Sie im Drop down Men VPN ID den VPN ID Type aus Bei den Optionen E Mail Address Hostname und Ipv4 Address m ssen Sie den zugeh rigen Wert i
165. en e pop3 Die E Mail wurde wegen Verdacht auf einen Virus vom POP3 Proxy gefiltert E Mails mit dem Typ smtp_err k nnen folgende Stati erhalten Bounce Die E Mail konnte nicht an die Empf ngeradresse ge sendet werden Dieser Status wird auch generiert falls die E Mail an mehrere Empf ngeradressen abgeschickt wurde aber nur ein Teil der Empf nger diese E Mail auch tats chlich erhalten hat Der Absender wird ber diesen Status benachrichtigt indem die E Mail an ihn mit einer entsprechenden Nachricht zur ckgesen det wird Frozen Beim Versuch die E Mail zu versenden wurde ein permanenter Fehler verursacht Dies geschieht normalerweise wenn der Status Bounce nicht an die original Absenderadresse geschickt werden kann Frozen bounce Dieser Status ist eine Kombination aus den zwei zuvor beschriebenen Stati Der Content Manager Entries per Page Mit diesem Drop down Men stellen Sie ein wie viele Eintr ge pro Seite angezeigt werden Per Default ist 10 Eintr ge pro Seite eingestellt Show type Hier stellen Sie ein welcher Typ angezeigt werden soll Per Default ist All eingestellt Auf der rechten Seite wird die Gesamtsumme der E Mails im Proxy Content Manager angezeigt Die Angabe rechts daneben ergibt sich aus der Einstellung mit dem Drop down Men Show type F r jede gefilterte E Mail wird in dieser Tabelle eine Zeile er zeugt Durch einen Klick auf die Mail ID in der Spalte ID k nnen Sie die E Mail ffnen u
166. en Er er m glicht den Benutzern ber eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen und dem Administrator die zen tral organisierte Verwaltung transparent von der Netzwerk topologie und den eingesetzten Netzwerkprotokollen F r diesen Verzeichnisdienst wird zur Bewertung der Anfragen ein MS Windows NT 2000 Domain Controller ben tigt Novell eDirectory Novell Directory Service 8 ist ein auf X 500 basierender Verzeichnisdienst zur Verwaltung von Be nutzern Zugriffsrechten und anderen Netzwerkressourcen Novell stellt den Verzeichnisdienst f r die Plattformen Netware ab Version 5 MS Windows NT 2000 Linux und Solaris zur Verf gung Mit Hilfe des Open Source Projekts OpenLDAP das unter der Aufsicht der OpenLDAP Foundation realisiert wird kann in ei nem Netzwerk ein Verzeichnisdienst mit unterschiedlichen Stand alone LDAP Servern aufgebaut werden Auf der Open Source Software basiert z B der Stand alone LDAP Server iPlanet Directory Server Seite 73 System bedienen amp beobachten Benutzerauthentifizierung Bei der Benutzerauthentifizierung ber LDAP wird im Verzeich nisdienst der Distinguished Name DN des Benutzers abge fragt Der abgefragte Name des Benutzers muss innerhalb des Verzeichnisses einmalig sein Bei Microsoft Active Directory AD und Novell eDirectory NDS8 hat jedes Objekt einen definierten DN der die Domain und den Pfad im AD Verzeichnis bzw im NDS Baum identifiziert u
167. en Funk netzwerk zu erhalten ben tigen Sie den bestehenden Namen Der Namen kann eine maximale L nge von 32 Zeichen haben Channel Bei diesem System geben Sie den Funkkanal des Funknetzwerks manuell ein Sollten noch weitere Funknetz werke vorhanden sein vergewissern Sie sich welche Kan le von diesen belegt werden Beachten Sie au erdem dass in verschiedenen L ndern nur bestimmte Kan le verwendet werden d rfen USA amp Kanada Spanien 10 11 Europa ETSI Frankreich 10 bis 13 Japan WEP F r die WEP Verschl sselung ben tigen Sie mindestens einen WEP Schl ssel Maximal vier Schl ssel sind m glich Sie k nnen eine Schl ssell nge von 40 Bit oder 104 Bit defi nieren Je nachdem f r welche Schl ssell nge Sie sich ent scheiden m ssen Sie eine Zeichenfolge von 5 oder 13 Zei chenpaaren in hexadezimaler Schreibweise eingegeben Sie d rfen also nur die Zahlen 0 bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 Seite 114 System bedienen amp beobachten e Access Mode nur Wireless LAN Access Point F r den MAC Adressen Filter m ssen Sie zuerst die MAC Adressen der Netzwerkkarten zusammenstellen die entweder das Wireless LAN nicht betreten d rfen negativer Filter oder das Wireless LAN explizit betreten d rfen positiver Filter Wie Sie die Netzwerkkarten MAC Adresse ermitteln wird nachfolgend erkl rt Die MAC Adressen ermitteln Falls die Netzwerk
168. en Netzwerken ein sowie die ICMP Nachrichten z B ping direkt zum Internet Sicherheitssystems In Filter Live Log befindet sich die Anzeige f r Regelverst e und ein berblick ber das Gesamtregelwerk Paketfilter NAT auf der Firewall 5 4 1 Rules Im Men Rules setzen Sie die Paketfilterregeln Die Re ge pen geln werden mit Hilfe der de finierten Netzwerke Net em Works und Dienste Ser amd Vices gesetzt From Client To Server An 7 Any y Beim Einsatz von Paketfiltern unterscheidet man zwei grundle gende Arten der Security Policy e Alle Pakete passieren dem Regelwerk muss ausdr cklich mitgeteilt werden was verboten ist e Alle Pakete werden geblockt das Regelwerk braucht Infor mationen welche Pakete passieren d rfen Die Firewall dieses Internet Sicherheitssystems ist fest auf die Variante Alle Pakete werden geblockt voreingestellt da mit diesem Vorgehen eine viel h here Sicherheit erreicht werden kann F r den t glichen Umgang bedeutet dies dass Sie aus dr cklich definieren welche IP Pakete den Filter passieren d rfen Alle brigen Pakete werden geblockt und anschlie end im Filter Live Log angezeigt Seite 164 System bedienen amp beobachten Beispiel Netzwerk A ist ein Sub Netzwerk von Netzwerk B In Regel 1 wird der Dienst SMTP f r das Netzwerk A erlaubt Regel 2 verbietet SMTP f r das Netzwerk B Ergebnis Ausschlie lich f r Netzwerk A wird SMT
169. en Sie in das Eingabefeld Name den Namen der Schnittstelle ein 4 W hlen Sie im Drop down Men Hardware die Netzwerk karte aus Tipp m b W hlen Sie als Schnittstelle zum externen Netzwerk Internet die Netzwerkkarte mit der Sys ID ethi s aus Eine Netzwerkkarte auf der bereits die prim re Netzwerk karten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ PPTP over Ethernet PPPoA DSL connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Modem IP Address Tragen Sie hier die IP Adresse des ADSL Modems ein Diese Adresse wird in der Regel vom Provider oder von der Hardware mitgeliefert und kann nicht ge ndert werden Beispiel 10 0 0 138 bei AonSpeed NIC IP Address Tragen Sie hier die IP Adresse f r die Netzwerkkarte auf dem Internet Sicherheitssystem ein Die Adresse muss im selben Sub Netzwerk liegen wie die IP Adresse des Modems Beispiel 10 0 0 140 bei AonSpeed Seite 129 System bedienen amp beobachten NIC Net
170. en Vorgang startet Beispiele F r MS Active Directory de example dce com F r Novel eDirectory o our_organisation Tragen Sie im Eingabefeld Password das Passwort ein Dieses Passwort sollte auch f r die Administration des Stand alone LDAP Servers verwendet werden Sicherheitshinweis b Setzen Sie sichere Passw rter Ihr Vorname r ck ee w rts buchstabiert ist beispielsweise kein ausrei chend sicheres Passwort besser w re z B xfT35 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Save Seite 83 System bedienen amp beobachten d Sicherheitshinweis h Solange die Funktion LDAP authentication by at tribute ausgeschaltet ist k nnen alle Benutzer die im Verzeichnisdienst einen eindeutigen DN und ein g ltiges Passwort haben die Proxies HTTP SMTP und SOCKS verwenden sowie auf das Konfigura tionstool WebAdmin zugreifen LDAP erweiterte Authentifizierung 1 Schalten Sie die Funktion LDAP authentication by at tribute durch einem Klick auf die Schaltfl che Enable bei Status ein 2 W hlen Sie im Drop down Men Service den Dienst aus Die m glichen Dienste sind HTTP SMTP SOCKS und WebAdmin 3 Tragen Sie in das Eingabefeld Attribute Name den Attri butnamen ein Falls Sie einen Microsoft Active Directory Server verwen den und den Abfrage Typ MemberOf konfiguriert haben ist dies der Name der entsprechenden Security Group Beispiel socks_users
171. en anschlie Bend automatisch drei logische Netzwerke definiert e Eine Schnittstelle NAME_Interface__ bestehend aus der von Ihnen definierten IP Adresse und der Netzwerkmaske 255 255 255 255 Host e Ein Netzwerk NAME_Network__ bestehend aus der Netz werk IP Adresse und der Netzwerkmaske Netzwerk e Broadcast NAME_Broadcast__ bestehend aus der Broad cast IP und der Netzwerkmaske 255 255 255 255 Host Die Netzwerken werden im Men Networks angezeigt Wenn bei einer Netzwerkkarte eine dynamische IP Adressenverteilung z B bei DHCP oder PPPoE verwendet wird werden diese Ein stellungen automatisch aktualisiert Alle Funktionen die sich auf Seite 106 System bedienen amp beobachten diese Einstellungen beziehen z B Paketfilter oder NAT erhal ten automatisch die ge nderte IP Adresse Hardware Device Overview In dieser Tabelle sind alle auf dem Internet Sicherheitssystem installierten Netzwerkkarten mit den entsprechenden Hardware Informationen enthalten z B die vom System zugewiesene Be zeichnung Sys ID der Netzwerkarten Typ die MAC Hardware Adresse Name Parameters sowie Angaben zum PCI Bus Bus Ger t Funktion PCI Device ID Fehler In der Tabelle Hardware Device overview sind nicht alle Netzwerkkarten enthalten M gliche Fehlerursache Die fehlende Netzwerkkarte wurde erst nach Installation des Internet Sicherheitssystems eingebaut oder sie wurde w hrend 4 der Installation nicht erkannt
172. enen nur zur Kommunikation zwischen den VLAN f higen Switches und dem Internet Sicherheitssystem Die an den Switches angeschlossenen Rechner m ssen keine tag f higen Netzwerkkarten haben Allerdings muss der entsprechen de Port dieses Switchs als untagged Port definiert werden Die VLAN f higen Switches haben meist eine serielle Schnittstelle ber diese Schnittstelle k nnen mittels Terminalprogramm die verschiedenen Einstellungen durchgef hrt werden Seite 122 System bedienen amp beobachten Beispielkonfiguration Sie haben mehrere Ar beitspl tze wie in der linken Grafik darge stellt auf zwei Etagen PC4 PC5 PC6 2 verteilt Die Computer nn jeder Etage sind jeweils Etage 1 E n nnnnnnnnnnnnnnnnnnnnnn an einen Switch ange schlossen MOB La FE Firewal PC1 und PC2 von Etage 2N 1 sollen nun mit PC4 d et rx TS N PLTEITT tagged von Etage 2 zum Netz werksegment VLAN 10 zusammengefasst werden PC3 PC5 und PC6 werden zu VLAN 20 zusammengefasst Auf beiden Switches m ssen die Ports konfiguriert werden Switch a Switch b Port V tagged Tag untagged LAN 10 20 10 20 20 F r PC3 sieht es nun so aus als w hre er nur ber einen Switch mit PC5 und PC6 verbunden Damit die Rechner nun eine Verbindung zum externen Netzwerk Internet erhalten muss noch die Schnittstelle zum Internet Sicherheitssystem im Beispiel eth2 eingestellt werden Wichtiger Hinweis zur Konfigur
173. erden Die restriktivien Ma nahmen k nnen in diesem Fall die Arbeit behindern Seite 146 System bedienen amp beobachten Drop blackhole Die nachfolgenden Pakete einer Port scansequenz werden verworfen und es kommt keine Ver bindung zu Stande F r den Portscanner ist dieser Port gefiltert filtered Reject reply with icmp deny Die Verbindungsanfragen des Angreifers werden mit einem RST ACK port unreach able zur ckgewiesen Dadurch wird der Port als geschlos sen closed ausgegeben und dem Angreifer bleiben die Dienste Services versperrt Falls Sie Drop oder Reject ausgew hlt haben bleibt die gew hlte Aktion solange in Kraft bis der portscan typische Datenverkehr aufh rt Speichern Sie die Einstellungen durch einen Klick auf die Schaltfl che Save PSD Network Exclusion Normale Netzwerkaktivit ten z B Traceroute oder ein FTP Datenverkehr mit vielen kleinen Dateien k nnen durch PSD als ein Portscan interpretiert werden Aus diesem Grund ist es sinnvoll bestimmte Quell und Zielnetzwerkkombinationen vom PSD auszuschlie en Netzwerk vom PSD ausschlie en 1 ffnen Sie im Verzeichnis Network das Men Portscan Detection F hren Sie im Fenster PSD Network Exclusion folgende Einstellungen durch Source network W hlen Sie das Quellnetzwerk aus Destination network W hlen Sie das Zielnetzwerk aus bernehmen Sie die Einstellungen durch einen Klick auf die Schaltfl che
174. eren Endpunktes zeigt Remote Endpoint W hlen Sie hier die IP Adresse des entfernten Endpunktes aus Bei einer Roadwarrior Verbindung hat der entfernte End punkt immer eine dynamische IP Adresse 6 Im Fenster Subnet Definition optional k nnen Sie f r beide Endpunkte optional ein Sub Netzwerk ausw hlen Wenn Sie eine Roadwarrior Verbindung erstellen kann f r Remote Subnet kein Netzwerk definiert werden Local Subnet W hlen Sie hier das lokale Sub Netzwerk aus Remote Subnet W hlen Sie hier das entfernte Sub Netz werk aus 7 W hlen Sie nun im Fenster Authentication of Remote Station s den passenden Key aus Die IPSec Remote Keys werden im Men IPSec VPN Re mote Key definiert F r jeden entfernten Endpunkt wird ein IPSec Remote Key Objekt ben tigt 8 Speichern Sie nun die Einstellungen durch einen Klick auf die Schaltfl che Add Das neu konfigurierte IPSec Verbindungsprofil wird immer deak tiviert an letzter Stelle in die Tabelle eingetragen Statusampel zeigt Rot Durch einen Klick auf die Statusampel wird die IPSec Verbindung aktiviert Nachdem Sie einen VPN Tunnel erstellt haben m ssen Sie noch die entsprechenden Paketfilterregeln setzen die es den jeweili gen Parteien erlauben miteinander zu kommunizieren Das Setzen von Paketfilterregeln wird in Kapitel 5 4 ab Seite 164 beschrieben Seite 221 System bedienen amp beobachten Beispiel Wenn Sie eine Net to Net VPN Verbindung zwischen
175. es aus Dies hat zur Folge dass dem Rechner im Wireless LAN der aktuelle WEP Key bekannt sein muss Require WEP Wenn Rechner die die WEP Verschl sselung nicht unterst tzen keine Verbindung zum Wireless LAN erhalten sollen w hlen Sie Yes aus Seite 117 System bedienen amp beobachten Seite 118 WEP Key Tragen Sie in die Eingabefelder WEP Key O bis 3 die WEP Schl ssel ein F r die Verschl sselung ben tigen Sie mindestens einen WEP Schl ssel Maximal vier Schl s sel sind m glich F r eine Schl ssell nge von 40 Bit geben Sie eine Zeichen kette mit 5 Zeichenpaaren ein F r eine Schl ssell nge von 104 Bit ben tigen Sie eine Zeichenkette mit 13 Zeichen paaren Die Zeichenfolge muss in hexadezimaler Schreib weise eingegeben werden Sie d rfen also nur die Zahlen O bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 Default WEP Key W hlen Sie im Drop down Men einen der WEP Schl ssel 0 bis 3 WEP Key zum Default Schl s sel aus Dies ist der aktuelle WEP Schl ssel den die Rechner ben tigen um das Wireless LAN zu betreten Access Mode W hlen Sie im Drop down Men den Filter f r das Wireless LAN aus Wenn Sie allen Rechnern den Zutritt zum Wireless LAN erlauben m chten w hlen Sie All stations can get access aus Wenn Sie den positiven Filter konfigurieren m chten w hlen Sie Stations in Allowed MAC addrs can get access aus F r den negativen Filte
176. es Internet Sicherheitssystems Probleme auftauchen so eignen sich diese Informationen zum Debugging Ihrer Paketfilterregeln Das Modul Filter Live Log wird in Kapitel 5 4 3 ab Seite 172 beschrieben Sicherheitssystem und Virenscanner aktualisieren ffnen Sie im Verzeichnis System das Men Up2Date Service und f hren Sie das System Up2Date aus Falls Ihre Lizenz auch Virus Protection beinhaltet starten Sie anschlie end manuell das Modul Pattern Up2Date Das Modul Up2Date Service wird in Kapitel 5 1 3 ab Seite 52 beschrieben Wenn Sie diese Schritte erfolgreich durchgef hrt haben ist die Erstkonfiguration des Internet Sicherheitssystems abgeschlos sen Schlie en Sie nun das Konfigurationstool WebAdmin durch einen Klick auf die Schaltfl che Exit Probleme Sollten bei der Durchf hrung dieser Schritte Probleme auftau chen so wenden Sie sich bitte an den Support ihres Sicherheits system Anbieters oder besuchen Sie das Astaro Bulletin Board unter http www astaro org Seite 32 WebAdmin Werkzeuge WebAdmin Werkzeuge Mit dem Konfigurationstool WebAdmin k nnen Sie alle Einstel lungen am Internet Si cherheitssystem durchf hren In diesem Kapitel werden die Werkzeuge und Hilfsmittel von WebAdmin erl utert Das Konfigurationstool WebAdmin besteht aus host doman com T4 vier Komponenten 1 cummyarw n 1 Info Box Einstellung otfy net Please selec WebAdmin D
177. eschlagen Setzen Sie sich mit dem Support Ihres Sicherheits system Anbieters in Verbindung 005 System Up2Date to new version failed Internal Error Das System Update ist fehlgeschlagen Setzen Sie sich mit dem Support Ihres Sicherheits system Anbieters in Verbindung 006 System Up2Date to new version failed Internal Error Das System Update ist fehlgeschlagen Setzen Sie sich mit dem Support Ihres Sicherheits system Anbieters in Verbindung 007 System Up2Date to new version failed n Internal Error Das System Update ist fehlgeschlagen Setzen Sie sich mit dem Support Ihres Sicherheits system Anbieters in Verbindung 008 Failed to connect available Up2Date Server for Pattern Up2Date Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Seite 256 System bedienen amp beobachten 009 Failed to start Virus Scanner Please repeat Pattern Up2Date Der Virus Scanner konnte nicht gestartet werden Starten Sie die Funktion Pattern Up2Date neu Falls das Problem weiterhin auftritt setzen Sie sich mit dem Support Ihres Sicherheits system Anbieters in Verbindung 010 Please repeat Pattern Up2Date Die neuen Pattern Up2Dates wurden nicht installiert der Virenscanner l uft mit den bisher installierten Pattern Falls das Problem fter auftritt setzen Sie sich mit
178. eshold Two When Spam Level exceeds Keine Einstellung do this Keine Einstellung Der erste Grenzwert hat zur Folge dass E Mails ab Stufe 3 gefiltert aber durchgelassen werden Mit Hilfe des hinzugef gten Headers kann die E Mail auf dem Mail Server oder im E Mail Programm des Empf ngers sortiert oder gefiltert werden Grunds tzliche gilt dass der Grenzwert Threshold mit der h heren Stufe eine strengere Behandlung do this erfahren soll Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlernumer 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind e Quarantine Die E Mail wird angenommen kommt aber in Quarant ne Die E Mail wird im Men Proxy Content Mana ger als Typ SMTP_ERR angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zur ckzusenden Seite 200 System bedienen amp beobachten e Pass Die E Mail wird vom Filter behandelt aber durchgelas sen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Pro gramm
179. essant dass nach dem das System herunterge fahren wurde ein akustisches Signal ert nt Endlos Beep mit einer Sekunde Pause Der Vorgang dauert je nach Hardware und Konfiguration bis zu 5 Minuten Erst nachdem Sie das System heruntergefahren haben zu erkennen an der Power down Ausgabe d rfen Sie es ausschalten Wenn das System vor dem Ausschalten nicht ordnungsgem heruntergefahren wurde muss beim n chsten Startvorgang die Integrit t des Filesystems berpr ft werden dies verz gert den Startvorgang Im schlimmsten Fall k nnen sogar Daten verloren gehen Wenn der Startvorgang erfolgreich war ert nt ein akustisches Signal F nf Beeps in Folge Seite 94 System bedienen amp beobachten Shut down 1 ffnen Sie im Verzeichnis System das Men Shut down Restart 2 W hlen Sie im Drop down Men Select action die Aktion Shut down aus 3 Best tigen Sie Ihre Auswahl durch einen Klick auf die Schaltfl che Start 4 Beantworten Sie die Frage Do you really want to shut down durch einen Klick auf die Schaltfl che OK Seite 95 System bedienen amp beobachten 5 2 Netzwerke und Dienste Definitions 5 2 1 Netzwerke und Dienste werden im Verzeichnis Definitions f r alle weiteren Einstellungen z B Paketfilter VPN und Proxies zentral definiert Dies hat den Vorteil dass Sie sp ter einfach mit den jeweiligen Bezeichnungen Name arbeiten k nnen F r eine weitere Vereinfachung sorgt die M glichk
180. estaltete Anwendungen ver wenden auf der Benutzerseite ein Clientprogramm Client das mit einem bestimmten Dienstrechner im Netz Server Daten austauscht Der Server ist dabei i d R f r die Datenhaltung zust ndig w hrend der Client die Pr sentation dieser Daten und die Interaktion mit dem Benutzer bernimmt Dazu bedienen sich Client und Server eines genau definierten Protokolls Alle wichtigen Anwendungen im Internet z B WWW FTP News basieren auf dem Client Server Prinzip DNS Dank des Domain Name Systems auch Domain Name Service kann der Anwender statt der rechnerfreundlichen IP Nummer den menschenfreundlicheren Namen bzw Aliase verwenden F r die Umsetzung von Nummer nach Name sorgen die Name server Jede am Internet angeschlossene Institution muss mindestens zwei voneinander unabh ngige Nameserver betrei ben die ber Namen und Nummern dieser Institution Auskunft geben k nnen Zus tzlich gibt es f r jede Top Level Domain Seite 265 Glossar einen Nameserver der ber eine Liste aller nachgeordneten Nameserver dieser Domain verf gt Das Domain Name System stellt also eine verteilte hierarchische Datenbank dar Im Normalfall fragt jedoch nicht der Benutzer selbst die Datenbank ab sondern die Netzanwendung z B Netscape mit der er gerade arbeitet Dual Homed Gateway Man geht von einer Maschine ohne IP Forwarding aus die mit einem Netzwerkinterface Kontakt zum lokalen Netzwerk bzw zum internen T
