Home

Astaro Handbuch V5

image

Contents

1. F hren Sie keine Umstellung von Winterzeit auf Sommerzeit durch Tragen Sie am Besten die Central European Time CET ein W hrend der Sommerzeit entspricht dies einer Abweichung von minus einer Stunde Wichtiger Hinweis Durch Verstellen der Systemzeit kann es zu folgenden zeitsprung bedingten Effekten kommen Uhrzeit vorstellen Winter auf Sommerzeit e Der Time out f r den WebAdmin ist abgelaufen und Ihre Session ist nicht mehr g ltig In den zeitbasierten Reports fehlen f r die entsprechende Zeit spanne die Log Daten Die meisten Diagramme stellen diese Zeit spanne als gerade Linie in H he des alten Wertes dar e F r das Accounting betragen alle Werte in dieser Zeitspanne 0 Uhrzeit zur ckstellen Sommer auf Winterzeit 47 System benutzen amp beobachten Es In den zeitbasierten Reports gibt es f r die entsprechende Zeitspanne schon Log Daten die aus Sicht des Systems aber aus der Zukunft kommen Diese Daten werden nicht berschrieben Die Log Dateien werden weitergeschrieben wenn der Zeitpunkt vor dem Zur ckstellen wieder erreicht ist Die meisten Diagramme stellen die Werte dieser Zeitspanne zusammengepresst dar F r das Accounting behalten die bereits erfassten Daten aus der Zukunft ihre G ltigkeit Die Accounting Dateien werden weiterge schrieben wenn der R ckstell Zeitpunk wieder erreicht ist wird daher geraten die Zeit nur bei der Erst Konfiguration
2. 5 8 12 Accounting RRS Mit der Funktion Account N 2 ing werden auf den Netz SEET selected Ave werkkarten alle IP Pakete Gas erfasst und ihre Gr e ein mal am Tag aufsummiert Zus tzlich wird zu Beginn eines Monats die Datensumme des vergangenen Monats berechnet Das Ergebnis wird in einem Protokoll ausgegeben Die Summe dient z B als Basis f r den Betrag den Ihnen Ihr Internet Service Provider in Rechnung stellt wenn Sie Ihre Verbindung nach bertragenem Datenvolumen bezahlen Any Bookkeeping Development FTP Server Internal Address zl Das Accounting wird im Men Network Accounting eingeschaltet und konfiguriert Die Konfiguration dieser Funktion wird im Kapitel 5 3 7 ab Seite 191 beschrieben Browse Accounting Reports In diesem Fenster werden die vorhan denen Accounting Protokolle angezeigt Mit dem Drop down Men 327 System benutzen amp beobachten Select Report w hlen Sie den Monat aus Das Protokoll wird an schlie end im darrunterliegenden Fenster angezeigt Im Men Local Logs Browse k nnen die Protokolle auf Ihren loka len Rechner heruntergeladen oder gel scht werden Report for current Month In diesem Fenster wird das Accounting Protokoll des aktuellen Monats angezeigt Accounting definieren 1 2 Die ffnen Sie im Verzeichnis Reporting das Men Accounting Schalten Sie die Funktion Accounting Reports durch einem Klick auf die Schaltfl ch
3. Achtung W hlen Sie im Men System Remote Syslog Server als Zieladres se Host kein Interface des Internet Sicherheitssystems z B ethO aus Host W hlen Sie im Drop down Men einen Host aus der die ent sprechende Log Daten empfangen soll Nach Auswahl eines Hosts wird die Weiterleitung der ausgew hlten Log Daten ohne eine weitere Meldung gestartet Die dazu n tige Definition des Hosts Netzwerk mit Netzmaske 255 255 255 255 nehmen Sie im Men Definitions Networks vor Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 110 beschrieben Service Per Default ist das Protokoll Syslog eingestellt Sie k nnen in diesem Drop down Men auch den Dienst bzw Port einstellen der auf dem Remote Server verwendet wird Logs In diesem Auswahlfeld k nnen die Log Dateien ausgew hlt werden die an den Remote Host gesendet werden sollen 74 System benutzen amp beobachten 5 1 7 User Authentication Benutzerauthentifizierung User Authentication ist auf diesem Internet Sicherheitssystem mit den Proxydiensten HTTP SMTP und SOCKSv5 m glich Es kann festgelegt werden welcher Benutzer diese Proxydienste in Anspruch nehmen darf Die Benutzer Accounts k n nen lokal auf dem System im Men Definitions Users angelegt werden Es k nnen aber auch externe Benutzer Datenbanken abge fragt werden Unterst tzt werden die Authentifizierungsmethoden RADIUS SAM Windows NT Windows 2000 XP Server Microsoft
4. tion wird ben tigt um auf einer Netzwerkkarte meh rere logische Netzwerke zu verwalten Sie kann auch im Zusammen hang mit der Funktion NAT notwendig sein um dem Internet Sicher heitssystem zus tzliche Adressen zuzuweisen Die Funktion NAT wird in Kapitel 5 3 4 ab Seite 172 beschrieben Auf jeder Netzwerkkarte k nnen bis zu 255 zus tzliche Adressen konfiguriert werden Default Gateway None E Zus tzliche Adresse einer Netzwerkkarte zuweisen 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein A W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Additional address on Ethernet interface aus 6 F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ durch Address Bei diesem Schnittstellen Type kann nur eine statische IP Adresse gesetzt werden Tragen Sie in das Eingabefeld die Adresse ein 139 System benutzen amp beobachten Netmask Bei diesem Schnittstellen Type kann nur eine sta tische Netzwerkmaske gesetzt werden Tragen Sie in das Ein gabefeld die Netzwerkmaske ein Default Gateway Wenn Sie ein Default Gateway definieren m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie kein Defau
5. 5 11 Firewall verlassen Exit Wenn sie den Browser mit einer offenen WebAdmin Session schlie en ohne den WebAdmin ber Exit zu verlassen so bleibt die letzte Session bis zum Ablauf des Time outs aktiv In solch einem Fall k nnen Sie sich erneut am WebAdmin anmelden Es wird ein Bildschirm angezeigt der Sie dar ber informiert dass bereits ein anderer Administrator eingeloggt ist Sie k nnen mit der Schaltfl che Kick die andere Session beenden und sich selbst wieder einloggen Falls Sie damit die WebAdmin Session eines anderen Administrators beenden sollten sie im Eingabefeld f r Type reason here den Grund f r die bernahme der Session angeben 362 Glossar Glossar Broadcast Die Adresse an die sich ein Rechner wendet wenn er alle Rechner im gleichen Subnetz ansprechen will Beispiel Bei einem Netzwerk mit der IP Adresse 212 6 145 0 und der Netzmaske 255 255 255 240 w re ein Broadcast die Adresse 212 6 145 15 Client Ein Client ist ein Programm das ber ein Netzwerk mit einem Server kommuniziert um den von ihm zur Verf gung gestellten Dienst zu nutzt Beispiel Netscape ist ein WWW Client mit dessen Hilfe man Infor mationen von einem WWW Server abrufen kann Client Server Prinzip Nach dem Client Server Prinzip gestaltete Anwendungen verwenden auf der Benutzerseite ein Clientprogramm Client das mit einem bestimmten Dienstrechner im Netz Server Daten austauscht Der Server ist dabei i d R f
6. Versuch wird neu gestartet Falls die Funktionen nach mehreren Versuchen nicht gestartet werden kann erh lt der Administrator die Notification E Mail WAR 081 Falls Sie f r das HA System diese berwachungs funktion nicht einsetzen m ssen Si kein weiteren Schritte einleiten Nachdem vom Inter net Sicherheitssystem die Nachricht WAR 081 verschickt wurde erfolgt kein weiterer Versuch mehr die berwachung mittels Link Beat zu starten HA check interface does not support link beat check Die Funktion zur berwachung des Firewall Systems im Normal Modus mittels Link Beat konnte trotz mehrer Versuch nicht gestartet werden Falls es sich hierbei um eine Neuinstallation des HA Systems handelt und Sie die berwachung SE 715 850 System benutzen amp beobachten mittels Link Beat beabsichtigen vergewissern Sie sich bitte dass di Netzwerkkarten vom Internet Sicherheitssystem unterst tzt werden Des Weiteren pr fen Sie bitte auf beiden Fire wall Systemen ob f r die Datentransfer Verbin dung die link beat f hig Netzwerkkart ausge w hlt wurde Die Installation und die Funktionsweise des HA Systems wird in Kapitel 5 1 10 ab Seite 103 erkl rt Log file s have been deleted Di derzeit rreicht Auslastung der Partition wird in der Notification angezeigt Log Dateien wurden gel scht Pr fen Sie die Einstellungen im WebAdmin und l sche
7. 245 System benutzen amp beobachten Die Funktionen Das nachfolgende Bild zeigt eine Profile Zuweisung Profile Assignment Total 1 entries Add blank Assignment Ey i Profile Name Assigned local Users Assigned Network Blocks DI Example i none Any a Internal Address Internal Broadcast Internal Network X Save Cancel Die Funktionen von links nach rechts sind Profile Zuweisung l schen 8 Durch einen Klick auf das Papier korb Symbol wird die Zuweisung aus der Tabelle gel scht Positionsnummer Die Reihenfolge der Abarbeitung wird in der Ta belle durch die Positionsnummer angezeigt Durch einen Klick auf das Feld mit dem Eintrag wird das Drop down Men ge ffnet ber dieses Drop down Men k nnen Sie nun die Rei henfolge der Profile Zuweisungen ndern Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schalt fl che Cancel wird der alte Eintrag beibehalten Statusampel Durch die Ampel wird der Status der Profile Zuweisung angezeigt Jede neue Zuweisung ist ausgeschaltet Statusampel zeigt Rot Die Profile Zuweisung wird durch einen Klick auf die Statusampel ein geschaltet Statusampel zeigt Gr n Profile Name In diesem Feld w hlen Sie das Surf Protection Pro file aus der Profile Tabelle aus Durch einen Klick auf das Feld mit dem Eintrag wird das Drop down Men ge ffnet Mit der Schaltfl che Save werden die nderungen gespei
8. Name Definieren Sie einen Namen der diese Policy eindeutig beschreibt z B den verwendeten Verschl sselungs Algorith mus Sie k nnen den Namen auch im letzten Schritt vor dem Er zeugen der Policy definieren Key Exchange Als Schl sselaustauschs Methode wird nur IKE unterst tzt Definieren Sie im Fenster ISAKMP IKE Settings die Einstel lungen f r die IKE Verbindung IKE Mode Der IKE Modus beschreibt das f r den Schl sselaus tausch n tige Protokoll Derzeit wird nur Main Mode unterst tzt Encryption Algorithm Der Encryption Algorithmus beschreibt den Algorithmus f r die Verschl sselung der IKE Verbindung Die IPSec VPN Funktion dieses Internet Sicherheitssystems unter st tzt 1DES 56bit 3DES 168bit AES Rijndael 128bit AES Rijndael 192bit AES Rijndael 256bit Blowfish Serpent 128bit und Twofish Authentication Algorithm Hier wird angezeigt welcher Algo rithmus verwendet wird um die Vollst ndigkeit der IKE Nach richt zu pr fen Unterst tzt werden die Algorithmen MD5 128 bit SHA1 160bit SHA2 256bit und SHA2 512bit Der zu ver wendende Algorithmus wird von der Gegenstelle der IPSec Ver bindung bestimmt System benutzen amp beobachten Wichtiger Hinweis Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen einen hohen Anteil der Systemresourcen IKE DH Group Die IKE Group Diffie Hellmann Group be zeichnet und beschreibt die asymetrische Verschl sselung w h rend des Schl sselaustaus
9. ffnen Sie im Verzeichnis Network das Men Hostname Dyn DNS und f hren Sie die folgende Einstellungen durch Hostname Tragen Sie hier den Hostnamen f r Ihr Internet Sicherheitssystem ein Ein Domainname darf aus alphanumerischen Zeichen sowie Punkt und Minus Zeichen bestehen Am Ende muss ein alphabe tischer Bezeichner vorhanden sein z B com de oder org Der Hostname wird in allen Notification E Mails in der Betreff zeile angezeigt Speichern Sie abschlie end die Eingaben durch einen Klick auf die Schaltfl che Save Interne Netzwerkkarte ethO editieren ffnen Sie im Verzeichnis Network das Men Interfaces und pr fen Sie die Einstellungen der Netzwerkkarte erh Die Netzwerkkarte eth0 zum internen Netzwerk wurde von Ihnen w hrend der Installation der Software definiert Diese Netzwerkkarte wird nach dem ersten Start des Internet Sicher heitssystems im Fenster Current Interface Status angezeigt EBEN ng Falls Sie bei dieser A per e s mams Standard ethernet interface TERE sun De Zeen E N etzwe rkka rte E in ste Hardware List lungen ndern m ch etho ei 00 Ethernet geb typezeth egenen ten z B einen ande eth1 Realtek RT8139 31 Installation ren Namen f hren Sie diese jetzt durch Um die Einstellungen zu editieren ffnen Sie das Men Edit Interface durch einen Klick auf die Schaltfl che edit Wenn Sie die IP Adresse der internen Netzwerkkarte ethO n Achtu
10. quests DNS Pakete die an oder durch die Firewall ge schickt werden und eine DNS Anfrage enthalten werden in der Log Datei Packet Filter mit dem Vermerk DNS_REQUEST protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet Log FTP Data Connections o8 Enable Log FTP Data Connections Alle FTP Datenverbindungen ob im Active oder im Passive Mode werden in der Log Datei Packet Filter mit dem Vermerk FTP_DATA protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet System Information Sormeni Packet Filter Live Log Der Packet Filter Live Log z S GEES Packet Filter Live Log dient Eher zur berwachung der gesetz Current System QoS rules ten Paketfilter und NAT Regeln Im Fenster werden in Echtzeit die Pakete angezeigt die durch den Regelsatz des Paket filters abgefangen werden Diese Funktion eignet sich besonders zur Fehlersuche Sollte nach der Inbetriebnahme des Internet Sicher heitssystems eine Anwendung z B Online Banking nicht verf gbar sein k nnen Sie anhand des Packet Filter Live Log nachvollziehen ob und welche Pakete durch die Firewall abgefangen wurden F r die Ausgabefelder Current Packet Filter Rules und Current NAT Rules werden die aktuell g ltigen Regeln direkt aus dem Betriebssystem Kernel entnommen und dargestellt Connection Tracking Table 225 System benutzen amp beobachten Durch einen Klick auf die Schaltfl che Show
11. 343 PPTP VPN Access 343 Gelfrmonttor s es 343 SMTP prOXy snnennennernnrenn 344 SNMP An aa 344 SSH remote login 344 WebAdmin Access 341 WebAdmin usage 344 Log Files Settings Level definieren 333 Log FTP Data Connections 225 Log Unique DNS Requests 225 Lokaler Benutzer editieren s s nun 125 iltesa DE set 125 hinzuf gen scere 123 l schen aset oke SV 126 Masquerading Regel definieren 177 Regel editieren 178 Regel l schen 178 Masouerading 176 Microsoft Outlook Regeln erstellen 276 NAT Einf hrung escrase 172 Regel editieren 176 Regel l schen 176 Regel setzen 174 Networks Filters sa ent 116 Networks sissies 110 Netzwerk editieren SNE SN SNE 117 Wl aa iranse rasi 116 hinzuf gen secsec 112 l schen seiun 117 Netzwerke Einf hrung esscr 110 Netzwerkgruppe definieren iernii irnia 114 Netzwerkkarten MAC Adressen ermitteln 144 Wireless LAN Security 142 Notification ssssssseeerrrrrnn 127 Packet Filter Advanced 222 System Information 225 Packet Filter Live Log Filter setzen zur cksetzen WEE Ee See 226 Packet Filter Live LoQ 225 Paketfilterregel aktivieren deaktivieren 211 editieren eseese 212 Eipf brung 205 filters 213 Filters een 213 Gruppe hinzuf gen editieren deeg ege da 211 l schen
12. Die Kategorien basie ren auf der URL Da tenbank von Cobion Security Technolo gies und k nnen in dieser Tabelle editiert werden 1 Schalten Sie die Option im Fenster Content Filter Surf Pro tection durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet 2 ffnen Sie durch einen Klick auf die Schaltfl che Show Hide die Tabelle mit den Kategorien Im Feld Name wird der Name der Kategorie angezeigt Dieser Name wird sp ter in der Profile Tabelle ausgew hlt Im Feld Subcategories werden die Unterkategorien auggelistet 237 System benutzen amp beobachten Klicken Sie nun auf den Eintrag den Sie editieren m chten Beim Klick auf den Namen Name ffnet sich ein Eingabefens ter Wenn Sie auf die Unterkategorien Subcategories klicken wird ein Auswahlfeld ge ffnet In diesem Auswahlfeld befinden sich alle verf gbaren Unterkategorien 7 Name Subcategories Cities Countries Regions Government Institutions Non Government Organizations Partys Religion Sects Upbringing Education Reconnoitring Computer Criminalism Hate and Discrimination Illegal Activities Warez Sites Community_Education_Religion Save Cancel Criminal_Activities Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Schlie en Sie die Tabelle durch einen Klick
13. ENSE F Sec nty ir V5 WebAdmin Benutzerhandbuch Astaro Security Linux VO Version 5 013 Benutzer handbuch Release 5 0 Datum 30 06 2004 Die in dieser Dokumentation enthaltenen Angaben und Daten k nnen ohne vorherige Ank ndigung ge ndert werden Die in den Beispielen verwendeten Namen und Daten sind frei erfunden soweit nichts anderes angegeben ist Ohne ausdr ckliche schriftliche Erlaubnis der Astaro AG darf kein Teil dieser Unterlagen f r irgendwelche Zwecke vervielf ltigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln elektronisch oder mechanisch dies geschieht Astaro AG Alle Rechte vorbehalten Pfinztalstrasse 90 76227 Karlsruhe Germany http www astaro com Portions Kaspersky Labs Astaro Security Linux und WebAdmin sind Markenzeichen der Astaro AG Linux ist ein Markenzeichen von Linus Torvalds Alle weiteren Markenzeichen stehen ausschlie lich den jeweiligen Inhabern zu Einschr nkung der Gew hrleistung F r die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie bernommen Hinweise auf Fehler und Verbesserungen nehmen wir gerne unter der E Mail Adresse documentation astaro com entgegen Inhalt 1 2 3 3 1 3 2 3 2 1 3 2 2 4 1 4 2 4 3 4 3 1 4 3 2 4 3 3 4 3 4 4 4 4 5 5 1 5 1 1 5 1 2 5 1 3 5 1 4 5 1 5 5 1 6 Inhaltsverzeichnis Seite Willkommen bei AstarO unuauananan
14. Statische Adresszuweisung konfigurieren Hier k nnen Sie einigen oder sogar allen Clients in diesem Netzwerk eine bestimmte IP Adresse statisch zuweisen Daf r ben tigen Sie die MAC Adresse der Netzwerkkarte dieses Clients Wie Sie die MAC Adresse der Netzwerkkarte erhalten wird ab Seite 145 erkl rt 1 ffnen Sie im Verzeichnis Network das Men DHCP Server 2 F hren Sie im Fenster Static Mappings die folgenden Einstel lungen durch MAC Address Tragen Sie in das Eingabefeld die MAC Adresse der Netzwerkkarte ein Die MAC Adresse muss wie im Beispiel dargestellt eingegeben werden Beispiel 00 04 76 16 EA 62 IP Address Tragen Sie in das Eingabefeld die IP Adresse ein Diese IP Adresse muss in dem Bereich enthalten sein den Sie zuvor mit den Auswahlmen s Range Start und Range End definiert haben 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Anschlie end wird die statische IP Adresszuweisung in die Tabelle Static Mapping Table importiert Durch einen Klick auf die Schalt fl che delete kann der Eintrag wieder gel scht werden Current IP Leasing Table In der Tabelle Current IP Leasing werden die aktuellen IP Adresszu weisungen dargestellt F r ein und dieselbe IP Adresse k nnen mehrere Zuweisungen enthalten sein allerdings ist immer nur der letzte Eintrag g ltig Diese Tabelle wird nur angezeigt wenn Eintr ge vorhanden sind 183 System benutzen amp beobachten 5 3
15. Um Pakete mit der Zieladresse Broadcast IP zu droppen m ssen Sie zuerst im Men Definitions Networks die entsprechende Broad cast Adresse in Form eines neuen Netzwerks definieren Anschlie end m ssen Sie die Paketfilterregel setzen und aktivieren 1 216 ffnen Sie im Verzeichnis Definitions das Men Networks und definieren Sie das folgende Netzwerk Name Broadcast32 Type Host IP Address 255 255 255 255 Comment optional Tragen Sie einen Kommentar ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition ffnen Sie nun im Verzeichnis Packet Filter das Men Rules und setzen Sie die folgende Paketfilterregel Source Any Service Any Destination Broadcast32 Action Drop Comment optional Tragen Sie einen Kommentar ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition System benutzen amp beobachten Broadcast auf ein Netzwerksegment F r jede im Men Interfaces konfigurierte Schnittstelle wird automa tisch das Netzwerk NAME Broadcast definiert Weitere Informationen hierzu erhalten Sie in Kapitel 5 3 2 ab Seite 129 unter der berschrift Current Interface Status 1 ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die folgende Paketfilterregel Source Any Service Any Destination W hlen Sie hier das Netzwerk Broadcast des ent sprechenden Netzwerksegments aus Beispiel NAME Broadcast A
16. Wenn Sie sp ter das Backup wieder einspielen erscheint der Kommentar in der Information Falls die Funktion Encryption eingeschaltet ist wird die Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwort wieder eingespielt werden Wichtiger Hinweis 68 System benutzen amp beobachten Um die Backup Datei zu erzeugen klicken Sie auf die Schalt fl che Start Das System generiert nun die Backup Datei Wenn die Meldung Backup has been created successfully erscheint wurde der Vorgang erfolgreich abgeschlossen Um die Backup Datei auf Ihren lokalen PC zu speichern klicken Sie nun auf die Schaltfl che Save W hlen Sie in dem Men Dateidownload die Option Datei auf Datentr ger speichern aus und klicken Sie auf die Schaltfl che OK Im Men Datei speichern unter k nnen Sie die Datei nun unter einem beliebigen Dateinamen speichern Der vom Internet Sicherheitssystem erzeugte Dateinamen setzt sich aus Backup Datum und Uhrzeit zusammen backup_yyyymmdd_hhmmss abf astaro backup file Pr fen Sie die neu generierte Datei auf Lesbarkeit indem Sie die Backup Datei importieren und auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information Brechen Sie anschlie end den Einspielvorgang ab indem Sie auf ein Men im Verzeichnis klicken Achtung Generier
17. hnlich wie die Authentifizierung mit RSA Keys auf den Schl sselpaaren Public Key und Private Key Ein X 509 Zertifikat entspricht dem Public Key mit zus tzlichen spezi fischen Informationen Dieses Zertifikat wird wird durch eine Certifi cate Authority CA Ihres Vetrauens signiert W hrend des Key Exchange werden die Zertifikate ausgetauscht und durch das lokal gespeicherten CA Zertifikat berpr ft Weitere Informationen zu Certificate Authority CA erhalten Sie in Kapitel 5 1 9 ab Seite 100 und in Kapitel 5 7 6 ab Seite 314 292 System benutzen amp beobachten 5 7 1 Connections Im Men Connections definieren Sie die lokalen Einstellungen f r einen neuen IPSec Tunnel oder editieren und beobachten die beste henden Verbindungen Global IPSec Settings EHRETEREERR PER In diesem Fenster schalten R Sje IPSec VPN durch einen Klick auf die Schalt Pr m 2 fl che Enable Disable ne ben Status ein und aus IKE Debugging Enable Type Standard IPSec Policy Please select IKE Debugging Diese Funktion steht Ihnen zur Auto packet filter On d D d BE Strict Routing On SE berpr fung der IPSec bebe KS Verbindung zur Verf gung See SEN In den IPSec Logs werden Subnet definition optional ausf hrliche Informationen Local Subnet None protokolliert Diese Proto kolle k nnen Sie im Men e Local Log IPSec VPN in SE Ee Echt
18. none edit delete SC generieren daraus eine PFS deflate edit delete none edit delete Ai iu Policy Die Policy wird f r none edit delete Nauen die Erstellung einer IPSec Name S ON Verbindung ben tigt und Key Exchange IKE beinhaltet die Konfiguration ISAKMP IKE Settings IKE Mode Man Wade der Key Exchange Metho Encryption Algorithm 3DES 168bit z de IKE und die der IPSec Authentication Algorithm MD5 128bit E a IKE DH Group DH Group 5 MODP 1538 Verbi ndung R SE zu Der Key Exchange steht IPSec Settings f r die Art des Schl ssel En austausches der IPSec Ver IPSec Protocol ESP Encryption Algorithm 3DES CBC 168bit z b in d un g r Enforce Algorithms of E Authentication Algorithm MD5 128bit Fj SA Lifetime secs 3600 PFS PFS Group 5 MODP1536 Compression off Bi Die g ngigen Varianten sind e Manual Key Exchange e Internet Key Exchange IKE Das IPSec VPN dieses Internet Sicherheitssystems unterst tzt IKE als Key Exchange Methode Die Manual Key Exchange Methode ist nicht m glich 301 System benutzen amp beobachten IPSec Policy konfigurieren 1 2 302 ffnen Sie im Verzeichnis IPSec VPN das Men Policies Klicken Sie auf die Schaltfl che New um das Men New IPSec Policy zu ffnen Tragen Sie im Eingabefeld Name einen Namen f r die neue IPSec Policy ein
19. Active Directory und OpenLDAP Dies kann von Vorteil sein wenn bereits eine Benutzerdatenbank auf einem solchen Server vorhanden ist und die Benutzer somit nicht noch einmal auf dem Internet Sicherheitssystem eingetragen werden m ssen Die Authentifizierung des Clients bei Anfragen an einen Proxydienst muss durch Benutzernamen und Passwort erfolgen Auf diese Weise wird die Authentifizierung personenbezogen User und nicht IP bezogen durchgef hrt Dies erm glicht ein personenbezogenes Ac counting im HTTP Proxy Zugangsprotokoll Proxydienste und Authentifizierungsmethoden Die Proxydienste HTTP SMTP und SOCKSvS5 k nnen so konfiguriert werden dass sie alle Clients auf IP Adressen basierend oder nur Clients mit einem g ltigen Benutzernamen und Passwort Benutzer authentifizierung akzeptieren Wenn Sie User Authentication akti vieren m ssen Sie mindestens eine Methode f r Ihr System aus w hlen um die angefragten Berechtigungsnachweise zu bewerten Ansonsten k nnen Sie den Proxydienst nicht benutzen 75 System benutzen amp beobachten Das Sicherheitssystem unterst tzt Benutzerauthentifizierung mit e einem RADIUS Server e einer NT SAM Benutzer Basis e einem LDAP Server e einer lokalen Benutzerdatenbank im WebAdmin Die vier Benutzerdatenbanken k nnen nacheinander abgefragt wer den 5 1 7 1 RADIUS RADIUS steht f r Remote Authentication Dial In User Service und ist ein Protokoll mit dem z B ein ISD
20. Die Sicherheitsfunktionen k nnen beliebig kombiniert werden und richten sich nach den aktuellen Anforderungen Die meisten Netz werksicherheits Designer verwenden die Verschl sselung und die Authentifizierung Es gibt mehre Szenarien eine VPN zu nutzen 284 System benutzen amp beobachten 1 NET to NET Verbindung B ro New York B ro Berlin Internet Firewall Firewall verschl sselt e S E unverschl sselt Ein Netzwerk kommuniziert mit einem anderen Netzwerk Zwei Unternehmens Netzwerke von rtlich getrennten Niederlas sungen k nnen VPN nutzen um miteinander zu kommunizieren als w ren sie ein Netzwerk Diese Art der Verbindung k nnte man auch nutzen um vertrauens w rdigen Firmen Zulieferer Berater gesicherten Zugriff auf interne Informationen zu erm glichen 285 System benutzen amp beobachten 2 HOST to NET Verbindung Host B ro Berlin Internet Laptop Au endienst mitarbeiter Firewall verschl sselt unverschl sselt Lee Ein Computer kommuniziert mit einem Netzwerk Au endienstmitarbeiter oder Heimarbeiter k nnen VPN benutzen um sicher mit dem Unternehmens Netzwerk zu kommunizieren 3 HOST to HOST Verbindung TS m LE er Se nr en verschl sselt Ein Computer kommuniziert mit einem anderen Computer Zwei Computer k nnen durch VPN ber das Internet kommunizieren um ihren Informationsaustausch zu verschl sseln 286
21. Einf hrung in die Technologie VPN SNAT DNAT Masquerading und die M glichkeit statische Routen zu definieren erweitern die dedizierte Firewall zu einem leistungsf higen Knoten und Kontrollpunkt in Ihrem Netzwerk 18 Installation 3 Installation Die Installation des Internet Sicherheitssystems gliedert sich in zwei Teile Der erste Teil beinhaltet das Einspielen der Software dies f hren Sie im Installationsmen durch Der zweite Teil ist die Konfiguration des Internet Sicherheitssystems und erfolgt im web basierten Konfigurationstool WebAdmin von Ihrem Arbeitsplatz aus a Hinweise zur Funktionalit t des WebAdmin entnehmen Sie der Online Help Die Hilfe wird ber die Schalt fl che ge ffnet Die Online Help steht auf englischer Sprache zur Verf gung Auf den folgenden Seiten k nnen Sie die Daten zur Konfiguration z B das Default Gateway und die IP Adressen der installierten Netzwerkkarten in die entsprechenden Felder eintragen und anschlie end archivieren Achtung Falls Sie Ihr Internet Sicherheitssystems von Version 4 auf Version 5 aktualisieren und die bestehende Konfiguration bernehmen wollen m ssen Sie zuvor Ihr bestehendes System mindestens auf Version 4 021 updaten Weitere Informationen zum Up2Date Service und zur Backup Funktion erhalten Sie in den Kapiteln 5 1 3 und 5 1 4 19 Installation 3 1 Systemvoraussetzungen Damit
22. F r die Verbindung zwischen dem Internet Sicherheitssystem und den Virtual LANs ben tigen Sie eine Netzwerkkarte mit tag f higem Trei ber Ein Tag ist ein kleiner 4 Byte Header der an den Ethernet Header angef gt wird Dieser angeh ngte Header enth lt die VLAN Nummer mit 12 Bit Es sind also 4095 verschiedene virtuelle LANs m glich Diese VLAN Nummer wird im Konfigurationstool als VLAN Tag bezeichnet Die tagged Pakete dienen nur zur Kommunikation zwischen den VLAN f higen Switches und dem Internet Sicherheitssystem Die an den Switches angeschlossenen Rechner m ssen keine tag f higen Netzwerkkarten haben Allerdings muss der entsprechende Port dieses Switchs als untagged Port definiert werden Die VLAN f higen Switches haben meist eine serielle Schnittstelle ber diese Schnitt stelle k nnen mittels Terminalprogramm die verschiedenen Einstel lungen durchgef hrt werden Beispielkonfiguration Sie haben mehrere Router Arbeitspl tze wie in der linken Grafik dar gestellt auf zwei Etagen verteilt Die Computer jeder Etage UOR mpe RS Firewall sind jeweils an einen eh S Switch angeschlossen u een tagged Etage 2 gt gt b2 b4 DCL und PC2 von 153 System benutzen amp beobachten Etage 1 sollen nun mit PC4 von Etage 2 zum Netzwerksegment VLAN 10 zusammengefasst werden PC3 PC5 und PC6 werden zu VLAN 20 zusammengefasst Auf beiden Switches m ssen die Ports konfiguriert
23. From Header der E Mail Wenn keine Absenderadresse angezeigt wird erh lt die E Mail den Zusatzstatus Bounce Recipient s In dieser Spalte wird der Empf nger der E Mail ange zeigt Beim Typ SMTP ist dies eine Liste aller Empf ngeradressen auf dem Umschlag Bei den E Mails mit dem Status deferred zur ck gestellt wird f r jeden Empf nger separat der Auslieferungsstatus angezeigt Zur ckgestellt ke oder andauernder Fehler Im Drop down Men am unteren Ende der Tabelle befinden sich meh rere Funktionen um einzelne E Mails zu bearbeiten Die E Mails m ssen zuvor durch einen Klick auf das entsprechende Optionsfeld ausgew hlt werden Folgenden Funktionen stehen zur Verf gung Delete Alle ausgew hlten E Mails werden gel scht Force delivery Alle ausgew hlten E Mails werden an die Empf nger adressen weitergeleitet auch wenn es sich um eine Nachricht mit dem Status quarantined handelt Bei einer E Mail mit dem Status deferred oder permanent error wird ein neuer Versuch gestartet die Nachricht zuzustellen Falls durch diese E Mail nochmals ein Fehler verursacht wird erh lt sie wieder den alten Status Download as zip file Die ausgew hlten E Mails werden in eine zip Datei gepackt und anschlie end auf dem ausgew hlten lokalen Host gespeichert 280 System benutzen amp beobachten Global Actions Um den belegten Festplattenspeicher Ihres Internet Sicherheitssys tems m glichst gering zu halten k nnen
24. Kontrollliste zugesendet wurden werden nur zur ckgewiesen Zone Tragen Sie in die Kontrollliste die Adressen der Datenbanken ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Spam Protection Diese Option berpr ft die eingehenden E Mails heuristisch auf be stimmte Eigenschaften die Hinweise auf Spam geben Hierzu dienen interne Musterdatenbanken Auf diese Weise ist man unabh ngig von den Absenderinformationen und kann somit die Genauigkeit stark erh hen F r den Spam Score k nnen zwei Grenzwerte Thresholds defi niert werden Auf diese Weise k nnen mutma liche SPAM E Mails von der Firewall unterschiedlich behandelt werden Die beiden Grenzwerte Thresholds sind gleichberechtigt Der Grenzwert mit der h heren Stufe sollte allerdings strenger behandelt werden Die Funktionsweise wird weiter unten anhand der Default Einstellungen erl utert Default Einstellungen Grenzwert Eins Threshold One When Spam Level exceeds 03 aggressive do this Pass Grenzwert Zwei Threshold Two When Spam Level exceeds 05 reasonable do this Quarantine 272 System benutzen amp beobachten Der erste Grenzwert hat zur Folge dass E Mails ab Stufe 3 gefiltert aber durchgelassen werden Mit Hilfe des hinzugef gten Headers kann die E Mail auf dem Mail Server oder im E Mail Programm des Emp f ngers sortiert oder gefiltert werden Beim
25. Merkmale eingef hrt werden die eine Unterscheidung der einzelnen Verbindungen zwischen zwei Rechnern erlauben Dies sind die Portnummern Eine Verbindung auf TCP und UDP Ebene ist damit durch die Absenderadresse und den Absenderport sowie die Zieladresse und den Zielport eindeutig identifiziert Protokoll Ein Protokoll ist ein klar definierter und standardisierter Satz von Regeln mit deren Hilfe ein Client und ein Server miteinander kommunizieren k nnen Bekannte Protokolle und die damit betrie benen Dienste sind z B HTTP WWW FTP FTP und NTP News Proxy Application Gateway Die Aufgabe eines Proxy Application Gateways ist die vollst ndige Trennung von Kommunikationsverbindungen zwischen dem externen Netzwerk Internet und dem internen Netzwerk LAN Zwischen 367 Glossar einem internen System und einem externem Rechner kann keine direkte Verbindung existieren Die Proxies arbeiten vollst ndig auf der Applikationsebene Firewalls die auf Proxies basieren benutzen ein Dual Homed Gateway das keine IP Pakete weiterleitet Die Proxies die auf dem Gateway als spezialisierte Programme ablaufen k nnen nun Verbindungen f r ein spezielles Protokoll entgegennehmen die bertragenen Daten auf Applikationsebene verarbeiten und anschlie end weiterleiten RADIUS RADIUS steht f r Remote Authentication Dial In User Service RADIUS ist ein Protokoll mit dem ein Router Informationen f r die Benutzer authentifizieru
26. Minuten Erst nachdem Sie das System heruntergefahren haben zu erkennen an der Power down Ausgabe d rfen Sie es ausschalten Wenn das System vor dem Ausschalten nicht ordnungsgem her untergefahren wurde muss beim n chsten Startvorgang die Integrit t des Filesystems berpr ft werden dies verz gert den Startvorgang Im schlimmsten Fall k nnen sogar Daten verloren gehen Wenn der Startvorgang erfolgreich war ert nt ein akustisches Signal F nf Beeps in Folge Shut down 1 ffnen Sie im Verzeichnis System das Men Shut down Restart 2 W hlen Sie im Drop down Men Action die Aktion Shut down aus 3 Best tigen Sie Ihre Auswahl durch einen Klick auf die Schalt fl che Start 4 Beantworten Sie die Frage Do you really want to shut down durch einen Klick auf die Schaltfl che OK 109 System benutzen amp beobachten 5 2 Netzwerke und Dienste Definitions Netzwerke und Dienste werden im Verzeichnis Definitions f r alle weiteren Einstellungen z B Paketfilter VPN und Proxies zentral defi niert Dies hat den Vorteil dass Sie sp ter einfach mit den jeweiligen Bezeichnungen Name arbeiten k nnen F r eine weitere Verein fachung sorgt die M glichkeit Netzwerke und Dienste zu gruppieren Wenn Sie sp ter diesen Gruppen bestimmte Einstellungen zuweisen gelten diese f r alle darin enthaltenen Netzwerke und Dienste Gruppen k nnen auch wieder in bergeordnete Gruppen zusammen gefasst werden Au
27. Setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung System Up2Date failed Could not extract tar Die tar Datei konnte nicht xtrahiert werden Bitte starten Sie den Vorgang von neuem Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Main Up2Date package not found 339 340 341 342 343 344 345 System benutzen amp beobachten Das System Update ist fehlgeschlagen da das Main Up2Date Paket nicht gefunden wurde Bitte starten Sie den Vorgang von neuem Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Version conflict Das System Update ist aufgrund eines Versions konflikts fehlgeschlagen Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbie ters in Verbindung System Up2Date failed Pre Stop Services script failed System Up2Date failed Post Stop Services script failed System Up2Date failed Pre Start Services script failed System Up2Date failed Starting Services failed Die Dienste konnten nicht gestartet werden Bit te setzen Sie sich mit dem Support Ihres Sicher heitssystem Anbieters in Verbindung System Up2Date failed Post Start Services script failed System Up2Date failed Error occured while running installer Das System Update ist fehlg
28. System benutzen amp beobachten Ein VPN Server ist eine kosteng nstige und sichere L sung um Infor mationen zu bertragen und kann teuere Datendirekt Verbindungen Standleitungen zwischen Unternehmen ersetzen Das IPSec Konzept IP Security IPSec ist eine Suite von verschiedenen Protokollen f r die kryptographische sichere Kommunikation auf IP Ebene Layer 3 siehe auch Kapitel 2 ab Seite 10 IPSec besteht aus zwei Betriebsarten Modi und aus zwei Proto kollen e Transport Modus e Tunnel Modus e Authentication Header AH Protokoll f r Authentifizierung Encapsulated Security Payload ESP Protokoll f r Verschl s selung und Authentifizierung Des Weiteren bietet IPSec Methoden f r die manuelle sowie die automatische Verwaltung von Security Associations SA und zur Schl sselverteilung Alle diese Merkmale wurden in einem Domain of Interpretation DOI zusammengefasst IPSec Architecture Transport Mode l IC Tunnel Mode AH je EE EE Authentication Algorithm Encryption Algorithm MDS SH 1 DES 3DES Domain of Interpretation DOI SA and Key Management Manual and Automatic Hinweis Das Internet Sicherheitssystem unterst tzt den Tunnel Mode und das Encapsulated Security Payload ESP Protokoll 287 System benutzen amp beobachten IPSec Modi IPSec arbeitet im Transport Modus oder Tunnel Modus Bei einer Host to Host Verbindung kann grunds tzlich entweder Transport oder Tunnel Modus
29. auch aus der Ferne arbeiten Remote Access ICMP Neben dem IP Protokoll gibt es eine Variante mit speziellen Funktionen Das Internet Control Message Protocol ICMP wird zur bermittlung von Kontrollinformationen zwischen aktiven Netz werkkomponenten oder Rechnern verwendet Den meisten Anwen dern sind die ICMP Typen Echo Typ 8 und Echo Reply Typ 0 im Zusammenhang mit dem Programm ping bekannt Empf ngt ein Rechner ein ICMP Echo Paket so muss sein IP Stack ein ICMP Reply Paket an den Absender zur ckschicken Man macht dies mit dem Programm ping um festzustellen ob eine andere Netzwerkkompo nente ber IP zu erreichen ist 365 Glossar IP Das Internet Protocol ist das Basisprotokoll f r die Daten bertragung im Internet das seit 1974 nahezu unver ndert in Gebrauch ist Es regelt den Verbindungsauf und abbau sowie die Fehlerkennung Durch Verwendung von NAT und Masquerading k nnen private Netzwerke auf offizielle IP Adressen gemappt werden auf diese Weise wird der Ipv4 Adressraum noch lange ausreichen IP Adresse Jeder Host besitzt eine eindeutige IP Adresse vergleichbar mit einer Telefonnummer Eine IP Adresse besteht aus vier durch Punkte voneinander getrennte dezimale Ziffern Die m glichen Ziffern sind 0 bis einschlie lich 255 Beispiel Eine m gliche IP Adresse ist 212 6 145 1 Zu jeder IP Adresse geh rt mindestens ein IP Name der Form hostname subdomain s domain Zz B kises rz uni konstan
30. ben tigen Sie wenn Sie Hardware eth1 Realtek RT8139 Type PPP over Ethemet PPPoE DSL connection eine DSL Verbindung zum De sees z Internet mit dem Protokoll Default Gateway Assigned by remote D EE S PPP over Ethernet auf SE bauen m chten F r die ee Konfiguration ben tigen Sie ges ratis R de DSL Zugangsdaten in MTU Size klusive Passwort Die Daten erhalten Sie von Ihrem In ternet Service Provider Hinweis Die Installation und die n tigen Einstellungen am Internet Sicher heitssystem speziell f r den Internet Zugang mit T DSL Telekom Deutschland wird im Leitfaden Netzwerk mit T DSL erkl rt Nach dem die Schnittstelle geladen wurde ist das System 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach dem Tarif dsl flat erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http docs astaro org PPP over Ethernet PPPoE DSL einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein 158 System benutzen amp beobachten W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet die Netzwerkkarte mit der Sys ID ethi aus Eine Netzwerkkarte auf de
31. beobachten der User Authentication Verzeichnisstruktur des WebAdmin 37 WebAdmin Werkzeuge 4 3 Men F r jede Funktion des Internet Sicherheitssystems ist im Konfigura tionstool WebAdmin ein separates Men enthalten Diese Men s enthalten hilfreiche Werkzeuge die in diesem Kapitel erkl rt werden 4 3 1 Die Statusampel Walken Einige Funktionen des Inter Su e net Sicherheitssystems sind nach der Installation per De Ra un fault Einstellung ausgeschal tet da diese zuerst konfigu riert werden m ssen DNS Proxy Status Disable Select to append Allowed Networks Selected Available Empty list Ar ny Internal Address En Der aktuelle Status einer ng Funktion wird durch die Sta eg TEE tusampel angezeigt e rot Funktion ist ausgeschaltet e gr n Funktion ist eingeschaltet Die Werkzeuge zur Konfiguration dieser Funktionen und Dienste wer den erst ge ffnet wenn die Statusampel Gr n zeigt 4 3 2 Die Auswahlfelder Zur Konfiguration des Systems stehen zwei Varianten dieser Aus wahlfelder zur Verf gung Wert Interface Mit Auswahlfeld A werden den Internal Network localhost Funktionen und Diensten die daf r localnet NP Seve Atlanta II befugten Netzwerke Allowed Selected Available Networks und Benutzer Allowed Users zugeordnet 38 WebAdmin Werkzeuge Netzwerk oder Benutzer zuordnen 1 W hlen Sie
32. bestimmten Typs Protocol Mit diesem Drop down Men filtern Sie Dienste mit bestimmten Protokollen Source Port Falls Sie Dienste mit einem bestimmten Quellport filtern m chten tragen Sie diesen in das Eingabefeld ein Destination Port Falls Sie Dienste mit einem bestimmten Zielport filtern m chten tragen Sie diesen in das Eingabefeld ein 121 System benutzen amp beobachten Comment Falls Sie Dienste mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Dienste in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige Diensttabelle dargestellt Weitere Funktionen Definition editieren Durch einen Klick auf die Einstellungen in den Spalten Name Value und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten Definition l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 122 System benutzen amp beobachten 5 2 9 Users Local User Definitions o AEA In Men Users werden die lokalen Benutzer Local Users hinzugef gt wenn der Gebrauch der Proxy dienste nach Personen ein geschr nkt werden soll Dies ist die Alternative dazu eine externe Be nutzerdatenbank abzufragen Anschlie end k nnen Sie diesen lokalen Benutzern in d
33. das Konfigurationstool WebAdmin zugreifen m chten der au erhalb des Netzwerkbereichs liegt Beachten Sie dabei dass das Gateway innerhalb des Netzwerkbereichs liegen muss Bei der Netzwerkmaske 255 255 255 0 wird das Sub Netzwerk durch die ersten drei Werte definiert In unserem Beispiel lautet der relevante Bereich 192 168 2 Wenn nun Ihr Administrations PC z B die IP Adresse 192 168 10 5 hat liegt er nicht im selben Sub Netzwerk und in diesem Fall ben tigen Sie ein Gateway F r unser Beispiel nehmen wird die folgende Adresse Gateway 192 168 2 1 Falls der Administrations PC innerhalb des Netzwerkbereichs liegt geben Sie den folgenden Wert ein Gateway none Best tigen Sie die Eingaben mit der Enter Taste 25 Installation 7 26 Abschlie ende Hinweise Schritt 7 Achtung Beachten Sie die abschlie enden Hinweise zur Installation der Software Nach Best tigung des Warnhinweises werden alle be stehenden Daten auf dem PC gel scht Falls Sie Eingaben ndern m chten k nnen Sie nun mit der F12 Taste wieder zu Schritt 1 des Installationsmen s gelangen Sie starten die Installation der Software mit der Enter Taste Software installieren Schritt 8 Die Installation der Software kann nun einige Minuten dauern Sie k nnen den Installationsvorgang mit Hilfe von vier Konsolen verfolgen Die vier Konsolen Install Routine Alt F1 Interaktive Bash Shell Alt F2 Log Ausgabe der Install Rout
34. e Information_and_Communication lt gt Oentries Die Schutzmechanismen sind e Virus Protection VP e Embedded Object Filter e Script Content Filter Die Option Surf Protection kann erst konfiguriert werden wenn der HTTP Proxy eingeschaltet ist 236 System benutzen amp beobachten Whitelist Domains In der Zugriffskontrollliste kann eine Whitelist mit Domains definiert werden die grunds tzlich von der Option Surf Protection ausgeschlossen werden Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Surf Protection Categories 7 Name Community_Education_Religion Criminal_Activities Drugs Entertainment_Culture Extremistic_Sites Finance_Investing Games Gambles Categories e Cities Countries Regions e Government Institutions e Non Government Organizations e Partys e Religion Sects Upbringing Education Reconnoitring e Computer Criminalism e Hate and Discrimination o Illegal Activities e Warez Sites Alcohol Illegal Drugs Self Help Addiction Tabacco e Art Museums e Belletristics Specialized Books Cinema TV e Humor e Music e Theme Parks Extreme e Accumulation of capital Investing e Banking Homebanking e Brokerage Stock Exchange e Computer Games Surf Protection Categories editieren Die Option Surf Pro tection enth lt 17 definierte Surf Pro tection Categories
35. end in der Tabelle ange zeigt Schalten Sie in der Tabelle f r den Lokalen Benutzer Local User die Dienste frei Zu Beginn sind f r den Benutzer noch keine Dienste freige schalten Sie schalten den Dienst ein indem Sie auf den entspre chenden Begriff klicken Beispiel HD der HTTP Proxy ist nicht freigeschaltet HTTP der HTTP Proxy ist freigeschaltet Die m glichen Dienste sind HTTP Proxy SMTP Proxy SOCKS Proxy WebAdmin L2TP over IPSec und PPTP Remote Access PPTP Address Bei PPTP Verbindungen kann den Remote Hosts anstatt einer dynamischen Adresse aus einem PPTP IP Pool auch eine statische IP Adresse zugewiesen werden Um eine statische IP zu definieren klicken Sie auf das Feld in der Spalte PPTP Address und tragen in das Eingabefeld die Adresse ein Mit einem Klick auf die Schaltfl che Save werden die nde rungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Weitere Informationen zu PPTP VPN Access finden Sie im Kapitel 5 3 6 ab Seite 184 System benutzen amp beobachten Filters Local User Definitions ries 9 Add Definition A Filters 3 Mut der Funktion Filters k n nen Sie aus der Tabelle oka bestimmten Attributen he rausfiltern Diese Funktion erleichtert das Managen von gro en Netz werkkonfigurationen erheblich da Benutzer eines bestimmten Typs bersichtlich dargestellt werden k nnen Lokale Benutzer filtern 1 Klicken Sie auf die Schaltfl c
36. erdem definieren Sie in diesem Verzeichnis die lokalen Benutzer f r die Proxydienste 5 2 1 Networks Im Men Networks werden die Hosts und Netzwerke sowie die Netzwerkgruppen pe Ge definiert Any 0 0 0 0 0 none Internal Address Interface up 192 168 5 217 Address of interface Internal intemal Broadcast EB interface up 102 106 0255 Broadeastaddress onera memi f Die definierten Netzwerke und Gruppen werden in der Netzwerktabelle aufgelistet Per Default befinden sich in der Tabelle neben den Definitionen f r die interne Netzwerkkarte eth0 weitere statisch eingetragene Netzwerke Diese statischen Netzwerke k nnen von Ihnen nicht editiert oder gel scht werden Die Host und Netz werke lassen sich zu Gruppen zusammenfassen Diese Gruppen wer den behandelt wie einzelne Hosts und Netzwerke und k nnen wieder Teil einer bergeordneten Gruppe sein Internal Network Interface up 292 168 5 0 24 Network on interface Internal Auf den folgenden Seiten wird erl utert welche Netzwerktypen zur Verf gung stehen und wie sie definiert werden 110 System benutzen amp beobachten Die Netzwerktypen werden durch Symbole angezeigt Die Symbole Icon Spalte Anzeige Einstellung 4 Netzwerktyp Netzwerkkarte oi Netzwerktyp Host Server Ed Netzwerktyp Netzwerk Netzwerktyp Netzwerkgruppe H Netzwerktyp DNS Server P Netzwerktyp IPSec Benutzergruppe Host hinzuf gen 1 2 ffnen Sie im Verzeichnis Definition
37. eu ENNER ANEN 201 L2TP over IPSec L2TP over IPSec Client Parametere 313 L2TP over IPSec IP Pool 313 L2TP over IPSec Settings WEE 312 Licensed Users sarcen 56 Licensing 53 Licensing Information 56 Lizenzierung 2ersersen rennen 53 Load Balancing Regel definieren 179 Regel editieren 180 Regel l schen 180 Load Balancing sescceec 178 Local Logs Browse sssssccreerreerrrersus 336 Einf hrung esscr 331 filtern ass ee 339 372 Filters ya 339 Local Log File Archive 332 Local Log File Level definleren 332 Local Log File Query 335 Log Files NN monia 340 Remote Log File Archive 333 SEINI Snas saaa niania 331 Suchanfrage starten 335 Log Files Accounting data 340 Admin notifications 342 Astaro Configuration Manager 340 Astaro User Authentication dei Cette de diene 340 BIND nameserver 342 Boot messages 340 Configuration daemon 340 Content Filter 340 DHCP client 340 DHCP server 340 Fallback archive 341 High Availability 341 HTTP Daemon 341 HTTP Brown 342 Intrusion Protection 341 IPSec VPN necc 341 Kernel 341 Local Login 2unerernn rn 341 Loggomg srian iaa 341 Middleware sse 342 Network accounting deamon EE 342 Packet Filter 342 POP3 Dron 342 344 Portscan Detection 342 PPPoE DSL dial up
38. r den Smarthost k nnen optional noch Benutzername User name und Passwort Password definiert werden Encryption Authentication Biss nennen 9 Mit der Funktion TLS Trans FENDER EIN action Encryption werden alle ein und ausgehenden E Mails automatisch stark verschl sselt Voraussetzung ist dass der externe Host diese Funktion unterst tzt TLS wird auf der Firewall nur zur Verschl sselung eingesetzt nicht zur Authentifizierung SMTP ist normalerweise unverschl sselt und kann von Dritten leicht mitgelesen werden Die Funktion sollte aus diesem Grund m glichst eingeschaltet werden 263 System benutzen amp beobachten Wichtiger Hinweis Einige Mail Server z B Lotus Domino haben teilweise Fehler in ihrer TLS Konfiguration Diese Mail Server k ndigen beim Verbin dungsaufbau TLS an obwohl sie durch eine unvollst ndige Konfigura tion nicht in der Lage sind eine TLS Sitzung aufzubauen Wenn TLS eingeschaltet ist k nnen keine E Mails an diese Server verschickt werden Bitte kontaktieren Sie in solch einem Fall die Administratoren dieser Mailserver Wenn die Funktion TLS Transaction Encryption aktiviert ist k nnen Sie auch SMTP Authentication einschalten Mail Clients z B MS Outlook Outlook Express oder Netscape Messenger k nnen sich dann am SMTP Proxy authentifizieren Dies ist f r dynamische IP End punkte die nicht im Men Outgoing Mail definiert werden k nnen sehr n tzlich Bitte verwende
39. r die Datenhaltung zust ndig w hrend der Client die Pr sentation dieser Daten und die Interaktion mit dem Benutzer bernimmt Dazu bedienen sich Client und Server eines genau definierten Protokolls Alle wichtigen Anwendungen im Internet z B WWW FTP News basieren auf dem Client Server Prinzip DNS Dank des Domain Name Systems auch Domain Name Service kann der Anwender statt der rechnerfreundlichen IP Nummer den menschenfreundlicheren Namen bzw Aliase verwenden F r die Umsetzung von Nummer nach Name sorgen die Nameserver Jede am 363 Glossar Internet angeschlossene Institution muss mindestens zwei voneinander unabh ngige Nameserver betreiben die ber Namen und Nummern dieser Institution Auskunft geben k nnen Zus tzlich gibt es f r jede Top Level Domain einen Nameserver der ber eine Liste aller nachgeordneten Nameserver dieser Domain verf gt Das Domain Name System stellt also eine verteilte hierarchische Datenbank dar Im Normalfall fragt jedoch nicht der Benutzer selbst die Datenbank ab sondern die Netzanwendung z B Netscape mit der er gerade arbeitet Dual Homed Gateway Man geht von einer Maschine ohne IP Forwarding aus die mit einem Netzwerkinterface Kontakt zum lokalen Netzwerk bzw zum internen Teil einer Firewall besitzt und die mit einem zweiten Netzwerk Interface mit dem externen Teil einer Firewall bzw dem Internet verbunden ist Aufgrund des fehlenden IP Forwarding m ssen alle Verbind
40. vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Downlink verf gbare Band breite in vollen Kilobits ein Bei einer Schnittstelle zum Internet 161 System benutzen amp beobachten 162 ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Downlink Bandbreite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Beim Schnittstellen Typ PPP over Ethernet PPPoE DSL Connection
41. 58 Upstream Proxy Server definieren 65 Use Upstream HTTP Proxy65 Use external indicators 47 User Authentication Eipf brung He 75 LDAP einstellen 93 LDAP erweitert 96 LDAP Server misisisiriri asins 83 375 Index Microsofts IAS RADIUS einstellen u 77 MS Active Directory Server einstellen zurnn une 85 Novell eDirectory Server einstellen uc 2 0 91 OpenLDAP Server Konfigurieren 92 RADIUS Mae 76 SAM EECH EN SAM NT 2000 XP einstellen 81 Users Filters ua 125 Users as nenne 123 Validate Packet Length 224 WebAdmin Auswahlfelder 38 376 Bockierschutz f r Loggin Versuche einstellen 99 Drop down Men 40 Einf hrung 19 44 Hierarchiefeld 41 HTTPS eiia inaa aa 97 Info BOX iseanan iison 37 Kick ET 45 Men an 38 Online Hilfe aeee 42 Refresh de eg AEN 43 starten ee 45 Statusampel ccce 38 Verzeechnes 37 Zertifikat f r WebAdmin erstellen 101 installieren ssec 102 Notizen Notizen 377 Notizen 378 2004 Astaro AG www astaro com
42. After Title Connection Proxy Connection und User Agent 233 System benutzen amp beobachten Bei der Verwendung von Standard oder Paranoid werden Cookies vom Proxy blockiert Falls Sie Cookies ben tigen sollten Sie die Einstellung None verwenden Hinweis 7 W hlen Sie im Auswahlfeld Allowed Networks die f r diesen Proxy zugelassenen Netzwerke aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten Aus den zugelassenen Netzwerken kann nun auf den HTTP Proxy zugegriffen werden Beachten Sie auch die Funktionen im Fenster Advanced Advanced Caching Mit dieser Funk tion werden h ufig verwen dete Internetseiten im HTTP Proxy Cache zwischenge speichert Per Default ist diese Funktion eingeschaltet Statusampel zeigt Gr n Mit einem Klick auf die Schaltfl che Disable schalten Sie die Funktion aus Caching CR Block CONNECT Method je Allowed Target Services Selected IFTP CONTROL HTTP HTTPS LDAP_TCP DNS sau EUDORA TCP Port Ken Clear HTTP Proxy Cache Block CONNECT Method Jegliche HTTP Verbindungsanfrage durch den HTTP Proxy wird geblockt Nur die HTTP Methoden GET und PUT werden durch den Proxy geschickt Dies hat auch zur Folge dass keine HTTPS Verbindungen aufgebaut werden k nnen Jede Client Request wird durch die Angab
43. Algorithm akti viert werden Beispiel Die IPSec Policy fordert AES 256 als Verschl sselung Ein Road Warrior mit SSH Sentinel will aber mit AES 128 verbinden Ohne Enforce Algorithm wird die Verbindung trotzdem zugelas sen was ein Sicherheitsrisiko darstellt Authentication Algorithm Unterst tzt werden die Algorithmen MDS5 128bit SHA1 160bit SHA2 256bit und SHA2 512bit Der zu verwendende Algorithmus wird von der Gegenstelle der IPSec Verbindung bestimmt Wichtiger Hinweis Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen einen hohen Anteil der Systemresourcen SA Lifetime secs Hier definieren Sie die Dauer der IPSec Verbindung in Sekunden Nach der Installation sind standard m ig 3600 Sekunden 1h eingestellt Generell ist eine Zeitspanne zwischen 60 und 28800 Sekunden m glich PFS Die IPSec Schl ssel f r die IPSec Verbindung werden auf der Basis von Zufallsdaten generiert Mit Perfect Forwarding Secrecy PFS wird sichergestellt dass diese Zufallsdaten nicht bereits zur Erstellung eines anderen Schl ssels z B f r die IKE Verbindung verwendet wurden Falls ein lterer Schl ssel gefun den oder berechnet wird k nnen daher keinerlei R ckschl sse auf den neuen Schl ssel gezogen werden Die IPSec VPN Funktion dieses Internet Sicherheitssystems unterst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X System benutzen amp beobachten MODP 3072 u
44. Astaro 1 Willkommen bei Astaro Wir begr en Sie herzlich als neuen Kunden unseres Internet Sicher heitssystems Astaro Security Linux V5 Dieses Handbuch f hrt Sie schrittweise durch die Installation des Internet Sicherheitssystems erkl rt Ihnen ausf hrlich die Bedienung des Internet Sicherheitssystems durch das web basierte Konfigura tionstool WebAdmin und unterst tzt Sie bei der Dokumentation Ihrer Konfiguration Wenn Sie nicht sicher sind ob Sie die aktuelle Version dieses Handbuchs vorliegen haben k nnen Sie diese unter folgender Inter netadresse herunterladen http docs astaro org Um Sie ber aktuelle Informationen und Neuerungen auf dem Lauf enden zu halten beinhaltet dieses Handbuch auch Verweise auf Internetadressen von Astaro sowie weiteren Anbietern Diese Inter netadressen k nnen sich allerdings auch ndern bzw im Falle der Fremdanbieter auch ganz entfallen Sollten Sie Fragen haben oder Fehler im Handbuch entdecken z gern Sie bitte nicht und kontaktieren uns unter folgender E Mail Adresse documentation astaro com Wenden Sie sich f r weitere Informationen an unser User Forum unter der Internetadresse http www astaro org oder greifen auf die Astaro Support Angebote zur ck Einf hrung in die Technologie 2 Einf hrung in die Technologie Bevor auf die Funktionsweise und Handhabung dieses Internet Sicherheitssystems eingegangen wird m chten wir Ihnen einen Ein blick
45. Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden 268 System benutzen amp beobachten e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Extensions Tragen Sie in die Kontrollliste alle Dateierweiterungen ein z B exe die von der Firewall gefiltert werden sollen Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Virus Protection Mit dieser Funktion werden E Mails und Anh nge Attachments auf gef hrliche Inhalte z B Viren und Trojanische Pferde untersucht Der Scanvorgang wird im E Mail Header vermerkt Falls Virus Protection eine infizierte E Mail entdeckt wird diese von der Firewall gefiltert D
46. Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein System benutzen amp beobachten stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet und zudem st ndig erreichbar ist Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzuf h ren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in
47. Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Novell eDirectory NDS8 sollte der Abfrage Typ group Membership verwendet werden da sich ein bereits vollst ndig ein gerichteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis kann wiederum um selbstdefinierte Attribute erwei tert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden F r die Konfiguration des Novell eDirectory Servers ben tigen Sie die Novell ConsoleOne 91 System benutzen amp beobachten Die Verwaltung des Novell eDirectory Servers wird ausf hrlich in der zugeh rigen Dokumentation beschrieben Sie erhalten die Dokumen tation unter der Internetadresse http www novell com documentation Ig edir87 index html F hren Sie anschlie end die Einstellungen am Internet Sicherheits system durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 93 erkl rt OpenLDAP Server konfigurieren Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Unter OpenLDAP erfolgt zur Benutzerauthentifizi
48. Header soll den Benutzer ber spezielle Eigen schaften dieser Nachricht informieren Wenn nun in der entsprechen den Funktion Pass ausgew hlt wird k nnen die Empf nger die Nachrichten mit ihrer E Mail Software sortieren oder filtern In der 274 System benutzen amp beobachten nachfolgenden Liste sind alle Header enthalten die der HTTP Proxy an die E Mails hinzuf gen kann X Spam Score Dieser Header wird von der Option Spam Pro tection hinzugef gt Er enth lt einen Punktestand der aus einem numerischen Wert und einer Anzahl von Minus und Pluszeichen besteht Je h her dieser Punktestand ausf llt umso wahrschein licher ist es dass es sich bei der Nachricht um eine Spam Mail handelt Wenn Sie in der Option Spam Protection die Aktion Pass aus w hlen kann der Empf nger die E Mail mit seiner E Mail Software filtern X Spam Flag Wenn der enthaltene Wert Yes lautet wurde die Nachricht als Spam Mail erkannt X Spam Report Der Proxy hat die Nachricht als Spam Mail er kannt Der hinzugef gte Multiline Header enth lt einen offen lesbaren Antispam Bericht X Infected Die Nachricht enth lt einen Virus Als Wert wird der Name des gefundenen Viruses angezeigt X Contains File Die Funktion File Extension Filter ist einge schaltet und eine E Mail enth lt einen oder Anhang Attachment mit einer Erweiterung aus der Kontrollliste X Regex Match Die Funktion Expression Filter ist eingeschal tet und das E Mail bei
49. Interface diese logischen Netz werke werden beim Konfigurieren der Netzwerkkarten und Schnitt stellen vom System automatisch definiert Die Schnittstellen wer den im Men Network Interfaces konfiguriert Ein IPSec Remote Key Object IPSec User Group die IPSec Benutzergruppen werden im Men Definitions Networks defi niert Diese Adresse oder Portrange ben tigen Sie wenn Sie Pa ketfilterregeln f r IPSec Road Warrior Endpunkte setzen m chten 206 System benutzen amp beobachten Eine neu definierte Paketfilterregel wird zun chst deaktiviert in die Ta belle eingetragen Die aktivierten Paketfilterregeln werden der Reihe nach von der Firewall abgearbeitet bis eine Regel zutrifft Die Reihen folge der Abarbeitung wird in der Tabelle durch die Positionsnum mer zweite Spalte von links angezeigt Falls Sie die Tabelle sp ter sortieren z B nach der Quelladresse Source beachten Sie bitte dass die Anzeige der Regeln nicht mehr mit der Reihenfolge der Regelabarbeitung bereinstimmt Falls Sie allerdings die Reihenfolge der Regeln ber die Positionsnummer ver ndern wird auch die Reihenfolge der Abarbeitung ver ndert Falls im vorangehenden Bei spiel die Regel 2 vor die Regel 1 verschoben wird ist der Dienst SMTP f r beide Netzwerke nicht mehr erlaubt Seien Sie sehr gewissenhaft bei der Definition dieses Regelsatzes er bestimmt die Sicherheit der Firewall Wichtiger Hinweis Wenn eine Regel zutrifft werden d