181. fault Gateway definieren m chten w hlen Sie im Drop down Men None aus SSID Tragen Sie in das Eingabefeld den Funkzellennamen ein Wenn Sie die Verbindung zu einem bereits bestehenden Wireless LAN aufbauen m chten m ssen Sie den bestehen den Funkzellennamen eintragen Use WEP Wenn Sie im Wireless LAN die WEP Verschl s selung verwenden m chten w hlen Sie im Drop down Men Yes aus Sicherheitshinweis h Die WEP Verschl sselung sollte immer verwendet werden da ein ungesch tztes Wireless LAN immer ein hohes Sicherheitsrisiko darstellt Wenn Sie die WEP Verschl sselung auf No stellen werden die weiteren Einstellungen in den WEP spezifischen Feldern vom System nicht mehr ber cksichtigt WEP Authentication Falls WEP zur Authentifizierung ein gesetzt werden soll w hlen Sie im Drop down Men Yes aus Dies hat zur Folge dass dem Rechner im Wireless LAN der aktuelle WEP Key bekannt sein muss Require WEP Wenn Rechner die die WEP Verschl sselung nicht unterst tzen keine Verbindung zum Wireless LAN erhalten sollen w hlen Sie Yes aus WEP Key Tragen Sie in die Eingabefelder WEP Key O bis 3 die WEP Schl ssel ein F r die Verschl sselung ben tigen Sie mindestens einen WEP Schl ssel Maximal vier Schl s sel sind m glich F r eine Schl ssell nge von 40 Bit geben Sie eine Zeichen kette mit 5 Zeichenpaaren ein F r eine Schl ssell nge von 104 Bit ben tigen Sie eine Zeichenkette mit 13 Zeiche
182. fizierung Schl sselaustausch und Datenverschl sselung nach dem offenen Standard Internet Protocol Security IPSec Bei einer durch VPN gesch tzten Verbindung k nnen nur au thentifizierte Gegenstellen miteinander kommunizieren Niemand anderes kann Informationen ber diese Verbindung bertragen lesen oder ver ndern Eine VPN Verbindung kann entweder zwei Hosts einen Host und ein Netzwerk LAN oder zwei Netzwerke gesichert miteinander verbinden Wenn an einem VPN Endpunkt ein Host ange schlossen ist so reicht der VPN Tunnel bis zu diesem Rechner und wird dort ver und entschl sselt Bei einem Netzwerk ist ein Security Gateway vorhanden welches die VPN Verbindung verwaltet und die Daten ver und entschl sselt Der Daten verkehr zwischen dem Security Gateway und dem Netzwerk ist nicht verschl sselt Der Datenaustausch zwischen zwei Gegenstellen ber das Public Wide Area Network WAN erfolgt ber ffentliche Router Switches und andere Netzwerkkomponenten und wird allgemein als unsicher angesehen Es besteht theoretisch an jedem dieser Punkte die M glichkeit gesendete Nachrichten im Klartext mitzulesen Mit Hilfe von IPSec VPN wird zwischen den beiden Endpunkten ein virtueller verschl sselter IP Security IPSec Tunnel durch das WAN erzeugt Ein IPSec Tunnel besteht aus einem Paar richtungsgebundener Security Associations SA einem f r jede Richtung der Kom munikation Seite 209 System bedienen amp beobachten
183. gebend f r das korrekte Funktionieren der Firewall Durch einen Klick auf die Schaltfl che move k nnen Sie die Reihenfolge der Abarbeitung ver ndern Geben Sie im Eingabefeld an vor welche Zeilennummer dieser Regelsatz verschoben werden soll und best tigen Sie dies durch einen Klick auf die Schaltfl che OK Paketfilterregel l schen Durch einen Klick auf die Schalt fl che del wird die Paketfilterregel aus der Tabelle gel scht Regelsatz Tabelle sortieren Durch einen Klick auf die Funk tion in der Kopfzeile der Regelsatz Tabelle werden alle Regeln entsprechend sortiert Wenn Sie z B die Tabelle nach den Absendernetzwerken sortieren m chten klicken Sie auf From Client Um die Tabelle wieder nach der Reihenfolge des Matching anzuzeigen klicken Sie auf No Broadcast auf das gesamte Internet Um Pakete mit der Zieladresse Broadcast IP zu droppen muss Sie zuerst im Men Definitions Networks die entspre chende Broadcast Adresse in Form eines neuen Netzwerks defi nieren Anschlie end m ssen Sie die Paketfilterregel setzen und aktivieren 1 ffnen Sie im Verzeichnis Definitions das Men Networks und definieren Sie das folgende Netzwerk Name Broadcast32 IP address 255 255 255 255 Subnet mask 255 255 255 255 2 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add Seite 168 System bedienen amp beobachten 3 ffnen Sie nun im Verzeichnis Packet Filter das Men Rules und setzen Si
184. gen Sie hier den NETBios Namen des Servers ein Dies entspricht dem Eintrag im Einga befeld PDC Name 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Save l Sicherheitshinweis m Wenn Sie SAM Authentifizierung verwenden sollten Sie den lt _Guest Account Ihrer Windows Domain deaktivieren da sonst alle Benutzer Passwort Kombinationen als g ltig angesehen werden Seite 72 System bedienen amp beobachten 5 1 6 3 LDAP Server LDAP steht f r Lightweight Directory Access Protocol und ist ein Kommunikationsprotokoll das den Transport und das Format von Nachrichten definiert die von einem Client f r den Zugriff auf einen X 500 konformen Verzeichnisdienst verwendet werden Das Protokoll spezifiziert somit die Art des Zugriffs auf einen solchen Verzeichnisdienst Bei diesem Internet Sicherheitssystem wird das Protokoll LDAP zur Benutzerauthentifizierung eingesetzt indem mit Hilfe von Stand alone LDAP Servern Verzeichnisse nach einem Benutzer mit einer bestimmten Gruppenzugeh rigkeit oder mit bestimm ten Attributen abgefragt werden Das System unterst tzt die Stand alone LDAP Server Microsoft Active Directory und Novell eDirectory sowie LDAP Server die auf der Open Source Implementation von OpenLDAP basieren Microsoft Active Directory ist der Verzeichnisdienst speziell f r Microsoft Windows NT 2000 Netzwerke und erlaubt die zentrale Organisation und Verwaltung aller Netzwerkressourc
185. gen k nnen Sie im Dialog Eigenschaften in verschiedenen Registerkarten weitere Einstellungen vor nehmen oder ndern Allgemein Hier k nnen Sie den Hostnamen oder die Ziel IP Adresse ndern Falls vor der PPTP Verbindung eine Verbindung zum Internet Service Provider ISP aufgebaut System bedienen amp beobachten werden muss stellen Sie diese im Fenster Erste Verbin dung ein Optionen Hier k nnen Sie die W hl und Wahlwieder holungsoptionen definieren Sicherheit W hlen Sie die Option Erweitert Benutzer definierte Einstellungen Klicken Sie anschlie end auf die Schaltfl che Einstellungen Belassen Sie die Standard einstellungen in diesem Men Netzwerk W hlen Sie im Auswahlmen Typ des anzu rufenden VPN Servers die Option Point to Point Tun neling Protokoll PPTP aus Gemeinsame Nutzung Hier k nnen Sie die Nutzungsbe dingungen f r die PPTP Verbindung definieren Anschlie end wird die PPTP Verbindung mit einem Klick auf das neue Icon im Men Start Einstellungen Netzwerk und DFU Verbindungen gestartet Weitere Informationen erhalten Sie in der Regel vom Administra tor des Netzwerks Seite 153 System bedienen amp beobachten 5 3 7 Quality of Service QoS Internet Die bertragungsleistung eines Leitungssystems TE rar wird als Bandbreite bezeichnet und wird hier in e kBit s angegeben Falls die anfallende Daten EEE 5 menge die Leistungsgrenze berschreitet kann die Kommun
186. gibt an in welche Gruppen die IP Adressen eingeteilt sind Aufgrund dieser Einteilung werden einzelne Rechner einem Netzwerk zugeordnet UNC Pfad Mit Hilfe eines Universal Naming Convention Pfadnamen UNC Pfad z B Servername Freigabename kann man manuell eine Verkn pfung zu einem Netzlaufwerk erstellen Seite 270 Index Accounting Netzwerk ausschlie en 159 Netzwerkkarte hinzuf gen entfernen 159 Accounting uensersereennen nenn 158 Administrator e mail addresses PEPPER aaa a a a 42 Akustische Signale Beep 5 Malacca 94 Endlos Beep soccer 94 Backup Einf hrung eesccceccer 59 einspielen 62 E Mail Backup File 63 E Mail Backup File generieren seee 63 E Mail Backup File verschl sseln e 64 E Mail Adressen bearbeiten sadi airaa a adea aeiaai 64 Encryption Backup File 64 manuell generieren 60 Benutzer editieren ereranserernn 103 Einf hrung esscr 102 hinzuf gen scese 102 l schen 4 4 0444 103 Broadcast auf ein Netzwerksegment Pe EEE tiva tE i 169 auf gesamtes Internet 168 Certificate WebAdmin Site 86 Connection Tracking 160 DHCP Server DNS Server zuweisen 143 Einf hrung esscr 142 konfigurieren 142 Led5SeS iii na 144 Static mappings 144 Index Dienste editieren ceecee 100 Einf hrung ccecce 99 hinzuf gen ccecce 99 l sche Nienie naain 100 Dienstgruppe editieren ecen 102 l schen 102 Dienstgruppen d
187. h ngt Die IP Adressen des neuen Header entsprechen denen der IPSec Tunnelendpunkte Die IP Adressen des eingepackten Paketes bleiben unver ndert Das komplette Originalpaket kann nun verschl sselt und oder authentifiziert werden Mit AH kann das komplette Paket authentifiziert wer den Mit dem Verschl sselungs Protokoll ESP ist dies lediglich ab dem ESP Header m glich New AH Original TunnelMode AH Header Header Header Payload Authenticated Tunnel Mode ESP Seite 213 System bedienen amp beobachten IPSec Protokolle IPSec verwendet f r die sichere Kommunikation auf der IP Ebene zwei Protokolle e Authentication Header AH ein Sicherheitsprotokoll f r die Authentifizierung des Absenders sowie zur berpr fung der Integrit t des Inhalts e Encapsulating Security Payload ESP ein Sicherheits protokoll f r die Verschl sselung des kompletten Paketes sowie f r die Authentifizierung des Inhalts Das Authentication Header Protokoll AH erm glicht die berpr fung der Authentizit t und der Integrit t des Paketin halts Des Weiteren wird gepr ft ob die Sender und Empf nger IP Adresse ge ndert wurde Die Authentifizierung des Pakets erfolgt anhand einer Pr fsumme die mittels eines Hash based Message Authentication Codes HMAC in Verbindung eines Schl ssels und einem der folgenden Hash Algorithmen berechnet wurde Der Message Digest Version 5 MD5 Algorithmus erzeugt aus einer Nachricht mit
188. he Inhalte z B Viren und Trojanische Pferde untersucht Der Scanvorgang wird im E Mail Header vermerkt Wenn das Modul Virus Protection eingeschaltet ist werden die gefilterten E Mails im Men Proxies Proxy Content Manager angezeigt File Extension Filter Mit diesem Modul filtert die Firewall die Anh nge Attachments mit den Erweiterungen aus der Kontroll liste Expressions Filter Es besteht auch die M glichkeit dass neue Viren der Firewall noch nicht bekannt sind Diese Viren k nnen aber auch aufgrund einer bekannten Zeichenkette z B der I love you Virus erkannt werden Die Zeichenketten werden in dieses Modul eingegeben Wenn nun eine E Mail diese Zeichen kette enth lt wird sie blockiert Seite 188 System bedienen amp beobachten 5 5 5 Ident Das Ident Protokoll wird von einigen Servern zur einfachen ERS Se Indentit ts berpr fung der Default response femen a zugreifenden Clients verwen det Obwohl dieses Ident Protokoll unverschl sselt ist verwenden es noch viele Dienste Services und setzen es manchmal sogar voraus Status Dieses Internet Sicherheitssystem unterst tzt zur Beantwortung Ident Anfragen wenn Sie die Funktion Ident einschalten Das System wird immer mit dem String antworten den Sie als Default Response definieren unbeachtet dessen von welchem lokalen Dienst diese Verbindung gestartet wurde Forward Connection Die Ident Anfragen werden vom Connecti
189. herheit erreicht man durch Verwenden von AES Die effektiven Schl ssell ngen von AES sind wahlweise 128 192 oder 256 Bits Die IPSec VPN Funktion dieses Internet Sicher heitssystems unterst tzt mehrere Verschl sselungs Algorithmen F r die Authentifizierung kann wieder der MD5 oder der SHA 1 Algorithmus verwendet werden Schl sselverwaltung Key Management Die sichere Erzeugung Verwaltung und Verteilung der Schl ssel ist ausschlaggebend f r die erfolgreiche Nutzung einer VPN Ver bindung IPSec unterst tzt die manuelle Manual Keying sowie die automatische Schl sselverteilung Internet Key Exchange F r die manuelle Schl sselverteilung Manual Keying m ssen beide Seiten des VPN Tunnels von Hand konfiguriert werden Im Detail bedeutet dies dass f r jede der beiden Security Associations SA immer zwei je VPN Tunnel ein Security Parameter Index SPI ausgew hlt je ein Schl ssel f r die Verschl sselung und die Authentifizierung generiert wer den muss und diese Schl ssel auf beiden Seiten installiert wer den m ssen Diese Schl ssel sollten sp ter in regelm igen Ab st nden gegen neue ersetzt werden Die manuelle Schl sselverteilung ist sehr aufwendig Des Weiteren birgt dieses Verfahren einige Sicherheitsrisiken da ge w hrleistet sein muss dass Unbefugte keinen Zugang zu den Schl sseln haben Bei neuen Installationen wird Manual Keying heute nur noch selten verwendet Mit Hilfe des Internet Key
190. hlie end wird das Fenster Edit Category geschlossen Content Filter In diesem Fenster k nnen Sie Block HTML content F JavaScript SCRIPT HTML tags E Cookies user tracking bestimmte Komponenten von I Embedded ActiveX Java Flash T Web Bugs user tracking a Internetseiten ausw hlen die bei Anfragen aus Ihrem Sys tem grunds tzlich geblockt werden sollen W hlen Sie die Komponenten durch einen Klick auf die Options felder aus und speichern Sie anschlie end die Auswahl durch einen Klick auf die Schaltfl che Save Clear Cache H ufig aufgerufene Seiten werden nicht mehr ber das Internet neu geladen sondern nach der ersten bertragung nur noch aus dem HTTP Proxy Cache abgerufen In diesem Fenster k nnen Sie den Inhalt des Caches durch einen Klick auf die Schaltfl che Start l schen Seite 182 5 5 2 DNS Proxy System bedienen amp beobachten DNS Mit dem DNS Proxy k nnen a s Sie den Clients in Ihrem Sys DNS admin e mall rerai roiie tem Nameserver Dienste Interfaces to listen on Empty list zur Verf gung stellen Wenn Sie mehrere Nameserver an z geben werden die Server in Reihenfolge ihrer Eingabe bei Allowed networks Empty list amp er E der Aufl sung von Rechner a u namen befragt Forwarding name servers eu Add Wen n kein Na meserver im pimes Men Forwarding name L pan e servers eingetragen
191. hten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Interface zu ffnen 3 Tragen Sie in das Eingabefeld Name den Namen der Schnittstelle ein 4 W hlen Sie im Drop down Men Hardware die Wireless LAN Netzwerkkarte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Wireless LAN Station aus 6 F hren Sie nun die spezifischen Einstellungen f r den Schnittstellen Typ Wireless LAN Station durch Address Weisen Sie der Station eine IP Adresse zu Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintra gen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netzwerkmaske durch einen DHCP Server zu Seite 119 System bedienen amp beobachten Seite 120 weisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein De
192. icherheitssystem nicht vom loka len Netzwerk M gliche Fehlerursachen IP Adresse des Internet Sicherheitssystems ist nicht korrekt gesetzt IP Adresse am Client Rechner ist nicht korrekt gesetzt Default Gateway am Client Rechner ist nicht korrekt gesetzt Netzwerkkabel steckt in der falschen Netzwerkkarte Alle Netzwerkkarten des Internet Sicherheitssystems sind an einem Hub angeschlossen Hinweis Falls Sie f r Ihre Verbindung zum Internet DSL verwenden be gt achten Sie bei der Konfiguration den entsprechenden Leitfaden unter der Internetadresse http docs astaro org 3 2 2 Internet Sicherheitssystem konfigurieren Die Konfiguration des Internet Sicherheitssystems f hren Sie von Ihrem Administrations PC aus mit einem Internet Browser z B MS Internet Explorer und dem Konfigurationstool Web Admin durch 1 Seite 26 Browser starten und WebAdmin ffnen Bevor Sie das Konfigurations Tool WebAdmin ffnen k n nen m ssen Sie den Browser entsprechend konfigurieren Weitere Informationen erhalten Sie in Kapitel 5 5 1 ab Seite 174 Wenn der Browser konfiguriert ist geben Sie die IP Adresse des Internet Sicherheitssystems eth0 wie folgt ein https IP Adresse Im Beispiel von Schritt 6 ist es https 192 168 2 100 Anschlie end erscheint ein Sicherheitshinweis Dieser Hinweis wird sp ter nicht mehr angezeigt wenn Sie f r Ihre Installation WebAdmin Seite ein CA Zertifikat generie
193. icht mehr mit der Reihenfolge der Regelabarbeitung bereinstimmt Falls Sie allerdings die Reihenfolge der Regeln mit der Schalt fl che move ver ndern wird auch die Reihenfolge der Abar beitung ver ndert Falls im vorangehenden Beispiel die Regel 2 vor die Regel 1 verschoben wird ist der Dienst SMTP f r beide Netzwerke nicht mehr erlaubt Seien Sie sehr gewissenhaft bei Seite 165 System bedienen amp beobachten der Definition dieses Regelsatzes er bestimmt die Sicherheit der Firewall l Wichtiger Hinweis h Wenn eine Regel zutrifft werden die nachfolgenden Regeln nicht mehr beachtet Die Reihenfolge ist daher sehr wichtig s Setzen Sie nie eine Regel mit den Eintr gen Any Any Any Allow an die Spitze Ihres Regelwerks Paketfilterregel setzen Seite 166 ffnen Sie im Verzeichnis Packet Filter das Men Rules W hlen Sie im Drop down Men From Client die Quell adresse der Datenpakete aus Die Auswahl Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt W hlen Sie im Drop down Men Service den Dienst Im Drop down Men sind sowohl die vordefinierten als auch die von Ihnen selbst festgelegten Dienste enthalten Mit Hilfe dieser Dienste l sst sich der zu bearbeitende Daten verkehr pr zise definieren Der Eintrag Any steht hier stellvertretend f r alle Kombinationen aus Protokollen und Quell bzw Zielport W hlen Sie
194. icrosoft SQL System bedienen amp beobachten Service Groups Dienste lassen sich zu Dienst gruppen Service Groups in fis a zusammenfassen Dienstgrup ig pen werden behandelt wie ein Selected Available zelne Dienste und k nnen wie der Teil einer bergeordneten Dienstgruppe sein Sie erkennen eine Dienstgrup none none m ans w pe sp ter daran dass ihr Na Oracle_SQL_NET_v1 nn DEEE ww me in geschweiften Klammern rat res we dargestellt wird static ITL exceeded Hinweis N Jede nderung in Service Groups wird ohne eine weitere Mel dung sofort wirksam Dienstgruppe definieren 1 ffnen Sie im Verzeichnis Definitions das Men Service Groups Klicken Sie auf die Schaltfl che New um das Men Add Service Group zu ffnen Tragen Sie in das Eingabefeld Name einen eindeutigen Namen f r die Dienstgruppe ein Diesen Namen geben Sie sp ter an um z B bergeordnete Dienstgruppen zu erstellen oder Paketfilterregeln zu setzen W hlen Sie im Auswahlfeld Members die Netzwerke aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben Best tigen Sie nun Ihre Eingabe durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird die neue Dienstgruppe in die Tabelle Service Groups eingetragen Sie finden diese Dienst gruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wiede
195. ie Schalt fl che Start Die Sicherungsdatei wird anschlie end auf das System ge laden und berpr ft Wenn die Pr fsummen stimmen erhal ten Sie nun die Backup Information 7 berpr fen Sie die Backup Information 8 bernehmen Sie die Backup Datei in das aktive System durch einen Klick auf die Schaltfl che Start Wenn die Meldung Backup has been restored successfully erscheint wurde der Vorgang erfolgreich abgeschlossen Seite 62 System bedienen amp beobachten E Mail Backup File Damit Sie nicht st ndig daran denken m ssen die Einstellungen Ihres Internet Sicherheitssystems manuell auf einem Datentr ger zu sichern k nnen Sie hier die Backup Datei automatisch erzeugen lassen Im Anschluss wird die Datei an die angegebene E Mail Adresse geschickt Eine E Mail Backup Datei ist ca 100 KB gro E Mail Backup File generieren 1 2 ffnen Sie im Verzeichnis System das Men Backup Schalten Sie im Fenster E Mail Backup File die Funktion durch einen Klick auf die Schaltfl che Enable bei Status ein Die Funktion E Mail Backup File ist eingeschaltet wenn die Statusampel Gr n zeigt Wichtiger Hinweis b Falls die Funktion Encryption Backup File einge schaltet ist wird die Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwort wieder eingespielt werden Definieren Sie mit dem Drop down Men Interval den Zeitabstand nach dem automatisch eine neue
196. ie ge sonderte Funktionsweise des System Up2Date Seite 52 System bedienen amp beobachten System Up2Date Mit der Funktion System Up2Date importieren Sie System Patches und neue Sicherheits Features auf Ihr Internet Sicher heitssystem Die Up2Date Pakete k nnen ber eine verschl s selte Verbindung manuell oder automatisch vom Update Server heruntergeladen werden Falls Sie nicht ber eine Internetver bindung verf gen k nnen die Up2Date Pakete von einem lo kalen Datentr ger aus eingespielt werden System Up2Date Neu eingespielte Up2Date Pa Prefetch Up2Dates Click Start to prefetch kete werden in der Tabelle now Automatic Up2Dates prefetch oo Enable available system Up2Date packages now 5 Unapplied Up2Dates mit der Versionsnummer und dem Da teinamen angezeigt Diese Import from file Durchsuchen U p2 Date Pakete sind noch nicht installiert Weitere Informationen erhal Pattern Up ten Sie wenn Sie mit dem Cursor die gelbe Info Schalt fl che ber hren Falls die Info Schaltfl che in rot ange zeigt wird wird nach der In d AE E S 7 7 stallation des Up2Date Pakets automatisch ein Restart des Sicherheitssystems durchgef hrt Hinweis Beachten Sie beim High Availability HA System die zus tz lichen Hinweise zum Einspielen und Installieren der System Up2Dates Das HA System wird in Kapitel 5 1 8 ab Seite 89 erkl rt Fehlende Up2Date Pakete