50. Kommentare m ssen durch das Zeichen am z Anfang jeder Zeile gekenn Cancel Save zeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schalt fl che Cancel wird der alte Eintrag beibehalten URL Blacklist Dies ist eine Zusatzfunktion von Surf Protection Categories Mit dieser Zugriffskontrollliste k nnen Sie zus tzlich be stimmte Internetseiten deren Inhalt eigentlich keinem der Surf Pro tection Categories Themen entsprechen f r den Zugriff ausschlie en Die Zugriffskontrollliste wird durch einen Klick auf das Feld mit dem Eintrag z B O entries ge ffnet Tragen Sie die Internetadressen 240 System benutzen amp beobachten untereinander in das Eingabefeld ein Kommentare m ssen durch das Zeichen am Anfang jeder Zeile gekennzeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibe halten Surf Protection Categories In diesem Feld w hlen Sie die Themen der Internetseiten aus die von Ihrem System aus nicht ge ffnet werden sollen Das Auswahlfenster wird durch einen Klick auf den Eintrag z B 0 entries ge ffnet Die Option Surf Protection enth lt 17 definierte Surf Protection Categories Diese 17 Kategorien werden in der gleichnamigen Tabel le verwaltet und editiert Die Verwaltung der Surf Protection Categories wird ab Seite 237 beschrieb
51. Licensed Users IPs Die Funktionen in diesem Fenster sind f r Lizenzen die keine unbe grenzte Anzahl an Benutzern IP Adressen zulassen View current User IP Listing Durch einen Klick auf die Schalt fl che Show wird eine Tabelle ge ffnet die alle aktuellen Benutzer anhand ihrer IP Adresse auflistet Reset User IPs Listing Wenn Sie das interne Netzwerk neu konfi gurieren m chten k nnen Sie durch diese Aktion die Tabelle mit den Benutzern zur cksetzen Anschlie end erfolgt ein Reboot das Inter net Sicherheitssystem wird heruntergefahren und wieder gestartet Die Aktion wird durch einen Klick auf die Schaltfl che Start einge leitet 56 System benutzen amp beobachten 5 1 3 Up2Date Service Sram Mit dem Up2Date Service hal Prefetch Up2Dates now Click Start to prefetch SE Een m ten Sie Ihr System auf dem Prefetch Up2Dates automatically o8 Enable _ neusten Stand d Neue Vi ren Import from File Doderer Unapred Up2Dates i um Pattern System Patches und DES Sicherheits Features werden in Ihr laufendes System einge Pattern Up2Date Updste now Click Start to download and install available pattern ee sp ie It Up2Date packages now Updste automatically o Die Up2Date Pakete sind sig en niert und verschl sselt und werden zudem ber eine ver schl sselte Verbindung eingespielt Nur Astaro ist berechtigt solche Up2Date Pakete zu erstell
52. NET to NET Verbindungen Die Typen Road Warrior Road Warrior CA und MS Windows L2TP over IPSec eignen sich f r HOST to NET Verbindungen wie z B f r Au endienstmitarbeiter Diese k nnen ber ihr Lap top eine IPSec Verbindung zum firmeninternen LAN aufbauen 295 System benutzen amp beobachten Eine Road Warrior Verbindung kann nur ber ein Default Gate way angeschlossen werden An eine Road Warrior Verbindung k nnen mehrere Remote Key Objekte hinzugef gt werden Der Konfigurationsaufwand wird dadurch erheblich verringert Allerdings ist darauf zu achten dass bei allen Road Warriors die gleiche Authentifizierungsart PSK RSA oder X 509 verwendet wird ein Mischbetrieb kann zu Funktionsst rungen f hren Wichtiger Hinweis Die weiteren Einstellungen richten sich nach dem ausgew hlten Verbindungs Typ 4 F hren Sie die folgenden Grundeinstellungen f r die IPSec VPN Verbindung durch IPSec Policy In der Policy werden die Parameter f r die IPSec Verbindung generiert Dies beinhaltet die Einstellung der Key Exchange Methode IKE und der IPSec Verbindung Im Drop down Men sind bereits vordefinierte Policies enthalten Im Men IPSec VPN Policies k nnen Sie eigene IPSec Policies konfigurieren F r den Verbindungs Typ MS Windows L2TP IPSec wird eine Hinweis Standard Policy verwendet Die Konfiguration einer IPSec Policy wird in Kapitel 5 7 2 ab Seite 301 beschrieben Auto Packet Filter Sobald di
53. Nachdem Sie einen VPN Tunnel erstellt haben m ssen Sie noch die entsprechenden Paketfilterregeln setzen die es den jeweiligen Partei en erlauben miteinander zu kommunizieren Das Setzen von Paketfilterregeln wird in Kapitel 5 4 ab Seite 194 beschrieben 299 System benutzen amp beobachten Beispiel Wenn Sie eine Net to Net VPN Verbindung zwischen Netzwerk 1 und Netzwerk 2 erstellt haben und die komplette Kommunikation zwi schen diesen beiden Netzwerken erlauben m chten m ssen Sie die folgenden zwei Regeln setzen 1 2 ffnen Sie im Verzeichnis Packet Filter das Men Rules Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 1 Source Netzwerk1 Service Any Destination Netzwerk2 Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schaltfl che Add Definition Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 2 Source Netzwerk2 Service Any Destination Netzwerki Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition Anschlie end ist die komplette Kommunikation zwischen den beiden VPN Gegenstellen m glich 300 System benutzen amp beobachten 5 7 2 Policies IPSec Policies i l on d Im Men Policies definie 3DES E t l edit H 4 ci SC EE d f ren Sie die Parameter f r 3DES_PFS PFS edit delete 3DES_PFS_COMP PFS deflate edit delete EEE Bra ae die IPSec Verbindung und
54. Network oder einem Benutzer User zuzuweisen Das Editierfenster wird durch einen Klick auf das Feld mit dem Eintrag z B Default ge ffnet Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten 239 System benutzen amp beobachten URL Whitelist Dies ist eine Zusatzfunktion von Surf Protection Categories Mit dieser Zugriffskontrollliste k nnen Sie den Zugriff auf bestimmte Internetseiten erlauben deren Inhalt eigentlich den Surf Protection Categories Themen entsprechen Profiles Total 1 entries Add blank Profile 7 Name URL Whitelist URL Blacklist Surf Protection Categories Content Removal WP SG Example 0 ir D entries e Information_and_Communication lt 2 0 entries a Beispiel Sie haben in der Spalte Surf Protection Categories das Thema Information and Communication ausgew hlt m chten aber den Zugriff auf die Internetseite www astaro org erlauben dann legen Sie zus tzlich eine URL Whitelist an indem Sie die Inter netadresse in die Zugriffskontrollliste eintragen Ai https 192 168 5 217 index fpl frameset active Microsoft Intern iaixil Die Zu g riffskontrollliste wird this is an example for a comment durch einen Klick auf das wvv astaro org Feld mit dem Eintrag z B O entries ge ffnet Tragen Sie die Internetadressen un tereinander in das Eingabe feld ein z B www astaro org
55. Network Interfaces auf der entspre chenden Schnittstelle die Funktion Q0S einschalten und die Werte Uplink Bandwidth und Downlink Bandwidth definieren 214 System benutzen amp beobachten Damit die Verbindung vom Web Server wie in dem Beispiel dar gestellt die gleiche Bandbreite erh lt wie die Verbindung vom FTP Server ist nur zu Beachten dass bei beiden Paketfilterregeln die gleiche Aktion Action eingestellt wird 1 Paketfilterregel f r Datenpakete vom Web Server Source Web Server Service HTTP To Server Internet Action Allow high priority 2 Paketfilterregel f r Datenpakete vom FTP Server Source FTP Server Service FTP Destination Internet Action Allow high priority A Group Source Service f Action Destination Comment none O Marketing fi HTP gt Am Example rule S 2 none BO Web Server HTTP m gt D I Any QoS Example rule 3 none FTP Server gi FP uff D I Any QoS Example rule Wenn der Uplink nur von den Datenpaketen der beiden Server ver wendet wird erh lt im Worst Case jede Verbindung die H lfte der Bandbreite 1MBit s Die Einstellung High Priority wird erst rele vant wenn eine dritte Datenverbindung aufgebaut wird Alle Verbin dungen mit einer niedrigeren Priorit t Allow oder Allow low priority werden nachrangig behandelt 215 System benutzen amp beobachten Weitere Funtionen und Einstellungen Broadcast auf das gesamte Internet
56. Passw rter Astaro Configuration Manager User optional Dieses Pass wort ben tigen Sie falls das Internet Sicherheitssystem mit dem Astaro Configuration Manager konfiguriert werden soll Boot Manager optional Dieses Passwort verhindert dass Unbefugte nderungen in den Bootparametern vornehmen k n nen Best tigen Sie die gesetzten Passw rter durch einen Klick auf die Schaltfl che Save Im Konfigurationstool WebAdmin authentifizieren User admin Password Passwort des WebAdmin Benutzers Beachten Sie bitte die Gro und Kleinschreibung Klicken Sie auf die Schaltfl che Login Hinweis Gehen Sie die Schritte 5 bis 16 in der angegebenen Reihenfolge durch License Key einspielen ffnen Sie im Verzeichnis System das Men Licensing und spielen Sie im Fenster License File die Lizenzdatei License Key ein Hinweis Bei einer Lizenz mit der Option High Availability HA m ssen Sie den License Key auf beiden Sicherheitssystemen Normal und Hot Standby Modus einspielen Installation Weitere Informationen zur Lizenzierung erhalten Sie in Kapitel 5 1 2 ab Seite 53 Erste Grundeinstellungen durchf hren ffnen Sie im Verzeichnis System das Men Settings und f h ren Sie die folgende Einstellungen durch Administrator E Mail Addresses Tragen Sie in das Hierar chiefeld die E Mail Adresse des Administrators ein Weitere Informationen zu diesen Funktionen erhalten Sie in Kapitel 5 1 1 ab Seite 46
57. Sie das Internet Sicherheitssystem auf Ihrer Hardware instal lieren k nnen m ssen die nachfolgenden Voraussetzungen erf llt sein Hardware e Prozessor Pentium II oder kompatibel bis zu 100 Benutzer Prozessor Pentium III oder kompatibel ber 100 Benutzer e 256 MB Arbeitsspeicher e 8 GB IDE oder SCSI Festplatte e Bootf higes IDE oder SCSI CD ROM Laufwerk e 2 oder mehr PCI Ethernet Netzwerkkarten e F r die Schnittstelle zu einem Wireless LAN Wireless LAN PCMCIA Karte mit Prism2 Prism2 5 oder Prism3 Chipsatz oder kompatibel Wichtiger Hinweis F r das High Availability HA System und zur Konfiguration einer Schnittstelle zum Wireless LAN oder einem Virtual LAN ben tigen Sie Hardware die vom Internet Sicherheitssystem f r die entspre chende Funktion unterst tzt wird Die Hardware ist unter der Inter netadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufgelistet Zur einfacheren Konfiguration des High Availability HA Systems mit berwachung mittels Heart Beat empfiehlt es sich f r alle Schnittstellen Netzwerkkarten aus der Hardware Compatibility List HCL zu verwenden Die Installation des HA Systems wird in Kapitel 5 1 10 ab Seite 103 beschrieben 20 Installation Administrations PC e Korrekte Konfiguration der IP Adresse der Subnetzwerkmaske und des Default Gateway e Ein HTTPS f higer Browser Microsoft Explorer 5 0 oder h her Netscape Commu
58. Sie hier alle E Mails eines bestimmten Typs l schen E Mails die w hrend des L schvorgangs vom Internet Sicherheitssystem versendet oder weitergeleitet wer den sind davon nicht betroffen W hlen Sie im Drop down Men Please select den Typ aus und starten Sie die Aktion durch einen Klick auf die Schaltfl che Start Wenn Sie die Tabelle SMTP POP3 Proxy Content aktualisieren m chten w hlen Sie im Drop down Men Please select die Aktion Refresh proxy content table aus Achtung Der ausgew hlte Typ wird ohne eine nochmalige Sicherheitsabfrage gel scht 281 System benutzen amp beobachten Filters Mit der Funktion Filters k nnen Sie aus der Tabelle E Mails mit bestimmten Attributen herausfiltern Diese Funktion erleichtert das Managen von gro en Netzwerken da Protokolle eines bestimmten Typs bersichtlich dargestellt werden k nnen E Mails filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Type Falls Sie E Mails eines bestimmten Typs filtern m chten w hlen Sie diese im Drop down Men aus Status Falls Sie E Mails mit einem bestimmten Status filtern m chten w hlen Sie diese im Drop down Men aus Content Filter Type Mit diesem Drop down Men filtern Sie E Mails die mit einer bestimmten Funktion aus dem Conten
59. Sie zuerst die Software auf den beiden Rechnern und konfigurieren Sie das Firewall System 1 wie in Kapitel 3 2 ab Seite 23 beschrieben N Sicherheitshinweis Falls Sie das High Availability HA System nachtr glich installieren achten Sie darauf dass das System 2 auf die selbe Version wie System 1 upgedated wird Fahren Sie beide Systeme herunter Schlie en Sie das Firewall System 2 an das Firewall System 1 wie in der Grafik dargestellt an Firewall System 1 Normal Modus konfigurieren 1 2 Starten Sie das System 1 ffnen Sie im Verzeichnis System das Men High Availability Schalten Sie die Funktion durch einem Klick auf die Schaltfl che Enable bei Status ein Device Name Tragen Sie in das Eingabefeld einen eindeutigen Ger tenamen ein Dieser Namen dient Ihnen zur Orientierung welches der beiden Systeme zur Zeit im Normal Modus l uft Der Ger tenamen kann maximal 11 Zeichen lang sein Device IP Weisen Sie jedem Sicherheitssystem innerhalb der HA Ger tegruppe eine IP Adresse aus einem Class C Netzwerk zu Die IPs m ssen in einem Adressbereich liegen und d rfen innerhalb dieser Ger tegruppe nur einmal verwendet werden Beispiel Das Internet Sicherheitssystem 1 erh lt die Device IP 10 0 0 1 und das Sicherheitssystem 2 die Device IP 10 0 0 2 105 System benutzen amp beobachten Encryption Key Tragen Sie in das Eingabefeld ein Passwort ein N Sicherheitshinweis Setzen Sie sichere Passw rte
60. System benutzen amp beobachten 445 tcp openMicrosoft ds 1032 tcp openiad3 Da den Internetprotokollen TCP und UDP je 65535 Ports zur Verf gung stehen werden die Ports in sehr kurzen Zeitabst nden ge scannt Wenn nun von derselben IP Adresse mehrere Versuche regi striert werden mit immer anderen Ports Ihres Systems Verbindung aufzunehmen bzw Informationen an diese zu senden dann handelt es sich mit ziemlicher Sicherheit um einen Portscan PSD entdeckt diese Portscans und informiert per E Mail den Admini strator sobald der Vorgang protokolliert wurde Anschlie end k nnen Sie entscheiden welche Ma nahme gegen weitere Verbindungen vom Port Scanner des Angreifers durchgef hrt werden soll Die E Mail Adresse des Administrators wird im Men System Set tings eingestellt N Sicherheitshinweis Achten Sie als Administrator darauf dass auf dem System im mer die aktuellsten Sicherheits Patches eingespielt sind Der Up2Date Service wird ausf hrlich in Kapitel 5 1 3 ab Seite 57 beschrieben Notification Levels Notification Levels Falls das Intrusion Protec Status eo _Disabie_ e tion System IPS eine Blocked Packets Figh sry oniy IPS Angriffssignatur erkennt oder einen Intrusion Vorfall verhindert wird vom System per E Mail eine entsprechende Warnung an den Administrator abgeschickt Die E Mail Adresse des Admini strators wird im Men System Settings eingestellt 196 System benutzen amp
61. X 509 Die Authentifizierung mit Preshared Keys PSK erfolgt durch Schl ssel mit einem geheimen Kennwort die vor der eigentlichen Verbindung unter den Beteiligten ausgetauscht werden Wenn nun ein VPN Tunnel aufgebaut werden soll pr fen die beiden Gegenstellen ob ihnen dieses geheime Kennwort bekannt ist Wie sicher solche PSKs sind h ngt davon ab wie gut das Kennwort gesetzt wurde Allgemeine W rter sind z B sehr unsicher da sie sehr anf llig auf W rterbuch Angriffe sind Daher sollte bei dauerhaften IPSec VPN Verbindungen diese Authentifizierungsmethode durch Zertifikate oder durch RSA ersetzt werden Die Authentifizierung mit RSA Keys basiert auf einem Schl ssel Key Paar und beinhaltet einen Public Key ffentlichen Schl ssel und einen Private Key privaten Schl ssel Der Private Key wird zur Verschl sselung und Authentifizierung w hrend des Key Ex changes Schl sselaustausch ben tigt Die beiden Schl ssel sind 291 System benutzen amp beobachten mathematisch voneinander abh ngig und stehen in einer einzigartigen Verbindung zueinander Daten die mit einem Schl ssel verschl sselt wurden k nnen nur mit dem anderen Schl ssel wieder entschl sselt werden Der Private Key kann nicht mit vertretbarem vom Public Key abgeleitet werden Beide Gegenstellen einer IPSec VPN Verbindung ben tigen bei dieser Authentifizierungsmethode ihren eigenen Public Key und Private Key Das X 509 Zertifikat basiert
62. abge fangen und durch den Proxy geleitet F r den Client ist dieser Vorgang v llig unsichtbar Es entsteht kein zus tzlicher Administrationsauf wand da am Client des Endanwenders keine Einstellungen ge ndert werden m ssen POP3 Proxy konfigurieren In der Regel muss der POP3 Proxy nur eingeschaltet werden da per Default bereits festgelegt ist dass die POP3 Anfragen aus allen Netz werken durch den Proxy geleitet werden Die entsprechende Einstel lung wird in der Tabelle Configured Proxied Networks angezeigt Falls POP3 Anfragen nur aus bestimmten Netzwerken weitergeleitet werden sollen muss die Konfiguration ge ndert werden Beachten Sie dabei dass in den Drop down Men s nur die Netzwerke zur Verf gung stehen die zuvor im Men Definitions Networks definiert wurden 253 System benutzen amp beobachten Beispiel POP3 Anfragen aus dem Sub Netzwerk 192 168 0 0 255 255 0 0 an pop yoursite com sollen durch den Proxy geleitet werden Diese Netzwerke m ssen zuerst im Men Networks definiert werde Anschlie end gehen Sie wie folgt vor 1 2 254 ffnen Sie im Verzeichnis Proxies das Men POP3 Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster Definieren Sie im Fenster Proxied Networks aus welchen Netz werken POP3 Anfragen vom Proxy weitergeleitet werden sollen Source W hlen Sie hier die Quelladresse aus Beisp
63. auf No stellen werden die weiteren Einstellungen in den WEP spezifischen Feldern vom System nicht mehr ber cksichtigt WEP Authentication Falls WEP zur Authentifizierung einge setzt werden soll w hlen Sie im Drop down Men Yes aus Dies hat zur Folge dass dem Rechner im Wireless LAN der aktuelle WEP Key bekannt sein muss Require WEP Wenn Rechner die die WEP Verschl sselung nicht unterst tzen keine Verbindung zum Wireless LAN erhalten sollen w hlen Sie Yes aus WEP Key Tragen Sie in die Eingabefelder WEP Key O bis 3 die WEP Schl ssel ein F r die Verschl sselung ben tigen Sie min 147 System benutzen amp beobachten 148 destens einen WEP Schl ssel Maximal vier Schl ssel sind m glich F r eine Schl ssell nge von 40 Bit geben Sie eine Zeichenkette mit 5 Zeichenpaaren ein F r eine Schl ssell nge von 104 Bit ben tigen Sie eine Zeichenkette mit 13 Zeichenpaaren Die Zei chenfolge muss in hexadezimaler Schreibweise eingegeben wer den Sie d rfen also nur die Zahlen O bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 Default WEP Key W hlen Sie im Drop down Men einen der WEP Schl ssel 0 bis 3 WEP Key zum Default Schl ssel aus Dies ist der aktuelle WEP Schl ssel den die Rechner ben tigen um das Wireless LAN zu betreten Access Mode W hlen Sie im Drop down Men den Filter f r das Wireless LAN aus Wenn Sie allen Rechnern den Zutritt zum Wire
64. auf die Schaltfl che Show Hide Anschlie end wird das Fenster Surf Protection Categories ge schlossen 238 System benutzen amp beobachten Die Profiles Tabelle Jedes Surf Protection Profile wird in der Tabelle Profiles duch eine separate Zeile dargstellt Die verschiedenen Einstellungen werden entweder durch alphanumerische Zeichen oder durch Symbole ange zeigt Alle Einstellungen k nnen durch einen Klick auf das entspre chende Feld editiert werden Ein Surf Protection Profile enth lt zwei Funktionsgruppen Die Surf Protection Categories mit den Zusatzfunktionen Blacklist Whitelist und Content Removal und den Content Filter Mit Hilfe der Surf Protection Categories wird der Zugriff auf Internetseiten mit einem bestimmten Infomationsinhalt verhindert Der Content Filter enth lt eine Virus Protection Funktion und filtert Internetseiten mit bestimm ten technischen Komponenten Die Funktionen Das nachfolgende Bild zeigt ein Surf Protection Profile Profiles Total 1 entries Add blan 7 Name URL Whitelist URL Blacklist Surf Protection Categories Content Removal YP SG Example 1 entries O entries e Information_and_Communication Zo 0 entries a Die Funktionen von links nach rechts sind Profile l schen CH Durch einen Klick auf das Papierkorb Symbol wird das Profil aus der Tabelle gel scht Name Dies ist der Name des Surf Protection Profile Der Name wird ben tigt um das Profil einem bestimmten Netzwerk
65. aus 7 3 Road Warrior CA L2TP Encapsulation In diesem Drop down Men k nnen Sie zu tzlich L2TP over IPSec einschalten On Use CA Beim Verbindungs Typ Road Warrior CA basiert die Au thentifizierung auf dem Distinguished Name DN der entfern ten Gegenstelle Remote Endpoint Daher ben tigen Sie von System benutzen amp beobachten dieser Gegenstelle ein Certificate Authority CA Es kann nur der VPN Identifier X 509 DN verwendet werden W hlen Sie im Drop down Men das X 509 DN Certificate Authority CA aus Client DN Mask F r den VPN ID Type Distinguished Name ben tigen Sie die folgenden Daten aus dem X 509 Verzeichnis baum Country C State ST Local L Organization O Unit OU Common Name CN und E Mail Address E Die Daten m ssen in diesem Eingabefeld in der gleichen Reihen folge wie im Zertifikat aufgef hrt sein 7 3 MS Windows L2TP IPSec L2TP Encapsulation Bei diesem Verbindungs Typ ist L2TP over IPSec automatisch eingeschaltet On IPSec Shared Secret Beim Verbindungs Typ MS Windows L2TP IPSec basiert die Authentifizierung auf Preshared Keys Tragen Sie in das Eingabefeld das Kennwort ein 8 Speichern Sie nun die Einstellungen durch einen Klick auf die Schaltfl che Add Das neu konfigurierte IPSec Verbindungsprofil wird immer deaktiviert an letzter Stelle in die Tabelle eingetragen Statusampel zeigt Rot Durch einen Klick auf die Statusampel wird die IPSec Verbindung aktiviert
66. beobachten 5 4 Intrusion Protection Die Option Intrusion Protection System IPS erkennt Angriffsver suche anhand eines signaturbasierten Intrusion Detection Regel werks Das System analysiert den gesamten Datenverkehr und blo ckiert u a Attacken automatisch bevor diese das lokale Netzwerk erreichen Die bereits vorhandene Basis an Regeln bzw IPS Angriffssignaturen wird durch die Funktion Pattern Up2Date aktualisiert Neue IPS An griffssignaturen werden automatisch als IPS Regel in das IPS Regel werk importiert 5 4 1 Settings Global Settings Sobiet In diesem Fenster f hren Status WO _Disabie s 5 Sie die Grundeinstellungen Local Networks Selected Available Any e D Inte d Add na nee f r die Option Intrusion internal Network en Protection System IPS durch Empty list Status Durch einen Klick auf die Schaltfl che Enable schalten Sie die Option ein Local Networks W hlen Sie im Auswahlfeld die Netzwerke aus die vom Intrusion Protection System IPS berwacht werden sollen Falls kein Netzwerk ausgew hlt ist wird der gesamte Datenverkehr berwacht 194 System benutzen amp beobachten Portscan Detection penp Mit Portscan Detection Ze oder auch PSD sind Sie in der Lage m gliche Angriffe durch Unbefugte zu erkennen Soge nannte Portscans werden meist von Hackern durchgef hrt um ein abgesichertes Netzwerk nach erreichbaren Diensten Services zu durchsu
67. beobachten W hlen Sie im Drop down Men VPN Identifier den VPN ID Type der Gegenstelle aus Bei den Optionen E Mail Address Full qualified domain name und IP Address m ssen Sie die zugeh rige Adresse oder den Namen in das darunter liegende Eingabefeld eintragen X 509 W hlen Sie im Drop down Men VPN Identifier den VPN ID Type aus Bei den Optionen E Mail Address Full qualified Domain Name oder IP Address m ssen Sie die zugeh rige Adresse oder den Namen in das darunter liegende Eingabefeld eintragen F r den VPN ID Type Distinguished Name ben tigen Sie die folgenden Daten aus dem X 509 Verzeichnisbaum Country C State ST Local L Organization O Unit UO Common Name CN und E Mail Address E Mai 4 Um das neue IPSec Remote Key Objekt zu bernehmen klicken Sie auf die Schaltfl che Add Das neue IPSec Remote Key Objekt wird anschlie end in der Tabelle Remote Keys angezeigt Die CA Management Remote Keys werden in einer separaten Tabelle angezeigt 311 System benutzen amp beobachten 5 7 5 L2TP over IPSec L2TP over IPSec ist eine Kombination des Layer 2 Tunneling Protocol und des Standardprotokolls IPSec Mit L2TP over IPSec k nnen Sie mit der gleichen Funktionalit t wie PPTP einzelnen Hosts ber einen verschl sselten IPSec Tunnel den Zugang zu Ihrem Netzwerk erm glichen L2TP over IPSec ist einfach einzurichten und ben tigt auf Microsoft Windows XP Clients keine zus tzliche Software F r
68. bereits ein MTU Wert definiert 1500 Byte 7 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden 9 Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt Die neue virtuelle Schnittstelle wird auch in der Tabelle Hardware Device Overview angezeigt da dieser ebenso wie einer Standard Ethernet Netzwerkarte eine zus tzliche IP Adresse zugeordnet wer den kann IP Aliase Die Sys ID dieser virtuellen Schnittstelle setzt sich aus der Sys ID der verwendeten Netzwerkkarte und des zuge teilten Tag zusammen 157 System benutzen amp beobachten 5 3 2 5 PPPOoE DSL Verbindung E Diesen Schnittstellen Typ Name ba age e z
69. das Internet Sicherheitssystem ein Beispiel FIREWALL meinedomain com Hostname host domain co m Ein Hostname bzw Domainname darf aus alphanumerischen Zeichen sowie Punkt und Minus Zeichen bestehen Am Ende muss ein alpha betischer Bezeichner vorhanden sein z B com de oder org Der Hostname wird in allen Notification E Mails in der Betreffzeile angezeigt Speichern Sie anschlie end Ihre Eingabe durch einen Klick auf die Schaltfl che Save Hinweis In allen Notification E Mails an den Administrator wird in der Betreffzeile der Hostname angezeigt 127 System benutzen amp beobachten Dynamic DNS er Soen Mit Dynamic DNS wird ein Ger t oder eine VPN Ge genstelle ber einen DNS Password Cs aufl sbaren Namen ange sprochen Zu diesem Na men wird auf einem ffentlichen DNS Server im Internet bei jedem Verbindungsaufbau die jeweils g ltige IP Adresse hinterlegt Unter diesem Namen kann ein Host immer erreicht werden nat rlich nur sofern er online ist Mit Dynamic DNS kann z B ein mobiler Nutzer auf sein Firmennetz zuzugreifen selbst wenn die Firma nur ber einen Standard DSL Anschluss mit dynamischer IP Adresse verf gt Neben VPN Anwendungen eignet sich Dynamic DNS auch f r Fernwartung und Fern berwachung Hostname Username Dynamic DNS Server definieren 1 ffnen Sie im Verzeichnis Network das Men Hostname DynDNS 2 Schalten Sie die F
70. dem externen Host UDP Pakete Dies funktioniert allerdings nur wenn beide IPSec Endpunkte NAT Traversal unterst tzen und auf dem Road Warrior Endpunkt eine vir tuelle IP Adresse eingestellt ist Zus tzlich muss auf dem NAT Ger t der IPSec Passthrough ausge schaltet sein da dies NAT Traversal unterbrechen kann Wichtiger Hinweis F r die Funktion Virtual IP k nnen keine lokalen IP Adressen verwendet werden da das Internet Sicherheitssystem keine ARP Anfragen f r diese Adressen beantwortet Copy TOS Flag Die Type of Service Bits TOS sind eine Menge von vier Bit Flags im IP Header Die Bits werden Type of Service Bits genannt da sie es der bertragenden Applikation erm glichen dem Netzwerk mitzuteilen welche Art von Dienstg te gerade ben tigt wird Die verf gbaren Dienstg teklassen sind Minimale Verz gerung minimum delay maximaler Durchsatz maximum throughput 319 System benutzen amp beobachten maximale Zuverl ssigigkeit maximum reliability und minimale Kosten minimum cost Mit dieser Funktion wird der Inhalt des Type of Service Feldes in das verschl sselte Datenpaket kopiert Auf diese Weise kann der IPSec Datenverkehr aufgrund seiner Priorit t geroutet werden Die Funktion Copy TOS Flag wird durch einen Klick auf die Schalt fl che Enable eingeschaltet Send ICMP Messages Falls ein Datenpaket den eingestellten MTU Wert berschreitet wird vom System eine ICMP Nachricht an die Quelladresse
71. die Funktion User Authentication einschalten m ssen sich die Benutzer mit Benutzernamen und Pass wort anmelden Da User Authentication nur mit SOCKSv5 funktio niert ist die Protokollversion SOCKSv4 dann nicht verf gbar Mit dem Auswahlfeld Authentication Methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men Settings User Authentication konfigurier haben Wenn Sie als Methode Local Users ausw hlen k nnen Sie f r lokale Benutzer festlegen ob sie den SOCKS Proxy benutzen d rfen Die lokalen Benutzer Users werden im Men Definitions Users verwaltet 252 System benutzen amp beobachten 5 5 4 POP3 Transparent POP3 Proxy POP3 ist die Abk rzung f r Status BC Disable m Se SE SS Post Office Protocol 3 und era Please select z Please select zl Ada ist ein Protokoll um E Mails von einem Mail Server zu empfangen Das Gegenst ck zu POP3 ist das Protokoll ne SMTP SMTP steht f r EE Simple Mail Transfer Proto Se eme col Mit dem Protokoll wer Ge den E Mails ber einen Mail Server versendet Content Filter Virus Protection Enable Spam Protection oe Enable In diesem Men konfigurieren Sie den POP3 Proxy f r eingehende E Mails Der POP3 Proxy arbeitet im Transparentmodus Die POP3 Anfragen auf Port 110 aus dem internen Netzwerk werden
72. die Konfiguration des Netzwerks geht es um die Adressen prim r von der Konfiguration des DHCP Servers abh ngt Au erdem lassen sich Adressbereiche effektiver nutzen da keineswegs alle Hosts gleichzeitig im Netzwerk aktiv sind Die IP Adressen k nnen so je nach Bedarf nacheinander an verschiedene Hosts vergeben werden 180 System benutzen amp beobachten DHCP Server konfigurieren 1 ffnen Sie im Verzeichnis Network das Men DHCP Server 2 W hlen Sie im Drop down Men Interface die Schnittstelle aus von der aus den Clients die IP Adressen zugewiesen werden sollen 3 Schalten Sie die Funktion in der Zeile Status durch einem Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster A Bestimmen Sie mit den Drop down Men s Range Start und Range End den IP Adressenbereich Per Default wird im Eingabefeld der konfigurierte Adressbereich der Netzwerkkarte angezeigt Die Einstellungen werden anschlie end ohne weitere Best tigung bernommen DNS Server und Gateway IP Adressen zuweisen Sie k nnen den Clients weitere Parameter zur Netzwerkkonfiguration bergeben Dazu geh ren die DNS Server Adressen und das Default Gateway welches die Clients verwenden sollen In der Regel wird das Internet Sicherheitssystem selbst diese Aufgaben bernehmen In diesem Fall sollten Sie hier die interne Adresse ihres Internet Sicherheitssystems einstellen Die Konfiguration des DNS Pr