197. ieben Seite 29 Installation Seite 30 Internes Netzwerk konfigurieren ffnen Sie im Verzeichnis Definitions das Men Networks und pr fen Sie die Einstellungen f r das interne Netzwerk W hrend der Installation wurden vom Internet Sicherheits z system aufgrund Name z Subnet mask Ihrer Definition der I a E Hint to create a host amp mask 255 255 255 255 or 32 internen Netzwerk karte eth0 auto matisch drei logi sche Netzwerke 1 1 255 255 255 25 192 168 2 0 255 255 255 0 amp atic e A 127 0 0 1 255 255 255 255 Tonea Ten ae definiert Die Schnittstelle Internal_Interface__ bestehend aus der von Ihnen definierten IP Adresse Beispiel 192 168 2 1 und der Netzwerkmaske 255 255 255 255 Host Das interne Netzwerk Internal_Network__ bestehend aus der Netzwerk IP Adresse Beispiel 192 168 2 0 und der Netzwerkmaske Beispiel 255 255 255 0 Der Broadcast Internal_Broadcast__ bestehend aus der Broadcast IP Beispiel 192 168 2 255 und der Netzwerkmaske 255 255 255 255 Host Das Definieren neuer Netzwerke Networks wird im Hand buch in Kapitel 5 2 1 ab Seite 96 beschrieben Externe Netzwerkkarte eth1 konfigurieren ffnen Sie im Verzeichnis Network das Men Interfaces und konfigurieren Sie die Schnittstelle zum externen Netz werk Internet Die Wahl der Schnittstelle und die daf r notwendigen Einstellungen auf der externen Netzwerkkarte h ngen von der Art des Internetzuga
198. ierf r k nnen Sie z B das Terminalprogramm Hyperterminal verwenden das in den meisten Microsoft Windows Versionen bereits enthalten ist F r die Verbindung zwischen der Konsole und dem Sicherheitssystem ben tigen Sie ein Nullmodem Kabel Die erforderlichen Anschlusseinstellungen sind Bits pro Sekunde 9600 Datenbits 8 Parit t N keine Stoppbits 1 Per Default ist der Zugang ber die serielle Schnittstelle deakti viert Serielle Schnittstelle f r serielle Konsole aktivieren 1 Loggen Sie sich als Shell Administrator user ein Benutzernamen root Password Passwort des Shell Administrator Benutzers 2 Geben Sie folgende Zeile ein und best tigen Sie dies mit der Enter Taste joe etc inittab 3 Scrollen Sie zum Abschnitt Serial login und editieren Sie diese zu folgenden Zeilen Serial login modify it if you want a console on serial port s0 123 respawn sbin mgetty ttySO 4 Speichern Sie die nderungen mit der folgenden Tasten kombination Ctrl K X Seite 261 Zus tzliche Funktionen 10 Geben Sie folgende Zeile ein und best tigen Sie dies mit der Enter Taste joe emergency boot etc lilo conf Scrollen Sie zum Abschnitt serial 0 9600n8 und l schen Sie das Zeichen serial 0 9600n8 Suchen Sie nach einer Zeile mit dem Eintrag append und editieren Sie diese zu folgender Zeile append acpi off console ttyS0 9600n8 Falls keine Zeile mit dem Eintrag append vorhanden ist scrollen Sie
199. iert auf der RC4 Chiffrierung wobei ein Schl ssel f r die Kodierung und Dekodierung verwendet wird Bei Aktivierung der WEP Verschl sselung wird ein geheimer Schl ssel erstellt der auf allen Wireless LAN Schnittstellen die zu diesem Funknetzwerk geh ren gleich konfiguriert sein muss Wenn nun eine Daten bertragung zwischen zwei mobilen Rech nern stattfindet werden die Daten zun chst mit Hilfe des ge heimen Schl ssels chiffriert und anschlie end an den Zielrechner bertragen Dort werden die Daten mit Hilfe des gleichen Schl s sels wieder dekodiert Wer nicht ber den korrekten Schl ssel verf gt kann die Daten nicht dechiffrieren Bei diesem Internet Sicherheitssystem kann WEP auch zur Au thentifizierung genutzt werden Wenn ein Rechner dem Wire less LAN beitreten will aber nicht ber den passenden Schl ssel verf gt wird die Verbindung seitens des Access Points getrennt Beim Schnittstellen Typ Wireless LAN Access Point k nnen Sie f r Stations den Zugang in das Wireless LAN durch Filtern der MAC Adressen kontrollieren Generell l t sich ein Wireless LAN recht flexibel erweitern doch sollte immer noch der Netz werk Administrator entscheiden d rfen wann und welcher Rechner eingebunden werden soll Wenn Sie nun einen solchen Filter definieren dann legen Sie z B fest dass der Rechner mit der MAC Adresse 00 04 76 26 65 4C dem Wireless LAN beitre ten darf alle anderen Rechner werden ausgeschlossen Sobald nun e
200. ikation entweder sehr langsam Web Server Em werden oder sogar g nzlich zusammenbrechen FTP Server Firewall E In der linken Grafik ist z B ein Netzwerk mit ei nem Web Server und einem FTP Server darge stellt Beide Server teilen sich eine 2MBit Lei tung zum Internet Protokollbedingt nutzen TCP basierende Aplikationen z B FTP immer die volle Bandbreite Dies kann zur Folge haben dass f r den Web Server nicht mehr genug Bandbreite zur Verf gung steht 100 MBit s 100 MBit s Mit dem Modul Quality of Service QoS k nnen Sie den Datenpaketen durch Setzen von Regeln einen definierten Anteil der vorhandenen Bandbreite zuweisen Falls f r ein Datenpaket keine Regeln definiert wurden wird die Best Effort Methode an gewendet d h dass das Paket erst versendet wird wenn genug Bandbreite zur Verf gung steht Dies hat im Worst Case zur Folge dass bei einem Datenstau das Datenpaket zuerst blockiert wird Damit die Datenpakete vom Web Server wie in dem Beispiel dargestellt ausreichend Bandbreite zur Verf gung gestellt be kommt kann man nun folgende zwei Regeln setzen 1 Regel f r Datenpakete vom FTP Server From Client FTP Server Service FTP To Server Internet Weight medium 2 Borrow borrow 2 Regel f r Datenpakete vom Web Server From Client Web Server Service HTTP To Server Internet Weight medium 2 Borrow borrow Seite 154 System bedienen amp beob
201. im Drop down Men To Server die Zieladres se der Datenpakete aus Die Auswahl Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt W hlen Sie im Drop down Men Action die Ma nahme aus die der Paketfilter ergreift wenn ein Paket den Einstel lungen From Service und To entspricht Allow Alle Pakete die diese Bedingung erf llen werden durchgelassen Drop Alle Pakete die diese Bedingung erf llen werden blockiert aber nicht im Live Log protokolliert Die Aktion Drop ist f r Filterverletzungen empfehlenswert die dauernd System bedienen amp beobachten stattfinden sicherheitstechnisch nicht relevant sind und nur die bersichtlichkeit des Live Log beeintr chtigen z B Netbios Broadcasts von MS Windows Rechnern Log Drop Alle Pakete die diese Bedingung erf llen werden blockiert und im Filter Live Log als Regelverlet zungen protokolliert Log Reject Alle Pakete die diese Bedingung erf llen werden blockiert und im Filter Live Log als Regelverlet zungen protokolliert Zus tzlich erh lt der Absender eine entsprechende ICMP Nachricht Reject Alle Pakete die diese Bedingung erf llen werden blockiert aber nicht im Filter Live Log protokolliert Zus tzlich erh lt der Absender eine entsprechende ICMP Nachricht 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird di
202. in gerichtet sein der die Lese rechte f r das gesamte Ver zeichnis hat Um die n tigen Einstellungen auf dem Internet Sicherheits system durchzuf hren ben Lo euisemateebeenn tigen Sie den Distinguished attribute Name DN dieses Benutzers Seite 81 System bedienen amp beobachten sowie den LDAP Type und die IP Adresse des Stand alone LDAP Servers Sicherheitshinweis TS Stellen Sie sicher dass der Benutzer nur die Leserechte f r den Stand alone LDAP Server bekommt 1 ffnen Sie im Verzeichnis System das Men User Authen tication 2 Schalten Sie die Funktion im Fenster LDAP Server Settings durch einen Klick auf die Schaltfl che Enable bei Status ein LDAP Type W hlen Sie in diesem Drop down Men den Type des Stand alone LDAP Servers aus Die m glichen Typen sind Microsoft Active Directory Novell eDirectory und OpenLDAP Unique User Attribute Dieses Atribut definiert den Be nutzernamen zur Authentifizierung am Stand alone LDAP Server Die zur Verf gung stehenden Atribute h ngen vom ausgew hlten Type des Stand alone LDAP Servers ab Falls Sie f r den Benutzernamen ein eigenes Attribut erstellen m chten w hlen Sie hier Selfdefined aus siehe nachfol gendes Bild F r den LDAP Server Microsoft Active Directory k nnen Sie das Atribut User Principal Name UPN oder saMAccountName ausw hlen F r die LDAP Server Novell eDirectory und
203. in Rechner diesem Wireless LAN beitreten m chte wird die MAC Adresse der Netzwerkkarte berpr ft Falls diese MAC Adresse in der Zugriffskontrollliste enthalten ist kann die Funk verbindung zum Wireless LAN erfolgen andernfalls ist keine funkbasierte Verbindung m glich Bei diesem Internet Sicherheitssystem haben Sie die M glichkeit einen negativen oder einen positiven MAC Adressen Filter zu konfigurieren Beim negativen Filter sind grunds tzlich alle Seite 113 System bedienen amp beobachten MAC Adressen zugelassen Sie definieren in einer Zugriffskon trollliste nur die Netzwerkkarten die das Wireless LAN nicht be treten d rfen Beim positiven Filter werden zuerst alle MAC Adressen ausge schlossen Sie m ssen in einer Zugriffskontrollliste explizit ange ben welche Netzwerkkarten das Wireless LAN betreten d rfen Wenn Sie die Wahl haben dann sollten Sie den weitaus sicher eren positiven Filter verwenden F r die Konfiguration der Wireless LAN PCMCIA Karte ben tigen Sie die folgenden Daten SSID Die Abk rzung steht f r Service Set Identifier und ist der Name des Funknetzwerks Ein Wireless LAN kann aus mehreren Funknetzwerken mit unterschiedlichen Funkkan len bestehen Den Namen eines Funknetzwerks kann man relativ frei w hlen Bei diesem System ist es eine beliebige Zeichen kette ohne Leerzeichen Falls Sie den Schnittstellen Typ Wireless LAN Station konfi gurieren um den Zugang zu einem bereits vorhand
204. in oder mehrere Pattern Up2Dates wurden in stalliert Die Pattern Up2Date Daten sind im E Mail Text aufgef hrt POP3 scanner has denied a messag Der POP3 Scanner hat ein ingehende E Mail gefiltert Die E Mail k nnen Sie im Proxy Content Manager einsehen Der Proxy Content anager wird im Kapitel 5 5 7 ab Seite 205 beschrieben Daily log rotate found a core file noted Eine Core Datei wurde gefunden Dies wird nach sieben Tagen automatisch gel scht Falls eine Core Datei fters gefunden wird wenden Sie sich an den Support Ihres Sicher heitssystem Anbieters Selfmonitornachrichten 101 102 103 104 105 106 107 108 109 110 Signature check hanging stopped WebAdmin not running restarted Kernel log daemon not running restarted Accounting not running restarted Accounting not running restarted HTTP proxy not running restarted Syslog not running restarted iddleWare not running restarted not running restarted Portscan detection watch not running restarted Seite 249 System bedienen amp beobachten 11 SNMP not running restarted 12 Nameserver not running restarted 13 Incorrect tmp permission set to correct 14 RX buffer error on network card rebooting 1 5 SelfMonitor restart requested restarted 16 Licenseserver not running restarted 17 dynamic IPSec Packetfilter watch not running restarted 18 Surf Pro
205. ind Statusampel zeigt Gr n k nnen alle IPs die Firewall ICMP on firewall bzw das Netzwerk dahinter ICMP forwarding anpingen Einzelne IP Adressen k nnen dann nicht mehr mit Paketfilterregeln ausge klammert werden Wichtiger Hinweis Die hier getroffenen Einstellungen haben stets Priorit t gegen ber den Einstellungen die im Paketfilterregelsatz definiert Wenn die ICMP Einstellungen deaktiviert sind Statusampel zeigt Rot kann man mit geeigneten Paketfilterregeln einzelnen IPs und Netzwerken das Senden von ICMP Paketen auf die Firewall bzw durch die Firewall erlauben ICMP forwarding Hier aktivieren und deaktivieren Sie die ICMP Weiterleitung von ICMP Paketen hinter die Firewall d h ins lokale Netzwerk und alle angeschlossenen DMZs Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Seite 170 System bedienen amp beobachten Wichtiger Hinweis j ras Sie ICMP forwarding deaktivieren m chten darf im Me n Packet Filter Rules keine Regel mit den Eintr gen Any an Any Allow definiert sein Das ICMP forwarding bleibt sonst aktiv ICMP on firewall Hier aktivieren und deaktivieren Sie das di rekte Senden und Empfangen von ICMP Paketen Per Default ist diese Funktion eingeschaltet Statusampel zeigt Gr n Mit einem Klick auf die Schaltfl che Disable schalten Sie die Funktion aus Statusampel zeigt Rot Hinweis F r die Tools Trace
206. index html Seite 80 System bedienen amp beobachten F hren Sie anschlie end die Einstellungen am Internet Sicher heitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 82 erkl rt OpenLDAP Server konfigurieren Auf dem Stand alone LDAP Server muss ein Benutzer einge richtet sein der die Leserechte f r das gesamte Verzeichnis hat Sicherheitshinweis u elen Sie sicher dass dieser Benutzer nur die Leserechte Unter OpenLDAP erfolgt zur Benutzerauthentifizierung eine ein fache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem eingetragenen Benutzer ein eindeutiger CN zugeordnet sein muss nn Hinweis Stellen Sie sicher dass jeder Benutzer in dem OpenLDAP Ver zeichnis einen eindeutigen Common Name CN erh lt Da es verschiedene Stand alone LDAP Server gibt die auf dem Open Source Projekt OpenLDAP basieren entnehmen Sie die Informationen zur Installation und Konfiguration dieser Verzeich nisse der entsprechenden Dokumentation Falls Sie den Stand alone LDAP Server SLAPD der OpenLDAP Foundation verwenden erhalten Sie die aktuelle Dokumenta tion unter der Internetadresse http www openldap org LDAP auf Internet Sicherheitssystem einstellen i Auf dem Stand alone LDAP Status LDAP type Unique User Attribute Please select IP Address TCP port Bind DN Base DN Password ce Disable Please select Server muss ein Benutzer e
207. indows dass die Verbindung be steht 4 Legen Sie nun fest welche IP Adressen den Hosts bei der Einwahl zugewiesen werden sollen W hlen Sie im Fenster PPTP IP Pool mit dem Drop down Men Network ein Netzwerk aus Per Default Einstellung ist hier bereits PPTP Pool ausgew hlt Das ausgew hlte Netzwerk wird sofort bernommen Anschlie end wird unter dem Auswahlmen die IP Adresse des Netzwerks die Netzwerkmaske und die Anzahl der frei en IP Adressen angezeigt Dem Benutzer wird sp ter automatisch eine IP Adresse zu geordnet 5 Im Fenster Optional Parameters k nnen Sie den Hosts w hrend der Verbindung bestimmte DNS und Windows Server zuweisen Es k nnen jeweils zwei Server eingetragen werden Client DNS servers Tragen Sie hier die IP Adressen der DNS Server ein Client WINS servers Tragen Sie hier die IP Adressen der Windows Server ein Client domain Tragen Sie hier die Domain ein die der Client bei DNS Anfragen an Hostnamen anh ngen soll Speichern Sie die Eingaben anschlie end durch einen Klick auf die Schaltfl che Save Die weitere Konfiguration erfolgt am Host des Benutzers Der Benutzer ben tigt zur weiteren Konfiguration die IP Adresse des Servers sowie einen Benutzernamen und Passwort Diese Anga ben werden vom Administrator des Internet Sicherheitssystems vergeben Seite 151 System bedienen amp beobachten Seite 152 Klicken Sie in Microsoft Windows 2000 auf Start Einstel lungen
208. inf hrung in die Technologie z uauauanan0nananan0n 10 3 Installation usuananananananununununnnnanananananunanunununnnnnnann 17 3 1 Systemvoraussetzungen uanunuanununnunnnnannnnannnnannnnenn 18 3 2 Installationsanleitung nuauauananananananananunnnnnnnnnnann 21 3 2 1 Software installieren uauauauanananananananunnnun nun nn 21 3 2 2 Internet Sicherheitssystem konfigurieren u 26 4 WebAdmin Werkzeuge uunununununnanananananananununnnnnnnnn 33 4 1 Info Box WebAdmin Darstellung uur0nnnanan 33 4 1 1 Info To gt SPETTPESPEPFFLELTERTFEFTETTRFTFRERTLTELITSFELTETEOTTLETTELEFTEOET 33 4 1 2 WebAdmin Darstellung uuuauauananananananunununnnnnnanann 34 4 2 Das Verzeichnis u u unnnnanananananananunununn an an an anne 34 4 3 u KL 1 LU RER SR PEFTRTETTETETTTERITETTFLTFLITTERTTTRETLSTETTFERTLSTTTETTPIT 35 4 3 1 Die Statusampel zznunununnnnnnanananunananununnnnanananananen 35 4 3 2 Die Auswahlfelder u u uananananananananununnananananananen 35 4 3 3 Das Drop down Men nunuauananananananananununnnnanananananen 37 4 3 4 Das Hierarchiefeld unuauananananananunununnnnanananananen 37 4 4 Online Hilfe nuuuuuununnanunnnnunnunnnnanunnannnn nn un nun nn nun en nenn 39 5 System bedienen amp beobachten uunrunennnnennanene 40 5 1 Grundeinstellungen System uauz2 0 n0n0n0nnnnanann 42 5 1 1 Settings unununnana
209. ing Die Funktion MIME Error Checking kann Fehler in Nachrichten erkennen die mit MIME verschl sselt wurden MIME steht f r Multipurpose Internet Mail Extensions MIME legt die Struktur und den Aufbau von E Mails und anderer Internetnachrichten fest Es ist eine Kodierungsvorschrift die den Versand von Nicht Text Dokumenten wie Bilder Audio und Video in textbasierten bertragungssystemen erm glicht Die Nicht Text Elemente wer den beim Versender verschl sselt und beim Empf nger wieder entschl sselt Die Funktion MIME Error Checking kann dabei helfen Angriffe bei denen die Fehler Toleranzabweichung in der MIME Entschl s selungs Software ausgenutzt werden zu erkennen Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlernummer 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kom mentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind e Quarantine Die E Mail wird angenommen kommt aber in Quarant ne Die E Mail wird im Men Proxy Content Mana ger als Typ SMTP_ERR angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden e
210. ird in den Diagrammen nur eine gerade waagerechte Seite 239 System bedienen amp beobachten 5 7 4 HTTP Proxy Usage Der Zugriff auf den HTTP SE a Se Proxy wird vom System de date nn m Ne tailliert protokolliert Wenn Sie CE TENS EEA z B den Zugriff eines Clients E 2002 06 08 6 6 karte STEA auf den HTTP Proxy nur durch T See i eye ara ro iow de den User Authentication z ATA T Modus erlauben k nnen Pro eT 2 EE tokolle benutzerspezifisch dar a en gestellt werden En gt nun sun ua Die Konfiguration des HTTP Proxy wird in Kapitel 5 5 1 ab Seite 174 beschrieben Die Protokolle Reports wer den einmal am Tag in Form Sieber von HTML Seiten generiert Inu iserin Connect BYTES BYTES IN CACHE OUT USED TIME MILISEC oTIME EEE 1 167 232605 s788 ars 90 24 022928 ae DAS erste Protokoll ist ein Tag 2date tmert 4 872 15 578 873 38 18 0 009100 00 00 06 50 410 677 4 24 3date tmeel 292 998 137 2 45 4 66 95 34 00 04 18 259 784 2 67 i AEEA ao a aa des sos mas aas ia nach dem Einschalten und Sdate time192 168 2 53 87 124 894 0 31 100 00 0 00 00 00 00 692 0 01 6dato tmo 10 250 0 114 3 188574 0 03 100 00 0 00 00 00 00 124 ooo d t Geb h d Fdate tme 192 168 2 355 S 10025 0 03 100 00 0 00 00 00 00 dem Ersten ebrauc es 8date time192 169 2 248 6 8 271 0 02 100 00 0 00 00 00 00 38 0 00 2dato tmo 192 150 2 160 46578 0 019 100 00 0 00 00 00 00 co HTTP
211. ird neu gestartet Falls die Funktionen nach mehreren Versuchen nicht gestartet werden kann erh lt der Administrator die Notification E Mail WAR 081 Falls Sie f r das HA System dies ber wachungsfunktion nicht einsetzen m ssen Sie keine weiteren Schritte einleiten Nachdem vom Internet Sicherheitssystem die Nachricht WAR 081 verschickt wurde erfolgt kein wei terer Versuch mehr die berwachung mittels Link Beat zu starten HA check interface does not support link beat check Die Funktion zur berwachung des Firewall Systems im Normal Modus mittels Link Beat konnte trotz mehrer Versuche nicht gestartet werden Falls es sich hierbei um eine Neuinstal lation des HA Systems handelt und Sie die berwachung mittels Link Beat beabsichtigen vergewissern Sie sich bitte dass die Netz werkkarten vom Internet Sicherheitssystem unterst tzt werden Des Weiteren pr fen Sie bitte auf beiden Firewall Systemen ob f r die Datentransfer Verbindung die link beat f hige Netzwerkkarte ausgew hlt wurde Die Installation und die Funktionsweise des HA Systems wird in Kapitel 5 1 8 ab Seite 89 erkl rt Seite 253 System bedienen amp beobachten 100 101 102 103 Seite 254 Not enough free space on harddisk please check Auf der Festplatte steht nicht mehr gen gend freier Speicherplatz zur Verf gung System load to high please check ffnen Sie im Verzeichnis Reporting