73. die MS Windows Systeme 98 ME und NT Workstation 4 0 muss der Microsoft L2TP IPSec VPN Client aufgespielt werden Diesen Client finden Sie bei Microsoft unter http www microsoft com windows2000 server evaluation news bull etins l2tpclient asp L TP over IPSec Settings Authentication In diesem Drop down Men stellen Sie die Authentifizierungsme thode ein Wenn Sie im Men System User Authentication einen RADIUS Server konfiguriert haben k nnen Sie hier auch RADIUS Authentifizierung einsetzen Die Konfiguration des Microsoft IAS RADIUS Servers und die Einstel lungen im WebAdmin werden in Kapitel 5 1 7 ab Seite 75 erkl rt Debugging Diese Funktion steht Ihnen zur berpr fung der L2TP over IPSec Verbindung zur Verf gung In den IPSec Logs werden ausf hrliche Informationen protokolliert Diese Protokolle k nnen Sie im Men Local Log Browse in Echtzeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Local Log werden im Kapitel 5 9 ab Seite 331 beschrieben 312 System benutzen amp beobachten L 2TP over IPSec IP Pool EE Hier legen Sie fest welche Network IPSEC Pool e IP Adressen den Hosts bei letwork Address 10 118 155 0 Subnet Mask 255 255 255 0 der Einwahl zugewiesen Useable IP Addresses 253 werden Per Default Einstel lung wird beim ersten Aktivieren der L2TP over IPSec Funktion ein Netzwerk aus dem privaten IP Bereich 10 x x x ausgew h
74. die neue Netzwerkgruppe in die Netzwerktabelle eingetragen Sie finden diese Netzwerkgruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder IPSec Benutzergruppe definieren Diese Definition enth lt nur den Distinguished Name DN Er wird f r ankommende IPSec Verbindungen die X 509 Zertifikate verwen den eingesetzt Wenn der DN der Gruppe mit dem des Benutzers bereinstimmt wird seine virtuelle IP Adresse dynamisch bei der Gruppe hinzugef gt 114 System benutzen amp beobachten 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die IPSec Benutzergruppe ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men IPSec User Group aus DN Template F r den VPN ID Type Distinguished Name be n tigen Sie die folgenden Daten aus dem X 509 Verzeichnis baum Country C State ST Local L Organization O Unit OU Common Name CN und E Mail Address E Die Daten m ssen in diesem Eingabefeld in der gleichen Reihen folge wie im Zertifikat aufgef hrt sein Comment ber das Eingabefeld k
75. diese Regel aktivieren und auch auf E Mails anwenden die sich bereits im Ordner Posteingang befinden Im Fenster Regelbe schreibung k nnen Sie Ihre Einstellungen ndern Klicken Sie anschlie end auf die Schaltfl che Fertig stellen Regeln in dieser Reihenfolge anwenden Schritt 6 Im Regel Assistenten k nnen Sie die Regeln durch einen Klick auf das Optionsfeld aktivieren und deaktivieren sowie nder ungen durchf hren Um den Regel Assistenten zu schlie en klicken Sie auf die Schaltfl che OK 277 System benutzen amp beobachten 5 6 7 Proxy Content Manager Im Men Proxy Content Manager k nnen Sie alle E Mails einsehen die von den Proxies der Firewall gefiltert wurden oder wegen eines Fehlers nicht weitergeleitet werden konnten Die nachfolgend aufgef hrten Begriffe und Stati ben tigen Sie um die E Mails in diesem Men korrekt zu verwalten Global Actions Please select Refresh proxy contenttabe SMTP POP3 proxy content Total 17 entries 7 Filters 7 E Type I 7 Age Sender Recipient s CS Pop 4h 10m SP lt rdiehl vinet ga gt rdiehl vinet ga r SG SMTP 2d 23h 34m EXP lt rdiehl vinet ga gt rdiehl vinet ga CG SMTP 2d 23h 36m E EXP lt rdiehl vinet ga gt rdiehl vinet ga CG pop 3d0h4m E vP lt rdiehl vinet ga gt rdiehl vinet ga B g POP3 3d ih7m SP lt rdiehl vinet ga gt rdiehl vinet ga r pop3 3d ih9m SP lt rdiehl vinet ga gt rdiehl vinet ga r SG POP3 3d i
76. ein malig zu setzen und sp ter nur geringf gig anzupassen Verwenden Sie am Besten die Central European Time CET Dies ist die ur spr ngliche Uhrzeit Das System l uft dann immer in CET nicht in CEST Central European Summer Time Umstellungen von Winter und Sommerzeit sollten nicht vorgenommen werden insbesondere wenn die gesammelten Reporting und Accounting Daten weiterverar beitet werden Systemzeit manuell einstellen 1 2 48 ffnen Sie im Verzeichnis System das Men Settings F hren Sie im Fenster Time Settings folgende Einstellungen in der angegebenen Reihenfolge durch Use NTP Server Vergewissern Sie sich f r die manuelle Zeit einstellung dass hier kein NTP Server ausgew hlt ist In diesem Fall wird im Drop down Men Please select angezeigt Sollte ein NTP Server eingestellt sein w hlen Sie im Drop down Men No NTP Server aus Time Zone W hlen Sie nun die Zeitzone aus System benutzen amp beobachten Die neu definierte Zeitzone hat nur eine Auswirkung auf die derzeit eingestellte Uhrzeit wenn Sie bereits einen NTP Server eingerichtet haben Hinweis Use slow adjustment Durch diese Funktion werden m gliche Time Warp Effekte wie sie in der Einleitung beschrieben sind ausgeglichen Beim Zur ckstellen erfolgt das Heranf hren der Systemzeit an die neu eingestellte Uhrzeit in kleinen Schritten Dies kann dann bei gro en Zeitintervallen Tage oder sogar Wochen dauern Hinwe
77. erhalten Sie in der Notification E Mail 860 Intrusion Protection Event Buffered Events Nach der Aktivierung des Ereignispuffers wurden weitere Intrusion Protection Ereignisse gesam melt In der angeh ngten Datei ist ein Auszug aus den gesammelten Ereigniss nthalten Eine komplette Liste mit Ereignissen wurde in den Intrusion Protection Log Files gespeichert 5 10 Online Hilfe Online Help Im Men Online Help stehen Ihnen neben Online Help drei weitere Funktionen zur Verf gung Search Mit Hilfe dieser Funktion wird im WebAdmin und in Online Help nach dem von Ihnen eingegebenen Begriff gesucht und der Begriff wird in einem separaten Fenster angezeigt Suche starten 1 ffnen Sie im Verzeichnis Online Help das Men Search 2 Geben Sie in das Eingabefeld Search Term den Begriff ein 3 Um die Suche zu starten klicken Sie auf die Schaltfl che Start Falls der Begriff im WebAdmin oder in Online Help gef hrt wird liefert das Ergebnis folgende Infos e Pfad zur entsprechenden Funktion im WebAdmin e Link zum gesuchten Begriff in Online Help 361 System benutzen amp beobachten e Informationen zur Funktion oder die Texte aus der Online Hilfe mit dem gesuchten Begriff Glossary In diesem Verzeichnis entspricht die Struktur der Begriffe ihrer Zutei lung im WebAdmin Durch einen Klick auf die Begriffe erhalten Sie einen berblick der Funktionen in diesem Verzeichnis
78. ffnen Sie ein Fenster in dem die Regelverletzungen in der Reihenfolge ihres Auftre tens in Echtzeit tabella risch aufgelistet werden Genee Anhand der Hintergrund eet Le EE farbe k nnen Sie sehen welche Aktion f r die jeweilige Regelverletzung ausgef hrt wurde e Rot Das Paket wurde blockiert Drop Pakete die aufgrund der Funktionen Spoof Protection Validate Packet Length und SYN Rate Limiter blockiert wurden werden ebenfalls rot hinterlegt angezeigt e Gelb Das Paket wurde zur ckgewiesen Reject e Gr n das Paket wurde durchgelassen Allow Live Log Filter setzen zur cksetzen Mit Hilfe der Eingabefelder IP Address Netmask und Port sowie dem Drop down Men Protocoll k nnen Sie das Packet Filter Live Log so einstellen dass in der Tabelle nur Regelverletzungen mit bestimmten Attributen angezeigt werden Der Filter wirkt sich auf die Regelverletzungen aus die nach dem Einschalten der Funktion pro tokolliert werden Der Filter wird durch einen Klick auf die Schaltfl che Set ausgef hrt Durch einen Klick auf die Schaltfl che Clear wird der Filter wieder zur ckgesetzt Ab diesem Zeitpunkt werden wieder alle Regelverlet zungen im Packet Filter Live Log angezeigt Durch einen Klick auf das Kontrollk stchen Pause Log k nnen Sie die Aktualisierung anhalten und wieder fortsetzen 226 System benutzen amp beobachten Hinweis Beachten Sie dass nur die abgearbeiteten Regeln protokolliert wer
79. folgenden Internetadresse http www snort org 1 ffnen Sie im Verzeichnis Intrusion Protection das Men Rules Klicken Sie auf die Schaltfl che New Rule Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Intrusion Protection Total 2012 entries 1968 Rules filtered Description example oo Selector icomp EXTERNAL_NET any gt HOME_NET any Filter asize gt 800 Add local Rule Hint Local rules will be added to the local group New Rule A 7 Filters 7 Hits Info BO z gt P attack responses O Recognition of successful attacks Description Tragen Sie in das Eingabefeld eine Beschreibung der Regel ein Beispiel Large ICMP packet gro es ICMP Datenpaket Selector Tragen Sie in das Eigabefeld die Auswahlparameter f r die IPS Regel in der Snort Syntax ein Beispiel icmp EXTERNAL_NET any gt HOME NET any Filter Tragen Sie in das Eigabefeld die eigentliche Erkennung f r die IPS Regel in der Snort Syntax ein Achten Sie darauf dass der Eintrag mit einem Zeichen beendet wird Beispiel dsize gt 800 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add local Rule 201 System benutzen amp beobachten Die neue IPS Regel wird immer in die IPS Regelgruppe local impor tiert Die Regel ist sofort eingeschaltet Statusampel zeigt Gr n Informational messages local Locally generated r
80. geben warum ein derartiges System zum Schutz des Netzwerks erforderlich ist und welche Probleme und Gefahren ohne ein entspre chendes Sicherheitssystem bestehen Netzwerke Das Internet ist heute als Schl sseltechnologie f r Kommunikation Informationsbeschaffung als Speichermedium f r Wissens und Er fahrungswerte sowie als Marktplatz f r Informationsdienste etabliert Seit seinen Anf ngen haben sich seine Ausma e vervielfacht und von 1995 bis 2002 war das zahlenm ige Wachstum allein der de Domains nahezu exponential Die Endsysteme im weltumspannenden Netzwerk kommunizieren ber das Internet Protocol IP und verschiedene andere Protokolle die darauf aufsetzen z B TCP UDP ICMP Basis einer solchen Kom munikation sind die IP Adressen mit der F higkeit alle erreichbaren Einheiten im Netzwerk eindeutig zu identifizieren Das Internet selbst existiert als Zusammenschluss verschiedenartiger Netzwerke die sich sowohl durch die verwendeten Protokolle als auch durch die Ausbreitung unterscheiden An Knotenpunkten die zwei oder mehrere Netzwerke miteinander verbinden entstehen eine Viel zahl von Aufgaben die von Routern Bridges oder Gateways ber nommen werden Ein spezieller Fall eines solchen Knotenpunktes ist die Firewall Hier treffen in aller Regel drei Typen von Netzwerken aufeinander e Externes Netzwerk Wide Area Network WAN e Internes Netzwerk Local Area Network LAN e De Militarized Zone DMZ Eine Bei
81. im Men Packet Filter Rules die entsprechen den Regeln setzen Das Setzen der Paketfilterregeln wird ausf hrlich in Kapitel 5 4 ab Seite 194 beschrieben NAT Regel setzen 1 174 ffnen Sie im Verzeichnis Network das Men NAT Masquer ading Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die NAT Regel W hlen Sie im Drop down Men Rule Type die Funktion DNAT SNAT aus Anschlie end ffnet sich ein erweitertes Eingabefenster Definieren Sie im Fenster Packets to match welche Pakete zu einer neuen Adresse umgeleitet bzw in einen anderen Dienst bersetzt werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem Fenster mindestens ein Parameter ausgew hlt werden Die Einstellung No match hat zur Folge dass zwischen den Parametern in dieser Auswahl nicht unterschieden wird Source Address W hlen Sie die original Quelladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden System benutzen amp beobachten Destination Address W hlen Sie die original Zieladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service W hlen Sie den original Dienst aus Dieser Dienst be steht aus Quell und Zielport der Pakete oder einem Protokoll z B TOP Hinweis Ein Dienst Service kann nur umgeleitet werden wenn auch die kommunizierenden Adressen umgeleitet werden Des Wei teren kann ein Dienst nur in einen Dienst mit gleichem
82. ist per Default bereits ein MTU Wert definiert 1492 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken System benutzen amp beobachten Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 5 3 2 6 PPTPoE PPPoA DSL Verbindung Name ds L Jl Diesen Schnittstellen Typ be Hardware eh Realtek RT8139 n tigen Sie falls Sie eine Type PPTP over Ethemet PPPoA DSL connection m Address Assigned by remote DSL Verbindung zum Inter Default Gateway Assigned by remote net mit dem Protokoll PPP Modem IP Address over ATM aufbauen m ch NIC IP Address NIC Netmask ten Zur konfig
83. kationskan le und diese k nnen nicht ber Portnummern miteinander in Verbindung gebracht werden Damit nun diese Protokolle ber den Paketfilter betrieben werden k nnen bzw eine Adressumsetzung durch NAT erfolgen kann werden die Connection Tracking Helpers ben tigt Helpers sind Strukturen die auf sogenannte Conntrack Helper verweisen Dies sind in der Regel zus tzliche Kernel Module die dem Modul Conntrack helfen bestehende Verbindungen zu erken nen F r FTP Datenverbindungen wird z B ein FTPConntrack Helper ben tigt Dieser erkennt die zur Kontrollverbindung normalerweise TCP Port 21 geh renden Datenverbindungen deren Zielport beliebig sein kann und f gt entsprechende expect Strukturen zur expect Liste hinzu Die folgenden Protokolle werden unterst tzt Per Default sind alle Helper Module geladen e FTP e H323 e IRC f r DCC e MMS Microsoft Media Streaming e PPTP 222 System benutzen amp beobachten Helper Module laden Per Default sind alle Helper Module geladen Das Laden und Entfernen der Helper Module erfolgt ber das Aus wahlfeld Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben SYN Rate Limiter Die Denial of Service An griffe DoS auf Server zie len darauf ab legitimen Nutzern den Zugriff auf einen Dienst zu verwehren Im einfachsten Fall berflutet der Angreifer den Server mit sinnlosen Paketen um Ihre Leitung zu berlasten Da f r diese An
84. kommt f lschlicherweise die Meldung unter Windows dass die Verbindung besteht 187 System benutzen amp beobachten 188 Authentication Stellen Sie im Drop down Men die Authentifi zierungsmethode ein Legen Sie fest welche IP Adressen den Hosts bei der Einwahl zugewiesen werden sollen W hlen Sie im Fenster PPTP IP Pool mit dem Drop down Men Network ein Netzwerk aus Das ausgew hlte Netzwerk wird sofort bernommen Per Default Einstellung ist hier bereits PPTP Pool ausgew hlt Anschlie end wird unter dem Drop down Men die IP Adresse des Netzwerks die Netzwerkmaske und die Anzahl der verf gbaren IP Adressen angezeigt Dem Benutzer wird bei der Einwahl aus diesem Adressbereich automatisch eine IP Adresse zugeordnet Im Fenster PPTP Client Parameters k nnen Sie den Hosts w hrend des PPTP Verbindungsaufbaus zus tzlich bestimmte Nameserver DNS und WINS und eine Name Service Dom ne zuweisen Es k nnen jeweils zwei Server eingetragen werden Client DNS Servers Tragen Sie hier die IP Adressen der DNS Server ein Client WINS Servers Tragen Sie hier die IP Adressen der Windows Nameserver ein Client Domain Tragen Sie hier die Domain ein die der Client bei DNS Anfragen an Hostnamen anh ngen soll Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che Save System benutzen amp beobachten Die weitere Konfiguration erfolgt am Host des Benutzers Der Benut zer ben tigt zur weiteren Konfigur
85. nehmen Verbindungen zwischen au enstehen den Systemen und Ihrem Netzwerk stellvertretend an In diesem Fall werden Pakete nicht weitergeleitet sondern es findet eine Art ber setzung statt mit dem Gateway als Zwischenstation und bersetzer Die Stellvertreterprozesse auf dem Application Gateway werden als Proxyserver oder kurz Proxies bezeichnet Jeder Proxy kann spe ziell f r den Dienst f r den er zust ndig ist weitere Sicherheitsmerk male anbieten Es ergeben sich weitere umfangreiche Sicherungs und Protokollierungsm glichkeiten durch die Verwendung von Proxies Die Analyse ist auf dieser Kommunikationsebene besonders intensiv m glich da der Kontext der Anwendungsdaten jeweils klar durch Protokollstandards definiert ist Die Proxies konzentrieren sich auf das Wesentliche Der Vorteil ist dass kleine berschaubare Module ver wendet werden wodurch die Fehleranf lligkeit durch Implementa tionsfehler reduziert wird 13 Einf hrung in die Technologie Bekannte Proxies sind z B e HTTP Proxy mit Java JavaScript amp ActiveX Filter e SMTP Proxy verantwortlich f r die Zustellung von E Mails und f r das berpr fen auf vorhandene Viren e SOCKS Proxy als generischer authentifizierungssf higer Circuit Level Proxy Der Vorteil der Anwendungsschicht Gateways ist dass das gesicherte Netzwerk physikalisch und logisch vom ungesicherten Netzwerk ge trennt wird Sie stellen sicher dass kein Paket direkt zwischen de
86. nicht selbst der prim re MX Record der Domain ist da sie keine E Mails an sich selbst verschicken wird Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Recipient Verification Der SMTP Proxy akzeptiert eingehende E Mails erst nachdem die jeweilige Empf ngeradresse von dem oder den Mail Server n best tigt wurde Dies hat zur Folge dass der Umfang an Spam Mails drastisch gesenkt wird da E Mails an ung ltige Zieladressen nicht mehr angenommen werden Voraussetzung f r diese Funktion ist dass der jeweilige Mail Server die E Mails an unbekannte Adressen auf SMTP Ebene zu r ckweist Die Grundregel Wenn der Mail Server die E Mail zur ckweist dann wird auch die Firewall diese zur ckweisen W hlen Sie nun im Fenster Outgoing Mail die Netzwerke Allowed Networks oder Hosts aus die in der Lagen sein sol len ber den SMTP Proxy E Mails zu versenden System benutzen amp beobachten N Sicherheitshinweis Die Nachrichten die von diesen Netzwerken aus versendet werden werden von Spam Protection nicht gescant Use Smarthost Wenn Sie zum Versenden von E Mails einen Upstream Smarthost verwenden m chten schalten Sie diese Funktion ein und tragen den Hostnamen oder die IP Adresse in das Eingabefeld ein Der Proxy stellt in diesem Fall die E Mails nicht selbst zu sondern schickt alles an den Smarthost Dies gilt allerdings nicht f r E Mails deren Domain im Fenster Incoming Mail definiert sind F
87. r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut System benutzen amp beobachten verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Bei einer Ethernet Netzwerkarte betr gt die MTU maximal 1500 Byte Beim Schnittstellen Typ VLAN Ethernet Interface ist per Default
88. sind Instant Messaging nn ZS Clients wie ICQ oder AIM FTP Clients und RealAudio SOCKS kann stellvertretend f r Clients TCP Verbindungen aufbauen und als Besonderheit auch eingehende Verbindungen mit dem TCP oder UDP Protokoll anneh men listening Das macht SOCKS besonders auf Firewalls interes sant die NAT benutzen da SOCKS die Nachteile von NAT ausgleichen kann Die SOCKS Implementation dieser Firewall unterst tzt die Protokollversionen SOCKSv4 und SOCKSVS Bei Verwendung des SOCKSV4 Protokolls ist keine Benutzerauthen tifizierung User Authentication m glich Allowed Networks Selected Empty list Wenn Sie diesen Proxy verwenden m chten um Host Namensauf l sung in SOCKS5 zu betreiben m ssen Sie auch den DNS Proxy aktivieren Hinweis 251 System benutzen amp beobachten SOCKS Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men SOCKS 2 Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster 3 F hren Sie die nachfolgenden Einstellungen durch Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben Allowed Networks Hier w hlen Sie die f r diesen Proxy zuge lassenen Hosts und Netzwerke aus Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten SOCKS Proxy mit Benutzerauthentifizierung Wenn Sie f r den SOCKS Proxy
89. verwendet werden Falls einer der beiden Tunnelend punkte ein Security Gateway ist muss der Tunnel Modus verwendet werden Die IPSec VPN Verbindungen dieses Internet Sicherheits systems arbeiten immer im Tunnel Modus Beim Transport Modus wird IP Packets OT An das zu bearbeitende IP Paket Transport Mode AH Header Header Payload S authenticate Nicht in ein anderes IP Paket Transport Mode esp Odin ESP Payload eingepackt Der urspr ngliche L enerypted eee IP Header wird beibehalten und das brige Paket wird nach einem entsprechenden Protokoll Header als Payload entweder im Klartext AH oder verschl sselt ESP angeh ngt Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschl sselt werden Bei beiden Varianten wird der original Header in Klartext ber das WAN geschickt The original packet Beim Tunnel Modus wird das Ee KC Original pang komplette Paket Header und autnentatei Payload in ein neues IP DESEN ee Ha Paket als Payload eingepackt Ein neuer IP Header wird vor ne an das IP Paket ange h ngt Die IP Adressen des neuen Header entsprechen denen der IPSec Tunnelendpunkte Die IP Adressen des eingepackten Paketes bleiben unver ndert Das komplette Originalpaket kann nun ver schl sselt und oder authentifiziert werden Mit AH kann das komplet te Paket authentifiziert werden 288 System benutzen amp beobachten IPSec Protokolle IPSec verwen
90. werden Switch a Switch b VLAN Tag tagged Port VLAN Tag tagged en an 2 PC4 3 PC5 4 PC6 F r PC3 sieht es nun so aus als w re er nur ber einen Switch mit PC5 und PC6 verbunden Damit die Rechner nun eine Verbindung zum externen Netzwerk Internet erhalten muss noch die Schnittstelle zum Internet Sicher heitssystem im Beispiel eth2 eingestellt werden zur Konfiguration einer Schnittstelle zum Virtual LAN ben tigen Sie eine Netzwerkkarte mit tag f higem Treiber Die vom Internet Si cherheitssystem unterst tzte Hardware ist unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufgelistet Achtung 154 System benutzen amp beobachten Virtual LAN einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein A W hlen Sie im Drop down Men Hardware eine Netzwerkkarte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ VLAN Ethernet Interface aus 6 F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ VLAN Ethernet Interface durch Address Weisen Sie der virtuellen Schnittstelle eine IP Adresse zu Falls Sie eine statische IP Adresse eintragen m chten w h len Sie im Drop down Men Static aus und tragen in das E
91. z B den Port 80 auf der externen Schnittstelle des Internet Sicherheitssys tems auf den Webserver umleiten Die Einstellungen f r einen Webserver hinter dem Internet Sicher heitssystem werden im Leitfaden Web Server DNAT beschrieben Sie finden den aktuellen Leitfaden unter der Internetadresse http docs astaro org Hinweis Die Funktionalit t von Source Network Address Translation SNAT entspricht der von DNAT mit dem Unterschied dass statt der Zieladresse Destination Address der IP Pakete die Quelladres se Source Address umgeschrieben wird Dies kann in komplexen Netzwerken n tzlich sein um Antworten auf Verbindungen in andere Netzwerke oder auf andere Hosts umzuleiten Tipp Um eine einfache Anbindung von privaten Netzwerken an das externe Netzwerk Internet zu erreichen sollten Sie anstatt SNAT die Funk tion Masquerading verwenden Im Gegensatz zum dynamischen Masquerading handelt es sich bei SNAT um eine statische Adressumsetzung d h jeder internen IP Adresse wird genau eine extern sichtbare IP Adresse zugewiesen 173 System benutzen amp beobachten Hinweis Um den Port 443 HTTPS umzuleiten m ssen Sie im Men Sys tem WebAdmin Settings den WebAdmin TCP Port auf einen an deren Wert ndern z B 1443 Diese Funktion wird in Kapitel 5 1 8 im Abschnitt General Settings beschrieben Da die Adressumsetzung vor der Filterung durch Paketfilterregeln Hinweis erfolgt m ssen Sie
92. zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w h len Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus Proxy ARP Wenn diese Funktion aktiviert ist wird das Internet Sicherheitssystem auf der entsprechenden Netzwerkkarte das ARP Protokoll f r alle ihm bekannten Netzwerke setzen Dies be deutet dass das System stellvertretend f r alle anderen direkt angeschlossenen Netzwerke Pakete aus dem angeschlossenen Netzwerk annehmen und weiterleiten wird Diese Funktion wird in einigen Spezialf llen ben tigt um z B ein Netzwerk ber das Internet Sicherheitssystem weiterzu reichen falls es nicht m glich ist korrekte Routen f r dieses Netzwerk zu setzen Dies kann der Fall sein wenn Sie keinen Zugriff auf den Router Ihres Internet Providers haben Per Default ist Proxy ARP ausgeschaltet Off Sie schalten die Funktion ein indem Sie im Drop down Men On ausw hlen Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assign by DHCP oder Static ausgew hlt wurde Falls es sich bei dieser Netzwerkkarte um eine Schnittstelle zum Intern
93. 0 _ usr sbin httpd f etc httpd root 656 0 0 0 7 5716 1952 S Aen 0 03 usr local bin alicd L syslog t root 789 0 9 3 1 10424 8060 Men 65 38 usr local bin selfmonng pl E 790 0 0 0 8 7260 2168 S AprOl 0 00 var aus aus bin etc wEe conf au i Fu F host domain com Interface Information Microsoft Internet Explorer I Auto refresh EE host domain com Interface Information erh Link encap Ethernet HWaddr 00 0C 6E B6 23 F3 inet addr 192 168 5 217 Boast 192 168 5 255 Mask 255 255 255 0 UP BROADCAST RUNNING MULTICAST MTU 1500 Metric l RX packets 57108 errors 0 dropped 0 overruns O frame 0 TX packets 110137 errors 0 dropped O overruns 0 carrier 0 collisions 0 txqueuelen 100 lo Link encap Local Loopback inet addr 127 0 0 1 Mask 255 0 0 0 UP LOOPBACK RUNNING MTU 16436 Metric l RX packets 6504559 errors 0 dropped 0 overruns 0 frane 0 TX packets 6504559 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 0 RX bytes 646581897 616 6 Mb TX bytes 646581897 616 6 Mb noch weitere Systeminfor mationen zur Verf gung Diese Informationen wer den in einem separaten auf die Schaltfl che Show Disk Partition In der Ta belle wird die Partition der Systemdaten und der jewei lige Speicherplatz auf der Festplatte angezeigt Process List In der Baum struktur werden die aktuel len Prozesse auf dem Inter net Sicherheitssystem dar gestellt Interface Information In dieser Tab
94. 23 HTTP Proxy Usage 326 Intrusion Protection 326 374 Network 324 Packet Filter 325 PPTP IPSec VPN 326 System Information 329 VIrUS sssne nannten 323 Restart 22 s geige SE ee A Ze 108 Routing Eipf brung 170 Kernel Routing Table 171 R lesu erde 205 Schnittstellen Aktuelle bersicht 131 Downlink Bandwidth kbits EE 137 156 161 168 Einf hrung scecc 129 Ethernet Netzwerkkarte 133 134 Hardware bersicht 132 PPPoA DSL einrichten 164 PPPoE DSL einrichten 158 PPPoE DSL Verbindung 158 163 Proxy ARP vneennennnnrnenennn 135 00S 137 156 161 167 Uplink Bandwidth kbits ARE 137 156 161 167 Uplink Failover on Interface E 135 159 166 Virtual LAN ssec 152 Virtual LAN einrichten 155 Wireless LAN 141 Wireless LAN Access Point einrichten 146 Wireless LAN Station einrichten 149 Zus tzliche Adresse 139 zus tzliche Adresse ZuUwelsen 139 Search Suche starten 361 Search nee 361 Secure Shell 51 52 Services Filters nn 121 Services 117 En ln EE 46 Shut down 109 Shut down Restart 108 SMTP Block RCPT Hacks 266 DoS Protection 261 Einf hrung escccrce 260 Encryption Authentication EE 263 Expression Filter 270 File Extension Filter 268 Global Whitelist 265 konfigurieren sacc 261 MIME Error Checking 267 Post
95. 3 di rs Content filter D 4 files 254 amp Total 121 entries 114 filtered File Count Name m Admin notifications 6 files Today 3064 di D Admin notifications Tuesday April 06 2004 var log notifier log Live log Today 225 d i e S Admin notifications Monday April 05 2004 notifier 2004 04 05 l0g gz 515 di m Admin notifications Sunday April 04 2004 notifier 2004 04 04 l0g 92 784 d i m G Admin notifications Saturday April 03 2004 notifier 2004 04 03 log gz 644 di e S Admin notifications Friday April 02 2004 notifier 2004 04 02 log gz 457 di D S Admin notifications Thursday April 01 2004 notifier 2004 04 01 l0g g2 di checked entries Die zus tzlichen Funktionen im Unterverzeichnis sind Date Im Unterverzeichnis wird bei den alten Protokollen der Tag und das Datum angezeigt P Durch einen Klick auf das Ordner Symbol kehren Sie in die bersicht zur ck Se Dies ist ein Protokoll von heute Durch einen Klick auf das Sym bol ffnen Sie das Live Log Fenster P Dies ist ein archiviertes Protokoll Durch einen Klick auf das Symbol wird das Log Fenster ge ffnet File Count Name Beim heutigen Protokoll wird in dieser Spalte der Pfad zur Log Datei und die Meldung Live Log angezeigt Bei den archivierten Log Dateien steht in dieser Spalte der Datei namen 338 System benutzen amp beobachten Filters Mit der Funktion Filters k nnen Sie aus der Tabelle Pr
96. 6 PPTP VPN Access Mit Point to Point Tunneling Protocol PPTP k nnen Sie einzel nen Hosts den Zugang zu Ihrem Netzwerk ber einen verschl sselten Tunnel erm glichen PPTP ist einfach einzurichten und ben tigt auf Microsoft Windows Clients keine zus tzliche Software PPTP ist in Microsoft Windows ab Version 95 enthalten Um PPTP mit dem Internet Sicherheitssystem verwenden zu k nnen muss der Client die MSCHAPv2 Authentifizierung unterst tzen Zu diesem Zweck muss auf MS Windows 95 und 98 Clients ein Update aufge spielt werden Dieses Update finden Sie bei Microsoft unter http support microsoft com support kb articles Q191 5 40 ASP Sie ben tigen dort das VPN Update und eventuell das RAS Update wenn Sie Microsoft Windows 95 verwenden PPTP VPN Access PPTP VPN Access In diesem Fenster schalten Status BC A SES SS Sie den PPTP VPN Zugang Encryption Strong 128 Bi S durch einen Klick auf die je Authentication Local Users weilige Schaltfl che Enable Disable ein und aus Logging Hier stellen Sie ein wie ausf hrlich die Informationen in den PPTP Logs protokolliert werden Stellen Sie den Protokollumfang auf Ausf hrlich Extensive wenn Verbindungsprobleme zum Host auftreten und ffnen anschlie end das Live Log Fenster Sobald Sie nun die Verbindung starten k nnen Sie den Vorgang in Echtzeit verfolgen Das PPTP Live Log befindet sicht im Men Local Logs Browse Encryption Hier s