212. itel 5 3 2 ab Seite 133 Arp Table Diese Tabelle stellt den ARP Cache des Systems dar Dies sind alle dem System bekannten Zuordnungen von IP Adressen zu Hardware Adressen MAC Seite 238 System bedienen amp beobachten Network Connections In der Tabelle werden alle aktuellen Netzwerkverbindung von Ihrem System angezeigt Verbindungen durch das System werden nicht angezeigt 5 7 3 HTTP Proxy Cache 22 15 16 14 12 10 8 Maximum 90 Average 41 Current 35 22 1B 16 14 12 0 eo Maximum 93 Average 14 Current 5 In diesem Men werden die Werte zur Auslastung des HTTP Proxy Web verarbeitet und angezeigt Das Diagramm HTTP Cache Objects stellt grafisch dar wieviel Objekte z B HTML Seiten oder Bilder im HTTP Proxy gespeichert wurden Das Diagramm HTTP Object Hits stellt in einer Grafik den prozentualen Anteil aller durch den HTTP Proxy beantworteten Anfragen HITs dar Eine Anfrage von einem Browser wird beantwortet wenn das entsprechende Objekt im Cache des HTTP Proxys verf gbar und zudem aktuell ist Dies wird bei jeder Anfrage gepr ft Im Diagramm HTTP Memory Hits wird prozentual dargestellt wie viel von den lokal gespeicherten Objekten vom HTTP Proxy direkt aus dem Arbeitsspeicher beantworten wurden L Wichtiger Hinweis er os F r dieses Reporting muss der HTTP Proxy eingeschaltet sein EEE un s Linie dargestellt gt sonst w
213. k nnen Sie unter der Internetadresse http download astaro de ASL up2date auf Ihren lokalen Rechner herunterladen System Up2Date manuell einspielen 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster System Up2Date auf die Schalt fl che Start bei Prefetch Up2Dates now Seite 53 System bedienen amp beobachten Up2Date Service Sun Jun 15 13 09 06 CEST 2003 212 126 210 201 Connected de Fri May 9 15 31 14 2003 CEST using DSA key ID 1E14F571 om Astaro Up2Da ue May 27 12 29 51 2003 CEST using DSA key ID 1E14F571 rom Astaro UpZDate Sign Done Das System pr ft nun ob auf dem Update Server neue Up2 Date Pakete vorhanden sind und l dt diese herunter Der gesamte Up2Date Vorgang wird im Log Fenster in Echt zeit dargestellt linkes Bild Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldung DONE erscheint Die in der Tabelle Unapplied Up2Dates aufgelisteten Up2Date Pakete sind noch nicht installiert locally stored Up2Date packages available Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt System Up2Date ber Internet automatisch einspielen 1 ffnen Sie im Verzeichnis Service System das Men Up2Date 2 Schalten Sie die Funktion durch einen Klick auf die Schalt fl che Enable bei Automatic Up2Dates Prefetch ein 3 Definieren Sie im Auswahlf
214. karten e F r die Schnittstelle zu einem Wireless LAN Wireless LAN PCMCIA Karte mit Prism2 Chipsatz oder kompatibel Wichtiger Hinweis F r das High Availability HA System und zur Konfiguration einer Schnittstelle zum Wireless LAN oder einem Virtual LAN s ben tigen Sie Hardware die vom Internet Sicherheitssystem f r die entsprechende Funktion unterst tzt wird Die Hardware ist unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Secur ity Linux aufgelistet Zur einfacheren Konfiguration des High Availability HA Systems mit berwachung mittels Heart Beat empfiehlt es sich f r alle Schnittstellen link beat f hige Netzwerkkarten zu verwenden Die Installation des HA Systems wird in Kapitel 5 1 8 ab Seite 89 beschrieben Seite 18 Installation Administrations PC e Korrekte Konfiguration der IP Adresse der Subnetzwerk maske und des Default Gateway e Ein HTTPS f higer Browser Microsoft Explorer 5 0 oder h her Netscape Communicator 6 1 oder h her oder Mozilla 1 0 Im Browser m ssen JavaScript und Cascading Style Sheets aktiviert sein Die IP Adresse der internen Netzwerkkarte eth0 muss im Browser von der Verwendung eines Proxyservers ausge schlossen sein Beispielkonfiguration Externes Netzwerk Das Internet Sicherheitssys rE ii Router tem sollte wie in der linken E Konfiguration dargestellt die einzige Verbindung zwischen
215. karten noch nicht eingebaut sind brauchen Sie die jeweilige MAC Adresse nur noch zu notieren da sich die Adresse auf der Netzwerkkarte befindet Wenn das Wireless LAN bereits in Betrieb ist und Sie den Filter nachtr glich konfigurieren m chten erhalten Sie die MAC Adres se auch mit Hilfe der folgenden Kommandozeilenbefehle Falls es sich um ein kleines Wireless LAN handelt und die mobilen Rechner in unmittelbarer N he stehen gehen Sie folgenderma Ben vor 1 ffnen Sie unter MS Windows die Eingabeaufforderung Sie finden die Eingabeaufforderung in MS Windows unter Start Programme Zubeh r Eingabeaufforderung 2 Geben Sie in der Kommandozeile den folgenden Befehl ein ipconfig all 3 Dr cken Sie auf die Enter Taste In der Zeile Physikalische Adresse steht die MAC Adres se z B 00 04 76 26 65 4C 4 Schlie en Sie anschlie end die Eingabeaufforderung Falls es sich bei Ihrem Netzwerk um ein gr eres Netzwerk han delt k nnen Sie die MAC Adressen auch mit Hilfe des Ping Befehls ermitteln 1 Stellen Sie sicher dass der jeweilige Rechner angeschaltet und hochgefahren ist 2 ffnen Sie unter MS Windows die Eingabeaufforderung Sie finden die Eingabeaufforderung in MS Windows unter Start Programme Zubeh r Eingabeaufforderung Seite 115 System bedienen amp beobachten 3 Pingen Sie den Zielrechner an indem Sie folgenden Befehl eingeben ping IP Adresse z B ping 192 168 2 15 4 Dr cken Sie auf
216. ken Sie anschlie end auf die Schaltfl che Weiter Was soll mit dieser Nachricht passieren Schritt 3 Definieren Sie in diesem Fenster was mit der gefilterten E Mail passieren soll Falls z B die gefilterten E Mails in einen bestimmten Zielordner verschoben werden sollen w hlen Sie die Aktion diese in den Ordner Zielordner verschieben aus Durch einen Klick auf Zielordner im Fenster Regelbe schreibung ffnet sich ein neues Men Hier k nnen Sie entweder einen vorhanden Ordner ausw hlen oder einen neuen Zielordner f r die gefilterten E Mails erstellen Beispiel Spam Speichern Sie in diesem Men die neuen Einstellungen durch einen Klick auf die Schaltfl che OK Klicken Sie anschlie end auf die Schaltfl che Weiter Ausnahme hinzuf gen Schritt 4 Das Modul Spam Detection berpr ft eingehende E Mails heuristisch auf bestimmte Eigenschaften Daher kann es vorkommen dass auch ungef hrliche Nachrichten z B HTML Newsletter gefilteret werden In diesem Men k n nen Sie Ausnahmen definieren und so E Mails z B Nach richten eines bestimmten Absenders von dieser Regel aus schlie en Klicken Sie anschlie end auf die Schaltfl che Weiter Geben Sie einen Namen f r die Regel ein Schritt 5 Tragen Sie in das Eingabefeld einen eindeutigen Namen f r diese Regel ein Mit den darunter liegenden Optionsfeldern k nnen Sie diese Regel aktivieren und auch auf E Mails anwenden die sich bereits im Ordner Posteing
217. l bersicht zu ffnen w hlen Sie mit diesen Drop down Men s das Jahr und den Monat aus und klicken anschlie end auf die Schaltfl che Show View Durch einen Klick auf diese Schaltfl che wird ein Fenster mit dem Protokoll des entsprechenden Tages ge ffnet Del Durch einen Klick auf diese Schaltfl che wird das Protokoll aus der Tabelle gel scht Download Durch einen Klick auf diese Schaltfl che k nnen Sie die Log Files auf Ihren lokalen Client herunterladen Diese Log Files k nnen anschlie end zur Auswertung der Daten in externe Programme z B Microsoft Excel importiert werden Seite 244 System bedienen amp beobachten Mit Hilfe der Optionsfelder und dem Drop down Men in der Fu zeile der Tabelle k nnen Sie mehrere Log Files auf einmal herunterladen download oder l schen delete Markieren Sie daf r die entsprechende Zeile durch einen Klick auf das Optionsfeld W hlen Sie anschlie end im Drop down Men die Funktion aus und klicken Sie auf die Schaltfl che go 2002 06 16 2002 06 17 1 2002 06 18 2002 06 19 1 2002 06 20 2002 05 21 Grep Mit dieser Funktion k nnen Sie in den Log Files nach bestimmten Zeichenket ten Strings suchen W hlen d d d d d EHW aTa Sie in der Monats bersicht zu erst die Log Files aus in denen nach der Zeichenkette gesucht werden soll und w hlen Sie dann im Drop down Men die Funktion grep aus Anschlie end ffnet sich das Eingabefeld
218. l IPSec X 509 Key angezeigt Wenn Sie einen neuen Local Key ausw hlen wird der alte automatisch ersetzt Das Internet Sicherheitssystem verwendet nun die ID und den Public Private Key des aktuellen Local X 509 Key zur Identifizie rung Authentifizierung und zur Verschl sselung des X 509 IPSec Key Exchanges Seite 227 System bedienen amp beobachten RSA Authentication F r die Authentifizierung mit RSA ben tigen Sie einen Local IPSec Identifier und einen Local RSA Key l Hinweis m Die Generierung der RSA Keys kann je nach gew hlter Schl s sell nge und der verwendeten Hardware bis zu mehreren Mi 7s nuten dauern 1 Definieren Sie im Fenster Local IPSec VPN Identifier einen einzigartigen VPN Identifier IPv4 Address F r statische IP Adressen Hostname F r VPN Security Gateways mit dynamischen IP Adressen E Mail Address F r mobile Roadwarrior Verbindungen Speichern Sie anschlie end die Einstellung durch einen Klick auf die Schaltfl che Save 2 Generieren Sie im Fenster Local RSA Key einen neuen RSA Key indem Sie im Drop down Men RSA Key length die Schl sselst rke ausw hlen 3 Durch einen Klick auf die Schaltfl che Save wird nun die Schl ssel Key Generierung gestartet Anschlie end wird der aktive Local RSA Key mit seinem Namen angezeigt Wenn Sie einen neuen Local RSA Key generieren wird der alte automatisch ersetzt PSK Authentication F r die Authentifizierung mit Preshare
219. l Routine Alt F1 Interaktive Bash Shell Alt F2 Log Ausgabe der In Verifying p Parti i Formatting DB iostalling Ups Tinska stall Routine Alt F3 Kernel Ausgabe Alt F4 Sobald Sie dazu aufgefordert werden entnehmen Sie die CD ROM aus dem Laufwerk und verbinden die Netzwerk karte ethO mit Ihrem lokalen Netzwerk Mit Ausnahme der internen Netzwerkkarte ethO wird die Reihenfolge der Netzwerkkarten in erster Linie durch die PCI ID und den Kernel Treiber bestimmt Die Reihenfolge der Netzwerkkartenbenennung kann sich auch sp ter durch nderung der Hardwarekonfiguration z B durch das Hinzuf gen oder Entfernen von Netzwerk karten und der damit verbundenen Neuinstallation ndern 9 Internet Sicherheitssystem neu starten Starten Sie das Internet Sicherheitssystem mit der Tasten kombination Strg Alt Entf oder durch Reset neu W hrend des Boot Vorgangs wird die IP Adresse der in ternen Netzwerkkarte neu gesetzt daher kann auf der Konsole Install Routine Alt F1 f r kurze Zeit die Mel dung No IP on eth0 angezeigt werden Nachdem das Internet Sicherheitssystem neu gestartet ist je nach Hardware dauert dies bis zu f nf Minuten sollten Sie mittels Ping die IP Adresse der ethO Netzwerkkarte erreichen Seite 25 Installation Falls keine Verbindung zustande kommt pr fen Sie bitte Ihr System auf die nachfolgenden m glichen Fehlerquellen Fehler Sie erreichen das Internet S
220. ldes Durchsuchen aus 4 Klicken Sie im Fenster System Up2Date bei Import from file auf die Schaltfl che Start Neu eingespielte Up2Date Pakete werden anschlie end in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Dae TE Beim HA System werden die E m neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt 5 Wiederholen Sie nun die Schritte 2 bis 4 bis Sie alle Up2Date Pakete importiert haben Seite 55 System bedienen amp beobachten System Up2Date installieren ohne HA System 1 ffnen Sie im Verzeichnis System das Men Up2Date Service W hlen Sie in der Tabelle Unapplied Up2Dates das Up2Date Paket aus Hinweis N Falls die Tabelle mehr als ein System Up2Date Pa s tuellsten Version Die lteren Versionen werden dann automatisch installiert Klicken Sie nun in der Spalte Actions auf Install Die Installation der Up2Date Pakete wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich been det wenn im Fenster die Meldung DONE erscheint System Up2Date auf HA L sung installieren 1 Seite 56 ffnen Sie im Verzeichnis System das Men Up2Date Service W hlen Sie in der Tabelle Unapplied Up2Dates Master das Up2Date Paket aus Hinweis T h
221. m Verzeichnis Reporting das Men Account ing 2 Schalten Sie die Funktion Accounting Reports durch einem Klick auf die Schaltfl che Enable ein 3 W hlen Sie im Auswahlfeld unter dem Fenster Queried networks die Netzwerke aus f r die ein detailliertes Pro tokoll erstellt werden soll In der Regel ist dies Ihr LAN und oder das DMZ Netzwerk Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben Die Netzwerke werden sofort bernommen und erscheinen an schlie end im Fenster Queried networks 5 7 6 Packet Filter In dieser bersicht sind die Select month za ea se Protokolle zu Packet Filter enthalten wobei hier nur die Eu don a geblockten Pakete protokolliert GERNE werden Die Protokolle werden m m in Form von HTML Seiten dar F ITEN gestellt und werden einmal am BE on u Tag generiert piez ven dei Durch einen Klick auf die ee Schaltfl che view wird das Ta gesprotokoll ge ffnet Mit dem Drop down Men in der Kopfzeile k nnen Sie die ses Tagesprotokoll nach be nn me stimmten Kriterien darstellen Die Spalten Packets Daten paketgr e in Bytes Start Beginn der Regelverletzung Ap2160 2 61 192168 2 255 254 packets 14732 bytes J Bime anoan mama mono m End Ende der Regelverlet z zung und Proto Protokoll aa ann a werden immer dargestellt In der linken bersicht wurden z B die Spalten Source s Seite 242
222. mask Tragen Sie hier die Netzwerkmaske ein Beispiel 255 255 255 0 bei AonSpeed Address to Ping Geben Sie hier die IP Adresse eines Hosts im Internet ein der auf ICMP Ping Anfragen antwor tet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird der Verbindungsaufbau abgebrochen Username Tragen Sie hier die Zugangsdaten Ihres Provi ders ein Password Tragen sie hier das Passwort Ihres Providers ein 6 ffnen Sie durch einen Klick auf die Schaltfl che Enable das Fenster Advanced options f r die erweiterten Funktio nen an der Schnittstelle Im Eingabefeld MTU Size muss ein Wert f r die maximale bertragungsrate in Bytes definiert werden Per Default ist f r die PPTPoE PPPoA DSL Verbindung bereits der Wert 1460 Bytes definiert 7 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Di
223. methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men Set tings User Authentication konfigurier haben Wenn Sie als Methode Local Users ausw hlen k nnen Sie f r lokale Benutzer festlegen ob sie den SOCKS Proxy benutzen d rfen Die lokalen Benutzer Users werden im Men Definitions Users verwaltet Seite 186 System bedienen amp beobachten 5 5 4 POP3 POP3 ist die Abk rzung f r Post Office Protocol 3 und ist ein Protokoll um E Mails von einem Mail Server zu empfangen Das Gegenst ck zu POP3 ist das Protokoll SMTP SMTP steht f r Simple Mail Transfer Protocol Mit Diesem Protokoll werden E Mails ber einen Mail Server versendet In diesem Men konfigurieren Sie den POP3 Proxy f r einge hende E Mails Der POP3 Proxy arbeitet im Transparentmodus Die POP3 Anfragen auf Port 110 aus dem internen Netzwerk werden abgefangen und durch den Proxy geleitet F r den Client ist dieser Vorgang v llig unsichtbar Es entsteht kein zus tzlicher Administrationsaufwand da am Client des Endanwenders keine Einstellungen ge ndert werden m ssen POP3 Proxy konfigurieren Transparent POP3 Proxy In der Regel muss der POP3 Statie s Proxy nur eingeschaltet wer Proxied Source Destination den da per Default bereits networks Please select k Please select Jj ca festgelegt ist dass die POP3 Anfragen aus allen Netzwer
224. mit einem Signing CA signieren wird der Host CSR zu einem g ltigen Host Zertifikat Seite 232 System bedienen amp beobachten Host Certificate Das Zertifikat beinhaltet den Public Key des Hosts sowie Informationen durch die der Host identifiziert wird z B die IP Adresse oder den Benutzer Das Zertifikat ist au er dem durch eine CA signiert die sicherstellt dass der Key auch tats chlich zu den angegebenen Informationen passt Dieses g ltige Zertifikat wird zur Authentifizierung eines Remote IPSec Hosts Benutzers verwendet Mit Hilfe des Drop down Me n s in der Fu zeile der Tabel Verification microsoft_Authenticode tm _Root len k nnen Sie die Zertifikate f SigningcA Test_01 rl 3 in verschiedenen Dateifor maten auf Ihren lokalen Client herunterladen oder Zertifikate auf dem System l schen PEM Ein ASCII codiertes Format Das Zertifikat bzw die Anfra ge und der Private Key werden in separaten Dateien gespeichert DER Ein bin rcodiertes Format Das Zertifikat bzw die Anfrage und der Private Key werden in separaten Dateien gespeichert PKCS 12 Ein Container File Diese Datei kann das Zertifikat den Private Key und den Authentication CA beinhalten Delete Die ausgew hlten Zertifikate werden aus der Tabelle gel scht Issue CERT from CSR Mit dieser Funktion wird aus dem CSR das Zertifikat generiert Client Host Zertifikat erstellen Schritt 1 Das Signing CA erstell
225. mt je gr er die zu berbr ckende Reichweite ist Hardware Type Wichtiger Hinweis zur Konfiguration einer Schnittstelle zum Wireless LAN ben tigen Sie eine PCMCIA Karte mit kompatiblem Prism2 Chip s satz Die vom Internet Sicherheitssystem unterst tzte Hard ware ist unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufgelistet Die Schnittstelle zwischen Internet Sicherheitssystem und Wire less LAN kann als Wireless LAN Access Point oder Wireless LAN Station konfiguriert werden Mit Wireless LAN Access Point werden die drahtlos vernetzten Rechner Clients ber diese Schnittstelle miteinander verbun den Die Funktion entspricht einem Hub im verdrahteten Netz werk ber das Internet Sicherheitssystem kann das drahtlose Netzwerk anschlie end an das kabelbasierte LAN angebunden werden Mit Wireless LAN Station wird das Internet Sicherheitssystem an ein bestehendes drahtloses Netzwerk angemeldet und Seite 112 System bedienen amp beobachten fungiert als einfacher Endpunkt Nur bei diesem Wireless LAN Schnittstellen Typ k nnen Sie die Adressen auch durch einen DHCP Server zuweisen lassen Wireless LAN Security F r die Verschl sselung des Wireless LAN sieht der Standard 802 11 das Verschl sselungsverfahren WEP vor WEP ist die Ab k rzung f r Wired Equivalent Privacy Dieses Verschl sse lungsverfahren bas
226. n paaren Die Zeichenfolge muss in hexadezimaler Schreib weise eingegeben werden Sie d rfen also nur die Zahlen O System bedienen amp beobachten bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 Default WEP Key W hlen Sie im Drop down Men einen der WEP Schl ssel 0 bis 3 WEP Key zum Default Schl s sel aus Dies ist der aktuelle WEP Schl ssel den die Rech ner ben tigen um das Wireless LAN zu betreten 7 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Advanced Options Durch einen Klick auf die Schaltfl che Enable bei Advanced op tions werden die Eingabefelder und Drop down Men s f r die erweiterten Funktionen ge ffnet Die erweiterten Funktion Advanced Options werden f r alle Schnittstellen Typen im Kapitel 5 3 1 7 ab Seite 131 beschrie
227. n i miem m ne re e Ihnen zur Verf gung TCP LDAP_TCP tep 1024 65535 389 static d 5 it Er E e m oe UDP TCP und UDP ICMP AH LOTUSNOTES tep 1024 65535 1352 static und ESP UDP verwendet Ports von 0 bis einschlie lich 65535 und ist ein Protokoll das kein sog ACK Bit ben tigt UDP arbeitet besonders beim Versenden kleinerer Datenmengen schneller als TCP Verlorene Pakete k nnen ber UDP nicht erkannt und neu ange fordert werden da es sich um ein verbindungsloses Protokoll handelt Der Erhalt der Datenpakete wird vom Empf nger nicht quittiert TCP Verbindungen benutzen ebenfalls die Ports von 0 bis 65535 Verlorene Pakete k nnen ber TCP erkannt und neu angefordert werden Bei TCP werden alle Datenpakete vom Empf nger quittiert verbindungsorientiertes Protokoll Eine TCP Verbin dung wird zu Beginn mit dem sog Three Way Handshake Verfahren aufgebaut und nach dem Transfer wieder abgebaut Die Protokolle AH und ESP werden f r Virtual Private Net work VPN ben tigt Diese Protokolle werden im Kapitel 5 6 ab Seite 209 beschrieben Dienst hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Service 2 Tragen Sie in das Eingabefeld Name einen eindeutigen Namen f r den Dienst Service ein Diesen Namen verwenden Sie sp ter z B um Paketfilter regeln zu setzen 3 W hlen Sie im Drop down Men Protocol das Protokoll aus Seite 99 System bedienen amp beobachten Die Einstellunge
228. n Algorithm Encryption Algorithm MD5 SH 1 DES 3DES Domain of Interpretation DOI SA and Key Management Manual and Automatic Hinweis Das Internet Sicherheitssystem unterst tzt den Tunnel Mode sr und das Encapsulation Security Payload ESP Protokoll Seite 212 System bedienen amp beobachten IPSec Modi IPSec arbeitet im Transport Modus oder Tunnel Modus Bei einer Host to Host Verbindung kann grunds tzlich entweder Transport oder Tunnel Modus verwendet werden Falls einer der beiden Tunnelendpunkte ein Security Gateway ist muss der Tunnel Modus verwendet werden Die IPSec VPN Verbindungen dieses Internet Sicherheitssystems arbeiten immer im Tunnel Modus Beim Transport Modus wird DIERSE das zu bearbeitende IP Paket Transport Mode AH Piode Header Payload nicht in ein anderes IP Paket Lanei eingepackt Der urspr ngliche Transport Mode ESP en er Payload IP Header wird beibehalten Lence und das brige Paket wird Authenticated nach einem entsprechenden Protokoll Header als Payload entweder im Klartext AH oder verschl sselt ESP angeh ngt Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschl sselt werden Bei beiden Varianten wird der original Header in Klartext ber das WAN geschickt The original packet Beim Tunnel Modus wird das en Sa komplette Paket Header und Payload in ein neues IP Pa einen ai mean u ers das IP Paket ange
229. n Daten werden pro tokolliert z B die verwendeten URLs die Benutzernamen und die IP Adressen der Clients None Es werden keine Daten protokolliert Seite 177 System bedienen amp beobachten Seite 178 Bestimmen Sie im Drop down Men Anonymity welche In formationen aus dem Netzwerk in den HTTP Request Headers versendet werden Standard Nur die hier aufgef hrten Header Typen werden blockiert Accept Encoding From Referrer Server WWW Authenticate und Link None Die vom Client versendeten Header werden nicht ge ndert Paranoid Alle Header mit Ausnahme der nachfolgend auf gez hlten Typen werden blockiert Zus tzlich wird der Hea der User Agent ge ndert so dass keine Client Versions information das Netzwerk verl t Allow Authorization Cache Control Content Encoding Content Length Content Type Date Expires Host If Modified Since Last Modified Location Pragma Accept Accept Language Content Language Mime Version Retry After Title Connection Proxy Connection und User Agent Hinweis C Bei der Verwendung von Standard oder Paranoid werden Cookies vom Proxy blockiert Falls Sie Cookies ben tigen sollten Sie die Einstellung None verwenden Schalten Sie die Funktion Caching durch einen Klick auf die Schaltfl che Enable ein Mit der Funktion Caching werden h ufig verwendete Inter netseiten im HTTP Proxy Cache zwischengespeichert Per Default ist diese Funktion
230. n Netz werken zu finden Mit diesem Tool kann der Weg zu einer IP Adresse aufgel st werden Traceroute listet die IP Adressen der Router auf ber die das versendete Paket transportiert wurde Sollte der Pfad der Datenpakete kurzfristig nicht nachweisbar sein wird die Unterbrechung durch Sterne angezeigt Nach einer bestimmten Menge an Unterbrechungen wird der Versuch Seite 161 System bedienen amp beobachten abgebrochen Die Verbindungsunterbrechung kann viele Gr nde haben z B auch dass ein Paketfilter im Netzwerkpfad kein Traceroute erlaubt Hinweis F r das Tool Traceroute muss im Men PACKET FILTER ICMP die Funktion ICMP on firewall aktiviert sein F r die Funktion Name Resolution muss im Men Proxies DNS der DNS Proxy eingeschaltet und konfigu riert sein Das Modul Filter Live Log wird in Kapitel 5 4 3 ab Seite 172 beschrieben Traceroute starten 1 ffnen Sie im Verzeichnis Network das Men Tools 2 Tragen Sie in das Eingabefeld Host die IP Adresse oder den Namen ein 3 Wenn Sie die Funktion Name Resolution aktivieren m ch ten klicken Sie auf das Optionsfeld 4 Starten Sie nun die Fehlersuche durch einen Klick auf die Schaltfl che Start TCP Connect Mit dem Werkzeug TCP Connect k nnen Sie TCP Dienste auf ihre Erreichbarkeit testen W hrend auf IP Ebene nur die Absender und Zieladressen ver wendet werden ben tigt man f r TCP noch die Portnummern Eine Verbindung auf TC
231. n Sie die Eingaben durch einen Klick auf die Schalt fl che OK F hren Sie nun die Einstellungen am Internet Sicherheitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 82 erkl rt Microsoft Active Directory selbstdefinierte Attribute Die Benutzerauthentifizierung mittels Microsoft Active Directory kann auch mit zus tzlich selbstdefinierten Attributen und Werten erfolgen Die Konfiguration ist allerdings sehr viel aufwendiger Hinweis a Um eine derartige Erweiterung unter MS Active Directory durch zuf hren ben tigen Sie f r jedes Attribut eine Objekt ID s OID Die OID Nummer ist im gesamten Internet einzigartig und wird an Unternehmen von der Internet Assigned Numbers Authority IANA ausgestellt Die OID der Astaro AG ist z B 1 3 6 1 4 1 9789 Falls Sie noch keine OID Nummer haben k nnen Sie diese direkt bei der IANA unter der Internetadresse www iana org beantragen berlegen Sie im ersten Schritt wie Sie diese OID Nummer am besten Ihrer Netzwerkstruktur anpassen und erweitern Beachten Sie dass f r jedes Benutzerattribut eine eigene OID ben tigt wird F r die Erstellung weiterer Attribute muss die Microsoft Man agement Console zuvor um das Active Directory Schema erg nzt werden Des Weiteren m ssen Sie gew hrleisten dass Sie dieses Schema bearbeiten bzw erweitern und ver ndern d rfen Seite 77 System bedienen amp beobachten Schritt 1 Active Direct
232. n das rechte Eingabefeld eintragen Bei der Option X 509 DN bleibt das rechte Feld leer Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r den Zertifikats Antrag Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 und Unterstrich Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein System bedienen amp beobachten W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke aus Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CSR ein Common Name Wenn Sie dieses CSR f r eine Road warrior Verbing erstellen m chten tragen Sie in dieses Feld den Namen des Benutzers User ein F r die Verbindung zu einem Host tragen Sie hier den Hostnamen ein Um die Eintr ge zu speichern klicken Sie auf die Schalt fl che Start Anschlie end wird der Zertifikats Antrag CSR KEY in die Tabelle Host CSRs and Certificates geladen In der Tabelle wird der Type der Name und die VPN ID angezeigt Diese Anfrage kann nun mit der Signing CA aus Schritt 1 signiert werden Schritt 3 Das Zertifikat erstellen 1 3 W hlen Sie in der Tabelle Host CSRs and Certificates den neu erstellten Zertifikats Antrag CSR KEY aus W hlen Sie im Drop down Men in der Fu zeile der Tabelle die Funktion Issue CERT from CSR aus Anschlie end wird das Eingabefeld Signing CA Passphrase sichtbar Tragen Sie hier das
233. n installieren 1 Um nun das CA Zertifikat auf Ihrem Browser zu installieren klicken Sie Fenster CA Certificate Installation auf die Schaltfl che Import Certificate into Browser Die anschlie enden Dialoge sind von Ihrem Browsertyp ab h ngig Bei Microsoft Internet Explorer z B ffnet sich der Dialog Dateidownload Datei auf Datentr ger speichern Mit dieser Option k nnen Sie das Zertifikat vor der Installation auf einem lo kalen Datenspeicher sichern Die Datei von ihrem aktuellen Ort ffnen Mit dieser Option wird das Zertifikat direkt ge ffnet Im Fenster Zertifikat haben Sie anschlie end drei Register zur Seite 87 System bedienen amp beobachten Verf gung In diesen Registern k nnen Sie die Daten Ihres Zertifikats betrachten und anschlie end installieren 2 Um den jeweiligen Vorgang zu starten klicken Sie auf die Schaltfl che OK Hinweis Infolge von unterschiedlichen Systemzeiten und den weltweit versetzten Zeitzonen kann es vorkommen dass das Zertifikat s hicht sofort g ltig ist Viele Browser versenden dann die Mel dung dass das Zertifikat abgelaufen sei Diese Meldung ist nicht richtig Das neu generierte Zertifikat wird nach maximal 12 Stunden g ltig Seite 88 5 1 8 System bedienen amp beobachten High Availability Der h ufigste Grund f r den Ausfall eines Internet Sicherheits systems bzw einer Firewall ist ein Defekt der Hardware z B des Netzteils der Festpl
234. n richten sich nun nach dem ausgew hlten Protokoll F r die Protokolle TCP und UDP ben tigen Sie die fol genden zwei Werte Eingabe Optionen Einen einzelnen Port z B 80 oder eine Portrange z B 1024 64000 S Port Client Tragen Sie hier den Source Port d h die Client Seite des Dienstes ein D Port Server Legen Sie hier den Destination Port d h die Server Seite des Dienstes fest Die Protokolle AH und ESP werden f r IPSec VPN Verbin dungen ben tigt Der hier eingetragene Wert muss zuvor mit der Gegenstelle des IPSec VPN Tunnels abgesprochen werden SPI Tragen Sie hier einen Wert zwischen 256 und 65535 ein Die Werte bis einschlie lich 255 sind vom Internet Assigned Numbers Authority IANA reserviert F r das Protokoll ICMP k nnen Sie im Auswahlmen ICMP type die enthaltene Nachricht ausw hlen Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird der neue Dienst Service in eine der Dienstetabelle eingetragen Anschlie end stehen Ihnen in der Spalte Command weitere Funktionen zur Verf gung Weitere Funktionen Dienst editieren Durch einen Klick auf die Schaltfl che edit werden die Daten in das Eingabemen geladen Anschlie end k nnen Sie die Eingaben bearbeiten Dienst l schen Durch einen Klick auf die Schaltfl che del wird der Dienst aus der Tabelle gel scht Seite 100 5 2 4 Name static netbios static Members M
235. nanananunununununununnnnnnnnananananunanununnnnnnn 42 5 1 2 Licensing nuauanananananananunununnnnnnananananananununnnnanananananen 49 5 1 3 Up2Date Service nunuananananananunununnnnananananananununnnnnnann 52 5 1 4 BACKUP nunununnnnnnanananananununununnnnnnananananananununnnnnnananananen 59 Seite 5 Inhaltsverzeichnis 5 1 5 5 1 6 5 1 6 1 5 1 6 2 5 1 6 3 5 1 7 5 1 8 5 1 9 5 2 5 2 1 5 2 2 5 2 3 5 2 4 5 2 5 5 3 5 3 1 5 3 1 1 5 3 1 2 5 3 1 3 5 3 1 4 5 3 1 5 5 3 1 6 5 3 1 7 5 3 2 5 3 3 5 3 3 1 5 3 3 2 5 3 3 3 5 3 4 5 3 5 5 3 6 Seite 6 SySlog nununununnnnananananananunanununununnnnnnananananunananunununnnnn 65 User Authentication nunusuunnnnennnnennnnunnnnunnnnunn anne 66 RADIUS uunuunuunnnanunnuannannunnunnunnunnunnnannannunnannannunnunnn 67 SAM NT 2000 XP unusnuanenunnenunnununnununnununnununnenen nenn 71 LDAP Server uuuuuansunuannannunnannunnunnunnnannannunnunnunnunnunnn 73 WebAdmin Site Certificate ununnennenunnenennannnnenennenn 86 High Availability zununu0unnnnannnananananananunnnnnnanananananen 89 Shut down Restart uuuuunuunnannunnunnnunnunnunnunnunnunnnnnnn 94 Netzwerke und Dienste Definitions uasauunenen 96 Networks iusacinaaanin araa aaa a kauaa aaar 96 Network GrouUpS ssssssssssssunnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nnn 97 T Ae e AE E A an ana Ee nahe nk ana nee een innen 99 Service GrOUPS u2u2u nun
236. nd auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System ge laden und berpr ft Wenn die Pr fsummen stimmen erhal ten Sie nun die Backup Information 8 Brechen Sie anschlie end den Einspielvorgang ab indem Sie auf ein Men im Verzeichnis klicken l Achtung E Generieren Sie nach jeder nderung im System eine neue _ _Backup Datei Wenn Sie eine Backup Datei einspielen und etwa s zwischenzeitlich das Passwort oder die IP Adresse des Internet Sicherheitssystems ge ndert haben kann es passieren dass Sie keinen Zutritt mehr zum System erhalten 5 Seite 61 System bedienen amp beobachten Backup einspielen 1 ffnen Sie im Verzeichnis System das Men Backup 2 Klicken Sie im Fenster Backup neben dem Eingabefeld Import backup auf die Schaltfl che Durchsuchen 3 W hlen Sie im Fenster Datei ausw hlen die Backup Datei aus die Sie importieren m chten und klicken auf die Schalt fl che ffnen Hinweis b Verwenden Sie zum Einspielen des Backups unter zu gt die Backup Datei mit Hilfe des Auswahlmen s Su chen in aus 4 Klicken Sie bei Import backup auf die Schaltfl che Start Falls w hrend der Generierung der Backup Datei die Funk tion Encryption Backup File eingeschaltet war wird nun das Fenster Enter Passphrase ge ffnet 5 Tragen Sie in das Eingabefeld Passphrase das Passwort ein 6 Best tigen Sie die Eingabe durch einen Klick auf d
237. nd in der Gesamtstruktur eindeutig ist Dieser DN setzt sich aus Common Name CN und Domain Component DC zusammen Beispiel CN Administrator CN Users DC example DC com Unter MS Active Directory kann die Benutzerauthentifizierung auch durch den User Principal Name UPN erfolgen Dieser Name besteht aus dem Anmeldenamen und dem DNS Namen der Domain Beispiel admin example com Unter OpenLDAP erfolgt eine einfache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem ein getragenen Benutzer ein eindeutiger CN zugeordnet sein muss Sicherheitshinweis Bei der Benutzerauthentifizierung mittels Stand alone LDAP Server werden ausschlie lich Klartextpassw rter verwendet und w hrend der Anfrage nicht mit SSL verschl sselt Somit ist es in ungeswitchten Umgebungen m glich Passw rter die vom In ternet Sicherheitssystem gesendet werden mitzulesen Hinweis y F r die Benutzerauthentifizerung mittels LDAP Server muss im 2 Men Proxies DNS der DNS Proxy eingeschaltet und konfi s guriert sein Seite 74 System bedienen amp beobachten Microsoft Active Directory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer einge richtet sein der die Leserechte f r das gesamte Verzeichnis hat Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Microsoft Active Directory AD sollte der Abfrage Typ MemberOf verwendet werden da si
238. nd wichtige Nachrichten gefahrlos lesen Falls verf gbar steht unter der ID die Absenderadresse und der erste Empf nger Falls keine Absenderadresse vorhanden ist wird hier bounce angezeigt E Mails mit dem Status Frozen und oder Bounce werden nach sieben Tagen aus der Tabelle gel scht Seite 206 System bedienen amp beobachten In der Zeile Subject wird der Hostname und eine Notification mit Informations Code angezeigt Die Fehler Warnungs und Infor mations Codes sind im Kapitel 5 8 11 ab Seite 248 aufgef hrt In der Zeile Content Scanner werden Informationen angezeigt wenn die E Mail aufgrund eines Content Control Checks gefiltert wurde Die Meldung enth lt in diesem Fall den Namen des Viruses oder die Spambewertung Falls die Nachricht nicht wegen eines Content Control Checks gefiltert wurde erscheint die Meldung no checks done Unter Cause sind neben Datum und Uhrzeit des E Mails weitere Informationen enthalten um die gefilterte Nachricht zu bewer ten Im Drop down Men am unteren Ende der Tabelle befinden sich mehrere Funktionen um einzelne E Mails zu bearbeiten Die E Mails m ssen zuvor durch einen Klick auf das entsprechende Op tionsfeld ausgew hlt werden Folgenden Funktionen stehen zur Verf gung Delete Alle ausgew hlten E Mails werden gel scht Forward to postmaster Die E Mails werden an den Postmas ter weitergeleitet Die E Mail Adresse des Postmasters definieren Sie im Men Proxies SMTP
239. nde Zeile durch einen Klick auf das Optionsfeld W hlen Sie anschlie end im Drop down Men delete aus und klicken Sie auf die Schaltfl che go 5 7 5 Accounting Generate Accounting Reports Status Queried ce Disable Mit dem Accounting werden auf den Netzwerkkarten alle Select report ThisMonth ba IP Pakete erfasst und ihre Gr e einmal am Tag auf summiert Zus tzlich wird zu Beginn eines Monats die Datensumme des vergange nen Monats berechnet Das Ergebnis wird in einem Proto koll ausgegeben Die Summe dient z B als Basis f r den Betrag den Ihnen Ihr Inter net Service Provider in Rech nung stellt wenn Sie Ihre Verbindung nach bertrage nem Datenvolumen bezahlen Das Accounting wird im Men Network Accounting einge schaltet und konfiguriert Die Konfiguration dieser Funktion wird im Kapitel 5 3 8 ab Seite 158 beschrieben Browse Accounting Reports In diesem Fenster werden vor handenen Accounting Protokolle angezeigt Mit dem Drop down Men Select report w hlen Sie den Monat aus Das Protokoll wird anschlie end im darrunterliegenden Fenster angezeigt Im Men Log Files Accounting k nnen die Protokolle auf Ihren lokalen Rechner heruntergeladen oder gel scht werden Report for current Month In diesem Fenster wird das Ac counting Protokoll des aktuellen Monats angezeigt Seite 241 System bedienen amp beobachten Accounting definieren 1 ffnen Sie i
240. nen Namen definiert haben tragen Sie nun im Eingabefeld Name einen Namen ein 7 Erzeugen Sie nun die Policy durch einen Klick auf die Schaltfl che Add Die neue Policy wird anschlie end in der Tabelle IPSec Policies angezeigt Seite 226 5 6 3 Local System bedienen amp beobachten Local Keys Im Men Local Keys verwal certificate Pease select z ten Sie das lokale X 509 Zer Feine a tifikat f r die X 509 Authenti ve fizierung definieren den Local VEN Identifier ran IPSec Identifier und das Beam insg a locale RSA Key Schl ssel a ANAE NA Paar f r die RSA Authentifi Dan sse k Ley se and cick Sava to gersrats the loea RSA Key A Kay size ofat least 2048 bs En RSA key length Please select 7 Ce Local IPSec X 509 Key In diesem Fenster k nnen Sie f r X 509 Zertifikate die Sie zu vor im Men IPSec VPN CA Management erstellt haben die lokalen Schl ssel definieren Das Erstellen der X 509 Zertifikate wird in Kapitel 5 6 5 ab Seite 232 beschrieben Wenn Sie die X 509 Authentifizierung verwenden m chten w hlen Sie im Drop down Men Local certificate das Zertifikat aus In diesem Drop down Men sind nur die Zertifikate ver f gbar bei denen der passende Private Key vorhanden ist Tragen Sie anschlie end in das Eingabefeld Passphrase das Passwort ein mit dem der Private Key gesichert ist Anschlie end wird der Active Key mit seinem Namen im Fenster Loca
241. nen aber auch noch andere Informationen wie z B Aliase angezeigt werden Port W hrend auf IP Ebene nur die Absender und Zieladressen zur bertragung verwendet werden m ssen f r TCP und UDP wei tere Merkmale eingef hrt werden die eine Unterscheidung der einzelnen Verbindungen zwischen zwei Rechnern erlauben Dies sind die Portnummern Eine Verbindung auf TCP und UDP Ebene ist damit durch die Absenderadresse und den Absenderport so wie die Zieladresse und den Zielport eindeutig identifiziert Seite 268 Glossar Protokoll Ein Protokoll ist ein klar definierter und standardisierter Satz von Regeln mit deren Hilfe ein Client und ein Server miteinander kommunizieren k nnen Bekannte Protokolle und die damit betriebenen Dienste sind z B HTTP WWW FTP FTP und NTP News Proxy Application Gateway Die Aufgabe eines Proxy Application Gateways ist die vollst n dige Trennung von Kommunikationsverbindungen zwischen dem externen Netzwerk Internet und dem internen Netzwerk LAN Zwischen einem internen System und einem externem Rechner kann keine direkte Verbindung existieren Die Proxies arbeiten vollst ndig auf der Applikationsebene Firewalls die auf Proxies basieren benutzen ein Dual Homed Gateway das keine IP Pakete weiterleitet Die Proxies die auf dem Gateway als spezialisierte Programme ablaufen k nnen nun Verbindungen f r ein spezielles Protokoll entgegennehmen die bertragenen Daten auf Applikations
242. ng Das macht SOCKS besonders auf Firewalls interessant die NAT be nutzen da SOCKS die Nachteile von NAT ausgleichen kann Die SOCKS Implementation dieser Firewall unterst tzt die Protokoll versionen SOCKSV4 und SOCKSVS Bei Verwendung des SOCKSVvV4 Protokolls ist keine Benutzer authentifizierung User Authentication m glich Status os Disable Allowed networks Empty list Selected l Hinweis a Wenn Sie diesen Proxy verwenden m chten um Host Namens u aufl sung in SOCKSS zu betreiben m ssen Sie auch den DNS E s Proxy aktivieren SOCKS Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men SOCKS 2 Schalten Sie den Proxy durch einen Klick auf die Schalt fl che Enable ein 3 Konfigurieren Sie den SOCKS Proxy Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 35 beschrieben Allowed networks Hier w hlen Sie die f r diesen Proxy zugelassenen Hosts und Netzwerke aus Alle Einstellungen werden sofort wirksam und bleiben beim Ver lassen des Men s erhalten Seite 185 System bedienen amp beobachten SOCKS Proxy mit Benutzerauthentifizierung Wenn Sie f r den SOCKS Proxy die Funktion User Authenti cation einschalten m ssen sich die Benutzer mit Benutzerna men und Passwort anmelden Da User Authentication nur mit SOCKSVv5 funktioniert ist die Protokollversion SOCKSv4 dann nicht verf gbar Mit dem Auswahlfeld Authentication
243. nge Size Name Action Demon serie e aa ZEIGT Siehe Bild links mj 2002 06 02 339 55 KByte kernel 20020602 vi download del B 2002 06 03 359 85 KByte kernel 20020603 view download del mj 2002 06 04 280 49 KByte kernel 20020604 view download del H Do mws O osien kamen wien domiad di LIVE Log Das heutige Proto mj 2002 06 06 64 48 KByte kernel 20020606 view download del Pr 3 mi 2002 06 07 55 92 KByte kemel 20020607 view downoad dt Koll kann durch einen Klick auf mj 2002 06 08 41 51 KByte kernel 20020608 view download del u ne u m 2002 06 09 34 64 KByte kernel 20020609 view download del d S h Itfl h St t g ffi t n a O EEE TEEN le chaltflache Start geotne m 2002 06 11 49 40 KByte kernel 20020611 view download del d h Bild Pr ee a werden siehe Bild unten 2002 06 13 48 31 KByte kernel 20020613 view download del mj 2002 06 14 46 70 KByte kernel 20020614 view download del B 2002 06 15 36 12 KByte kernel 20020615 view download del mj 2002 06 16 35 86 KByte kernel 20020616 view download del B 2002 06 17 52 45 KByte kernel 20020617 view download del mj 2002 06 18 56 16 KByte kernel 20020618 view download del B 2002 06 19 51 45 KByte kernel 20020619 view download del mj 2002 06 20 60 96 KByte kernel 20020620 view download del B 2002 06 21 appending kernel view download In der Monats bersicht ist dieses Protokoll mit dem Vermerk ap pending in der letzten Zeile vermerkt Select month Um eine bestimmte Protokol