97. 9 und Unterstrich Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke aus Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CA ein Um die Eintr ge zu speichern Klicken Sie auf die Schaltfl che Start Anschlie end wird die Signing CA in die Tabelle Certificate Author ities geladen Diese CA wird nun dazu verwendet um Zertifikats An tr ge CSR zu signieren und dann daraus ein Zertifikat zu erstellen System benutzen amp beobachten Schritt 2 Den Zertifikats Antrag Request erstellen 1 Klicken Sie in der Tabelle Host CSR or Certificate auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Host CSR or Certifi cate W hlen Sie die Option Generate CSR aus W hlen Sie im Drop down Men VPN ID den VPN ID Type aus Bei den Optionen E Mail Address Hostname und Ipv4 Ad dress m ssen Sie den zugeh rigen Wert in das rechte Ein gabefeld eintragen Bei der Option X 509 DN bleibt das rechte Feld leer Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r den Zertifikats Antrag Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 und Unterstrich Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke
98. Archive protokolliert Local login In diesen Log Dateien werden Informationen zu Einlogg Prozessen in die lokale Konsole protokolliert 341 System benutzen amp beobachten MiddleWare In diesen Log Dateien werden die Aktivit ten in der MiddleWare protokolliert Diese Log Dateien geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt Network accounting deamon In diesen Log Dateien wird die Funktionsf higkeit des Accounting protokolliert BIND nameserver In diesen Log Dateien wird die Aufl sung von Hostnamen in IP Adressen protokolliert Admin notifications In den Notification Log Dateien werden alle Notification E Mails die durch das Internet Sicherheitssystem ab geschickt wurden protokolliert Auf diese Weise kann der Admini strator auch kritische Systemvorg nge beobachten wenn ihn keine Notification E Mails erreicht haben Die Fehler Warnungs und Informations Codes sind in Kapitel 5 9 3 2 ab Seite 345 aufgef hrt HTTP Proxy In den HTTP Proxy Logs werden die Aktivit ten von HTTP Clients protokolliert Packet Filter In den Packet Filter Logs werden alle geblockten Datenpakete protokolliert Diese Log Files sind ein Teil der Kernel Logs POP3 proxy In diesen Log Dateien werden die Aktivit ten des POP3 Proxy protokolliert Alle ausgehenden E Mails werden darin aufgef hrt Zus tzlich werden alle Unregelm igkeiten z B Ausf lle oder blockier
99. Bus Ger t Funktion PCI Device ID 132 Fehler System benutzen amp beobachten Die Tabelle Hardware List ent hlt nicht alle Netzwerkkarten M gliche Fehlerursachen Die fehlende Netzwerkkarte wurde erst nach Installation des Internet Sicherheitssystems eingebaut oder sie wurde w h rend der Installation nicht erkannt Setzen Sie sich in diesem Fall mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Wenn Sie die IP Adresse der internen Netzwerkkarte ethO ndern besteht die M glichkeit dass Sie keine Verbindung mehr zum Inter net Sicherheitssystem bekommen Achtung 5 3 2 1 Add Interface Standard Ethernet Interface F r eine Standard Ethernet Name arketing Hardware eth1 Realtek RT8139 Type Standard ethernet interface Address Static Netmask Default Gateway Proxy ARP Uplink Failover on Interface QoS Status MTU Size Schnittstelle zu einem inter nen oder externen Netzwerk muss auf der Netzwerkkarte die prim re Netzwerkkarten adresse eingerichtet werden Alle auf dem Internet Si cherheitssystem installierten Netzwerkkarten werden in der Tabelle Hardware List angezeigt 133 System benutzen amp beobachten Standard Ethernet Netzwerkkarte einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird g
100. CKS Proxy W hlen Sie bei Group type die Option Security aus Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK Sie haben nun die neue Security Group mit dem Namen socks_users erstellt Schritt 2 Benutzer der Security Group zuweisen 1 W hlen Sie im Verzeichnis den Benutzer aus und klicken mit der rechten Maustaste auf den Namen Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register MemberOf aus Um die neue Gruppe auszuw hlen klicken Sie auf die Schalt fl che Add Anschlie end ffnet sich das Fenster Select Groups W hlen Sie nun die Security Group aus Beispiel socks_users Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che OK Die neue Security Group wurde nun in das Fenster MemberOf bernommen Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK 87 System benutzen amp beobachten F hren Sie nun die Einstellungen auf dem Internet Sicherheitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 93 erkl rt Microsoft Active Directory selbstdefinierte Attribute Die Benutzerauthentifizierung mittels Microsoft Active Directory kann auch mit zus tzlich selbstdefinierten Attributen und Werten erfolgen Die Konfiguration ist allerdings sehr viel auf
101. Durch einen Klick auf die Schaltfl che Add neben dem Eingabe feld E Mail to bernehmen Sie die neue Adresse in das Hierar chiefeld Wenn Sie weitere E Mail Adressen hinzuf gen m chten wieder holen Sie den Schritt 5 Falls die erste Backup Datei sofort generiert und abgeschickt werden soll klicken Sie auf die Schaltfl che Start neben Send Backup now Pr fen Sie die neu generierten Dateien auf Lesbarkeit indem Sie die jeweilige Backup Datei importieren und auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information Brechen Sie anschlie end den Einspielvorgang ab indem Sie auf ein Men im Verzeichnis klicken E Mail Adressen bearbeiten Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 41 beschrieben 72 System benutzen amp beobachten 5 1 5 SNMP Access Das Simple Network Manage ment Protocol SNMP dient zur berwachung und zum Ma nagen des lokalen Netzwerks Der Administrator kann mit SNMP schnell den Zustand der Netzwerkger te wie z B die Anzahl und Konfiguration der Netzwerk Interfaces die bertragene Daten menge die laufenden Prozesse und die Auslastung der Festplatten abfragen ber den augenblicklichen Zustand hinaus sind Trends und Zeitreihen interessant Sie geben einen tiefen Einblick in die Funktion eines Netzwerks in der Historie lassen s
102. Kopfzeile werden die Gruppen alphabetisch auf oder absteigend dargestellt Hits In dieser Spalte wird angezeigt wie oft eine Regel aus dieser Gruppe aktiv wurde Info In dieser Spalte erhalten Sie eine kurze Information zu dieser IPS Regelgruppe Das IPS Regel Unterverzeichnis Im Unterverzeichnis befinden sich alle IPS Regeln einer Gruppe Die Untergruppe wird in der bersicht durch einen Klick auf das Ordner Symbol P ge ffnet Bo pr ddos 0 Rules for Distributed Denial of Service WC Dr dns D Rules for DNS protocol WE dos D Denial of Service attacks 0 O p D exploit well known exploits of specific software Intrusion Protection 2 entries 1992 me 7 Group m Info eu P 0 Rules for DNS protocol WC Dr dns D H DNS EXPLOIT named overflow ADMROCKS ID 260 WC 78 dns 0o B DNS EXPLOIT x86 Linux overflow attempt ID 262 Bo Dr dns D H DNS zone transfer TCP ID 255 DCH 39 dns 0 pB DNS EXPLOIT x86 Linux overflow attempt ID 264 DCH 39 dns D H DNS EXPLOIT named tsig overflow attempt ID 303 WC pre dns D D DNS named version attempt ID 257 DCH 39 dns D H DNS EXPLOIT named overflow ADM ID 259 au pr dns 0o B Ge SPOOF query response with TTL of 1 min and no authority ID Te f dns op DNS EXPLOIT x86 Linux overflow attempt ADMv2 ID 265 199 System benutzen amp beobachten Die Funktionen im Unterverzeichnis von links nach rechts 00 0 Durch einen Klick
103. Men Type die Archivierungsart aus Anschlie end werden die Drop down Men s und oder Eingabe felder zur ausgew hlten Archivierungsart angezeigt 3 F hren Sie die Einstellungen f r Ihre Archivierungsart durch 3 1 FTP Server Host W hlen Sie im Drop down Men den Host aus Port W hlen Sie im Drop down Men den Port aus Per Default ist FTP bereits ausgew hlt Username Tragen Sie in das Eingabefeld den Benutzernamen ein 333 System benutzen amp beobachten Passwort Tragen Sie in das Eingabefeld das Passwort ein Remote Path Tragen Sie in das Eingabefeld den Pfad ein 3 2 SMB CIFS Share Host W hlen Sie im Drop down Men den Host aus Username Tragen Sie in das Eingabefeld den Benutzernamen ein Passwort Tragen Sie in das Eingabefeld das Passwort ein Share Name Tragen Sie in das Eingabefeld den Share Name ein 3 3 Secure Copy SSH Server Public DSA Key Im Fenster wird der Public DSA Key angezeigt Host W hlen Sie im Drop down Men den Host aus Username Tragen Sie in das Eingabefeld den Benutzernamen ein Remote Path Tragen Sie in das Eingabefeld den absoluten Pfad ein 3 4 Send by E Mail E Mail Address Tragen Sie in das Eingabefeld die E Mail Adresse ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten 5 9 2 Local Log File Query Local Log File Query Mit der Aktion Local Log Time Span Yesterday and T
104. N Router Informationen f r die Benutzerauthentifizierung von einem zentralen Server abfragen kann Neben den reinen Benutzerinformationen f r die Authentifi zierung verwaltet RADIUS auch technische Informationen die f r die Verst ndigung des Zugangssystems mit dem Endger t des Anrufers n tig sind Dazu geh ren z B die verwendeten Protokolle IP Adres sen Telefonnummern Time outs Routen etc Zusammen bilden sie ein Benutzerprofil das in einer Datei oder Datenbank auf dem RADIUS Server gespeichert wird Neben der Authentifizierung von DialUp Usern kann RADIUS aber auch als generisches Authentifizierungsprotokoll verwendet werden Das Protokoll ist sehr flexibel und die RADIUS Server sind f r alle Betriebssysteme eingeschlossen Microsoft Windows NT 2000 verf g bar Die RADIUS Implementierung dieses Internet Sicherheitssystems erm glicht Ihnen die Zugriffsrechte auf Proxy und Benutzerbasis zu konfigurieren Bevor Sie RADIUS Authentication einstellen k nnen ben tigen Sie einen RADIUS Server in Ihrem Netzwerk Da die Passw rter in Klar text bertragen werden empfehlen wir jedoch den RADIUS Server ausschlie lich in einer geswitchten Umgebung zu verwenden 76 System benutzen amp beobachten Im folgenden Abschnitt wird als Beispiel detailliert das Einrichten von Microsofts IAS RADIUS Server f r MS Windows NT und 2000 beschrieben Falls Sie einen anderen RADIUS Server verwenden be n tigen Sie die folgenden Informa
105. NS Host definieren 128 Dynamic DNS nenenn 128 RI 362 Factory Reser 52 Fehler Ursachen 27 133 Fehler Codes CRIT as a Siet 354 HN Eech 345 WARNEN 351 Fehler Codes 345 Firewall Hostname 127 General System Settings 46 Glossar Droadcast 363 Client ans 363 Client Server Prinzip 363 RI KEE 363 Dual Homed Gateway 364 Firewall sssusa 364 Header 364 ele EE 365 Le u ana der 365 IR een 366 IP Adresse iisi 366 Masquerading 366 nslookup nenn 367 2T0 u DRPRPEPRRFERPERTIERELTFREGER 367 Protokoll 2usenseneen en 367 Proxy sen 367 RADIUS san 368 ee WEE EE 368 Server used 368 ele E EE 369 Subnet Mask 369 UNC Pfad e 369 Glossarv ss iini sintiani ianiai 362 Gruppe editieren sssr 117 l schen nsss 117 Header 4 4 28 ee d 274 High Availability 103 High Availability System installieren s e 105 Hochverf gbarkeit 103 Host editieren ssec 117 hinzuf gen 0 111 l schen uzzs2rsen rennen 117 Hostname nn 127 HTTP Proxy User Authentication Modus EE 232 HTTP Proxy Advanced 234 einschalten 232 Global Settings 231 Operation Modes 231 Standard Modus 231 Transparent Modus 231 ICMP Einf hrung sescca 218 Firewall forwards ping 221 Index Firewall forwards Traceroute Firewall is ping visible 221 Firewall is Traceroute visible ER A EE 220 ICMP For
106. P UDP ICMP e die Port Nummer Dieser Ansatz bietet gro e Vorteile Seine Geschwindigkeit bei der Be arbeitung der Pakete und er ist betriebssystem und applikations neutral In der fortgeschrittenen und komplexeren Entwicklungsform umfasst der Leistungsumfang von Paketfiltern die Interpretation der Pakete auf h herer Kommunikationsebene In diesem Fall werden Pakete auch auf Transportebene TCP UDP interpretiert und Statusinfor mationen f r jede aktuelle Verbindung werden bewertet und festge halten Dieses Vorgehen wird als Stateful Inspection bezeichnet Der Paketfilter merkt sich den Zustand jeder einzelnen Verbindung und l sst nur Pakete passieren die dem aktuellen Verbindungszu stand entsprechen Besonders interessant ist diese Tatsache f r Ver bindungsaufbauten vom gesch tzten in das ungesch tzte Netzwerk Baut ein System im gesch tzten Netzwerk eine Verbindung auf so l sst der Stateful Inspection Packet Filter z B Antwortpakete des 12 Einf hrung in die Technologie externen Hosts in das gesch tzte Netzwerk passieren Wird diese Verbindung wieder abgebaut so hat kein System aus dem unge sch tzten Netzwerk die M glichkeit Pakete in ihrem abgesicherten Netzwerk zu platzieren es sei denn Sie wollen es so und erlauben diesen Vorgang explizit Anwendungsschicht Gateways Application Proxy Firewall Application Gateway Die zweite ma gebende Art von Firewalls sind die Anwendungs schicht Gateways Sie
107. Port 88 Durch DNAT ndert nun die Firewall die Zieladresse der Anfrage in 10 10 10 99 Port 80 und schickt diese an den Web Server Der Web Server schickt anschlie end die Antwort mit seiner internen IP Adresse 10 10 10 99 Port 80 und der IP Adresse des Benutzers ab Die Firewall erkennt das Paket anhand der Benutzeradresse und ndert nun die Quelladresse von der internen IP 10 10 10 99 Port 80 in die externe IP Adresse 1 1 1 1 Port 88 15 Einf hrung in die Technologie Die Gesch ftswelt stellt heute Anforderungen an die IT Infrastruktur zu denen Echtzeit Kommunikation und enge Zusammenarbeit mit Gesch ftspartnern Consultants und Zweigstellen geh ren Die For derung nach Echtzeitf higkeit f hrt immer fter zur Sch pfung so genannter Extranets die mit dem Netzwerk des Unternehmens entweder e ber dedizierte Standleitungen oder e unverschl sselt ber das Internet erfolgen Dabei hat jede dieser Vorgehensweisen Vor und Nach teile da ein Konflikt zwischen den entstehenden Kosten und den Sicherheitsanforderungen auftritt Internet VPN Client f r Fernzugriff LAN l F 16 Einf hrung in die Technologie Durch Virtual Private Network VPN wird es m glich abge sicherte d h verschl sselte Verbindungen zwischen LANs aufzubau en die transparent von Endpunkt zu Endpunkt ber das Internet geleitet werden Dies ist insbesondere sinnvoll wenn Ihre Organi
108. Port ein Per Default ist der Standard Port 389 bereits eingetragen Bind DN Der hier einzutragende Wert h ngt vom Type des Stand alone LDAP Servers ab 1 Microsoft Active Directory Sie k nnen den User Principal Name UPN oder den gesamte Distinguished Name DN des Benutzers eintragen Beispiele UPN admin example com DN cn administrator cn users dce example dc com 2 Novell eDirectory Tragen Sie in das Eingabefeld den gesamten Distinguished Name DN des Benutzers ein Beispiel DN cn administrator o our_organisation System benutzen amp beobachten 3 OpenLDAP Bei OpenLDAP oder OpenLDAP konformen Stand alone Ser vern kann nur der Distinguished Name DN des Benutzers eingetragen werden Base DN Tragen Sie in das Eingabefeld die Objektnamen ein von wo aus der Client den Vorgang startet Beispiele F r MS Active Directory dce example dce com F r Novel eDirectory o our_organisation Tragen Sie im Eingabefeld Password das Passwort ein Dieses Passwort sollte auch f r die Administration des Stand alone LDAP Servers verwendet werden N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save N Sicherheitshinweis Solange die Funktion LDAP Authentication by Attribute ausgeschaltet ist k nnen alle Ben
109. Protokoll bersetzt werden Definieren Sie mit den folgenden Drop down Men s wohin die Pakete umgeleitet werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem Fenster mindestens ein Parameter ausgew hlt werden Wenn Sie die original Adresse auf ein gesamtes Netz werk umleiten werden die darin enthaltenen IP Adressen der Reihe nach ausgew hlt Change Source to SNAT W hlen Sie die neue Quelladresse f r die IP Pakete aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service Source Dieses Drop down Men wird angezeigt wenn Sie bei Change source to eine Adresse ausgew hlt haben Es k nnen hier nur Dienste Services mit einem Quellport aus gew hlt werden Change Destination to DNAT W hlen Sie die neue Zieladres se f r die IP Pakete aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service Destination Dieses Drop down Men wird angezeigt wenn Sie bei Change Destination to eine Adresse ausw hlen 175 System benutzen amp beobachten 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Nach erfolgreicher Definition wird die neue DNAT SNAT Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen in der NAT Tabelle weitere Funktionen zur Verf gung Weitere Funktionen Eintr ge editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie en
110. Routes F r die direkt angeschlossenen Netzwerke tr gt das Internet Sicher heitssystem die entsprechenden Routing Eintr ge selbst ein Weitere Eintr ge m ssen manuell vorgenommen werden Dies ist z B der Fall wenn im lokalen Netzwerk ein weiterer Router existiert ber den ein bestimmtes Netzwerk erreicht werden soll Routen f r Netzwerke die nicht direkt angeschlossen sind aber ber einen Befehl oder eine Konfigurationsdatei in die Routing Tabelle eingetragen werden bezeichnet man als statische Routen In diesem Men k nnen Sie festlegen welches Netzwerk zu welcher Netzwerkkarte oder zu welcher externen IP Adresse geroutet wird Statisches Routing definieren 1 ffnen Sie im Verzeichnis Network das Men Routing 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Static Route wird ge ffnet 3 W hlen Sie im Drop down Men Network das Netzwerk aus Im Drop down Men Network sind alle statischen sowie die in den Men s Networks und Interfaces neu definierten Netz werke enthalten 170 System benutzen amp beobachten A W hlen Sie im Drop down Men Target das Ziel aus Namen in zwei spitzen Klammern kennzeichnen Netzwerkkarten Interfaces Bei Namen ohne Klammern handelt es sich um einen Host oder um einen Router 5 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Nach erfolgreicher Definition wird die neue Route in die Tabelle Static Routes importiert Durch einen Kl
111. Schaltfl che OK Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema Klicken Sie mit der linken Maustaste auf die Schaltfl che Reload the Schema Schritt 4 Attribut einem Benutzer User zuweisen 1 90 Klicken Sie im Verzeichnis ADSI Edit mit der rechten Maustaste auf den entsprechenden Benutzer Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register Attributes aus und f hren Sie die folgenden Einstellungen durch Select which properties to view W hlen Sie Both aus System benutzen amp beobachten Select a property to view W hlen Sie hier das Attribut aus Beispiel Socks Syntax Dieser Wert wird beim Erstellen des Attributs gesetzt und kann hier nicht mehr ge ndert werden Beispiel It Schritt 2 Boolean Edit Attribut Mit diesem Eingabefeld kann der Wert des Attri buts editiert werden M gliche Werte sind TRUE oder FALSE Value s Hier wird der Wert des Attributs angezeigt 4 Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK F hren Sie nun die Einstellungen auf dem Internet Sicherheitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 93 erkl rt Novell eDirectory Server einstellen Auf dem Stand alone LDAP Server muss ein
112. Servername Freigabename kann man manuell eine Verkn pfung zu einem Netzlaufwerk erstellen 369 Index Index Accounting Netzwerkkarte hinzuf gen entfernen 192 ACCOUNTING orni iaia riia 191 Administrator e mail addresses E 46 Akustische Signale Beep 5 mal 109 Endlos Beep 109 Backup Einf hrung rer 66 einspielen u zu 67 E Mail Backup File generieren ercer 71 E Mail Backup File verschl sseln 70 E Mail Adressen bearbeiten a Be Be ee 72 manuell generieren 68 Benutzer Einf hrung esccerce 123 Broadcast auf ein Netzwerksegment VE e 217 auf gesamtes Internet 216 Certificate WebAdmin Site 100 Connection Tracking Helpers Einf hrung escccrce 222 Helper Module laden 223 Connection Tracking Table 227 Current System NAT Rules 227 Current System Packet Filter Rules 3a ef era use dk 227 DHCP Server Current IP Leasing Table 183 DNS Server zuweisen 181 Einf hrung esccarce 180 konfigurieren 181 Static mappings 183 370 Dienst editieren sssssssssererres 122 Filtern nn en 121 hinzuf gen saccra 118 l schen nsssssscrrrrrrsesrrrrn 122 Dienste Eipf brung 117 Dienstgruppe definieren sssssserssrreen 120 editieren ssssesesserrrree 122 l schen ana 122 DNS Proxy konfigurieren see 250 DNS Server editieren seesenennennnnnn 117 hinzuf gen saccra 113 l schen s2esssennnnesne en 117 Dynamic D
113. Syslog Server unununununnnnanananananununununnnnnnn 74 Inhaltsverzeichnis Inhalt 5 1 7 5 1 7 1 5 1 7 2 5 1 7 3 5 1 8 5 1 9 5 1 10 5 1 11 5 2 5 2 1 5 2 2 5 2 3 5 3 5 3 1 5 3 2 5 3 2 1 5 3 2 2 5 3 2 3 5 3 2 4 5 3 2 5 5 3 2 6 5 3 3 5 3 4 5 3 4 1 5 3 4 2 5 3 4 3 5 3 5 5 3 6 5 3 7 5 3 8 6 Seite User Authentication u uuunnnnanananananananannn nn 75 RADIUS uuunununununnnnanananananunununununnnnnnanananananananannn 76 SAM NT 2000 XP nunuuununnnnananananananunununnnnanananen 81 LDAP Server uunuannunnunnunnuunnunnunnannunnunnunnnunnunnunnannn 83 WebAdmin Settings sssssssssunnunnnunnnnnnnnnnnnnnnnnnnn 97 WebAdmin Site Certificate sssssssunsnnnnnnnnnnnnn 100 High Availability ssssssnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnn 103 Shut down Restart unuuuunannannunnunnnunnunnunnunnunnunn 108 Netzwerke und Dienste Definitions 110 Networks ununuununnunnnnunnanunnnnunnannnnunennannnnanennannnnnen 110 E ehren a eanu 117 d CHEN 123 Netzwerkeinstellungen Network zazuarun 127 Hostname DynDNS uzuunununnananananananananun nn nn nun 127 Interfaces unuununnnnunnunnnnunnnnunnnnunnnnunnnnannnnenn nenn 129 Standard Ethernet Interface z zuz uuunn0nanananen 133 Additional Address on Ethernet Interface 139 Wireless LAN nunnunnannnnanennanunnanennanunnnnannanannnnennne 141 Virtual LAN unennun
114. TP over Ethernet PPPoA DSL einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Inter face zu ffnen 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein A W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet e die Netzwerkkarte mit der Sys ID ethi aus Eine Netzwerkkarte auf der bereits die prim re Netzwerkkarten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden 164 System benutzen amp beobachten W hlen Sie im Drop down Men Type den Schnittstellen Typ PPTP over Ethernet PPPoA DSL connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wichtiger Hinweis Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Modem IP Address Tragen Sie hier die IP Adresse des ADSL Modems ein Die
115. Up2date stopped Next Up2Date install lation locked by HA System Up2Date failed Corrupt Up2Date package Ein besch digtes System Up2Date Paket wurde ent deckt Bitte starten Sie den Vorgang von neuem wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Invalid License Ihre Lizenz ist abgelaufen System Up2Date failed License check failed Ihre Lizenz kann nicht gepr ft werden Falls das Problem andauert setzen Sie sich mit dem Sup 355 System benutzen amp beobachten 333 334 335 336 337 338 356 port Ihres Sicherheitssystem Anbieters in Ver bindung System Up2Date failed Internal error Das System Update ist fehlgeschlagen Setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Invalid syntax Das System Update ist aufgrund einer ung ltigen Syntax fehlgeschlagen Setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Could not read Up2Date directory Das System Update ist fehlgeschlagen da das Up2Date Verzeichnis nicht gelesen werden kann Setzen Sie sich mit dem Support Ihres Sicher heitssystem Anbieters in Verbindung System Up2Date failed No installation directory Das System Update ist fehlgeschlagen da kein Installations Verzeichnis vorhanden ist
116. ag kann nun im Eingabefeld bearbeitet werden Durch einen Klick auf die Schaltfl che Replace wird der alte Eintrag ersetzt 4 4 Online Hilfe Jedes Men im Konfigura tionstool WebAdmin ent h lt eine Online Hilfe Online Help in der die Funktionen kurz erl utert werden Die Hilfe ist in be englischer Sprache verf g ad bar Die Hilfe wird durch Ze P einen Klick auf die Schalt fl che ge ffnet 42 WebAdmin Werkzeuge 4 5 Refresh Durch einen Klick auf die Schaltfl che Refresh wird das Men neu gela E den Verwenden Sie f r TERENE die Aktualisierung des E s i Men s nicht die Schalt ger EE El fl che Aktualisieren in a f der Werkzeugleiste Ihres Fee H Browsers Sie werden Am ner sonst aus der Session 4 geworfen und m ssen sich im Konfigurations tool WebAdmin neu an melden E Webadmin testen 192 1685215 43 System benutzen amp beobachten 5 System benutzen amp beobachten WebAdmin ist das web basierte Konfigurationstool das Sie bereits von der In stallation her kennen In diesem Kapitel werden ausf hrlich die Bedienung des Sicherheitssystems und seine Funktionen beschrie ben Die verschiedenen Ein stellungen werden anhand Authentication Methods Errpty list Selected Available Empiy Iet von Step by step Anleitungen
117. al Default container For new Default container for secu Organizational Container Default container for ug Securty Grow Seu Group Securty Group Securty Group In diesem Konfigurations Bei spiel wird die kleine Domain example com dargestellt Im Verzeichnis Trainees be findet sich der Benutzer Hans Mustermann DN cn hans ou trainees dc com LogonName mustermann example com mustermann dc example Dieser Benutzer k nnte sich mit seinem LogonName und seinem Passwort z B am SOCKS Proxy anmelden Das Internet Sicherheits system berpr ft in diesem Fall den DN und das Passwort von Hans Mustermann Falls es dann zum LogonName mustermann example com einen eindeutigen DN gibt und das eingegebene Passwort g ltig ist kann der Benutzer den Dienst SOCKS verwenden Falls Sie den Abfrage Typ MemberOf verwenden m chten f hren Sie am Stand alone LDAP Server Microsoft Active Directory folgende Einstellungen durch Schritt 1 Erstellen einer Security Group 1 Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf die Domain Beispiel Domain example com 2 Klicken Sie mit der linken Maustaste auf die Schaltfl che New und anschlie end auf Group Anschlie end ffnet sich das Fenster New Object Group 86 System benutzen amp beobachten Definieren Sie im Eingabefeld Group name einen eindeutigen Namen f r die Gruppe Beispiel socks_users f r den SO
118. amen des Headers ein Beispiel X Spam Score Klicken Sie anschlie end auf die Schaltfl che Weiter Was soll mit dieser Nachricht passieren Schritt 3 Definieren Sie in diesem Fenster was mit der gefilterten E Mail passieren soll Falls z B die gefilterten E Mails in einen be stimmten Zielordner verschoben werden sollen w hlen Sie die Aktion diese in den Ordner Zielordner verschieben aus Durch einen Klick auf Zielordner im Fenster Regelbeschrei bung ffnet sich ein neues Men Hier k nnen Sie entweder 10 System benutzen amp beobachten einen vorhanden Ordner ausw hlen oder einen neuen Zielordner f r die gefilterten E Mails erstellen Beispiel Spam Speichern Sie in diesem Men die neuen Einstellungen durch einen Klick auf die Schaltfl che OK Klicken Sie anschlie end auf die Schaltfl che Weiter Ausnahme hinzuf gen Schritt 4 Die Option Spam Protection berpr ft eingehende E Mails heu ristisch auf bestimmte Eigenschaften Daher kann es vorkom men dass auch ungef hrliche Nachrichten z B HTML News letter gefilteret werden In diesem Men k nnen Sie Ausnahmen definieren und so E Mails z B Nachrichten eines bestimmten Absenders von dieser Regel ausschlie en Klicken Sie anschlie end auf die Schaltfl che Weiter Geben Sie einen Namen f r die Regel ein Schritt 5 Tragen Sie in das Eingabefeld einen eindeutigen Namen f r diese Regel ein Mit den darunter liegenden Optionsfeldern k nnen Sie
119. anananananunununnnnnnanen 9 Einf hrung in die Technologie sssssssssnsnnnnnnnnnnnnn 10 Installation u ununuanananananananananununnnnnnananananannnn 19 Systemvoraussetzungen unnanunnonnnnonunnanunnannnnannnn 20 Installationsanleitung ee ER ERENKN ENKE K EECH 23 Software installieren nuauauanananananananununnnnnnananen 23 Internet Sicherheitssystem konfigurieren 28 WebAdmin Werkzeuge nzuznunununnanananananananununnn une 36 It MIT 37 Das Verzeichnis uu2n2u u n0n0nunnnnnnnnanananananan ann nun 37 Men uuusnununununununnnnananananananununununnnnnnananananananananen 38 Die Statusampel uuuanananunununununnnnnnanananananananununnn 38 Die Auswahlfelder u0u0u0un0nnanananananunananan nun 38 Das Drop down Men uznunununnnunnanananananananannnnnnn 40 Das Hierarchiefeld u u uannnananananananananunnnnn 41 Online Hilfe uauauananananananununununnnnananananananunununenn 42 Refresh nzuuauauauanananananananunununnnnnnnnanananananananannnnn 43 System benutzen amp beobachten uu nuauananananen 44 Grundeinstellungen System ee RER K KKK 46 Settings nunuaunnananananananunununununnnnnnananananananunanunnnn 46 Licensing unz unuauanananananananunununnnnnnnnanananananananunnnnn 53 Up2Date Service uauanananununununnnnanananananununununnn nen 57 G T NIT TT 66 SNMP AccesS nuanunnonunnanunnanunnanunnannnnannnnannnnannnnannn 73 Remote
120. annnunununnnnnnananananunanunnnnnnnnn 325 5 8 6 Content Filter z uuuuununnananananananunununnnnanananen 325 5 8 7 PPTP IPSec VPN uuzusuunununununnnnananananunanunnnunnnnn 326 5 8 8 Intrusion Protection ee EEN RENE K EK E ENEE EREN 326 5 8 9 ERT 326 5 8 10 HTTP Proxy Usage zunnunnunnunnnunnunnunnunnunnunnnunnunnen 326 5 8 11 Executive Report uauananununununnnnnnananananunanunnnnnnnnn 326 5 8 12 AcCcounting ENER ERERE RRE KEEN E ENER E un un KEREN KE 327 5 8 13 System Information unuauanananananananunununnnnanananen 329 5 9 Local Logs Log Files unuauanananananunanunnnnnnnnn 331 5 9 1 Settings nuauananananananunanunununnananananananunnnunnnnnnanen 331 5 9 2 Local Log File Query ununununnnnanananananananunnnnnnnnn 335 5 9 3 Browse unnuunnnnnnnnunnunnunnunnunnnnnnun nun nun nannunnnnnnunnunnen 336 5 9 3 1 Log Files ununuanananananananununununnnnnnananananunanunanunnnnn 340 5 9 3 2 Fehler Codes uauanan nannnnnununnnnnnanananananananun nen 345 5 10 Online Hilfe Online Help zuzzu0u0un00n0nanan0n 361 5 11 Firewall verlassen Exit u u uanananananananunnnnnnnnn 362 Glossar unuananananunununununnnnananananananunununnnnananananunananunununnnnnnanenn 363 Index unuauananananunananununununnnnananananunununnnnnnananananananunununnnnnnanenn 370 Notizen nunuananananananununununnnnunananananunanunununununnnnnnananananananununnnn 377 Willkommen bei
121. anununununnnn ann anne 222 Application Gateways Proxies unrauanananananen 228 5 0 B 0 ASPPEPEFERRERRTERFRETEREFTEHFETELEPETERTEECRELSTELELERETELERERFELTE 229 Content Filter Surf Protection uarananananen 236 ERT 249 Elle CHEN 251 del 253 EE 259 EI KETTEN 260 Content Filter Virus Protection raranananen 266 Spam Protection ER ERKR RRE ENEE KREE R ER EK E KEE 271 Proxy Content Manager nuanunnanunnonunnannnnunnnnenen 278 Virtual Private Networks IPSec VPN s s s 283 Connections uanauanunununununnnnananananananununnnnnnanananen 293 Policies unununuannnananananananunununnnnnnnnanananananananannnnn 301 Local KeyS nunuanananananunannnunununnnnanananananunununununnnnn 306 Remote KeyS unnunnunnnunnonnunnunnunnunnnunnunnunnunnunnunnnnn 309 L2TP over IPSec unuanunnonunnonunnanunnanunnannnnannnnnen 312 CA Management unsanunnonunnnnunnnnunnnnunn ann nannn nenn 314 Advanced zuzuuuuuununununnanananananunananunununnnnananananen 319 Inhaltsverzeichnis Inhalt Seite 5 8 System Management Reporting rananananen 322 5 8 1 Administration uasauananananananananunnnnnunnnnnnanananen 322 5 8 2 Virus ununununnanananananununununununnnnanananananananunununnnnnnnnanen 323 5 8 3 Hardware unununuanananananananununununnnnnnananananunanununnnnnnn 323 5 8 4 Network unuuunununnanananananananunununnnnnnanananananananunnnnn 324 5 8 5 Packet Filter unuauauanan
122. ardware die Wireless LAN Netzwerkkarte aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Wireless LAN Access Point aus 6 F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ Wireless LAN Access Point durch Address Weisen Sie dem Access Point eine IP Adresse zu Bei diesem Schnittstellen Type kann nur eine statische IP Adresse gesetzt werden Tragen Sie in das Eingabefeld die Adresse ein 146 System benutzen amp beobachten Netmask Bei diesem Schnittstellen Type kann nur eine sta tische Netzwerkmaske gesetzt werden Tragen Sie in das Ein gabefeld die Netzwerkmaske ein Default Gateway Wenn Sie ein Default Gateway definieren m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus SSID Tragen Sie in das Eingabefeld den Funkzellennamen ein Geben Sie eine beliebige Zeichenkette ohne Leerzeichen ein Die Zeichenkette kann maximal 32 Zeichen lang sein Channel Stellen Sie in diesem Drop down Men den Frequenz kanal des Wireless LANs ein Use WEP Wenn Sie im Wireless LAN die WEP Verschl sselung verwenden m chten w hlen Sie im Drop down Men Yes aus N Sicherheitshinweis Die WEP Verschl sselung sollte immer verwendet werden da ein ungesch tztes Wireless LAN immer ein hohes Sicherheitsrisiko darstellt Wenn Sie die WEP Verschl sselung
123. aster Address Geben Sie hier die E Mail Adresse des Postmasters ein Max Message Size Hier stellen Sie die maximale Dateigr e f r die ein und ausgehenden E Mails ein bliche Werte sind 20 oder 40 MB Bitte beachten Sie dass durch die Kodierungsverfahren an E Mails angeh ngte Dateien wesentlich gr er werden k nnen Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che Save Schalten Sie die Funktion DoS Protection durch einen Klick auf die Schaltfl che Enable ein Um Denial of Service DoS Attacken vorzubeugen werden bis zu 25 gleichzeitig eingehende SMTP Verbindungen bearbeitet Die 26 einkommende Verbindung wird nicht mehr angenommen Per Default ist die Funktion DoS Protection eingeschaltet 261 System benutzen amp beobachten 262 Definieren Sie im Fenster Incoming Mail die Route f r die ein gehenden E Mails Domain Name Damit E Mails f r eine bestimmte Domain ent gegengenommen werden k nnen muss der Name der Domain angegeben werden z B meinedomain com SMTP Host Alle E Mails f r diese Domain m ssen an einen be stimmten Host weitergeleitet werden bliche Hosts sind in diesem Fall z B der Microsoft Exchange Server oder Lotus Notes Der Host muss zuvor im Men Definitions Networks definiert werden Sie k nnen auch definieren dass E Mails an die angegebene Do main durch den MX Record zugeschickt werden Jedoch m ssen Sie zuvor sicherstellen dass die Firewall IP Adresse
124. at aus DER Tragen Sie in das Eingabefeld Passphrase das Passwort des Privat Key ein PEM F r dieses Format wird kein Passwort ben tigt PKCS 12 Tragen Sie in das Eingabefeld Passphrase das Pass wort des Private Key ein In das Eingabefeld Export Pass geben Sie ein zus tzliches Passwort ein Dieses Passwort ben tigen Sie oder ein anderer Benutzer um das Zertifikat auf dem externen Client zu importieren 3 Klicken Sie auf die Schaltfl che Start Das Zertifikat muss nun auf dem externen IPSec VPN Client installiert werden Der Installationsablauf h ngt von der IPSec Software ab die auf diesem Client verwendet wird 318 System benutzen amp beobachten 5 7 7 Advanced Advanced IPSec Settings In diesem Men k nnen Sie NAT Traversal a r a f r die Option IPSec VPN zus tzliche Einstellungen durchf hren Diese sollten allerdings nur von erfahre IKE Debug Flags Selected Available nen Benutzern durchgef hrt State Control Encryption Outgoing IKE A Raw Packets werden Incoming IKE Le Copy TOS Flag SL Send ICMP Messages as Automatic CRL Fetching aa Strict CRL Policy WI NAT Traversal Wenn diese Funktion eingeschaltet ist k nnen Hosts einen IPSec Tunnel durch NAT Ger te aufbauen Diese Funktion ver sucht zu ermitteln ob zwischen Server und Client NAT Ger te ver wendet werden Wenn NAT Ger te entdeckt werden verwendet das System zur Kommunikation mit
125. ation die IP Adresse des Servers sowie einen Benutzernamen und Passwort Diese Angaben werden vom Administrator des Internet Sicherheitssystems vergeben 1 Klicken Sie in Microsoft Windows 2000 auf Start Einstel lungen Netzwerk und DF Verbindungen Klicken Sie auf das Icon Neue Verbindung erstellen Der Netzwerksverbindungs Assistent ffnen sich Klicken Sie anschlie end auf die Schaltfl che Weiter W hlen Sie die folgende Option aus Verbindung mit einem privaten Netzwerk ber das Internet herstellen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie eine permanente Verbindung ins Internet haben w hlen Sie die folgende Option aus Keine Anfangsverbindung auto matisch w hlen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie sich zuerst ber einen Provider in das Internet ein w hlen klicken Sie auf die Option Andere Verbindung zuerst w hlen und w hlen im Auswahlmen Ihren Provider aus Diese Einstellungen k nnen Sie auch sp ter im Dialog Eigenschaften vornehmen bzw ndern Tragen Sie in das Eingabefeld Zieladresse die IP Adresse des Servers ein Klicken Sie anschlie end auf die Schaltfl che Weiter Bestimmen Sie im Fenster Verf gbarkeit der Verbindung ob der PPTP Zugang f r alle Benutzer oder nur f r Sie selbst zu Verf gung stehen soll Klicken Sie anschlie end auf die Schaltfl che Weiter 189 System benutzen amp beobachten 7 Geben Sie im Fenster Fert
126. ativer Filter oder das Wireless LAN explizit betreten d rfen positiver Filter Wie Sie die Netzwerkkarten MAC Adresse ermitteln wird nach folgend erkl rt Die MAC Adressen ermitteln Falls die Netzwerkkarten noch nicht eingebaut sind brauchen Sie die jeweilige MAC Adresse nur noch zu notieren da sich die Adresse auf der Netzwerkkarte befindet Wenn das Wireless LAN bereits in Betrieb ist und Sie den Filter nachtr glich konfigurieren m chten erhalten Sie die MAC Adresse auch mit Hilfe der folgenden Kommandozeilenbefehle Falls es sich um 144 System benutzen amp beobachten ein kleines Wireless LAN handelt und die mobilen Rechner in unmittel barer N he stehen gehen Sie folgenderma en vor 1 ffnen Sie unter MS Windows die Eingabeaufforderung 2 Sie finden die Eingabeaufforderung in MS Windows unter Start Programme Zubeh r Eingabeaufforderung 3 Geben Sie in der Kommandozeile den folgenden Befehl ein ipconfig all A Dr cken Sie auf die Enter Taste In der Zeile Physikalische Adresse steht die MAC Adresse z B 00 04 76 26 65 4C 5 Schlie en Sie anschlie end die Eingabeaufforderung Falls es sich bei Ihrem Netzwerk um ein gr eres Netzwerk handelt k nnen Sie die MAC Adressen auch mit Hilfe des Ping Befehls ermit teln 1 Stellen Sie sicher dass der jeweilige Rechner angeschaltet und hochgefahren ist 2 ffnen Sie unter MS Windows die Eingabeaufforderung Sie finden die Eingabeaufforde
127. auf die Statusampel wird die IPS Regel ein und ausgeschaltet wl zt D Die IPS Regel kann als Alarmierungsregel Intrusion Detection oder als Blockierungsregel Intrusion Prevention eingstellt werden Durch einen Klick auf das Symbol wird die IPS Regel umgeschaltet P Durch einen Klick auf das Ordner Symbol kehren Sie in die bersicht zur ck Group In dieser Spalte wird der Name der IPS Regelgruppe ange zeigt Hits In dieser Spalte wird angezeigt wie oft eine Regel aus dieser Gruppe aktiv wurde Info In der ersten Zeile erhalten Sie eine kurze Information zu die ser IPS Regelgruppe Zu den einzelnen IPS Regeln erhalten Sie aus f hrliche Informationen indem Sie mit der Maus das entsprechende Symbol ber hren In diesem Fenster werden die Parameter dieser Regel als Low Layer Information dargestellt ww Durch einen Klick auf das Symbol werden Sie mit dem entsprechenden Link im Internet verbunden Auf der Internetseite erhalten Sie weitere Informationen zu der IPS Regel Die Informatio nen werden z B in Projekten wie Common Vulnerabilities and Exposures CVE erbarbeitet und im Internet ver ffentlicht 200 System benutzen amp beobachten IPS Regel setzen Das Regelwerk kann durch eigene IPS Regeln erg nzt werden Die Regeln basieren auf der Syntax des Open Source ID Systems Snort Manuell erstellte IPS Regeln werden immer in IPS Regelgruppe local importiert Weitere informationen erhalten Sie unter der
128. aus 3 W hlen Sie im Feld Assigned local Users den lokalen Benutzer f r dieses Profile aus A W hlen Sie im Feld Assigned Network Blocks das Netzwerk f r dieses Profile aus 247 System benutzen amp beobachten 5 Schalten Sie die Profile Zuweisung durch einen Klick auf die Statusampel ein Die Statusampel zeigt Gr n Wenn nun ein Benutzer oder ein Rechner mit einem zugewiesenen Profile auf eine unerlaubte Internetseite zugreift wird der Zugang nicht nur verhindert sondern er erh lt auch eine entsprechende Meldung 248 System benutzen amp beobachten 5 6 2 DNS Mit dem DNS Proxy k nnen Sie den Clients in Ihrem Sys tem Nameserver Dienste Select 1o append z zur Verf gung stellen Wenn Allowed Networks Selected Available Emy Gol S Sie mehrere angeben wer temal l Status Di Disable Interfaces to listen on Empty list Internal gt una ri den die Server in Reihenfolge E Re ihrer Eingabe bei der Auf SE l sung von Rechnernamen befragt roadcast Die DNS Eintr ge in Netzwerkdefinitionen werden jede Minute vom DNS Resolver aufgel st Wenn nun ein DNS Eintrag auf einen Round Robin DNS verweist kann die Definition jede Minute aktualisiert wer den Das Round Robin DNS Verfahren bietet eine einfache M glichkeit die Benutzeranfragen auf einzelne Server z B in einer Server Farm zu verteilen Beim Round Robin DNS werden im Domain Name Servic
129. aus Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CSR ein Common Name Wenn Sie dieses CSR f r eine Road Warrior Verbindung erstellen m chten tragen Sie in dieses Feld den Namen des Benutzers User ein F r die Verbindung zu einem Host tragen Sie hier den Hostnamen ein Um die Eintr ge zu speichern klicken Sie auf die Schaltfl che Start Anschlie end wird der Zertifikats Antrag CSR KEY in die Tabelle Host CSRs and Certificates geladen In der Tabelle wird der Type 317 System benutzen amp beobachten der Name und die VPN ID angezeigt Diese Anfrage kann nun mit der Signing CA aus Schritt 1 signiert werden Schritt 3 Das Zertifikat erstellen 1 W hlen Sie in der Tabelle Host CSRs and Certificates den neu erstellten Zertifikats Antrag CSR KEY aus 2 W hlen Sie im Drop down Men in der Fu zeile der Tabelle die Funktion Issue CERT from CSR aus Anschlie end wird das Eingabefeld Signing CA Passphrase sichtbar Tragen Sie hier das Passwort der Signing CA ein 3 Klicken Sie auf die Schaltfl che Start Anschie end wird aus dem Antrag CSR KEY das fertige Zertifikat CERT KEY erstellt und in der Tabelle entsprechend ausgetauscht Schritt 4 Zertifikat herunterladen 1 W hlen Sie in der Tabelle Host CSRs and Certificates das neue Zertifikat aus 2 W hlen Sie im Drop down Men in der Fu zeile der Tabelle ein Download Form
130. aus Initial Members W hlen Sie im Auswahlfeld die Dienste aus indem Sie auf der Tastatur die Strg Taste gedr ckt halten und mit der Maus die Namen markieren Speichern Sie die Dienstgruppe Service Group durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird die neue Dienstgruppe Service Group in die Tabelle eingetragen Sie finden diese Dienstgruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 120 System benutzen amp beobachten Filters Mit der Funktion Filters k nnen Sie aus der Tabelle Dienste Services mit be stimmten Attributen he ES rausfiltern Diese Funktion 1024 65535 static 10555 static erleichtert das Managen 1024 65535 static se von gro en Netzwerken 2 FTP CONTROL 102465535 static HBCI 1024 65535 static a Hre 1024 65535 static mit vielen Diensten erheb Se EE SS lich da Dienste eines be stimmten Typs bersicht lich dargestellt werden k nnen All protocols and ser Any matches any service Dienste filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Name Falls Sie Dienste mit bestimmten Namen filtern m chten tragen Sie den Begriff in das Eingabemen ein Type Mit diesem Drop down Men filtern Sie Dienste eines
131. aus gef hrt in Restart wurde durchgef hrt 107 WebAdmin webserver not running restarted Der WebAdmin Webserver wird nicht ausgef hrt ein Restart wurde durchgef hrt 108 ssh server not running restarted Der SSH Server wird nicht ausgef hrt ein Re start wurde durchgef hrt 109 license server not running restarted Der License Server wird nicht ausgef hrt ein Restart wurde durchgef hrt 345 System benutzen amp beobachten 110 IT 112 150 151 152 153 154 346 configuration database server not running restarted Der Configuration Database Server wird nicht ausgef hrt in Restart wurde durchgef hrt syslog server not running restarted Der Syslog Server wird nicht ausgef hrt ein Restart wurde durchgef hrt middleware not running restarted Die MiddleWare wird nicht ausgef hrt ein Restart wurde durchgef hrt Root partition mounted at is filling up please check Die Root Partition im Verzeichnis f llt sich tmpfs partition mounted at opt tmpfs is filling up please check Die tmpfs Partition im Verzeichnis opt tmpfs f llt sich secure application partition mounted at var sec is filling up please check Die Secure Application Partition im Verzeichnis var sec f llt sich logfile partition mounted at var log is filling up please check Die Log File Partition im Verzeichnis var log f llt sich storage appli
132. aus dem privaten IP Bereich 10 x x x ausgew hlt Dieses Netzwerk wird PPTP Pool genannt und kann f r alle anderen Funktionen des Internet Sicherheitssystems genutzt werden in denen Netzwerkdefinitionen verwendet werden Falls Sie ein anderes Netzwerk verwenden wollen k nnen Sie 185 System benutzen amp beobachten entweder die bestehende PPTP Pool Definition ver ndern oder ein anderes definiertes Netzwerk als PPTP Pool festlegen Die PPTP Benutzer legen Sie in Definitions Users an Dort ist es m glich bestimmten Benutzern eigene IP Adressen zuzuweisen Die se IP Adressen m ssen nicht Bestandteil des verwendeten Pools sein Sollen diese Adressen im Paketfilter oder an anderer Stelle der Konfiguration verwendet werden m ssen sie entweder als einzelne Hosts Netzmaske 255 255 255 255 oder als Teil eines berge ordneten Netzwerkes definiert werden Hinweis Falls Sie f r Ihren PPTP Pool private IP Adressen wie z B das vordefinierte Netzwerk verwenden m ssen Sie Masquerading oder NAT Regeln f r den PPTP Pool erstellen wenn ein Zugriff auf das Internet von den PPTP Hosts aus erw nscht ist PPTP Client Parameters PPTP Client Parameters In diesem Fenster k nnen Client DNS Servers 5 S Sie den Hosts w hrend des Client WINS Servers PPTP Verbindungsaufbaus zus tzlich bestimmte Name server DNS und WINS und eine Name Service Dom ne zuweisen Client Domain 186 System benut
133. ben in Ihrer DMZ zwei HTTP Ser ver mit den IP Adressen 192 168 66 10 und 192 168 66 20 Mit Load Balancing k nnen Sie nun die auf der externen Netzwerkkarte f r den Dienst HTTP ankommenden Datenpakete auf die zwei HTTP Server verteilen Bevor Sie die Load Balancing Regel definieren k nnen m ssen Sie im Men Definitions Networks die zwei HTTP Server als Netzwerke bestehend aus je einem Host definieren und anschlie end zu einer Netzwerkgruppe zusammenfassen Das Hinzuf gen von Netzwerken Networks und die Erstellung von 178 System benutzen amp beobachten Netzwerkgruppen Network Groups wird in Kapiteln 5 2 1 ab Seite 110 schrieben Danach k nnen Sie wie nachfolgend beschrieben die Load Balancing Regel definieren Load Balancing definieren 1 ffnen Sie im Verzeichnis Network das Men NAT Masquer ading Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Load Balancing Regel Anschlie end ffnet sich ein erweitertes Eingabefenster Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Load Balancing Regel W hlen Sie im Drop down Men Rule Type die Funktion Load Balancing aus W hlen Sie im Fenster Pre Balancing Target die original Ziel adresse und den entsprechenden Dienst Service aus Address or Hostname Stellen Sie hier die original Ziel Adresse ein In der Regel ist dies die externe Adresse des Internet Sicherheitssystems Service W hlen Sie hier den
134. benutzen amp beobachten Internet Die Firewall muss wie in der linken Grafik u am dargestellt die Schnittstelle zwischen dem LAN und dem Internet sein Alle Datenpakete m s sen das Internet Sicherheitssystem passieren Wir raten dringend da Intenet St von ab die Schnittstel len der Firewall wie in Tube der rechten Grafik dar DMZ keng gestellt Ober einen Hub Firewall oder Switch physikalisch zusammen auf ein Netzwerksegment zu legen wenn dieser nicht als VLAN Switch konfiguriert ist Unter Umst nden kann es dann zu falschen ARP Aufl sungen Address Resolution Protocol kommen ARP Clash die nicht alle Betriebssysteme z B die von Microsoft verwalten k nnen Pro Firewall Netzwerk Schnittstelle muss daher auch ein physikalisches Netzwerk Segment verwendet werden Firewall Im Men Interfaces verwalten Sie alle auf dem Internet Sicherheits system installierten Netzwerkkarten und konfigurieren die Schnitt stelle zum externen Netzwerk Internet sowie die Schnittstellen zu den internen Netzwerken LAN DMZ Hinweis Beachten Sie bei der Planung und Konfiguration der Schnittstellen welche Netzwerkkarten Sie jeweils auf dem Sicherheitssystem aus w hlen F r die Schnittstelle zum externen Netzwerk Internet wird in der Regel die Netzwerkkarte mit der Sys ID eth1 verwendet F r eine sp tere Installation des High Availability HA Systems ben tigen Sie auf beiden Systemen eine Netzwerkkar
135. beobachten Detected Packets Stellen Sie in desem Drop down Men ein ab welcher Gefahrenstufe der Alarmierungsregel eine Warnung abge schickt wird Intrusion Detection e All levels Bei jeder Gefahrenstufe e High and medium severity Bei hoher und mittlerer Gefahren stufe e High serverity only Nur bei hoher Gefahrenstufe e None Es wird keine Warnung versendet Blocked Packets Stellen Sie in diesem Drop down Men ein ab welcher Gefahrenstufe der Blockierungsregel eine Warnung abge schickt wird Intrusion Prevention e All levels Bei jeder Gefahrenstufe e High and medium severity Bei hoher und mittlerer Gefahren stufe e High serverity only Nur bei hoher Gefahrenstufe e None Es wird keine Warnung versendet 197 System benutzen amp beobachten 5 4 2 Rules Das Men Rules enth lt das Intrusion Protection System Regel werk IPS Das bereits vorhandene Basisregelwerk mit den IPS An griffssignaturen wird auf Wunsch durch die Funktion Pattern Up2 Date aktualisiert Neue IPS Angriffssignaturen werden automatisch als IPS Regel in die IPS Regeltabelle importiert Die Funktion Pattern Up2Date wird in Kapitel 5 1 3 ab Seite 57 beschrieben Die IPS Regel bersicht In der bersicht sind alle IPS Regelgruppen enthalten Intrusion Protection 2 968 e 7 New Rule 7 7 Filters 7 Rules E Es Hits DI lie P attack responses O Recognition of successful attacks DO pz P backdoor D R
136. cation partition mounted at var storage is filling up please check 155 300 302 303 320 321 System benutzen amp beobachten Die Storage Application Partition im Verzeichnis var storage f llt sich Up2Date partition mounted at var up2date is filling up please check Die Up2Date Partition im Verzeichnis var up2 date f llt sich System Up2Date System Up2Date started System Up2Date wurde gestartet Weitere Informa tionen zu System Up2Dat rhalten Sie in Kapitel 5 1 3 ab Seite 57 System Up2Date No new System Up2Date Packages available Es sind keine neuen System Up2Date Pakete ver f gbar Ihr Internet Sicherheitssystem ist auf dem neusten Stand System Up2Date succeeded Prefetched new System Up2Date package s Ein oder mehrere neue System Up2Date Pakete wur den erfolgreich auf dem Internet Sicherheits system ingespielt Weiter Informationen zum neuen Up2Date Paket erhalten Sie in der Notifi cation E Mail Weitere Informationen zu System Up2Date erhalten Sie in Kapitel 5 1 3 ab Seite 57 System Up2Date failed License is not valid Der System Up2Date ist fehlgeschlagen Sie haben kein ntsprechend g ltige Lizenz System Up2Date Started System Up2Date install lation in HA Master Mode 347 System benutzen amp beobachten 322 323 350 331 352 353 354 348 Auf dem Internet Sicherheitssystem
137. chaltet Das Surf Protection Profile ist nun ediert Weisen Sie nun das Profil in der Tabelle Profile Assignment einem Netzwerk Network oder einem lokalen Benutzer Local User zu 244 System benutzen amp beobachten Die Profile Assignment Tabelle In der Tabelle Profile Assignment werden die Surf Protection Profiles aus der Tabelle Profiles den lokalen Benutzern Local Users oder Netzwerken Networks zugewiesen Damit ein Surf Protection Profile einem lokalen Benutzer zugewiesen werden kann muss der HTTP Proxy im User Authentication Modus betrieben werden Einem Netzwerk kann in jedem Betriebsmodus ein Profile zugewiesen werden Wichtiger Hinweis Wenn Sie einem Profile gleichzeitig einen lokalen Benutzer und ein Netzwerk zuweisen dann wird das Profile nur wirksam wenn der Benutzer aus dem eingestellten Netzwerk auf den HTTP Proxy zu greift Einem lokalen Benutzer oder Netzwerk kann immer nur ein Surf Protection Profile zugeordnet werden wenn Sie im Fenster Global Settings den Betriebsmodus User Au thentication eingestellt haben wird ber der Tabelle Profile Assign ment das Drop down Men Profile Assignment via angezeigt Per Default ist Local Users Network blocks eingestellt Falls Sie im Men System User Authentication einen Radius oder LDAP Server konfiguriert haben werden diese im Drop down Men angezeigt Sobald Sie einen der Server ausw hlen wird die Tabelle Profile Assignment ausgeblendet
138. chen Um in ein System einzudringen bzw eine Denial of Service DoS Attacke zu starten ben tigt der Angreifer Informatio nen zu den Netzwerk Diensten Wenn solche Informationen vorliegen ist der Angreifer m glicherweise in der Lage gezielt die Sicherheits l cken dieser Dienste auszunutzen Netzwerkdienste die die Internet Protokolle TCP und UDP verwenden sind ber bestimmte Ports er reichbar und diese Port Zuordnung ist im Allgemeinen bekannt z B ist der Dienst SMTP in der Regel dem TCP Port 25 zugeordnet Die von Diensten verwendeten Ports werden als offen open bezeichnet da es m glich ist eine Verbindung zu ihnen aufzubauen Die unbenutz ten Ports werden hingegen als geschlossen closed bezeichnet Versuche zu ihnen eine Verbindung aufzubauen scheitern Damit nun der Angreifer herausfinden kann welche Ports offen sind verwendet er ein spezielles Software Tool den Port Scanner Dieses Programm versucht mit mehreren Ports auf dem Zielrechner eine Verbindung aufzubauen Falls dies gelingt meldet es die entsprechenden Ports als offen und der Angreifer hat die n tigen Informationen welche Netzwerkdienste auf dem Zielrechner verf gbar sind Der Port Scanner kann z B folgende Informationen liefern Interesting ports on 10 250 0 114 The 1538 ports scanned but not shown below are in state closed Port State Service 25 tcp opensmtp 135 tcp openloc srv 139 tcp filterednetbios ssn 195
139. chert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Assigned local Users In desem Feld w hlen Sie den lokalen Benutzer aus 246 System benutzen amp beobachten Durch einen Klick auf das Feld mit dem Eintrag wird das Auswahlfeld ge ffnet Mit der Schaltfl che Save werden die nderungen gespei chert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Wichtiger Hinweis Wenn Sie einem Profile gleichzeitig einen lokalen Benutzer und ein Netzwerk zuweisen dann wird das Profile nur wirksam wenn der Benutzer aus dem eingestellten Netzwerk auf den HTTP Proxy zu greift Einem lokalen Benutzer oder Netzwerk kann immer nur ein Surf Protection Profile zugeordnet werden Assigned Network Blocks In diesem Feld w hlen Sie das Netz werk aus Durch einen Klick auf das Feld mit dem Eintrag wird das Auswahlfeld ge ffnet Mit der Schaltfl che Save werden die nderungen gespei chert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Surf Protection Profile zuweisen Per Default befindet sich in der Tabelle bereits eine Blanko Zuwei sung Blank Assignment Falls Diese Blanko Zuweiung noch nicht editiert wurde fahren Sie mit Schritt 2 fort 1 F gen Sie durch einen Klick auf die Schaltfl che Add blank Assignment eine neue Blanko Zuweisung in die Tabelle ein 2 W hlen Sie im Feld Profile Name das Surf Protection Profile
140. chert miteinander verbin den Wenn ein VPN Endpunkt nur aus einem Host besteht so reicht der VPN Tunnel bis zu diesem Rechner und wird dort ver und ent schl sselt Bei einem Netzwerk ist ein Security Gateway vorhanden welches die VPN Verbindung verwaltet und die Daten ver und entschl sselt Der Datenverkehr zwischen dem Security Gateway und dem Netzwerk ist nicht verschl sselt Der Datenaustausch zwischen zwei Gegenstellen ber das Public Wide Area Network WAN erfolgt ber ffentliche Router Switches und andere Netzwerkkomponenten und wird allgemein als unsicher angesehen Es besteht theoretisch an jedem dieser Punkte die M glichkeit gesendete Nachrichten im Klartext mitzulesen Mit Hilfe von IPSec VPN wird zwischen den beiden Endpunkten ein virtu eller verschl sselter IP Security IPSec Tunnel durch das WAN erzeugt 283 System benutzen amp beobachten Ein IPSec Tunnel besteht aus einem Paar richtungsgebundener Security Associations SA einem f r jede Richtung der Kommuni kation Ein IPSec SA besteht aus drei Komponenten e dem Security Parameter Index SPI e der IP Adresse des Empf ngers e einem Security Protocol Authentication Header AH oder Encapsulated Security Payload ESP Die SA erm glicht dem IPSec VPN Tunnel folgende Sicherheitsfunk tionen e Geheimhaltung durch Verschl sselung e Datenintegrit t durch Datenauthentifizierung e Senderauthentifizierung durch PSK RSA oder X 509 Zertifikate
141. chs Die IPSec VPN Funktion dieses Internet Sicherheitssystems unterst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X MODP 3072 und Group X MODP 4096 Die zu verwendende Gruppe wird von der Gegenstelle der IPSec Verbindung bestimmt SA Lifetime secs Hier definieren Sie die Dauer der IKE Ver bindung in Sekunden Nach der Installation sind standardm ig 7800 Sekunden 2h 10 min eingestellt Generell ist eine Zeitspanne zwischen 60 und 28800 Sekunden 8 Stunden m glich Definieren Sie im Fenster IPSec Settings die Einstellungen f r die IPSec Verbindung IPSec Mode Dieses System unterst tzt den Tunnel Mode IPSec Protocol Dieses System unterst tzt nur das Protokoll ESP Encryption Algorithm Hier w hlen Sie den Algorithmus f r die Verschl sselung der IPSec Verbindung aus Dieses System unterst tzt die Verschl sselungs Algorithmen 1DES 56bit 3DES 168bit AES Rijndael 128bit AES Rijndael 192bit AES Rijndael 256bit Blowfish Serpent 128bit und Twofish Wenn Sie die IPSec Verbindung ohne Ver schl sselung aufbauen m chten w hlen Sie null aus Enforce Algorithm Wenn ein IPSec Gateway einen Vorschlag bzgl eines Verschl sselungsalgorithmus und der St rke macht kann es vorkommen dass das Gateway der Gegenstelle diesen 303 System benutzen amp beobachten Vorschlag annimmt obwohl die IPSec Policy diesem nicht ent spricht Um dies zu verhindern muss Enforce
142. ck auf das Symbol gelangen Sie wieder in die bersicht Die zus tzlichen Funktionen im Unterverzeichnis wer den im Abschnitt Das Log File Unterverzeichnis beschrieben File Count Name In dieser Spalte wird die Anzahl der vorhandenen Dateien Files angezeigt Die alten Protokolle k nnen im Unterver zeichnis ge ffnet werden Activity Falls in einer Gruppe seit Mitternacht Prozesse protokolliert werden wird in dieser Spalte eine entsprechende Meldung angezeigt e Now Es werden in diesem Moment Protokolle erstellt e Today Es wurden seit Mitternacht Protokolle erzeugt Das aktuelle Protokoll Live Log kann durch einen Klick auf die Meldung Now oder Today ge ffnet werden Size In dieser Spalte wird die Gr e der Log File Gruppe angezeigt CH Durch einen Klick auf das Download Symbol k nnen Sie die Log Files auf Ihren lokalen Client herunterladen Diese Log Files k nnen anschlie end zur Auswertung der Daten in externe Program me z B Microsoft Excel importiert werden 337 System benutzen amp beobachten Das Log File Unterverzeichnis Im Unterverzeichnis befinden sich alle Protokolle Logs einer Gruppe Die Untergruppe wird in der bersicht durch einen Klick auf das Ord ner Symbol P ge ffnet Browse local Log Files Total 121 entries 102 filtered E 7 Name File Count Name A 3 rg Accounting data 4 files 184 di rig Admin notifications a files Today 3064 rig Boot messages 6 files 347
143. ction Drop Comment optional Tragen Sie einen Kommentar ein 2 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition 217 System benutzen amp beobachten 5 5 2 ICMP ICMP Settings ICMP Settings ICMP Forwarding ICMP on Firewall Log ICMP Redirects In diesem Fenster werden die Einstellungen f r das Internet Control Message Protocol ICMP vorge nommen ICMP ist notwendig um die Netzwerkverbindungen und Funktionalit t des Internet Sicherheitssystems zu testen Des Weite ren wird ICMP zur Fehlerbenachrichtigung und zu Diagnosezwecken verwendet N here Informationen zu ICMP finden Sie auch unter Ping und Hinweis i Traceroute ICMP on Firewall und ICMP Forwarding beziehen sich immer auf alle IP Adressen Any Wenn diese Funktionen eingeschaltet sind Statusampel zeigt Gr n k nnen alle IPs die Firewall ICMP on Firewall bzw das Netzwerk dahinter ICMP Forwarding an pingen Einzelne IP Adressen k nnen dann nicht mehr mit Paketfilter regeln ausgeklammert werden Die hier getroffenen Einstellungen haben stets Priorit t gegen ber Wichtiger Hinweis den Einstellungen die im Paketfilterregelsatz definiert sind Wenn die ICMP Einstellungen ausgeschaltet sind Statusampel zeigt Rot kann man mit geeigneten Paketfilterregeln einzelnen IPs und Netzwerken das Senden von ICMP Paketen auf die Firewall bzw durch die Firewall erlauben 218 S