244. ngs ab Die Konfiguration der Netzwerkarten und virtuellen Schnitt stellen Interfaces wird in Kapitel 5 3 1 ab Seite 104 be schrieben Masquerading Regel f r das interne Netzwerk definieren Falls Sie in Ihrem Netzwerk private IP Adressen verwenden m chten und eine direkte Verbindung ohne Proxy ben ti gen setzen Sie unter dem Verzeichnis Network im Men NAT die entsprechenden Masquerading Regeln Weitere Informationen zu DNAT SNAT und Masquerad ing erhalten Sie im Kapitel 5 3 3 ab Seite 134 10 11 12 13 Installation Die IP Routing Eintr ge f r an die Netzwerkkarten ange schlossene Netzwerke Interface Routes werden auto matisch erstellt Bei Bedarf k nnen Sie im Men Routing IP Routing Ein tr ge auch manuell definieren Dies ist allerdings nur in komplexeren Netzwerken notwendig DNS Proxy konfigurieren ffnen Sie im Verzeichnis Proxies das Men DNS und konfigurieren Sie den DNS Proxy Durch die Konfiguration des DNS Proxy beschleunigen Sie die Namensaufl sung Sie k nnen einen lokalen Name server DNS oder den Ihres Internet Service Providers eintragen Andernfalls verwendet Ihr Internet Sicherheits system automatisch die Root Nameserver Die Konfiguration des DNS Proxy wird in Kapitel 5 5 2 ab Seite 183 beschrieben Weitere Netzwerke anschlie en Falls noch weitere interne Netzwerke vorhanden sind ver binden Sie diese mit den Netzwerkkarten des Internet Sicherheitssystems
245. nn nun von derselben IP Adresse mehrere Ver suche registriert werden mit immer anderen Ports Ihres Sys tems Verbindung aufzunehmen bzw Informationen an diese zu senden dann handelt es sich mit ziemlicher Sicherheit um einen Portscan PSD entdeckt diese Portscans und informiert per E Mail den Administrator sobald der Vorgang protokolliert wurde Anschlie Bend k nnen Sie entscheiden welche Ma nahme gegen weitere Verbindungen vom Port Scanner des Angreifers durchgef hrt werden soll Sicherheitshinweis Achten Sie als Administrator darauf dass auf dem System im lt _mer die aktuellsten Sicherheits Patches eingespielt sind Der Up2Date Service wird ausf hrlich in Kapitel 5 1 3 ab Seite 52 beschrieben Portscan Detection einschalten ausschalten 1 ffnen Sie im Verzeichnis Network das Men Portscan Detection 2 Schalten Sie die Funktion durch einem Klick auf die Schalt fl che Enable bei Status ein Anschlie end ffnet sich das Fenster Portscan Detection 3 W hlen Sie im Drop down Men Action taken on port scanner traffic die Ma nahme gegen den erkannten Port scanner aus Accept no interception Es wird keine Ma nahme gegen den Portscanner ergriffen es erfolgt nur eine Meldung Obwohl diese Einstellung keine Ma nahmen gegen den Port scanner einleitet ist dies die Standardeinstellung Unter Umst nden kann es vorkommen dass auch normale Netz werkaktivit ten als ein Portscan interpretiert w
246. nste auszunutzen Netzwerkdienste die die Internet Proto kolle TCP und UDP verwenden sind ber bestimmte Ports erreichbar und diese Port Zuordnung ist im Allgemeinen be kannt z B ist der Dienst SMTP in der Regel dem TCP Port 25 zugeordnet Die von Diensten verwendeten Ports werden als offen open bezeichnet da es m glich ist eine Verbindung zu ihnen aufzubauen Die unbenutzten Ports werden hingegen als geschlossen closed bezeichnet Versuche zu ihnen eine Verbindung aufzubauen scheitern Damit nun der Angreifer herausfinden kann welche Ports offen sind verwendet er ein spezielles Software Tool den Port Scanner Dieses Programm versucht mit mehreren Ports auf dem Zielrechner eine Verbindung aufzubauen Falls dies gelingt meldet es die entsprechenden Ports als offen und der Angreifer hat die n tigen Informationen welche MNetzwerkdienste auf dem Zielrechner verf gbar sind Status Action taken on portscanner traffic Der Port Scanner kann z B folgende Informationen liefern Interesting ports on 10 250 0 114 The 1538 ports scanned but not shown below are in state closed Port State Service 25 Ecp open smtp 135 tcp open loc srv 139 tcp filtered netbios ssn 445 tcp openMicrosoft ds 1032 tcp openiad3 Seite 145 System bedienen amp beobachten Da den Internetprotokollen TCP und UDP je 65535 Ports zur Verf gung stehen werden die Ports in sehr kurzen Zeitabst n den gescannt We
247. nterface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Advanced Options Durch einen Klick auf die Schaltfl che Enable bei Advanced op tions werden die Eingabefelder und Drop down Men s f r die erweiterten Funktionen ge ffnet Seite 109 System bedienen amp beobachten Die erweiterten Funktion Advanced Options werden f r alle Schnittstellen Typen im Kapitel 5 3 1 7 ab Seite 131 beschrie ben 5 3 1 2 Additional address on ethernet interface Add Interface Einer Netzwerkkarte k nnen mehrere zus tzliche IP Adressen zugeordnet werden IP Aliase Diese Funktion Name Marketing BE Advanced options Enable Hardware eth2 VIA Technologies Inc VT6102 Rhine I Type Additional address on ethemet interface eis m wird ben tigt um auf einer teimas m Netzwerkkarte mehrere logi Default Gateway pe sche Netzwerke zu verwalten Sie kann auch im Zusammen hang mit der Funktion NAT notwendig sein um dem Internet Sicherheitssystem zus tzliche Adressen zuzuweisen Die Funk
248. nting betragen alle Werte in dieser Zeitspanne 0 Uhrzeit zur ckstellen Sommer auf Winterzeit e In den zeitbasierten Reports gibt es f r die entsprechende Zeitspanne schon Log Daten die aus Sicht des Systems aber aus der Zukunft kommen Diese Daten werden nicht ber schrieben e Die Log Dateien werden weitergeschrieben wenn der Zeit punkt vor dem Zur ckstellen wieder erreicht ist e Die meisten Diagramme stellen die Werte dieser Zeitspanne zusammengepresst dar Seite 43 System bedienen amp beobachten e F r das Accounting behalten die bereits erfassten Daten aus der Zukunft ihre G ltigkeit Die Accounting Dateien werden weitergeschrieben wenn der R ckstell Zeitpunk wie der erreicht ist Es wird daher geraten die Zeit nur bei der Erst Konfiguration einmalig zu setzen und sp ter nur geringf gig anzupassen Ver wenden Sie am Besten die Central European Time CET Dies ist die urspr ngliche Uhrzeit Das System l uft dann immer in CET nicht in CEST Central European Summer Time Umstellungen von Winter und Sommerzeit sollten nicht vorgenommen werden insbesondere wenn die gesammelten Reporting und Accounting Daten weiterverarbeitet werden Systemzeit manuell einstellen 1 ffnen Sie im Verzeichnis System das Men Settings 2 F hren Sie im Fenster Time Settings folgende Einstel lungen in der angegebenen Reihenfolge durch Use NTP server Vergewissern Sie sich f r die manuelle Zeiteinstellung des
249. nting config file ignored Failed login from lt IP gt as lt Username gt Von der angegebenen IP Adresse aus wurde unter dem angegebenen Benutzernamen ein Ver such unternommen sich am Internet Sicher heitssystem anzumelden Der Versuch ist fehlgeschlagen No update possible Failed to connect available Update Server Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Up2Date Package is corrupted downloading again Es kann vorkommen dass ein Up2Date Paket nach dem Download defekt die Pr fsumme stimmt nicht ist Bitte laden Sie die Datei dann nochmals herunter Falls das Problem dann noch besteht setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung No ssh keys found under SSH_KNOWN_ HOSTS Der Versuch diesen Up2Date Server zu benut zen ist fehlgeschlagen da f r den Server kein SSH Host Key vorhanden ist Setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung Seite 255 System bedienen amp beobachten 003 No space left for System Update Ein System Update konnte wegen zu geringem Festplattenspeicher nicht durchgef hrt wer den Setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Support F lle 004 System Up2Date to new version failed Internal Error Das System Update ist fehlg
250. on Tracking nicht erkannt Dies kann umgangen werden wenn Sie die Funktion Masquerading verwenden Mit Forward Connection k nnen Sie die Ident Anfragen an einen mit Masquerading verborgenen Host hinter die Firewall weiterleiten Beachten Sie dabei dass die aktuelle IP Verbindung nicht bergeben wird Stattdessen wird die Firewall beim internen Client nach einer Ident Antwort anfragen und diesen String an den externen Server weiterleiten Dieses Vorgehen wird von den meisten Mini Ident Servern unterst tzt der meist Bestandteil der heute g ngigen IRC und FTP Clients ist Seite 189 System bedienen amp beobachten 5 5 6 SMTP Giopal settings Mit dem SMTP Proxy sch t a zen Sie den internen Mail Hostname MO nee same Server vor Angriffen Ein Postmaster address Posmaster hrnai na und ausgehende E Mails wer Max message size m 3 amp den auf sch dliche Inhalte E berpr ft Sie k nnen in die Ea INE grok sem Men auch Antispam I pr DNS Mco rcn Parameter eingeben um un erw nschte E Mails zu filtern o SMTP routes defined Recipient verification eo Enable In diesem Men konfigurieren Outgoing Mail Sie den SMTP Proxy f r E Allowed networks Ei Tat frenss Mails Der SMTP Proxy em penin pf ngt alle E Mails auf dem au nz Gateway und versendet Sie en eo m im zweiten Prozess wieder Damit werden keine Proto
251. ory Schema freigeben 1 Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema Klicken Sie mit der linken Maustaste auf die Schaltfl che Operations Master Anschlie end ffnet sich das Fenster Change Schema Master Markieren Sie das Optionsfeld The Schema may be modified on this Domain Controller Speichern Sie die Eingabe durch einen Klick auf die Schalt fl che OK Sie sind nun berechtigt das Active Directory Schema zu bearbeiten Schritt 2 Neues Attribute erstellen 1 Seite 78 Klicken Sie mit der rechten Maustaste unter Active Direc tory Schema auf das Verzeichnis Attribute Klicken Sie mit der linken Maustaste auf die Schaltfl che New Definieren Sie im Fenster Create New Attribute das neue Attribut Common Name Tragen Sie in das Eingabefeld den CN ein LDAP Display Name Vergeben Sie f r das neue Attribut einen eindeutigen Namen Am Besten denselben Namen den Sie f r diesen Dienst Service auch auf dem Internet Sicherheitssystem verwendet haben Beispiel Socks Unique X500 Object ID Tragen Sie in das Eingabefeld die OID Nummer ein Syntax W hlen Sie Boolean aus Minimum Lassen Sie dieses Eingabefeld leer Maximum Lassen Sie dieses Eingabefeld leer 4 System bedienen amp beobachten Speichern Sie die Eingaben durch einen Klick auf die Schalt fl che OK Schritt 3 Attribut einer Klasse Class zuweisen 1 Klicken
252. ountry code Germany einen das CA Zertifikat wel ee h ches im Zertifikatspeicher m Ihres Browsers installiert wird ee Immams mustemam com und zum anderen ein Server Firewall hostname 1192 168 2 165 Save Zertifikat das wiederum das Internet Sicherheitssystem ben tigt um sich bei Ihrem Browser zu authentifizieren Diese zwei Zertifikate pr fen die Firmendaten und den Sicherheitssystem Hostnamen Seite 86 System bedienen amp beobachten Zertifikat f r WebAdmin erstellen 1 ffnen Sie im Verzeichnis System das Men WebAdmin Site Certificate Tragen Sie im Fenster Certificate Information die ent sprechenden Firmendaten in das Drop down Men und die Eingabefelder ein Country Code W hlen Sie in diesem Drop down Men das Land aus State or Region Tragen Sie das Bundesland ein Company Tragen Sie den Firmennamen ein Org Unit Tragen Sie die Abteilung Ihrer Firma ein Contact E Mail Tragen Sie die E Mail Adresse ein ber die Sie eventuell kontaktiert werden m chten Tragen Sie in das Eingabefeld Firewall Hostname den Hostnamen oder die IP Adresse des Sicherheitssystems ein ber die Sie mit Ihrem Browser auf WebAdmin zugreifen Beispiel Wenn Sie ber die Adresse https 192 168 10 1 auf das Konfigurationstool WebAdmin zugreifen tragen Sie 192 168 10 1 in das Eingabefeld ein Speichern Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Save Zertifikat f r WebAdmi
253. p down Men Rule type die Funktion Masquerading aus Anschlie end ffnet sich das Fenster Add new NAT Rule 4 W hlen Sie im Drop down Men Network ein Netzwerk aus 5 W hlen Sie im Drop down Men Interface eine Netzwerk karte aus 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird die Masquerading Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung Weitere Funktionen Masquerading editieren Durch einen Klick auf die Schalt fl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Masquerading l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht Seite 139 System bedienen amp beobachten 5 3 3 3 Load Balancing Mit Load Balancing k nnen Sie auf den Ports ankommende Datenpakete z B SMTP oder HTTP auf verschiedene Server hinter dem Internet Sicherheitssystem verteilen Beispiel Sie haben in Ihrer DMZ zwei HTTP Server mit den IP Adressen 192 168 66 10 und 192 168 66 20 Mit Load Balancing k nnen Sie nun die auf der externen Netzwerkkarte f r den Dienst HTTP ankommenden Datenpakete auf die zwei HTTP Server verteilen Bevor Sie die Load Balancing Regel definieren k nnen m ssen Sie im Men Definitions Networks die zwei HTTP Server als Netzwerke bestehend aus je einem Host definieren
254. r Seite 101 System bedienen amp beobachten Weitere Funktionen Dienstgruppe editieren Durch einen Klick auf die Schaltfl che edit werden die Daten in das Men geladen Anschlie end k nnen Sie der Dienstgruppe weitere Dienste hinzuf gen oder einzelne Dienste aus der Gruppe entfernen Dienstgruppe l schen Durch einen Klick auf die Schaltfl che delete wird die gesamte Dienstgruppe aus der Tabelle gel scht 5 2 5 Users User definition In diesem Men werden lokale Unene Benutzer Users hinzuge Password CUT eoe f gt wenn der Gebrauch der Babda CHEN Aire Proxydienste nach Personen Allowed features C HTTP eingeschr nkt werden soll r Soas Dies ist die Alternative dazu eine externe User Datenbank Smr anal a abzufragen Hier legen Sie fest auf welche Proxydienste ein Benutzer Zugriff hat M gliche Optionen sind PPTP Remote Access HTTP Proxy SMTP Proxy SOCKS Proxy und WebAdmin Sicherheitshinweis a Standardm ig hat nur der admin Benutzer Zugriff auf das Konfigurationstool WebAdmin u gt s Sje sollten das Passwort zum Konfigurationstool in regelm i gen Abst nden ndern Benutzer hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Users 2 Tragen Sie im Eingabefeld Username den Namen des Be nutzers ein 3 Tragen Sie im Eingabefeld Password das Passwort ein und best tigen es nochmals im Eingabefeld Confirmation Seite 102 System bedienen
255. r Internetadresse herunterladen http docs astaro org Um Sie ber aktuelle Informationen und Neuerungen auf dem Laufenden zu halten beinhaltet dieses Handbuch auch Verweise auf Internetadressen von Astaro sowie weiteren Anbietern Diese Internetadressen k nnen sich allerdings auch ndern bzw im Falle der Fremdanbieter auch ganz entfallen Sollten Sie Fragen haben oder Fehler im Handbuch entdecken z gern Sie bitte nicht und kontaktieren uns unter folgender E Mail Adresse documentation astaro com Wenden Sie sich f r weitere Informationen an unser User Forum unter der Internetadresse http www astaro org oder greifen auf die Astaro Support Angebote zur ck Seite 9 Einf hrung in die Technologie 2 Einf hrung in die Technologie Bevor auf die Funktionsweise und Handhabung dieses Internet Sicherheitssystems eingegangen wird m chten wir Ihnen einen Einblick geben warum ein derartiges System zum Schutz des Netzwerks erforderlich ist und welche Probleme und Gefahren ohne ein entsprechendes Sicherheitssystem bestehen Netzwerke Das Internet ist heute als Schl sseltechnologie f r Kommunika tion Informationsbeschaffung als Speichermedium f r Wissens und Erfahrungswerte sowie als Marktplatz f r Informations dienste etabliert Seit seinen Anf ngen haben sich seine Aus ma e vervielfacht und von 1995 bis 2002 war das zahlenm ige Wachstum allein der de Domains nahezu exponential Die Endsyst
256. r PPTP Funktion ein Netzwerk aus dem privaten IP Bereich 10 x x x ausgew hlt Dieses Netzwerk wird PPTP Pool genannt und kann f r alle anderen Funktionen des Internet Sicherheits systems genutzt werden in denen Netzwerkdefinitionen verwen det werden Falls Sie ein anderes Netzwerk verwenden wollen k nnen Sie entweder die bestehende PPTP Pool Definition ver ndern oder ein anderes definiertes Netzwerk als PPTP Pool festlegen Subnet mask 255 255 255 0 Useable IP addresses 253 Die PPTP Benutzer legen Sie in Definitions Users an Dort ist es m glich bestimmten Benutzern eigene IP Adressen zuzu weisen Diese IP Adressen m ssen nicht Bestandteil des verwen deten Pools sein Sollen diese Adressen im Paketfilter oder an anderer Stelle der Konfiguration verwendet werden m ssen sie entweder als einzelne Hosts Netzmaske 255 255 255 255 oder als Teil eines bergeordneten Netzwerkes definiert werden Seite 149 System bedienen amp beobachten l Hinweis N Falls Sie f r Ihren PPTP Pool private IP Adressen wie z B das vordefinierte Netzwerk verwenden m ssen Sie Masquer s ading oder NAT Regeln f r den PPTP Pool erstellen wenn ein Zugriff auf das Internet von den PPTP Hosts aus erw nscht ist Optional Parameters Optional Parameters Client DNS servers Client WINS servers Client domain In diesem Fenster k nnen Sie den Hosts w hrend des Ver bindungsaufbaus zus tzlich bestimmte
257. r beide Bedingungen erf llt werden wird der Zugriff erlaubt Bearbeiten Sie das Profil der Richtlinie indem Sie unver schl sselte Authentifizierung erlauben PAP Belassen Sie bei allen anderen Profil Einstellungen die vor eingestellten Werte Seite 69 System bedienen amp beobachten 9 Starten Sie das Konfigurationstool WebAdmin und ffnen im Verzeichnis System das Men User Authentication 10 Schalten Sie die Funktion im Fenster RADIUS Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein Statusampel zeigt Gr n Address Tragen Sie hier die saw C IP Adresse des RADIUS ne Servers ein Secret Ex Secret Tragen Sie hier das Passwort Shared Secret aus Schritt 6 ein 11 Speichern Sie die Eingabe durch einen Klick auf die Schalt fl che Save 12 ffnen Sie das Men des entsprechenden Proxys bei dem Benutzerauthentifizierung mittels RADIUS erfolgen soll 13 Falls User Authentication noch ausgeschaltet ist Status ampel zeigt Rot aktivieren Sie diese indem Sie auf die Schaltfl che Enable klicken Authentication methodes W hlen Sie in diesem Aus wahlfeld RADIUS aus 14 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add Die Benutzerauthentifizierung per RADIUS ist nun aktiviert Im Microsoft Windows NT 2000 Event Log protokolliert an schlie end der IAS Server jeden Zugriff auf den Proxyserver Um ein schnelles Volll
258. r sind alle Men s alphabetisch geordnet Der angegebene Pfad gibt an wo die entsprechende Funktion im WebAdmin zu finden ist Durch einen Klick auf den Begriff wird Online Help gestartet und Sie gelangen direkt zur entsprechenden Informa tion Glossary In diesem Verzeichnis entspricht die Struktur der Begriffe ihrer Zuteilung im WebAdmin Durch einen Klick auf die Begriffe erhalten Sie einen berblick der Funktionen in diesem Verzeich nis Seite 259 System bedienen amp beobachten 5 10 Firewall verlassen Exit Wenn sie den Browser mit einer offenen WebAdmin Session schlie en ohne den WebAdmin ber Exit zu verlassen so bleibt die letzte Session bis zum Ablauf des Time outs aktiv In solch einem Fall k nnen Sie sich erneut am WebAdmin anmelden Es wird ein Bildschirm angezeigt der Sie dar ber informiert dass bereits ein anderer Administrator eingeloggt ist Sie k nnen mit der Schaltfl che Kick die andere Session beenden und sich selbst wieder einloggen Falls Sie damit die WebAdmin Session eines anderen Administrators beenden sollten sie im Eingabefeld f r Type reason here den Grund f r die bernahme der Session angeben Seite 260 6 6 1 Zus tzliche Funktionen Zus tzliche Funktionen Serielle Konsole Falls Sie nicht die High Availability HA L sung installiert haben kann an das Internet Sicherheitssystem ber die serielle Schnittstelle COM 1 eine serielle Konsole angeschlossen werden H
259. r w hlen Sie Stations in Denied MAC addrs can not get access aus Allowed MAC addrs Wenn Sie zuvor den positiven Filter ausgew hlt haben tragen Sie in die Zugriffskontrollliste die MAC Adressen der Rechner ein die das Wireless LAN betreten d rfen Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Denied MAC addrs Wenn Sie zuvor den negativen Filter ausgew hlt haben tragen Sie in die Zugriffskontrollliste die MAC Adressen der Rechner ein die das Wireless LAN nicht betreten d rfen Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 37 beschrieben Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add System bedienen amp beobachten Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Wireless LAN Station einric
260. rd als Stateful In spection bezeichnet Der Paketfilter merkt sich den Zustand jeder einzelnen Verbin dung und l sst nur Pakete passieren die dem aktuellen Verbin dungszustand entsprechen Besonders interessant ist diese Tatsache f r Verbindungsaufbauten vom gesch tzten in das un gesch tzte Netzwerk Baut ein System im gesch tzten Netzwerk eine Verbindung auf so l sst der Stateful Inspection Packet Filter z B Antwort pakete des externen Hosts in das gesch tzte Netzwerk pas sieren Wird diese Verbindung wieder abgebaut so hat kein System aus dem ungesch tzten Netzwerk die M glichkeit Pakete in ihrem abgesicherten Netzwerk zu platzieren es sei denn Sie wollen es so und erlauben diesen Vorgang explizit Seite 12 Einf hrung in die Technologie Anwendungsschicht Gateways Application Proxy Firewall Application Gateway Die zweite ma gebende Art von Firewalls sind die Anwendungs schicht Gateways Sie nehmen Verbindungen zwischen au en stehenden Systemen und Ihrem Netzwerk stellvertretend an In diesem Fall werden Pakete nicht weitergeleitet sondern es findet eine Art bersetzung statt mit dem Gateway als Zwischensta tion und bersetzer Die Stellvertreterprozesse auf dem Application Gateway werden als Proxyserver oder kurz Proxies bezeichnet Jeder Proxy kann speziell f r den Dienst f r den er zust ndig ist weitere Sicherheitsmerkmale anbieten Es ergeben sich weitere umfang reiche Sicherungs und Pro
261. ren Ausf hrliche Informationen zum Zertifikat und wie Sie die ses Zertifikat installieren wird in Kapitel 5 1 7 ab Seite 86 beschrieben Best tigen Sie die Frage auf dem Sicherheitshinweis ob der Vorgang fortgesetzt werden soll mit einem Klick auf die Schaltfl che Ja Beim ersten Start des WebAdmin ffnet sich ein Men mit den Fenstern License Agreement und Setting system passwords Lizenzbestimmungen akzeptieren Die Lizenzbestimmungen im Fenster License Agreement akzeptieren Sie durch einen Klick auf das Optionsfeld I agree to the terms of the license Hinweis am Beachten Sie die rechtlichen Hinweise und Lizenzbe stimmungen Passw rter setzen Setzen Sie im Fenster Setting system passwords die Passw rter f r das Internet Sicherheitssystem Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ck w rts buchstabiert ist beispielsweise kein ausrei s chend sicheres Passwort besser w re z B xfT35 4 Beim WebAdmin User Passwort sind nur die ers ten acht Stellen signifikant Sie k nnen WebAdmin nur starten wenn Sie f r die fol genden Funktionen ein Passwort gesetzt haben Best tigen Sie die Passw rter durch die nochmalige Eingabe in das jeweilige Eingabefeld Confirm Der Benutzernamen User name ist vorgegeben und kann nicht ge ndert werden WebAdmin user Zugang zum WebAdmin Der Benutzername lautet admin Shell Login user Zugang via SSH Der Benutzername laute
262. rheitssystems angewendet Zertifikate und Certificate Authorities CA sind ein wesentlicher Bestandteil moderner kryptografischer Anwendungen und schlie Ben die Sicherheitsl cken die bei anderen Algorithmen alleine noch offen bleiben Eine sehr elegante Art verschl sselt zu kommunizieren sind die Public Key Algorithmen Sie setzen jedoch voraus dass die ffentlichen Schl ssel aller Partner bekannt sind Hier kommt eine vertrauensw rdige dritte Stelle ins Spiel die f r die Echtheit ffentlicher Schl ssel sorgt Zu diesem Zweck stellt sie Zertifikate aus Diese Stelle wird daher auch Cerficate Authority CA genannt Ein Zertifikat ist ein Datensatz oder ein Text in einem standardisierten Format mit den wichtigsten Daten des Besitzers seinem Namen und seinem ffentlichen Schl ssel unterschrieben mit dem privaten Schl ssel der CA Das Format der Zertifikate ist im X 509 Standard festgelegt In einem Zertifikat unterschreibt die CA dass sie sich von der Echtheit einer Person berzeugt hat und dass der vorliegende ffentliche Schl ssel zu der Person geh rt Da das Zertifikat Werte wie den Namen des Besitzers die G ltigkeitsdauer die ausstellende Beh rde und einen Stempel mit einer Unterschrift der Beh rde enth lt kann es auch als digitaler Pass betrachtet werden matete t Mit Hilfe dieses Men s erzeu Beloneie the data included in your Site and CA certificates for this firewall gen Sie zwei Zertifikate Zum C
263. route und Ping muss hier die Funktion ICMP on firewall aktiviert sein Traceroute ist ein Werk Firewall is traceroute visible eo A Firewall forwards traceroute eo zeug um Fehler beim Routing Traceroute from firewall eo in Netzwerke n zu fi nde n In diesem Fenster werden die erweiterten Einstellungen speziell f r ICMP Traceroute vor genommen Zus tzlich werden die UDP Ports f r UNIX Trace route Anwendungen ge ffnet Weitere Informationen zu Traceroute erhalten Sie im Kapitel 5 3 10 ab Seite 160 Firewall is traceroute visible Wenn diese Funktion aktiviert ist antwortet die Firewall auf Traceroute Pakete Firewall forwards traceroute Wenn diese Funktion aktiviert ist leitet die Firewall Traceroute Pakete weiter Die Funktionen Firewall is traceroute visible und Firewall forwards traceroute machen nur Sinn wenn beide aktiviert Traceroute on firewall Wenn diese Funktion aktiviert ist kann der Traceroute Befehl auf der Firewall verwendet werden Seite 171 System bedienen amp beobachten Ping Settings In diesem Fenster werden die Firewall is ping visible Enable oo Fi a ze Pe erweiterten Einstellungen en a Speziell f r ICMP Ping vor genommen Weitere Informationen zu Ping erhalten Sie im Kapitel 5 3 10 ab Seite 160 Firewall is ping visible Wenn diese Funktion aktiviert ist ant wortet die Firewall auf Ping Pakete Firewall forwards ping Wenn diese Funktion akti
264. s Kom mentars wird der Host der diese E Mail versendet hat wie derum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht e Quarantine Die E Mail wird angenommen kommt aber in Quarant ne Die E Mail wird im Men Proxy Content Mana ger als Typ SMTP_ERR angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen e Pass Die E Mail wird vom Filter behandelt aber durchge lassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Pro gramm des Empf ngers zu sortieren oder zu filtern Spam Detection Dieses Modul berpr ft die eingehenden E Mails heuristisch auf bestimmte Eigenschaften die Hinweise auf Spam geben Hierzu dienen interne Musterdatenbanken Auf diese Weise ist man unabh ngig von den Absenderinformationen und kann somit die Genauigkeit stark erh hen F r den Spam Score k nnen zwei Grenzwerte Thresholds definiert werden Auf diese Weise k nnen mutma liche SPAM E Mails von der Firewall unterschiedlich behandelt werden Die beiden Grenzwerte Thresholds sind gleichberechtigt Der Seite 199 System bedienen amp beobachten Grenzwert mit der h heren Stufe sollte allerdings strenger be handelt werden Default Einstellungen Grenzwert Eins Threshold One When Spam Level exceeds 03 aggressive do this Pass Grenzwert Zwei Thr
265. s Pro tokoll ESP Encryption algorithm Hier w hlen Sie den Algorithmus f r die Verschl sselung der IPSec Verbindung aus Dieses System unterst tzt die Verschl sselungs Algorith men 3DES Blowfish Rijndael AES 128bit keylength Rijndael AES 192bit keylength Rijndael AES 256bit keylength und Twofish Wenn Sie die IPSec Ver bindung ohne Verschl sselung aufbauen m chten w hlen Sie null aus Enforce algorithm Wenn ein IPSec Gateway einen Vor schlag bzgl eines Verschl sselungsalgorithmus und der St rke macht kann es vorkommen dass das Gateway der Gegenstelle diesen Vorschlag annimmt obwohl die IPSec Policy diesem nicht entspricht Um dies zu verhindern muss Enforce algorithm aktiviert werden Beispiel Die IPSec Policy fordert AES 256 als Verschl sselung Ein Roadwarrior mit SSH Sentinel will aber mit AES 128 ver binden Ohne Enforce algorithm wird die Verbindung trotzdem zugelassen was ein Sicherheitsrisiko darstellt Authentication algorithm Unterst tzt werden die Algo rithmen MD5 128bit SHA1 160bit SHA2 256bit und SHA2 512bit Der zu verwendende Algorithmus wird von der Gegenstelle der IPSec Verbindung bestimmt Wichtiger Hinweis DN Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen einen hohen Anteil der Systemresourcen gt SA lifetime secs Hier definieren Sie die Dauer der IPSec Verbindung in Sekunden Nach der Installation sind standardm ig 3600 Sekunden 1h eingestellt
266. selung und Authentifizierung w hrend des Key Exchanges Schl sselaustausch ben tigt Die beiden Schl ssel sind mathematisch voneinander abh ngig und stehen in einer einzigartigen Verbindung zueinander Daten die mit einem Schl ssel verschl sselt wurden k nnen nur mit dem anderen Schl ssel wieder entschl sselt werden Der Private Key kann nicht vom Public Key abgeleitet werden Beide Gegenstellen einer IPSec VPN Verbindung ben tigen bei dieser Authentifizierungsmethode ihren eigenen Public Key und Private Key Das X 509 Zertifikat basiert hnlich wie die Authentifizierung mit RSA Keys auf den Schl sselpaaren Public Key und Private Key Ein X 509 Zertifikat entspricht dem Public Key mit zus tz lichen spezifischen Informationen Dieses Zertifikat wird wird durch eine Certificate Authority CA Ihres Vetrauens signiert W hrend des Key Exchange werden die Zertifikate ausge tauscht und durch das lokal gespeicherten CA Zertifikat ber pr ft Seite 216 System bedienen amp beobachten Weitere Informationen zu Certificate Authority CA erhalten Sie in Kapitel 5 1 7 ab Seite 86 und in Kapitel 5 6 5 ab Seite 232 5 6 1 Connections Im Men Connections defi nieren Sie die lokalen Einstel lungen f r einen neuen IPSec Tunnel oder editieren und beobachten die beste Disable J Status co IKE debugging Enable eo NAT Traversal Enable se Cne Cne Name pn m henden Verbindungen
267. ser Datenkanal darf sich keine Bandbrei te von anderen Kan len borgen und verborgt keine Band breite borrow Dieser Datenkanal darf sich Bandbreite von anderen Kan len borgen und verborgt nicht ben tigte Seite 155 System bedienen amp beobachten Bandbreite Im Worst Case steht allerdings die eingestellte Bandbreite zur Verf gung 7 bernehmen Sie die Einstellungen durch einen Klick auf die Schaltfl che Add Nach erfolgreicher Definition wird die neue Regel immer deakti viert Statusampel zeigt Rot an letzter Stelle in die Regelsatz Tabelle eingetragen Current Quality of Service Rules In dieser Tabelle werden die bersetzten Regeln in Reihenfolge ihres Eintreffens im Kernel dargestellt Diese Tabelle wird vorwiegend zur Fehlersuche des Supports ben tigt Beispiel Die Netzwerkkarte eth0 wurde f r QoS freigegeben und die folgenden zwei Regeln wurden definiert 1 Regel f r Datenpakete zum NTP Server Atlanta From Client Any Service NTP To Server NTP_Server_Atlanta Weight low 2 Borrow don t borrow 2 Regel f r Datenpakete von der internen Schnittstelle etho From Client Internal_Interface__ Service Microsoft SQL Server To Server Private_Network_192 168 0 0 Weight high 3 Borrow borrow Seite 156 System bedienen amp beobachten In der Tabelle werden alle Classes angezeigt die f r die Netz werkkarte eth0 erstellt werden EthO0 Class 1 Total link bandwidth
268. ss Resolution Protocol kom E k nnen Pro Firewall Netzwerk Schnittstelle dargestellt ber einen Hub oder Switch u ikali j a alsch physikalisch zusammen auf ein Netzwerk VLAN Switch konfiguriert ist Unter Umst n den kann es dann zu falschen ARP Aufl men ARP Clash die nicht alle Betriebs r systeme z B die von Microsoft verwalten muss daher auch ein physikalisches Netz werk Segment verwendet werden Im Men Interfaces verwalten Sie alle auf dem Internet Sicher heitssystem installierten Netzwerkkarten und konfigurieren die Schnittstelle zum externen Netzwerk Internet sowie die Schnittstellen zu den internen Netzwerken LAN DMZ Hinweis Beachten Sie bei der Planung und Konfiguration der Schnittstel len welche Netzwerkkarten Sie jeweils auf dem Sicherheitssys stem ausw hlen F r die Schnittstelle zum externen Netzwerk Internet wird in der Regel die Netzwerkkarte mit der Sys ID eth1 verwendet F r eine sp tere Installation des High Availability HA Systems ben tigen Sie auf beiden Systemen eine Netzwerkkar te mit gleicher Sys ID Die Installation des HA Systems wird in Kapitel 5 1 8 ab Seite 89 beschrieben In den nachfolgenden Abschnitten wird erkl rt wie die verschie denen Schnittstellen Typen Interface Types ber die Fenster Current Interface Status und Hardware Device Overview verwaltet und konfiguriert werden Seite 105 System bedienen amp beobachten Current
269. st eine Sonderform von SNAT bei der viele private IP Adressen auf eine einzige ffentliche IP Adresse um gesetzt werden d h Sie verbergen interne IP Adressen und Netzwerkinformationen nach au en Die Unterschiede zwischen Masquerading und SNAT sind e Bei Masquerading geben Sie nur ein Quellnetzwerk an Es werden automatisch alle Dienste Ports in die bersetzung mit einbezogen e Die bersetzung findet nur dann statt wenn das Paket ber die angegebene Netzwerkkarte versendet wird Als neue Quelladresse wird stets die Adresse dieser Netzwerkkarte in die Datenpakete eingef gt Damit eignet sich Masquerading besonders um private Netz werke in einem LAN hinter einer offiziellen IP Adresse an das Internet anzubinden Seite 138 System bedienen amp beobachten Masquerading definieren Legen Sie ber die Drop down Men s fest welches Netzwerk auf welcher Netzwerkkarte maskiert werden soll Im Normalfall w hlt man die externe Netzwerkkarte Hinweis g b Damit von den Clients aus dem hier definierten Netzwerk eine gt Verbindung zum Internet aufgebaut werden kann m ssen im s Men Packet Filter Rules die entsprechenden Regeln gesetzt werden Das Setzen der Paketfilterregeln wird ausf hrlich in Kapitel 5 4 ab Seite 164 beschrieben 1 ffnen Sie im Verzeichnis Network das Men NAT Mas querading 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Na men f r die NAT Regel 3 W hlen Sie im Dro
270. stellen Typ Wireless LAN Access Point durch Address Weisen Sie dem Access Point eine IP Adresse zu Bei diesem Schnittstellen Type kann nur eine statische IP Adresse gesetzt werden Tragen Sie in das Eingabefeld die Adresse ein Netmask Bei diesem Schnittstellen Type kann nur eine statische Netzwerkmaske gesetzt werden Tragen Sie in das Eingabefeld die Netzwerkmaske ein Default Gateway Wenn Sie ein Default Gateway defi nieren m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie kein Default Gateway definieren m chten w hlen Sie im Drop down Men None aus SSID Tragen Sie in das Eingabefeld den Funkzellennamen ein Geben Sie eine beliebige Zeichenkette ohne Leerzei chen ein Die Zeichenkette kann maximal 32 Zeichen lang sein Channel Stellen Sie in diesem Drop down Men den Fre quenzkanal des Wireless LANs ein Use WEP Wenn Sie im Wireless LAN die WEP Verschl s selung verwenden m chten w hlen Sie im Drop down Men Yes aus Sicherheitshinweis S Die WEP Verschl sselung sollte immer verwendet werden da ein ungesch tztes Wireless LAN immer sin hohes Sicherheitsrisiko darstellt Wenn Sie die WEP Verschl sselung auf No stellen werden die weiteren Einstellungen in den WEP spezifischen Feldern vom System nicht mehr ber cksichtigt WEP Authentication Falls WEP zur Authentifizierung ein gesetzt werden soll w hlen Sie im Drop down Men Y
271. stem bedienen amp beobachten WebAdmin starten 1 Starten Sie Ihren Browser und geben die IP Adresse des Internet Sicherheitssystems eth0 wie folgt ein https IP Adresse Beispiel aus Kapitel 3 2 Installationsanleitung Schritt 6 https 192 168 2 100 Falls Sie noch kein CA Zertifikat f r Ihre WebAdmin Seite generiert haben erscheint ein Sicherheitshinweis Ausf hrliche Informationen zum Zertifikat und wie Sie dieses installieren finden Sie in Kapitel 5 1 7 ab Seite 86 2 Best tigen Sie die Frage auf dem Sicherheitshinweis ob der Vorgang fortgesetzt werden soll mit einem Klick auf die Schaltfl che Ja 3 Authentifizieren Sie sich im WebAdmin User admin Username Password Passwort des WebAdmin Benutzers Password Beachten Sie bitte die Gro und Kleinschreibung 4 Klicken Sie auf die Schaltfl che Login Ein anderer Administrator ist schon eingeloggt Sollte bereits ein anderer The WebAdmin is currently occupied by the following user Ad ministrator im Konfig u EE a rationstool WebAdmin Address 10 113 113 3 angemeldet sein wird You can terminate this users session by confirming your login and optionally provide a reason for the takeover eine entsp rechende Mel Reason dung angezeigt Anhand der IP Adresse k nnen Sie sehen von welchem Rechner auf das Internet Sicherheits systems zugegriffen wird Sie k nnen diese Session beenden Geben Sie im Eingabefeld R
272. stimmen Sie k nnen also zuerst die Software in stallleren und registrieren anschlie end im Registrie rungs Portal Ihre Lizenz erst ab diesem Zeitpunkt l uft die Zeitspanne f r die erworbenen Optionen inweis Die neuen Activation Keys k nnen nicht direkt ber das Konfigurationstool WebAdmin eingespielt werden Sie m ssen erst auf MyAstaro registriert werden Seite 49 System bedienen amp beobachten Benutzer Account festlegen 1 Seite 50 ffnen Sie mit Ihrem Browser die Internetseite mit der Adresse https my astaro com Melden Sie sich in MyAstaro an What is your e mail address F r die Authentifizierung wird die E Mail Adresse verwen det Als Neukunde tragen Sie hier Ihre E Mail Adresse ein Wenn Sie bereits das Registration Portal genutzt haben tragen Sie in das Eingabefeld die E Mail Adresse ein die Sie bei der Anmeldung verwendet haben Falls Sie die damals verwendete E Mail Adresse nicht mehr wissen k nnen Sie diese unter dem Dialog Returning Registration Portal users abfragen Sie ben tigen Ihr Username und das Password Do you have a MyAstaro password Falls Sie sich zum ersten Mal in MyAstaro anmelden klicken Sie das Auswahlk stchen bei No I am a new user an Falls Sie bereits Benutzer von MyAstaro sind tragen Sie das Passwort in das Eingabefeld Yes my password is ein Klicken Sie anschlie end auf die Schaltfl che Submit Generieren Sie einen MyAstaro Accout E Mail Ad
273. t rot Funktion ist ausgeschaltet gr n Funktion ist eingeschaltet Forwarding name o Die Werkzeuge zur Konfiguration die ser Funktionen und Dienste werden erst ge ffnet wenn die Statusampel Gr n zeigt E i 4 3 2 Die Auswahlfelder Zur Konfiguration des Systems stehen zwei Varianten dieser Auswahlfelder zur Verf gung Any A o iere Mit Auswahlfeld A werden den Funk Icahot o T tionen und Diensten die daf r befug O e Sever aaa z ten Netzwerke Allowed Networks False Availabe und Benutzer Allowed Users zuge ordnet Netzwerk oder Benutzer zuordnen 1 W hlen Sie im Feld Available das Netzwerk bzw den Be nutzer aus indem Sie den entsprechenden Namen mit der Maus markieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die Shift Taste w hrend der Auswahl gedr ckt halten Seite 35 WebAdmin Werkzeuge 2 Klicken Sie auf die Schaltfl che Pfeil nach links Der Name wird nun in das Feld Selected verschoben Netzwerk oder Benutzer entnehmen 1 W hlen Sie im Feld Selected das Netzwerk bzw den Be nutzer aus indem Sie den entsprechenden Namen mit der Maus markieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die Shift Taste w hrend dem Markieren gedr ckt halten Klicken Sie auf die Schaltfl che Pfeil nach rechts Der Name wird nun in das Feld Available verschoben Mit Auswahlfeld B wird den Funktio Loc
274. t Schritt 2 Boolean Edit Attribut Mit diesem Eingabefeld kann der Wert des Attributs editiert werden M gliche Werte sind TRUE oder FALSE Value s Hier wird der Wert des Attributs angezeigt 4 Speichern Sie die Eingaben durch einen Klick auf die Schalt fl che OK F hren Sie nun die Einstellungen am Internet Sicherheitssystem durch Die Einstellungen im Konfigurationstool WebAdmin wer den ab Seite 82 erkl rt Novell eDirectory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer einge richtet sein der die Leserechte f r das gesamte Verzeichnis hat Sicherheitshinweis L Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Novell eDirectory NDS8 sollte der Abfrage Typ group Membership verwendet werden da sich ein bereits vollst ndig eingerichteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis kann wiederum um selbstdefinierte Attribute erweitert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden F r die Konfiguration des Novell eDirectory Servers ben tigen Sie die Novell ConsoleOne Die Verwaltung des Novell eDirectory Servers wird ausf hrlich in der zugeh rigen Dokumentation beschrieben Sie erhalten die Dokumentation unter der Internetadresse http www novell com documentation Ig edir87
275. t loginuser Seite 27 Installation Shell Administrator user Administratorrechte f r das gesamte Internet Sicherheitssystem Der Benutzername lautet root Sicherheitshinweis Ta Setzen Sie f r Shell Login und Shell Administra tor unterschiedliche Passw rter Astaro Configuration Manager User optional Dieses Passwort ben tigen Sie falls das Internet Sicherheitssys tem mit dem Astaro Configuration Manager konfiguriert werden soll Boot Manager optional Dieses Passwort verhindert dass Unbefugte nderungen in den Bootparametern vorneh men k nnen Best tigen Sie die gesetzten Passw rter durch einen Klick auf die Schaltfl che Save Im Konfigurations Tool WebAdmin authentifizieren User admin Password Passwort des WebAdmin Benutzers Beachten Sie bitte die Gro und Kleinschreibung Klicken Sie auf die Schaltfl che Login Hinweis ON Gehen Sie die Schritte 5 bis 15 in der angegebenen Reihenfolge Seite 28 Erste Grundeinstellungen durchf hren ffnen Sie im Verzeichnis System das Men Settings und f hren Sie im Fenster General System Settings folgende Einstellungen durch Hostname Tragen Sie hier den Hostnamen f r Ihr Inter net Sicherheitssystem ein Ein Domainname darf aus alphanumerischen Zeichen sowie Punkt und Minus Zeichen bestehen Am Ende muss ein alphabetischer Bezeichner vorhanden sein z B com de oder org Der Hostname wird in allen Notification E