144. d k nnen Sie die Eingaben bearbeiten Eintr ge l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 9 4 2 Masquerading Add New NAT Rule Masquerading ist eine Son ER derform von SNAT bei der Network z viele private IP Adressen auf ua BEE eine einzige ffentliche IP Adresse umgesetzt werden d h Sie verbergen interne IP Adressen und Netzwerkin formationen nach au en Die Unterschiede zwischen Masquerading und SNAT sind e Bei Masquerading geben Sie nur ein Quellnetzwerk an Es werden automatisch alle Dienste Ports in die bersetzung mit einbe zogen e Die bersetzung findet nur dann statt wenn das Paket ber die angegebene Netzwerkkarte versendet wird Als neue Quelladresse wird stets die Adresse dieser Netzwerkkarte in die Datenpakete eingef gt 176 System benutzen amp beobachten Damit eignet sich Masquerading besonders um private Netzwerke in einem LAN hinter einer offiziellen IP Adresse an das Internet anzu binden Masquerading definieren Legen Sie ber die Drop down Men s fest welches Netzwerk auf welcher Netzwerkkarte maskiert werden soll Im Normalfall w hlt man die externe Netzwerkkarte Hinweis Damit von den Clients aus dem hier definierten Netzwerk eine Ver bindung zum Internet aufgebaut werden kann m ssen im Men Packet Filter Rules die entsprechenden Regeln gesetzt werden Das Setzen der Paketfil
145. d das System den Hot Standby Modus erreicht ert nen kurz hintereinander zwei Beeps und die LED Anzeige h rt auf zu blinken Das System 2 erkennt ber die Datentransfer Leitung das aktive System 1 und verbleibt im Hot Standby Modus Das High Availability System ist nun aktiv ber die Datentransfer Verbindung wird das Internet Sichereits system im Hot Standby Modus st ndig aktualisiert Sobald das aktive System wegen einem Hardware Defekt ausf llt f hrt das zweite System automatisch in den Normal Modus und bernimmt dessen Funktion 5 1 191 Shut down Restart Mit Restart wird das Internet Sicherheitssystem heruntergefahren und wieder gestartet Der Restart kann je nach Hardware und Konfi guration bis zu 5 Minuten dauern Restart 1 ffnen Sie im Verzeichnis System das Men Shut down Restart 2 W hlen Sie im Drop down Men Action die Aktion Restart aus 3 Best tigen Sie Ihre Auswahl durch einen Klick auf die Schalt fl che Start 4 Beantworten Sie die Frage Do you really want to restart durch einen Klick auf die Schaltfl che OK 108 System benutzen amp beobachten Mit Shut down k nnen Sie das Internet Sicherheitssystem herunter fahren F r Applikationen ohne Bildschirm und oder LCD Display ist beson ders interessant dass nach dem das System heruntergefahren wurde ein akustisches Signal ert nt Endlos Beep mit einer Sekunde Pause Der Vorgang dauert je nach Hardware und Konfiguration bis zu 5
146. definieren Sie die IPSec Virtual IP optional KTRS TEE Remote Key Objekte Ein IPSec Remote Key Objekt repr sentiert eine IPSec Gegenstelle Diese Gegen stelle kann ein Security Gateway ein Host oder auch ein Road Warrior mit dynamischer IP Adresse sein Remote Keys Name Type Ein IPSec Remote Key Objekt enth lt drei Parameter e Die IKE Authentifizierungsmethode PSK RSA X 509 e Die IPSec ID der Gegenstelle IP Hostname E Mail Adresse Certificate e Die Authentifizierungsdaten Shared Secret mit PSK Public Key mit RSA X 509 Zertifikate werden w hrend dem Key Exchange bermittelt F r jede IPSec Gegenstelle muss ein IPSec Remote Key Objekt definiert werden IPSec Remote Key definieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Remote Keys Das Fenster New Remote IPSec Key wird sofort angezeigt 2 Tragen Sie in das Eingabefeld Name einen Namen f r den neuen Remote Key ein Virtual IP Key Wenn Sie den IPSec Remote Key f r eine Standard Verbindung konfigurieren fahren Sie mit Schritt 3 fort Virtual IP Key optional Mit dieser Funktion k nnen Sie einem Road Warrior eine virtuelle IP Adresse zuweisen Dies ist die einzige Methode eine virtuelle IP Adresse manuell auszu 309 System benutzen amp beobachten 310 tauschen Wenn Sie in das Eingabefeld eine IP Adresse ein tragen dann muss diese auch auf dem Road Warrior eingetragen werden Achtung Die Funktion Virtual IP Key
147. definiert wird Bei einer Ethernet Netzwerkarte betr gt die MTU maximal 1500 Byte Beim Schnittstellen Typ Standard Ethernet Interface ist per Default bereits ein MTU Wert definiert 1500 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 138 System benutzen amp beobachten 5 9 2 2 Additional Address on Ethernet Interface Add Interface Einer Netzwerkkarte k nnen Name Marketin ad D 5i mehrere zus tzliche IP Hardware eth0 Asustek SiS900 10 100 Ethernet eer Gd on ahemetwienace Adressen zugeordnet wer Ka den IP Aliase Diese Funk Netmask
148. dem Accounting wer SE a den auf den Netzwerkkarten alle transportierten IP Pa SE z kete erfasst und die Daten Ignored Networks Selected Available Emmyt D ent menge aufsummiert In die En sem Men k nnen Sie spezi fizieren auf welchen Netz werkkarten der anfallende Datenverkehr gez hlt werden soll Sie haben die M glichkeit die gesammelten Daten im Men Log Files Accounting herunterzuladen oder eine t gliche Auswertung der Da ten im Men Reporting Accounting zu konfigurieren Interfaces Empty list Im Normalfall sollte das Accounting nur auf einer Netzwerkkarte durchgef hrt werden da sonst weitergeleitete Datenpakete mehr mals gez hlt werden Wenn Sie Masquerading verwenden sollten Sie das Accounting auf der internen Netzwerkkarte durchf hren Datenpakete die auf der externen Netzwerkkarte das Internet Sicherheitssystem verlas sen wurden bereits auf die neue Quelladresse umgeschrieben Wichtiger Hinweis Sie haben auch die M glichkeit Hosts oder Netzwerke vom Ac counting auszuschlie en Nach Installation des Internet Sicherheits systems sind alle Netzwerke in die Accounting Funktion einbezogen Netzwerk vom Accounting auszuschlie en k nnte von Interesse sein wenn z B die Netzwerkkarte zur DMZ im Accounting eingetragen ist aber ein einzelner Rechner im DMZ nicht mitgez hlt werden soll Da er eventuell nur f r interne Zwecke genutzt wird macht es keinen Sinn se
149. den bei denen im Regelsatz unter Packet Filter Rules die Funktion Log aktiviert wurde Current System Packet Filter Rules Im Fenster Current System Packet Filter Rules k nnen fortgeschrittene Administratoren in Echt zeit das Ergebnis der Filterregeltabelle sehen und deren Umsetzung im Kernel Des Weiteren werden auch alle systemgenerierten Filter regeln angezeigt Current System NAT Rules Im Fenster Current System NAT Rules werden alle definierten und systemgenerierten NAT Regeln aufgelistet Connection Tracking Table Im Fenster Connection Tracking Table wird der Netzwerkdatenverkehr analysiert und eine Liste mit den gegenw rtig erstellten Verbindungen dargestellt 227 System benutzen amp beobachten 5 6 Application Gateways Proxies W hrend der Paketfilter Packet Filter auf Netzwerk Ebene den Datenverkehr filtert wird durch den Einsatz von Proxies Appli cation Gateways die Sicherheit der Firewall zus tzlich auf Appli cation Ebene erh ht da zwischen Client und Server keine direkte Verbindung besteht Jeder Proxy kann speziell f r seinen Dienst wiederum weitere Sicherheitsdienste anbieten Durch das Wissen jedes Proxies um den Kontext seines Dienstes ergeben sich umfangreiche Sicherungs und Protokollierungsm glichkeiten Die Analyse ist auf dieser Kommunika tionsebene besonders intensiv m glich da der Kontext der Anwen dungsdaten jeweils klar durch Protokollstandards definiert ist Die Proxies konzentrieren s
150. der CA hinsichtlich der darin verwendeten Informationen Name Firma Ort usw eindeutig Es kann kein zweites Zertifikat mit dem gleichen Inhalt erzeugt werden auch nicht wenn das Erste zuvor gel scht wurde Mit dem Men CA Management sind Sie in der Lage drei ver schiedene Zertifikats Typen zu verwalten Diese k nnen wiederum f r verschiedene Zwecke eingesetzt werden Dies h ngt davon ab ob jeweils der Private Key mit abgespeichert wurde CA Certificate Authority Certificate Wenn ein CA ohne Private Key gespeichert wird kann dieses bei ankommenden IPSec Verbin dungen zur Authentifizierungs berpr fung des Host und Benutzer Zertifikats verwendet werden Ein solches CA wird als Verification CA bezeichnet Wenn im CA ein Private Key vorhanden ist kann es zum Signieren von Zertifikatsanfragen verwendet werden um daraus ein g ltiges Zertifikat zu erstellen Dieses CA wird dann Signing CA genannt Auf Ihrem System k nnen mehrere Verfication CAs vorhanden sein allerdings nur ein Signing CA Host CSR Certificate Signing Request Dies ist eine Zertifikats Anfrage von einem Host Wenn Sie die Anfrage mit einem Signing CA signieren wird der Host CSR zu einem g ltigen Host Zertifikat 314 System benutzen amp beobachten Host Certificate Das Zertifikat beinhaltet den Public Key des Hosts sowie Informationen durch die der Host identifiziert wird z B die IP Adresse oder den Benutzer Das Zertifikat ist au erdem d
151. det f r die sichere Kommunikation auf der IP Ebene zwei Protokolle e Authentication Header AH ein Sicherheitsprotokoll f r die Authentifizierung des Absenders sowie zur berpr fung der Inte grit t des Inhalts e Encapsulating Security Payload ESP ein Sicherheitsproto koll f r die Verschl sselung des kompletten Paketes sowie f r die Authentifizierung des Inhalts Das Authentication Header Protokoll AH erm glicht die ber pr fung der Authentizit t und der Integrit t des Paketinhalts Des Weiteren wird gepr ft ob die Sender und Empf nger IP Adresse ge ndert wurde Die Authentifizierung des Pakets erfolgt anhand einer Pr fsumme die mittels eines Hash based Message Authentication Codes HMAC in Verbindung eines Schl ssels und einem der folgen den Hash Algorithmen berechnet wurde Der Message Digest Version 5 MD5 Algorithmus erzeugt aus einer Nachricht mit beliebiger L nge einen 128 bit langen Hash Wert Dieser resultierende Hash Wert wird als eine Art Fingerabdruck des Paketinhalts verwendet um den Absender zu pr fen Dieser Hash Wert wird auch als digitale Signatur oder als Message Digest bezeichnet Der Secure Hash SHA 1 Algorithmus erzeugt analog zum MD5 einen 160 bit langen Hash Wert SHA 1 ist aufgrund des l ngeren Schl ssels sicherer als MD5 Der Aufwand einen Hash Wert mittels SHA 1 zu berechnen ist im Vergleich zum MDS Algorithmus etwas h her Dies kommt allerdings infolge der heutigen Pr
152. die Spalte mit den Positionsnummern 212 System benutzen amp beobachten Filters Mit der Funktion Filters k nnen Sie aus der Tabelle Paketfilterregeln Packet Filter Rules mit bestimmten Attributen herausfiltern Diese Funktion erleichtert das Managen von gro en Netzwerken mit einem umfangreichen Regelwerk da Regeln eines bestimmten Typs ber sichtlich dargestellt werden k nnen Regeln filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Group Falls Sie Regeln einer bestimmten Gruppe filtern m ch ten w hlen Sie diese im Drop down Men aus State Mit diesem Drop down Men filtern Sie Regeln mit einem bestimmten Status Source Mit diesem Drop down Men filtern Sie Regeln mit einer bestimmten Quelladresse Service Falls Sie Regeln mit einem bestimmten Dienst filtern m chten w hlen Sie diesen im Drop down Men aus Action Mit diesem Drop down Men filtern Sie Regeln mit einer bestimmten Aktion Destination Port Mit diesem Drop down Men filtern Sie Re geln mit einer bestimmten Zieldresse Log Mit diesem Drop down Men filtern Sie Regeln die proto kolliert werden Comment Falls Sie Regeln mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein Um den Filter zu
153. dress Upstream Proxy Server definieren 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable bei Status ein und f hren Sie die folgenden Einstel lungen durch Proxy IP Address Tragen Sie in das Eingabefeld die IP Adres se des Upstream Proxy Servers ein Proxy TCP Port Tragen Sie in das Eingabefeld den Port des Upstream Proxy Servers ein 3 Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save 4 Falls f r den Zugriff auf den Upstream Proxy Server eine Authen tifizierung ben tigt wird schalten Sie die Funktion Use Authen tication ein und f hren Sie die folgenden Einstellungen durch Username Tragen Sie in das Eingabefeld den Benutzernamen ein Password Tragen Sie in das Eingabefeld das Passwort ein 5 Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save 65 System benutzen amp beobachten 5 1 4 Backup Mit der Funktion Backup k nnen Sie die Einstellungen Ihres Inter net Sicherheitssystems auf einer lokalen Festplatte sichern Mit a SEHE Hilfe der Backup Datei sind Sie Conirmation in der Lage ein neu installiertes System auf einen identischen Konfigurationsstand zu bringen Dies ist bei einem Hardware Defekt besonders hilfreich da binnen Minuten ein neues Internet Sicherheitssystem installiert und anschlie end das Backup ein
154. e chenden Firmendaten in das Drop down Men und die Eingabe felder ein Country W hlen Sie in diesem Drop down Men das Land aus State Tragen Sie das Bundesland ein City Tragen Sie die Stadt ein Organization Tragen Sie den Firmennamen ein Section Tragen Sie die Abteilung ein E Mail Address Tragen Sie die E Mail Adresse ein ber die Sie eventuell kontaktiert werden m chten 3 Tragen Sie in das Eingabefeld Hostname or IP Address den Hostnamen oder die IP Adresse des Sicherheitssystems ein ber die Sie mit Ihrem Browser auf WebAdmin zugreifen Beispiel Wenn Sie ber die Adresse https 192 168 10 1 auf das Konfigurationstool WebAdmin zugreifen tragen Sie 192 168 10 1 in das Eingabefeld ein 101 System benutzen amp beobachten 4 Speichern Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Save Zertifikat f r WebAdmin installieren 1 Um nun das CA Zertifikat auf Ihrem Browser zu installieren klicken Sie im Fenster Certificate Installation auf die Schalt fl che Install Certificate into Browser Die anschlie enden Dialoge sind von Ihrem Browsertyp ab h ngig Bei Microsoft Internet Explorer z B ffnet sich der Dia log Dateidownload Datei auf Datentr ger speichern Mit dieser Option k nnen Sie das Zertifikat vor der Installation auf einem lokalen Daten speicher sichern Die Datei von ihrem aktuellen Ort ffnen Mit dieser Option wird das Zertifikat direkt ge ffnet Im F
155. e DNS einem Hostnamen die IP Adressen aller Server der Server Farm zugeordnet Wenn nun Clients die IP Adresse dieses Hostnamens dort anfragen meldet der DNS der Reihe nach diese IP Adressen zur ck Auf diese Weise wird eine Aufteilung der Client Anfragen auf die jeweiligen Server erreicht Der Nachteil beim Round Robin Verfahren ist dass weder der Ausfall noch die Auslastung der einzelnen Server ber cksichtigt wird Wenn kein Nameserver im Men Forwarding Name Servers einge tragen ist werden alle Nameserver Anfragen an die Internet ROOT Nameserver geschickt Falls Ihr Internet Service Provider oder Sie selbst einen Nameserver betreiben sollte dieser eingetragen sein Abfragen an diesen lokalen Nameserver sind immer schneller als Anfragen an die ROOT Nameserver Die ROOT Nameserver sind ein fester Bestandteil des Internets 15 ROOT Nameserver sind weltweit verteilt und bilden die Ur Instanz f r alle untergeordneten Nameserver 249 System benutzen amp beobachten Tipp Selbst wenn Sie den DNS Proxy nicht benutzen m chten ist es sinn voll die Nameserver Ihres Internet Service Providers als Forwarder zu konfigurieren Diese werden dann auch bei abgeschaltetem Proxy von der Firewall selbst verwendet Damit wird zur Entlastung des ROOT Nameservers beigetragen und die Firewall erzeugt nur lokale Anfra gen die in der Regel schneller beantwortet werden DNS Proxy konfigurieren 1 2 250 ffnen Sie im Verzeichnis P
156. e ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein Beispiel Extern f r eine Verbindung zum Internet A W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet die Netzwerkkarte mit der Sys ID eth1 aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Standard Ethernet interface aus Beachten Sie dass einer Netzwerkkarte nicht gleichzeitig der Typ Standard Ethernet Interface und PPP over Ethernet PPPoE DSL Connection oder PPPTP over Ethernet PPPoA DSL Connection zugewiesen werden kann 6 F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ durch Address Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Wichtiger Hinweis 134 System benutzen amp beobachten Netmask Falls Sie eine statische Netzwerkmaske eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netz werkmaske durch einen DHCP Server
157. e Enable ein Anschlie end wird das Eingabefenster ge ffnet W hlen Sie im Auswahlfeld unter dem Fenster Queried Net works die Netzwerke aus f r die ein detailliertes Protokoll er stellt werden soll In der Regel ist dies Ihr LAN und oder das DMZ Netzwerk Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben Wichtiger Hinweis Stellen Sie im Auswahlfeld Queried Networks nicht Any ein da dies zur Folge hat dass alle Quell und Zielnetzwerke behan delt werden Dies bedeutet dass kein Accounting erfogt Netzwerke werden sofort bernommen und erscheinen an schlie end im Fenster Queried Networks 328 System benutzen amp beobachten 5 8 13 System Information System Information In diesem Men stehen Disk Partition Status Process List Interface Information ARP Table Local Network Connections Fenster dargestellt Durch einen Klick werden diese Fenster ge ffnet SE 3 host domain com Disk Partition Status Microsoft Internet Explorer host domain com Disk Partition Status WM Auto refres Filesysten 1K blocks Used Available Use Mounted on dev root 608756 303736 274096 53 dev hdas 350007 8239 323695 3 var up2date dey hdal0 917104 16580 853936 2 tmp E zix Toot 66 0 0 00 0 0 SW Sept 0 00 kJournald root 67 o0 o0 0 0 SW wen 0 00 kjournald root 187 0 0 0 3 1808 908 gt S AprOl 1 05 sbin syslog ng f eto
158. e IPSec VPN Verbindung aufge baut wurde werden die PaketfilterregIn f r den Datenverkehr automatisch hinzugef gt Beim Beenden der Verbindung werden die Paketfilterregeln wieder entfernt Die Funktion Auto Packet Filter ist f r die Verbindungs Typen Standard und Road Warrior verf gbar 296 System benutzen amp beobachten N Sicherheitshinweis Wenn Sie die Security Policy konsequent durchf hren m chten schalten Sie die Funktion Auto Packet Filter aus und setzen stattdessen die entsprechende Paketfilterregel im Men Packet Filter Rules Strict Routing Wenn die Funktion eingeschaltet ist On er folgt das VPN Routing nicht nur mit der Zieladresse sondern in bereinstimmung mit der Quell und der Zieladresse Bei eingeschaltetem Strict Routing ist es m glich von verschie denen Quelladressen zu einem Netzwerk gleichzeitig unver schl sselte und verschl sselte Verbindungen einzustellen Wenn die Funktion Strict Routing ausgeschaltet ist Off k n nen durch Setzen von Source NAT Regeln weitere Netzwerke und Hosts an den IPSec VPN Tunnel angeschlossen werden Die Funktion Strict Routing kann nur beim Verbindungs Typ Standard ein und ausgeschaltet werden Bei allen anderen Ver bindungs Typen ist die Funktion immer eingeschaltet W hlen Sie im Fenster Endpoint Definition die Endpunkte des IPSec Tunnels aus Local Endpoint W hlen Sie im Drop down Men den lokalen Endpunkt aus W hlen Sie hierf r immer die Netz
159. e der Methode eingeleitet Methoden bestimmen die Aktion der Anforderung Die aktuelle HTTP 234 System benutzen amp beobachten Spezifikation sieht acht Methoden vor OPTIONS GET HEAD POST PUT DELETE TRACE und CONNECT In diesem Abschitt werden nur die Methoden GET und PUT erkl rt Die Methode GET dient zur Anforderung eines Dokuments oder einer anderen Quelle Eine Quelle wird dabei durch den Request URL identifiziert Man unterscheidet zwei Typen Conditional GET und partial GET Beim Conditional GET Typ ist die Anforderung von Daten an Bedingungen gekn pft Die genauen Bedingungen sind dabei im Header Feld Conditional hinterlegt Oft gebrauchte Bedingungen sind z B If Modified Since If Unmodified Since oder If Match Mit Hilfe dieser Bedingung l sst sich die Netzbelastung deutlich verringern da nur noch die wirklich ben tigten Daten bertragen werden In der Praxis nutzen z B Proxyserver diese Funktion um die mehrfache bertragung von Daten die sich bereits im Cache befinden zu verhindern Das gleiche Ziel verfolgt die partielle GET Methode Sie verwendet das Range Header Feld das nur Teile der Daten bertr gt die der Client jedoch noch verarbeiten kann Diese Technik wird f r die Wiederaufnahme eines unterbrochenen Datentransfers verwendet Die Methode PUT erlaubt die Modifikation bestehender Quellen be ziehungsweise Erzeugung neuer Daten auf dem Server Im Unter schied zur POST Methode identifiziert der URL i
160. e erhalten Sie in Kapitel 5 1 3 ab Seite 57 Virus Pattern Up2Date No pattern installation for Virus pattern needed Virus Pattern Up2Date succeeded Installed new Virus Pattern Ein oder mehrere neue System Up2Date Pakete wur den erfolgreich auf dem Internet Sicherheits system installiert Weitere Informationen zum neuen Up2Date Paket erhalten Sie in der Notifi cation E Mail Daily log file archive Dies ist eine Archiv Datei Das Datum dieser Log Files wird in der Notification angegeben Log file partition is filling up Die Log File Partition f llt sich Die derzeit erreicht Auslastung der Partition wird in der Notification angezeigt Die Aktion des Internet Sicherheitssystems richtet sich nach den Ein stellungen im Men Local Logs Settings Pr fen Sie die Einstellungen im WebAdmin und l schen Sie zur Sicherheit manuell alte Log Da teien damit vom Internet Sicherheitssystem kei ne wichtigen Log Files entfernt werden Di gel schten Dateien und oder Verzeichnisse werden im Anhang aufgelistet Intrusion Protection Event 349 System benutzen amp beobachten 851 855 350 Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als niedrige Priorit t einge stuft Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Event Event buffe
161. e reserviert sind Um den WebAdmin nach einer nderung anzusprechen m ssen Sie den Port mit einem Doppelpunkt getrennt an die Sicherheitssystem IP Adresse anh ngen z B https 192 168 0 1 1443 97 System benutzen amp beobachten Access and Authentication Access and Authentication Allowed Networks Selected Available Any m Authentication Methods Local Users Empty list Allowed Users Selected Available Empty list Log Access Network Traffic Enable Allowed Networks Im Auswahlfeld werden die Netzwerke hinzugef gt von denen aus auf WebAdmin zugegriffen werden darf Wie auch bei SSH ist hier f r eine reibungslose In stallation Any eingetragen In diesem Fall darf falls das Passwort zur Verf gung steht von berall auf WebAdmin zugegriffen werden Sobald Sie einschr nken k nnen von wo aus das Internet Sicher i Sicherheitshinweis heitssystem administriert werden soll z B Ihre IP Adresse im loka len Netzwerk ersetzen Sie den Eintrag Any im Auswahlfeld Allowed Networks durch ein kleineres Netzwerk Am sichersten ist es wenn nur ein Administrations PC per HTTPS auf das Internet Sicherheitssystem Zugriff hat Netzwerke definieren Sie im Men Definitions Networks Authentication Methods Mit dem Auswahlfeld bestimmen Sie die Methode zur Authentifizierung Damit Sie nach der Installation ber das Konfigurationstool WebAdmin Zugriff auf das Internet Sicher h
162. ect Die E Mail wird mit der Fehlernumer 5xx und einem Kom mentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu verenden e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Des Weiteren wird in den Be treff des E Mails der Hinweis SPAM hinzugef gt Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Spam Sender Whitelist Diese Kontrollliste wird f r die Funktion Spam Protection definiert Tragen Sie in die Liste die E Mail Adres sen der Absender ein deren Nachrichten nicht gefiltert werden sollen Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Die Header Es gibt viele Funktionen bei denen der Nachricht ein Header hinzu gef gt wird Dieser
163. eim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ist per Default bereits ein MTU Wert definiert 1460 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot System benutzen amp beobachten 7 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden 8 Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 169 System benutzen amp beobachten 5 3 3 Routing oree Jeder an ein Netzwerk ange Ee schlossene Rechner verwen det eine Routing Tabelle Mittels dieser Routing Ta Target Please select Kernel Routing Table en belle stellt der Rechner fest ob er ein Datenpaket direkt an den Zielrechner im gleichen Netzwerk oder an einen Router versenden muss Static
164. eis ob der Vorgang fortgesetzt werden soll mit einem Klick auf die Schalt fl che Ja Beim ersten Start des WebAdmin ffnet sich ein Men mit den Fenstern License Agreement und Setting System Pass words Installation 2 Lizenzbestimmungen akzeptieren Die Lizenzbestimmungen im Fenster License Agreement ak zeptieren Sie durch einen Klick auf das Optionsfeld I agree to the terms of the license Hinweis Beachten Sie die rechtlichen Hinweise und Lizenzbestimmungen a 3 Passw rter setzen Setzen Sie im Fenster Setting System Passwords die Passw r ter f r das Internet Sicherheitssystem N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4 Sie k nnen WebAdmin nur starten wenn Sie f r die folgenden Funktionen ein Passwort gesetzt haben Best tigen Sie die Pass w rter durch die nochmalige Eingabe in das jeweilige Eingabefeld Confirm Der Benutzernamen Username ist vorgegeben und kann nicht ge ndert werden WebAdmin User Zugang zum WebAdmin Der Benutzername lautet admin Shell Login User Zugang via SSH Der Benutzername lautet loginuser Shell Administrator User Administratorrechte f r das ge samte Internet Sicherheitssystem Der Benutzername lautet root 29 Installation 30 N Sicherheitshinweis Setzen Sie f r Shell Login und Shell Administrator un terschiedliche
165. eitssystem haben wurde hier bereits w hrend der Installation die Authentifizierungsmethode Local Users definiert und im Auswahl men Allowed Users der entsprechende Benutzer User angelegt Weitere m gliche Authentifizierungsmethoden sind NT 2000 XP Server RADIUS Database und LDAP Server Allowed Users Per Default ist hier der Benutzer admin einegstellt Die lokalen Benutzer Users werden im Men Definitions Users verwaltet 98 System benutzen amp beobachten Log Access Network Traffic Alle Verbindungen zum Konfigura tionstool WebAdmin werden in den Packet Filter Logs als Accept Regel protokolliert Die Packet Filter Logs befinden sich im Men Local Logs Browse Per Default ist diese Funktion ausgeschaltet Die Funktion wird durch einen Klick auf die Schaltfl che Enable ein geschaltet Statusampel zeigt Gr n Block Password Guessing Block Password Guessing 9 Mit dieser Funktion k nnen After failed Attempts Block IP for Period seconds 3 die Versuche sich in das Et Konfigurationstool Web Admin einzuloggen be grenzt werden Nach einer bestimmten Anzahl an Versuchen wird der Zugang von der IP Adresse aus f r eine bestimmte Zeitspanne verweigert Selected Available Ar Lal Internal Address Internal Broadcast Da Intemat Network Never block Networks Empty list Blockierschutz f r Login Versuche einstellen 1 Stellen Sie im Drop d
166. elle werden alle konfigurierten externen und internen Schnittstellen auf gef hrt 329 System benutzen amp beobachten ARP Table Diese Tabelle stellt den ARP Cache des Systems dar Dies sind alle dem System bekannten Zuordnungen von IP Adressen zu Hardware Adressen MAC EEN Local Network Connec tions In der Tabelle wer Active Internet connections servers and established en u ZS den alle aktuellen Netzwerk Se EE E Ze S Gi tim e verbindung von Ihrem Sys SE ame tem angezeigt Verbin men E dungen durch das System tep H 0 192 217 443 TIME_WAIT SZ Z GE werden nicht angezeigt tep a 2824 192 217 443 ESTABLISHED Si BE E l 330 System benutzen amp beobachten 5 9 Local Logs Log Files Im Verzeichnis Local Logs werden die vom System generierten Pro tokolle Logs verwaltet 5 9 1 Settings eat lese J Im Fenster local Logging Status A A i E f hren Sie die Grundeinstel Ree OA EARE Jung f r die Log File Gene rierung durch Status Durch einen Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt gr n Wichtiger Hinweis Wenn die Funktion ausgeschaltet ist werden vom Internet Sicher heitssystem keine Log Files generiert Local Log File Archives Mit dieser Funktion werden die generierten Log Files lokal auf dem Internet Sicherheitssystem archiviert Die Ein stellungen f r das lokale Log File Archiv werden i
167. ellen Werte Ihrer Sys SEH tem Hardware angezeigt Die verf gbaren Werte sind ETET OOT TOUT TETT CET ENEE TEE die CPU Auslastung sowie tinute average Currer H ximur 2 tinute Average Current 0 12 Average 119 66 m Maximum 770 00 m cu nute Average Slam nn an mie die RAM und SWAP Aus Show all CPU graphs lastung SIE Die Grafiken und Tabellen werden alle f nf Minuten aktualisiert Die Informatio EE nen k nnen durch einen Klick auf die Schaltfl che Reload auch manuell aktualisiert werden Verwenden Sie f r die Aktualisierung nicht die Schaltfl che 323 System benutzen amp beobachten Aktualisieren im Browser da Sie sonst aus dem Konfigurationstool WebAdmin ausgeloggt werden CPU Load Daily Graph Das Diagramm zeigt die aktuelle Aus lastung des Prozessors durch das Internet Sicherheitssystem an Memory Usage Daily Graph Hier wird die Gesamtsumme des genutzten Hauptspeichers dargestellt Je mehr Funktionen zur selben Zeit ausgef hrt werden umso weniger freier Hauptspeicher steht zur Verf gung SWAP Usage Daily Graph Das Diagramm stellt die aktuelle Nutzung des virtuellen Speichers dar Verf gt Ihr System ber sehr wenig Hauptspeichers RAM wird die SWAP Nutzung stark ansteigen 5 8 4 Network Report Network Usage Graphs A In diesem Men wird die Traffic Io Daily Datenverkehr Auslastung der einzelnen Schnittstellen grafisch dargestellt Voraus setzung f