276. te Anforderungen an die IT Infra struktur zu denen Echtzeit Kommunikation und enge Zusam menarbeit mit Gesch ftspartnern Consultants und Zweigstellen geh ren Die Forderung nach Echtzeitf higkeit f hrt immer fter zur Sch pfung so genannter Extranets die mit dem Netzwerk des Unternehmens entweder e ber dedizierte Standleitungen oder e unverschl sselt ber das Internet erfolgen Dabei hat jede dieser Vorgehensweisen Vor und Nachteile da ein Konflikt zwischen den entstehenden Kosten und den Sicherheitsanforderungen auftritt Internet VPN Client f r Fernzugriff LAN DMZ Firewall Server Server Seite 15 Einf hrung in die Technologie Durch Virtual Private Network VPN wird es m glich ab gesicherte d h verschl sselte Verbindungen zwischen LANs aufzubauen die transparent von Endpunkt zu Endpunkt ber das Internet geleitet werden Dies ist insbesondere sinnvoll wenn Ihre Organisation an mehreren Standpunkten operiert die ber eine Internet Anbindung verf gen Aufbauend auf dem IPSec Standard wird es hier m glich sichere Verbindungen herzu stellen Unabh ngig von der Art der zu bertragenden Daten wird diese verschl sselte Verbindung automatisch d h ohne die Notwen digkeit zus tzlicher Konfigurationen oder Passw rter am Endsys tem genutzt um den Inhalt w hrend des Transports abzusi chern Am anderen Ende der Verbin ISO OSI TCP IP d
277. te aktualisieren Sie den Virus scanner Ihres Internet Sicherheitssystems mit neuen Virus Patterns Sie haben die M glichkeit den Virusscanner manuell oder automatisch in bestimmten Zeitintervallen auf dem neusten Stand zu halten Installed Pattern Date informiert Sie welches Pattern Up2 Date Paket zuletzt installiert wurde Seite 57 System bedienen amp beobachten Pattern Up2Date manuell 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster Pattern Up2Date auf die Schalt fl che Start bei Update now Das System pr ft nun ob auf dem Update Server neue Pattern Up2Date Pakete vorhanden sind l dt diese herunter und installiert sie auf dem Internet Sicherheitssystem Der gesamte Up2Date Vorgang wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldung DONE erscheint Die Angabe Installed Pattern Date wird sofort aktualisiert wenn Sie im Verzeichnis System auf Up2Date Service klicken oder sobald Sie das n chste Mal dieses Men ffnen Bei der High Availability HA L sung wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert Pattern Up2Date automatisch 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Schalten Sie die Funktion durch einen Klick auf die Schalt fl che Enable bei Automatic Pattern Up2Date ein 3 Definieren Sie im Auswahlfeld Interval den Zeitabstand n
278. tection not running restarted 19 HTTP proxy not responding restarted 120 Authentication server not running restarted 121 High Availability version conflict Updating Slave Auf dem Firewall System im Hot Standby Modus Slave wurde das letzte System Up2Date Paket noch nicht installiert Die Installation wurde nun ausgef hrt 122 High Availability version conflict noted Auf dem Firewall System im Hot Standby Modus Slave fehlt mehr als ein System Up2Date Paket Spielen Si di fehlenden System Up2Date Pakete in das Internet Sicherheits system ein und installieren si dies anschlie end Das Modul Up2Date Service wird in Kapitel 5 1 3 ab Seite 52 erkl rt 123 High Availability version conflict Start ing reboot Die Version des Firewall Systems im Hot Standby Modus Slave ist h her als die Ver sion des Firewall Systems im Normal Modus Master Das High Availability System wird nun neu gestartet Das Firewall System mit Seite 250 WAR 000 005 006 007 030 031 System bedienen amp beobachten der h heren Version wird anschlie end den Normal Modus Master bernehmen Demoversion expiring obtain a valid license Die 30 Tage Demo Lizenz ist abgelaufen To many log files will be deleted automatically soon Auf der Festplatte sind zu viele Log Files nthalten Dies Log Files nehmen auf der Festplatte zuviel Platz ein Die ltesten Log Files werden in K rz
279. tehen Ihnen in der Spalte Command weitere Funktionen zur Verf gung Weitere Funktionen Netzwerk editieren Durch einen Klick auf die Schaltfl che edit werden die Daten in das Eingabemen geladen Anschlie end k nnen Sie die Eingaben bearbeiten Netzwerk l schen Durch einen Klick auf die Schaltfl che del wird das Netzwerk aus der Tabelle gel scht 5 2 2 Network Groups Name Members ir sende Netzwerke lassen sich zu Netz werkgruppen zusammenfas nz Sina F sen Netzwerkgruppen werden Se behandelt wie einzelne Netz Selected Available werke und k nnen wieder Teil einer bergeordneten Netz E e m werkgruppe sein 192 162 0 0 Private Network Sie erkennen Netzwerkgruppen sp ter daran dass ihre Namen in geschweiften Klammern dargestellt werden Alle auf dem Seite 97 System bedienen amp beobachten Internet Sicherheitssystem definierten Netzwerkgruppen werden in der Tabelle Network Groups angezeigt Hinweis L Jede nderung in Network Groups wird ohne eine weitere Meldung sofort wirksam Netzwerkgruppe definieren 1 ffnen Sie im Verzeichnis Definitions das Men Network Groups 2 Klicken Sie auf die Schaltfl che New um das Men Add Network Group zu ffnen 3 Tragen Sie in das Eingabefeld Name einen eindeutigen Namen f r die Netzwerkgruppe ein Diesen Namen geben Sie sp ter an um z B Paketfilterre geln zu setzen 4 W hlen Sie im
280. tellt eingegeben werden Beispiel 00 04 76 16 EA 62 3 Tragen Sie in das Eingabefeld IP Address die IP Adresse ein Diese IP Adresse muss in dem Bereich enthalten sein den Sie zuvor mit den Auswahlmen s Range Start und Range End definiert haben 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Anschlie end wird die statische IP Adresszuweisung in die Ta belle Static Mapping Table importiert Durch einen Klick auf die Schaltfl che delete kann der Eintrag wieder gel scht werden DHCP Server Leases In der Tabelle DHCP Server Leases werden die aktuellen IP Adresszuweisungen dargestellt F r ein und dieselbe IP Adresse k nnen mehrere Zuweisungen enthalten sein allerdings ist immer nur der letzte Eintrag g ltig Diese Tabelle wird nur angezeigt wenn Eintr ge vorhanden sind Seite 144 System bedienen amp beobachten Mit Portscan Detection oder auch PSD sind Sie in der Lage m gliche Angriffe Source network Destination network dureh Unbefugte erken r z gt Aaw J n nen Sogenannte Portscans werden meist von Hackern durchgef hrt um ein abgesichertes Netzwerk nach erreichbaren Diensten Services zu durchsuchen Um in ein System einzu dringen bzw eine Denial of Service DoS Attacke zu starten ben tigt der Angreifer Informationen zu den Netzwerk Diensten Wenn solche Informationen vorliegen ist der Angreifer m glicherweise in der Lage gezielt die Sicherheitsl cken dieser Die
281. ten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gateway definieren m chten w hlen Sie im Drop down Men None aus VLAN Tag Tragen Sie in das Eingabefeld den Tag f r das virtuelle Netzwerk ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add System bedienen amp beobachten Das System pr ft nun die IP Adresse und die Netzwerk maske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausge schaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Statusampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die neue virtuelle Schnittstelle wird auch in der Tabelle Hard ware Device Overview angezeigt da dieser ebenso wie einer Standard Ethernet Netzwerkarte eine zus tzliche IP Adresse zu geordnet werden kann IP Aliase Die Sys ID dieser virtuellen
282. tfl che ge ffnet the 20 or 40 Megabytes are Seite 39 System bedienen amp beobachten 5 System bedienen amp beobachten WebAdmin ist das web ba sierte Konfigurationstool das Sie bereits von der In stallation her kennen In diesem Kapitel werden ausf hrlich die Bedienung des Sicherheitssystems und seine Funktionen beschrieben Die verschiedenen Einstellungen Mr a werden anhand von Step by asiine w z step Anleitungen erl utert Dabei wird allerdings nicht auf die Funktionsweise der Werk zeuge eingegangen Die Werkzeuge werden in Kapitel 4 beschrieben Das Ziel des Administrators sollte sein so wenig wie m glich und so viel wie n tig durch das Sicherheitssystem zu lassen Dies gilt sowohl f r eingehende als auch f r ausgehende Verbindungen Tipp t Planen Sie zuerst Ihr Netzwerk und berlegen Sie sich genau w welchen Rechnern welche Dienste Services zugeordnet wer den sollen Dies vereinfacht Ihnen die Konfiguration und erspart Ihnen viel Zeit die Sie sonst f r die nachtr gliche Definition von Netzwerken oder Diensten ben tigen Gehen Sie bei der Konfiguration des Internet Sicherheitssystems und Ihres Netzwerks folgenderma en vor 1 Richten Sie alle erforderlichen Netzwerke und Hosts ein 2 Definieren Sie die ben tigten Dienste auf dem Internet Sicherheitssystem 3 F hren Sie nun die Definition Ihres Gesamtsystems durch Seite 40 Sy
283. tokollierungsm glichkeiten durch die Verwendung von Proxies Die Analyse ist auf dieser Kommunikationsebene besonders intensiv m glich da der Kontext der Anwendungsdaten jeweils klar durch Protokollstandards definiert ist Die Proxies konzen trieren sich auf das Wesentliche Der Vorteil ist dass kleine berschaubare Module verwendet werden wodurch die Fehler anf lligkeit durch Implementationsfehler reduziert wird Bekannte Proxies sind z B e HTTP Proxy mit Java JavaScript amp ActiveX Filter e SMTP Proxy verantwortlich f r die Zustellung von E Mails und f r das berpr fen auf vorhandene Viren e SOCKS Proxy als generischer authentifizierungssf higer Circuit Level Proxy Der Vorteil der Anwendungsschicht Gateways ist dass das ge sicherte Netzwerk physikalisch und logisch vom ungesicherten Netzwerk getrennt wird Sie stellen sicher dass kein Paket direkt zwischen den Netzwerken flie en kann Direktes Resultat daraus ist ein reduzierter Administrationsaufwand Sie stellen lediglich die Integrit t der Stellvertreter sicher und sch tzen damit s mt liche Clients und Server in Ihrem Netzwerk unabh ngig von Marke Programmversion oder Plattform Seite 13 Einf hrung in die Technologie Schutzmechanismen Weitere Mechanismen gew hrleisten zus tzliche Sicherheit Die Verwendung privater IP Adressen in den gesch tzten Netz werken gepaart mit Network Address Translation NAT in den Auspr gungen e Masquera
284. tor 0 0000 un anaaan nanann anne 247 Ze Let 1 WRRR TREE FEDER EERORUETELTLTELELOTORRTLEILTELTTTULTTT 247 Admin Access 2 0 4000 nun anna nn anna nn unennnnngen 248 Notification c u 00000 anna aan nn wg anna nenn 248 Accounting z uauanannnananananananunun un nn nun nn ananananananannnn 257 WE a a a aaa aa an a a an an aan 258 0 e Ic SE EEE ESEL ENTE T ES EREENET a a T 258 Die Hilfe Funktionen Help uusnzuunununnnnnnnnnnannn 259 Firewall verlassen Exit unuauauununununununnanananananannn 260 Zus tzliche Funktionen u uuuunuunnunnnnnnnnunnnnunnnnnnnn 261 Serielle Konsole uunnunnnnunnnunnnunnnunnnnnnnnunnnnunnnunnnn 261 Factory Reset unnunnunnnonnonnunnunnunnunnnnnnunnunnunnunnunnnnnnn 263 Fe RE EEE EEE EEE EU CEHEFESCOEEEEREREEEHHENTHERUREEUER 265 A AEE FERHEFDURPRUCHERTEEHHENCHEEFECEREREREPPIEECHEREREEERHFUERURREFEUEE 271 Willkommen bei Astaro Willkommen bei Astaro Wir begr en Sie herzlich als neuen Kunden unseres Internet Sicherheitssystems Astaro Security Linux V4 Dieses Handbuch f hrt Sie schrittweise durch die Installation des Internet Sicherheitssystems erkl rt Ihnen ausf hrlich die Bedie nung des Internet Sicherheitssystems durch das web basierte Konfigurationstool WebAdmin und unterst tzt Sie bei der Do kumentation Ihrer Konfiguration Wenn Sie nicht sicher sind ob Sie die aktuelle Version dieses Handbuchs vorliegen haben k nnen Sie diese unter folgende
285. ual IP Key muss verwendet werden wenn Sie f r den IPSec Tunnel mit einem Road Warrior die Funktion NAT Traversal einschalten Die hier eingetragene IP Adresse darf sonst nir gends verwendet werden und darf nicht Teil eines angeschlossenen Sub Netzwerks sein W hlen Sie im Drop down Men Key type die IKE Authen tifizierungsart aus Die weiteren Einstellungen richten sich nach dem ausgew hlten Key type PSK W hrend des Key Exchange wird passend zum ver wendeten IKE Main Mode nur IPv4 Address als VPN Identifier der Gegenstelle unterst tzt Tragen Sie in das Eingabefeld Preshared Key ein Passwort ein Falls Sie mehrere Roadwarrior Verbindung konfigurieren m chten ben tigen Sie f r alle Verbindungen nur einen PSK System bedienen amp beobachten l Sicherheitshinweis LN Setzen Sie sichere Passw rter Ihr Vorname r ck w rts buchstabiert ist beispielsweise kein ausrei s hend sicheres Passwort besser w re z B xfT35 4 Stellen Sie sicher dass dieses Passwort e ww nicht in unbefugte H nde f llt Der Inhaber dieses Passworts kann damit eine VPN Verbindung in das gesch tzte Netzwerk aufbauen Es ist empfehlens wert das Passwort in regelm igen Abst nden zu wechseln RSA Das Schl sselpaar besteht aus einem Privat Key und einem Public Key Damit Sie mit der Gegenstelle kommu nizieren k nnen m ssen Sie jeweils die Public Keys aus tauschen Der Austausch der Public Keys kann per E M
286. uerading 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Na men f r die NAT Regel 3 W hlen Sie im Drop down Men Rule type die Funktion DNAT SNAT aus Anschlie end ffnet sich das Fenster Add new NAT Rule Seite 136 System bedienen amp beobachten Definieren Sie im Fenster Packets to match welche Pakete zu einer neuen Adresse umgeleitet bzw in einen anderen Dienst bersetzt werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem Fenster mindestens ein Parameter ausgew hlt werden Die Einstellung No match hat zur Folge dass zwischen den Parametern in dieser Auswahl nicht unterschieden wird Source address W hlen Sie die original Quelladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Destination address W hlen Sie die original Zieladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausge w hlt werden Service W hlen Sie den original Dienst aus Dieser Dienst besteht aus Quell und Zielport der Pakete oder einem Pro tokoll z B TCP Hinweis N Ein Dienst Service kann nur umgeleitet werden wenn auch die kommunizierenden Adressen umge u _ leitet werden Des Weiteren kann ein Dienst nur in einen Dienst mit gleichem Protokoll bersetzt wer den Definieren Sie mit den folgenden Drop down Men s wohin die Pakete umgeleitet werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem
287. ung werden die bermittelten Daten wieder transparent ent en Application Level schl sselt und stehen in ihrer Aus FTP SMTP E mail urspr nglichen Form dem Em 6 Presentation Layer pf nger zur Verf gung Die Firewall dieses Internet 5 Seestn lener Sicherheitssystems ist ein Hybrid A Transport Layer Transmission Level aus den genannten Schutz TCP UDP mechanismen und vereinigt die D Merek Internet Level Vorteile aller Varianten etwor ayer IP ICMP TER NEE Die Stateful Inspection Pa Ethernet cket Filter Funktionalit t bietet plattformunabh ngig die n tige Flexibilit t um alle n tigen Dienste definieren freischalten 1 Physical Layer oder sperren zu k nnen Vorhandene Proxies machen Astaro Security Linux zum Application Gateway der die wichtigsten Endsystem Dienste wie HTTP Mail und DNS durch Stellvertreter absichert und zudem durch SOCKS generisches Circuit Level Proxying erm g licht VPN SNAT DNAT Masquerading und die M glichkeit sta tische Routen zu definieren erweitern die dedizierte Firewall zu einem leistungsf higen Knoten und Kontrollpunkt in Ihrem Netzwerk Seite 16 Installation 3 Installation Die Installation des Internet Sicherheitssystems gliedert sich in zwei Teile Der erste Teil beinhaltet das Einspielen der Software dies f hren Sie im Installationsmen durch Der zweite Teil ist die Konfiguration des Internet Sicherheitssystems und erfolgt im web basierten Konfigur
288. ununnnnnnnnananananananununnnnnnnn namen 101 UserS nuuunnnunnnnnnnnannnunnnnnnnnunnnunnnunnnnunnnunnnunnnunnnnnnnnen 102 Netzwerkeinstellungen Network uauananananananen 104 Interfaces iii ee nennen een aaa aan nee 104 Standard Ethernet Interface uuuunauununununnnnananann 108 Additional address on ethernet interface 110 Wireless LAN uununsenunnanunnennnnanunnununnununnanennannnn une nenn 112 Virtual LAN nunnsnunnennnnannnnanennunnnnannnnannununennannnnenennene 122 PPPOoE DSL Verbindung zuau2u n n0nunnnnnnanananananannn 125 PPTPoE PPPOA DSL Verbindung zuunuanan n 128 Advanced Options nuauananananununununnnnananananananananunn 131 Routing unuauananananananunununnnnnnnnanananananununununnnnananananen 133 NAT Masquerading nu2uauananananananununnnunnanananananannn 134 NAT uuennnnnnnunnnnnnnnnnnnunnnunnnunnnunnnnunnnunnnnnnnnunnnunnnunnnunnn 134 Masquerading uzuununununnananananununununnnunnanananananannn 138 Load Balancing zzuu ununnanananananunanunununnananan anne 140 DHCP Server uuansannannannannunnunnunnunnuunnannannunnunnunnunnen 142 Portscan Detection z uanunnanunnnnennennnnunnnnunnnnannnnen 145 PPTP Roadwarrior AcceSS uuuauananunununununnanananananannn 148 5 3 7 5 3 8 5 3 9 5 3 10 5 4 5 4 1 5 4 2 5 4 3 5 5 5 5 1 5 5 2 5 5 3 5 5 4 5 5 5 5 5 6 5 5 6 1 5 5 7 5 6 5 6 1 5 6 2 5 6 3 5 6 4 5 6
289. usgew hlt wird k nnen die Empf nger die Nachrichten mit ihrer E Mail Software sortieren oder filtern In der nachfolgenden Liste sind alle Header ent halten die der HTTP Proxy an die E Mails hinzuf gen kann e X Spam Score Dieser Header wird vom Modul Spam De tection hinzugef gt Er enth lt einen Punktestand der aus einem numerischen Wert und einer Anzahl von Minus und Pluszeichen besteht Je h her dieser Punktestand ausf llt umso wahrscheinlicher ist es dass es sich bei der Nachricht um eine Spam Mail handelt Seite 201 System bedienen amp beobachten Wenn Sie im Modul Spam Detection die Aktion Pass aus w hlen kann der Empf nger die E Mail mit seiner E Mail Software filtern e X Spam Flag Wenn der enthaltene Wert Yes lautet wurde die Nachricht als Spam Mail erkannt e X Spam Report Der Proxy hat die Nachricht als Spam Mail erkannt Der hinzugef gte Multiline Header enth lt einen offen lesbaren Antispam Bericht e X Infected Die Nachricht enth lt einen Virus Als Wert wird der Name des gefundenen Viruses angezeigt e X Contains File Das Modul File Extension Filter ist einge schaltet und eine E Mail enth lt einen oder Anhang Attach ment mit einer Erweiterung aus der Kontrollliste e X Regex Match Das Modul Expression Filter ist einge schaltet und das E Mail beinhaltet eine Zeichenkette aus der Kontrollliste e X RBL Warning Das Modul Realtime Blackhole Lists RBL ist eingeschaltet und die E Mail
290. viert ist lei tet die Firewall Ping Pakete weiter Ping on firewall Wenn diese Funktion aktiviert ist kann der Ping Befehl auf der Firewall verwendet werden 5 4 3 Filter Live Log Der Filter Live Log dient zur berwachung der gesetzten Paket filter und NAT Regeln Das Packet Filter Log zeigt in Echtzeit Pakete an die durch den Regelsatz des Paketfilters abgefangen werden Diese Funktion eignet sich besonders zur Fehlersuche Sollte nach der Inbetriebnahme des Internet Sicherheitssystems eine Anwendung z B Online Banking nicht verf gbar sein k nnen Sie anhand des Live Log nachvollziehen ob und welche Pakete durch die Firewall abgefangen wurden F r die Ausgabefelder Current Packet Filter rules und Current NAT rules werden die aktuell g ltigen Regeln direkt aus dem Betriebssystemkernel entnommen und dargestellt Seite 172 System bedienen amp beobachten Packet Filter Logs Logfile Microsoft Internet Explorer ioj xj Durch einen Klick auf Te i 2 die Schaltfl che open Time ee 2 HWADDR TE E E E j live Packet Filter TEE E A E RET violation log ffnen 11 27 07 192 168 2 8 137 gt 192 168 2 255 137 OE S S E30 EEE ET Sie ein neues Fenster A ERS EEE EZ in dem die Regelver 11 28 46 192 168 2 154 138 gt 192 168 2 255 138 Er ES Ei E E letzungen in der Rei 11 28 48 192 168 2 154 138 gt 192 168 2 255 138 11 29 48 192 168 2 154 136 gt 192 168 2 255 138 henfolge ihres Auf 11 29 0
291. zeige wird aktualisiert sobald der Vorgang beendet ist Systemzeit mit NTP Server synchronisieren Bevor die Uhrzeit des Internet Sicherheitssystems mit einem externen System synchronisiert werden kann muss dieses als NTP Server definiert werden Der NTP Server wird dabei als Netzwerk bestehend aus einem Rechner definiert Verschiedene ffentliche NTP Server sind bereits vordefiniert Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 96 beschrieben Wenn der NTP Server bereits definiert ist oder Sie einen der vordefinierten Server verwenden m chten beginnen Sie mit Schritt 6 1 ffnen Sie im Verzeichnis Definitions das Men Net works 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Namen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zei chen sind m glich 3 Tragen Sie nun die IP Adresse des NTP Servers ein Seite 45 System bedienen amp beobachten 4 Im Eingabefeld Subnet mask geben Sie die Netzwerk maske 255 255 255 255 ein 5 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add WebAdmin pr ft nun Ihre Eingaben auf semantische G l tigkeit Nach erfolgreicher Definition wird das neue Netz werk in die Netzwerk Tabelle eingetragen 6 ffnen Sie im Verzeichnis System das Men Settings 7 F hren Sie im Fenster Time Settings folgende Einstel lungen in der angegebenen Reihenfolge dur
Download Pdf Manuals
Related Search