168. en Embedded Object Filter Mit dieser Funktion werden aus dem ein gehenden HTTP Datenverkehr die eingebetteten Objekte wie ActiveX Flash oder Java entfernt N Sicherheitshinweis Schalten Sie die Funktion Embedded Object Filter nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen Durch einen Klick auf das Symbol wird der Embedded Object Filter ein Cen und ausgeschaltet Ta Script Content Filter Mit dieser Funktion werden aus dem einge henden HTTP Datenverkehr Script Inhalte wie Java und VBScript entfernt N Sicherheitshinweis Schalten Sie die Funktion Script Content Filter nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen 241 System benutzen amp beobachten Durch einen Klick auf das Symbol wird der Script Content Filter ein und ausgeschaltet 2 Content Removal Dies ist eine Zusatzfunktion von Surf Protection Categories Mit dieser Zugriffskontrollliste k nnen Sie Internetseiten filtern die bestimmte Begriffe enthalten Texte die einen Begriff aus der Zugriffskontrollliste enthalten werden durch einen HTML Kom mentar ersetzt Die Zugriffskontrollliste wird durch einen Klick auf das Feld mit dem Eintrag z B O entries ge ffnet Tragen Sie die Ausdr cke unter einander in das Eingabefeld ein Kommentare m ssen durch das Zei chen am Anfang jeder Zeile gekennzeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klic
169. en Hardware Ressourcen zur Installation der Software nicht ausreichen wird die Installation mit der ent sprechenden Fehlermeldung abgebrochen Lizenzbestimmungen Schritt 4 Hinweis Beachten Sie die rechtlichen Hinweise und Lizenzbestimmungen Die Lizenzbestimmungen akzeptieren Sie mit der F8 Taste Datum und Uhrzeit Schritt 5 W hlen Sie mit den Cursor Tasten das Land aus und best tigen Sie dies mit der Enter Taste W hlen Sie mit den Cursor Tasten die Zeitzone aus und best tigen Sie dies mit der Enter Taste Tragen Sie anschlie end in die Eingabefelder das aktuelle Datum und die Uhrzeit ein Sie k nnen mit der Tab Taste und den Installation Cursor Tasten zwischen den Eingabefeldern wechseln Ung ltige Eingaben werden nicht bernommen Best tigen Sie die Eingaben mit der Enter Taste Netzwerkkarte ausw hlen und konfigurieren Schritt 6 Damit Sie nach der Software Installation das Internet Sicher heitssystem mit dem Tool WebAdmin konfigurieren k nnen m ssen Sie eine Netzwerkkarte definieren Diese Netzwerkkarte ist sp ter die interne Netzwerkkarte eth0 W hlen Sie aus den verf gbaren Netzwerkkarten eine aus und best tigen Sie die Auswahl mit der Enter Taste Definieren Sie anschlie end f r diese Netzwerkkarte die IP Adresse die Netzwerkmaske und das Gateway Default Gateway Beispiel Address 192 168 2 100 Netmask 255 255 255 0 Das Gateway m ssen Sie eingeben wenn Sie mit einem PC auf
170. en Proxy im Modus Standard verwenden zu k nnen muss der Browser entsprechend konfiguriert werden TCP IP Adresse der Firewall und der im Men Proxies HTTP eingestellte TCP Port Des Weiteren muss f r den Proxydienst HTTP ein g ltiger Name server DNS aktiviert sein Ohne konfigurierten Browser kann der Proxy nur im Modus Transparent betrieben werden Global Settings Die Betriebsmodi Operation Modes Standard Sie m ssen alle Netzwerke ausw hlen die in der Lage sein sollen auf den HTTP Proxy zuzugreifen Alle nicht ausgew hlten Netzwerke k nnen nicht zugreifen auch wenn der Proxy im Browser konfiguriert ist Ist der Proxy nicht im Browser konfiguriert so kann durch Setzen entsprechender Regeln im Paketfilter Clients der Zugriff auf Web server im Internet ohne Proxy erm glicht werden Beispiel Source IP Adresse des lokalen Client Service HTTP Destination IP Adresse des Webservers oder Any Action Allow Sie k nnen den Proxy verwenden wenn Sie die IP Adresse Ihrer Firewall und Port 8080 konfigurieren Transparent Die HTTP Anfragen auf Port 80 aus dem internen Netz werk werden abgefangen und durch den Proxy geleitet F r den Brow ser des Endanwenders ist dieser Vorgang v llig unsichtbar Es ent steht kein zus tzlicher Administrationsaufwand da f r den Browser des Endanwenders keine Einstellungen ge ndert werden m ssen 231 System benutzen amp beobachten Alle Netzwerke die transparent weitergeleite
171. en Sie nach jeder nderung im System eine neue Backup Datei Wenn Sie eine Backup Datei einspielen und etwa zwischenzeitlich das Passwort oder die IP Adresse des Internet Sicherheitssystems ge ndert haben kann es passieren dass Sie keinen Zutritt mehr zum System erhalten 69 System benutzen amp beobachten Advanced Encryption Die Backup Datei enth lt alle Konfigurations Einstel lungen sowie die darin enthaltenen Zertifikate und Keys Mit der Funktion Encryption kann die Datei mit DES oder 3DES verschl s selt werden E Mail Backup File verschl sseln 1 ffnen Sie im Verzeichnis System das Men Backup 2 Scrollen Sie zum Fenster Advanced 3 Schalten Sie die Funktion Encryption durch einen Klick auf die Schaltfl che Enable ein Die Funktion Encryption ist eingeschaltet wenn die Status ampel Gr n zeigt 4 Tragen Sie in das Eingabefeld Passphrase das Passwort ein N Sicherheitshinweis Bei einem Passwort mit bis zu sieben Zeichen wird die Backup Datei mit DES verschl sselt ab acht Zeichen mit 3DES 5 Tragen Sie das Passwort zur Best tigung nochmals in das Ein gabefeld Confirmation ein 6 Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save Alle Backup Dateien die nun von Ihnen manuell oder vom System automatisch generiert werden sind mit dem definierten Passwort verschl sselt 70 System benutzen amp beobachten Eine mit Encryption verschl sselte Backup Datei
172. en die Intrusion Protection Vorf lle grafisch dargestellt 5 8 9 DNS In diesem Men wird die DNS Query Statistik dargestellt 5 8 10 HTTP Proxy Usage In diesem Men wird der Zugriff auf den HTTP Proxy protokolliert 5 8 11 Executive Report Im Men Executive Report wird aus den einzelnen Berichten im Verzeichnis Reporting ein Gesamtbericht zusammengestellt Daily Executive Report by E Mail Daily Executive Report by E Mail Ei nma pro Tag wi rd ei n E Mail Addresses aktualisierter Gesamtbericht an die im Hierarchiefeld eingetragenen E Mail Adressen geschickt Die Funktion wird automa tisch aktiviert sobald im Feld eine Adresse eingetragen ist Neue E Mail Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 41 beschrieben 326 System benutzen amp beobachten Current Report Seiler Durch einen Klick auf die View current Report Sea u r Va Schaltfl che Show ffnen Sie ein Fenster mit dem ak a tuellen Gesamtbericht Der Virus Protection Today Yesterday Last 7 Days Lost 20 Dags o o o o Gees i d 3 Bericht kann ausgedruckt SES werden indem Sie auf die CPU load Daily Graph CPU load Daily Schaltfl che Print this Report klicken Memory usage Daily Graph Henory usage Daily
173. en und zu signieren Nicht korrekt signierte Up2Date Pakete werden als solche erkannt und gel scht Latest Pattern Up2Dates F r System Up2Date und f r Pattern Up2Date gibt es mehrere Up2Date Server die der Reihe nach angew hlt werden Falls ein Up2Date Server nicht erreichbar ist wird der n chste Server nach System bzw Pattern Up2Dates abgefragt Wichtiger Hinweis Der Up2Date Service benutzt eine TCP Verbindung auf Zielport 443 um die Up2Date Pakete herunterzuladen Das Internet Sicher heitssystem selbst erlaubt diese Verbindung ohne weitere Einstel lungen Falls Sie jedoch eine bergeordnete Upstream Firewall ver wenden m ssen Sie auf dieser die Kommunikation ber Port 443 TCP zu den Update Servern erlauben Hinweis Beachten Sie beim High Availability HA System die gesonderte Funktionsweise des System Up2Date 57 System benutzen amp beobachten System Up gt 2Date Mit der Option System Up2Date importieren Sie System Patches und neue Sicherheits Features auf Ihr Internet Sicherheitssystem Die Up2Date Pakete k nnen ber eine verschl sselte Verbindung manu ell oder automatisch vom Update Server heruntergeladen werden Falls Sie nicht ber eine Internetverbindung verf gen k nnen die Up2Date Pakete von einem lokalen Datentr ger aus eingespielt werden Neu eingespielte Up2Date Pakete werden in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Diese Up2Date Pakete s
174. enst verwendet werden Das Protokoll spezifiziert somit die Art des Zugriffs auf einen solchen Verzeichnis dienst Bei diesem Internet Sicherheitssystem wird das Protokoll LDAP zur Benutzerauthentifizierung eingesetzt indem mit Hilfe von Stand alone LDAP Servern Verzeichnisse nach einem Benutzer mit einer bestimmten Gruppenzugeh rigkeit oder mit bestimmten Attributen abgefragt werden Das System unterst tzt die Stand alone LDAP Server Microsoft Active Directory und Novell eDirectory sowie LDAP Server die auf der Open Source Implementation von OpenLDAP basieren Microsoft Active Directory ist der Verzeichnisdienst speziell f r Microsoft Windows NT 2000 Netzwerke und erlaubt die zentrale 83 System benutzen amp beobachten Organisation und Verwaltung aller Netzwerkressourcen Er erm glicht den Benutzern ber eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen und dem Administrator die zentral organisierte Ver waltung transparent von der Netzwerktopologie und den eingesetzten Netzwerkprotokollen F r diesen Verzeichnisdienst wird zur Bewertung der Anfragen ein MS Windows NT 2000 Domain Controller ben tigt Novell eDirectory Novell Directory Service 8 ist ein auf X 500 basierender Verzeichnisdienst zur Verwaltung von Benutzern Zu griffsrechten und anderen Netzwerkressourcen Novell stellt den Verzeichnisdienst f r die Plattformen Netware ab Version 5 MS Windows NT 2000 Linux und Solaris zur Verf gung M
175. enster Zertifikat haben Sie anschlie end drei Register zur Verf gung In diesen Regis tern k nnen Sie die Daten Ihres Zertifikats betrachten und anschlie end installieren Um den jeweiligen Vorgang zu starten klicken Sie auf die Schalt fl che OK Infolge von unterschiedlichen Systemzeiten und den weltweit ver Hinweis setzten Zeitzonen kann es vorkommen dass das Zertifikat nicht sofort g ltig ist Viele Browser versenden dann die Meldung dass das Zertifikat abgelaufen sei Diese Meldung ist nicht richtig Das neu generierte Zertifikat wird nach maximal 12 Stunden g ltig 102 System benutzen amp beobachten 5 1 10 High Availability Der h ufigste Grund f r den Ausfall eines Internet Sicherheitssys tems bzw einer Firewall ist ein Defekt der Hardware z B des Netz teils der Festplatte oder des Prozessors Bei diesem High Avail ability HA System werden zwei Internet Sicherheitssysteme mit identischer Hardware parallel geschaltet Das Firewall System 1 l uft im Normal Modus Master Das Firewall System 2 befindet sich im Hot Standby Modus Slave und berwacht das aktive Sicherheits system ber die Datentransfer Leitung mittels Link Beat Das Firewall System 1 schickt ber diese Verbindung in regelm igen Abst nden Heart Beat Anfragen die vom Firewall System 2 beantwortet werden ber die Datentransfer Leitung wird das Firewall System 2 bei Bedarf auch aktualisiert damit es bei einem Ausfall des akti
176. ent Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern 267 System benutzen amp beobachten Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Trigger on In diesem Drop down Men legen Sie fest welche Fehler dazu f hren dass die E Mail laut Funktion Action behandelt wird Level 1 Diese Stufe bewirkt dass nur die E Mails mit den schwersten Fehlern behandelt werden Diese Einstellung wird emp fohlen da viele Anwender ein fehlerhaftes Verschl sselungspro gramm verwenden das bei den h heren Stufen Level 2 und 3 bereits anspricht Level 2 Mit Ausnahme der mit allt glichen Fehlern behafteten E Mails werden alle behandelt Level 3 Alle E Mails mit Fehlern werden behandelt File Extension Filter Mit dieser Funktion filtert die Firewall die Anh nge Attachments mit den Erweiterungen aus der Kontrollliste Extensions Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet
177. enutzen amp beobachten Pattern Up2Date automatisch 3 ffnen Sie im Verzeichnis System das Men Up2Date Service 4 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable bei Update automatically ein 5 Definieren Sie im Auswahlfeld Interval den Zeitabstand nach dem das Internet Sicherheitssystem automatisch den spezifizier ten Up2Date Server anw hlt und diesen auf neue Pattern Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde Hourly jeden Tag Daily einmal pro Woche Weekly N Sicherheitshinweis Stellen Sie das Intervall auf jede Stunde ein damit Ihr Virenscanner immer auf dem aktuellsten Stand ist Der automatische Pattern Up2Date ist jetzt aktiviert Das Internet Sicherheitssystem pr ft nun regelm ig auf dem Up2Date Server ob neue Pattern Up2Dates zur Verf gung stehen Sobald ein neues Pattern Up2Date installiert ist erh lt der Administrator eine E Mail in der die zuletzt installierten Virensignaturen aufgelistet sind Beim High Availability HA System wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert 64 System benutzen amp beobachten Use Upstream HTTP Proxy In diesem Fenster k nnen Sie die Verbindung zu einem Up stream Proxy Server definie Proxy Tor Port mr ren Diese Funktion ben tigen Be Se Sie falls Sie nur ber einen SS solchen Upstream Proxy HTTP und HTTPS Ports erreichen k nnen Proxy IP Ad
178. er Benutzertabelle den Zugriff auf die Dienste HTTP Proxy SMTP Proxy SOCKS Proxy WebAdmin L2TP over IPSec und PPTP Remote Access erlauben N Sicherheitshinweis Standardm ig hat nur der Benutzer admin Zugriff auf das Konfigurationstool WebAdmin Sie sollten das Passwort zum Konfigurationstool in regelm igen Abst nden ndern Lokalen Benutzer hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Users 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Username Tragen Sie in das Eingabefeld einen eindeutigen Na men f r den Lokalen Benutzer Local User ein Diesen Benutzernamen verwenden Sie sp ter z B um Paket filterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Password Tragen Sie in das Eingabefeld das Passwort ein 123 System benutzen amp beobachten 124 N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4 Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den lokalen Benutzer hinzuf gen Speichern Sie den Lokalen Benutzer Local User durch einen Klick auf die Schaltfl che Add Definition Der neue Benutzer User wird anschlie
179. er Zugriff erlaubt ist obwohl sie einem Thema im Feld Surf Protection Categories entspricht URL Blacklist Tragen Sie in die Zugriffskontrollliste die Inter netadressen ein auf die der Zugriff nicht erlaubt ist obwohl sie keinem der Themen im Feld Surf Protection Categories entsprechen N Sicherheitshinweis Beim HTTP Protokoll wird der Header vom HTTP Cache Proxy Squid gefiltert Anderst beim HTTPS Protokoll hier wird der Header nur durchlaufen Die Option Surf Protection kann daher bei HTTPS Verbindungen keine angefragte URL aufgrund der White oder Blacklist blockieren Content Removal Tragen Sie in die Zugriffskontrollliste die Begriffe ein die aus den Internetseiten entfernt werden sollen F hren Sie die Einstellungen f r die Funktionsgruppe Content Filter durch 243 System benutzen amp beobachten Embedded Object Filter Durch einen Klick auf das Symbol wird der Filter ein C2 und ausgegeschaltet T N Sicherheitshinweis Schalten Sie die Funktion Embedded Object Filter nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen Script Content Filter Durch einen Klick auf das Symbol wird die Funktion ein und ausgegeschaltet 2 N Sicherheitshinweis Schalten Sie die Funktion Script Content Filter nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen be stehen Virus Protection Durch einen Klick auf das Symbol wird die Funktion ein 8 und ausgeges
180. er wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt Wireless LAN Station einrichten 1 2 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein 149 System benutzen amp beobachten 150 W hlen Sie im Drop down Men Hardware die Wireless LAN Netzwerkkarte aus W hlen Sie im Drop down Men Type den Schnittstellen Typ Wireless LAN Station aus F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ Wireless LAN Station durch Address Weisen Sie der Station eine IP Adresse zu Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zu weisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ei
181. erbindung zum Wireless LAN erhalten sollen w hlen Sie Yes aus WEP Key Tragen Sie in die Eingabefelder WEP Key O bis 3 die WEP Schl ssel ein F r die Verschl sselung ben tigen Sie min destens einen WEP Schl ssel Maximal vier Schl ssel sind m glich F r eine Schl ssell nge von 40 Bit geben Sie eine Zeichenkette mit 5 Zeichenpaaren ein F r eine Schl ssell nge von 104 Bit be n tigen Sie eine Zeichenkette mit 13 Zeichenpaaren Die Zei chenfolge muss in hexadezimaler Schreibweise eingegeben wer den Sie d rfen also nur die Zahlen O bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 Default WEP Key W hlen Sie im Drop down Men einen der WEP Schl ssel 0O bis 3 WEP Key zum Default Schl ssel aus Dies ist der aktuelle WEP Schl ssel den die Rechner ben tigen um das Wireless LAN zu betreten Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add 151 System benutzen amp beobachten Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Da
182. eregel an Mit einem Klick auf die Statusampel wird die Regel aktiviert Statusampel zeigt Gr n und deaktiviert Statusampel zeigt Rot 211 System benutzen amp beobachten Deaktivierte Regeln bleiben gespeichert werden aber vom Paketfilter nicht ber cksichtigt Paketfilterregel editieren Durch einen Klick auf die entsprechende Einstellung wird ein Eingabefeld ge ffnet Anschlie end k nnen Sie die Eingaben bearbeiten Durch einen Klick auf die Schaltfl che Save werden die nderungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Reihenfolge der Paketfilterregel ndern Die Abfolge der Paket filterregeln in der Tabelle ist ausschlaggebend f r das korrekte Funktionieren der Firewall Durch einen Klick auf die Positionsnummer k nnen Sie die Reihenfolge der Abarbeitung ver ndern W hlen Sie im Drop down Men die Position aus wohin die Paketfilterregel verschoben werden soll und best tigen Sie dies durch einen Klick auf die Schaltfl che Save Paketfilterregel l schen Durch einen Klick auf das Papierkorb Symbol wird die Paketfilterregel aus der Tabelle gel scht Regelsatztabelle sortieren Durch einen Klick auf die Funktion in der Kopfzeile der Regelsatz Tabelle werden alle Regeln entsprechend sortiert Wenn Sie z B die Tabelle nach den Absendernetzwerken sortieren m chten klicken Sie auf Source Um die Tabelle wieder nach der Reihenfolge des Matching anzuzeigen klicken Sie auf
183. erl utert Dabei wird allerdings nicht auf die Funktionsweise der Werkzeuge eingegangen Die Werkzeuge werden in Kapitel 4 beschrieben Das Ziel des Administrators sollte sein so wenig wie m glich und so viel wie n tig durch das Sicherheitssystem zu lassen Dies gilt sowohl f r eingehende als auch f r ausgehende Verbindungen Tipp Planen Sie zuerst Ihr Netzwerk und berlegen Sie sich genau welchen Rechnern welche Dienste Services zugeordnet werden sollen Dies vereinfacht Ihnen die Konfiguration und erspart Ihnen viel Zeit die Sie sonst f r die nachtr gliche Definition von Netzwerken oder Diensten ben tigen Gehen Sie bei der Konfiguration des Internet Sicherheitssystems und Ihres Netzwerks folgenderma en vor 1 2 44 Richten Sie alle erforderlichen Netzwerke und Hosts ein Definieren Sie die ben tigten Dienste auf dem Internet Sicher heitssystem F hren Sie nun die Definition Ihres Gesamtsystems durch System benutzen amp beobachten WebAdmin starten 1 Starten Sie Ihren Browser und geben die IP Adresse des Inter net Sicherheitssystems eth0 wie folgt ein https IP Adresse Beispiel aus Kapitel 3 2 Installationsanleitung Schritt 6 https 192 168 2 100 Falls Sie noch kein Zertifikat f r Ihre WebAdmin Seite gene riert haben erscheint ein Sicherheitshinweis Ausf hrliche Informationen zum Zertifikat und wie Sie dieses installieren finden Sie in Kapitel 5 1 9 ab Seite 100 Best tige
184. ern Up2 gt 2Date Penan upDate Mit der Funktion Pattern Up2 a en aktualisieren Sie den Virusscan en x ner Ihres Internet Sicherheits systems mit neuen Virus Pat terns und aktualisieren das In trusion Protection System IPS mit IPS Angriffssignatu ren Sie haben die M glichkeit die Sicherheitsoptionen manuell oder automatisch in bestimmten Zeitintervallen auf dem neusten Stand zu halten Die Tabelle Latest Pattern Up2Dates informiert Sie welche Pattern Up2Date Pakete zuletzt installiert wurden Virus Protection Patterns und Intrusion Protection Angriffssignaturen werden separat aufgelistet Pattern Up2Date manuell 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster Pattern Up2Date auf die Schaltfl che Start bei Update now Das System pr ft nun ob auf dem Update Server neue Pattern Up2Date Pakete vorhanden sind l dt diese herunter und installiert sie auf dem Internet Sicherheitssystem Der gesamte Up2Date Vorgang wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldung DONE erscheint Die Angabe Installed Pattern Date wird sofort aktualisiert wenn Sie im Verzeichnis System auf Up2Date Service klicken oder sobald Sie das n chste Mal dieses Men ffnen Bei der High Availability HA L sung wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert 63 System b
185. ernet Sicherheitssystem nur eine DSL Verbindung unterst tzt Eine Ausfallsicherung f r den Internetzugang kann z B aus einer Standleitung und einem DSL Zugang bestehen Bei einem Ausfall der prim ren Verbindung erfolgt dann automa tisch der Uplink ber den zweiten Internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetzwerkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erfolgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte Wichtiger Hinweis F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Falls diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung
186. ert muss zuvor mit der Gegenstelle des IPSec VPN Tunnels abgesprochen werden SPI Tragen Sie hier einen Wert zwischen 256 und 65535 ein Die Werte bis einschlie lich 255 sind vom Internet Assigned Numbers Authority IANA reserviert F r das Protokoll ICMP k nnen Sie im Auswahlmen ICMP Type die darin enthaltene Nachricht ausw hlen F r das Protokoll IP tragen Sie in das Eingabefeld Protocol Number die Protokollnummer ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den Dienst hinzuf gen Speichern Sie den Dienste Services durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird der neue Dienst Services in die Diensttabelle eingetragen Sie finden diesen Dienst jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 119 System benutzen amp beobachten Dienstgruppe definieren 1 2 ffnen Sie im Verzeichnis Definitions das Men Services Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die Dienstgruppe Service Group ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Service Group
187. erung eine einfache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem eingetragenen Benutzer ein eindeutiger CN zugeordnet sein muss Wichtiger Hinweis Bei der Installation der Software werden alle bestehenden Daten auf dem Rechner gel scht Da es verschiedene Stand alone LDAP Server gibt die auf dem Open Source Projekt OpenLDAP basieren entnehmen Sie die Informa tionen zur Installation und Konfiguration dieser Verzeichnisse der ent sprechenden Dokumentation Falls Sie den Stand alone LDAP Server SLAPD der OpenLDAP Foundation verwenden erhalten Sie die aktuelle Dokumentation unter der Internetadresse http www openldap org 92 System benutzen amp beobachten LDAP auf Internet Sicherheitssystem einstellen LDAP Server Settings Status LDAP Type Unique User Attribute IP Address TCP Port Bind DN Base DN Password LDAP Authentication by Attribute Auf dem Stand alone LDAP Server muss ein Be nutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat Um die n tigen Einstel lungen auf dem Internet Sicherheitssystem durch zuf hren ben tigen Sie den Distinguished Name DN dieses Benutzers sowie den LDAP Type und die IP Adresse des Stand alone LDAP Servers N Sicherheitshinweis Stellen Sie sicher dass der Benutzer nur die Leserechte f r den Stand alone LDAP Server bekommt ffnen Sie im V
188. erzeichnis System das Men User Authen tication Schalten Sie die Funktion im Fenster LDAP Server Settings durch einen Klick auf die Schaltfl che Enable bei Status ein LDAP Type W hlen Sie in diesem Drop down Men den Type des Stand alone LDAP Servers aus Die m glichen Typen sind Microsoft Active Directory Novell eDirectory und OpenLDAP Unique User Attribute Dieses Atribut definiert den Benutzer namen zur Authentifizierung am Stand alone LDAP Server Die zur Verf gung stehenden Atribute h ngen vom ausgew hlten Type des Stand alone LDAP Servers ab Falls Sie f r den Be nutzernamen ein eigenes Attribut erstellen m chten w hlen Sie hier Selfdefined aus siehe nachfolgendes Bild 93 System benutzen amp beobachten 94 F r den LDAP Server Microsoft Active Directory k nnen Sie das Atribut User Principal Name UPN oder saMAccount Name ausw hlen F r die LDAP Server Novell eDirectory und OpenLDAP kann jeweils das Attribut Common Name CN Surname SN oder Unique Identifier UID Attribute Name Dieses is mme Eingabefeld wird nur ange SEH E zeigt wenn im Drop down ef Men Unique User At tribute die Einstellung Selfdefined ausgew hlt wurde Definieren Sie in diesem Eingabefeld das eigene Attribut zur Bestimmung des Benutzernamens IP Address Tragen Sie in das Eingabefeld die IP Adresse des Stand alone LDAP Servers ein TCP Port Tragen Sie in das Eingabefeld den TCP
189. es Falls Sie Netzwerke mit bestimmten Adressen filtern m chten tragen Sie in das Eingabefeld die IP Adresse ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Netzwerke in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige Netzwerktabelle dargestellt 116 System benutzen amp beobachten Weitere Funktionen Definition editieren Durch einen Klick auf die Einstellungen in den Spalten Name Value und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten Definition l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 5 2 2 Services Service Definitions J Filters V Im Men Services werden e die Dienste Services und ee RE SS die Dienstgruppen Service E Groups definiert All protocols and services Any matches any service Bes 222 eate Dienste Services sind 1024 65535 static 1024 65535 stanic Definitionen f r den Daten 1 65535 static Ge verkehr ber Netzwerke 1024 65535 static 1024 65535 static TE Ber z B das Internet Eine 1024 65535 static 1024 65535 static Dienstedefinition besteht 1024 65535 static SE n aus Namen Protokollen und Ports Folgende Protokolle stehen Ihnen zur Verf gung TCP UDP TCP UDP ICMP ESP AH und IP UDP verwendet Ports v
190. es Stellen Sie hier ein bei welcher prozentualen Auslastung der Partition vom System eine Aktion ausgef hrt wird do this Stellen Sie in diesem Auswahlmen die Aktion ein Die einstellbaren Aktionen sind Delete oldest Log Files Die ltesten Log Files werden vom In ternet Sicherheitssystem automatisch gel scht Der Administrator erh lt zuvor die Notification E Mail WARN 711 e Send Notification An den Administrator wird nur die Notification E Mail INFO 710 mit einer entsprechenden Warnung abgeschickt e Shut down System Das Internet Sicherheitssystem f hrt auto matisch herunter Der Administrator erh lt zuvor die Notification E Mail CRIT 712 e Nothing Es werden keine Aktionen gestartet 332 System benutzen amp beobachten Die Einstellungen bernehmen Sie durch einen Klick auf die Schalt fl che Save Remote Log File Archive mear 3 In diesem Fenster nehmen Sie die Einstellungen f r ei Ee ne ausgelagerte Archivie uns eb Sener rung der Log Files vor Falls sich das Remote Log File Archive auf einem Server befindet m ssen Sie diesen zuerst im Men Definitions Networks hinzuf gen Password Remote Path Remote Log File Archive konfigurieren 1 Schalten Sie im Fenster Global Settings die Funktion Remote Log File Archives durch einen Klick auf die Schaltfl che Enable ein Das Fenster Remote Log File Archive wird ge ffnet 2 W hlen Sie im Drop down
191. eschlagen da w hrend der Ausf hrung des Installer ein Fehler aufge treten ist Bitte setzen Sie sich mit dem Sup port Ihres Sicherheitssystem Anbieters in Ver bindung 357 System benutzen amp beobachten 346 347 3341 352 353 358 System Up2Date failed Installer stopped due to internal error Der System Update ist fehlgeschlagen da der Install Prozess aufgrund eines internen Fehlers gestoppt wurde Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Started without rpm parameters Der System Update ist fehlgeschlagen da der Install Prozess ohne rpm Parameter gestartet wurde Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Pattern Up2Date failed Could not select Authentication Server s Der Authentication Server konnte nicht ausge w hlt werden Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung Pattern Up2Date failed Could not connect to Authentication Server s Der Authentication Server ist nicht erreichbar Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Virus Pattern Up2Date failed Could not connect to Up2Date Server Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Si sich mit dem Support Ihres Sicherheit
192. et z B 2 Megabit Festverbindung handelt k nnen Sie mit Hilfe eines zweiten Internetzugangs z B DSL Verbindung und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung ein richten Bei einem Ausfall der prim ren Verbindung Primary 135 System benutzen amp beobachten 136 Interface erfolgt dann der Uplink automatisch ber den Ersatz internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetz werkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erfolgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte Wichtiger Hinweis F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Fall
193. ffnen Sie im Verzeichnis System das Men Up2Date Service Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable bei Prefetch Up2Dates automatically ein Definieren Sie im Auswahlfeld Interval den Zeitabstand nach dem das System automatisch den spezifizierten Update Server anw hlt und diesen auf neue System Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde every hour jeden Tag every day einmal pro Woche every week 59 System benutzen amp beobachten Neu eingespielte Up2Date Pakete werden in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt System Up2Date von lokalem Datentr ger einspielen Der Dateiname eines Up2Date Pakets setzt sich aus der Versions nummer der Bezeichnung tar f r ein verschl sseltes Archiv und dem Dateitype gpg zusammen Beispiel 5 009 tar gpg Up2Date Pakete finden Sie auf dem FTP Server ftp astaro com 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster System Up2Date auf die Schaltfl che Durchsuchen bei Import from File 3 W hlen Sie im Fenster Datei ausw hlen das Up2Date Paket aus das Sie importieren m chten und klicken auf die Sc
194. filtert Die folgenden Aktionen sind voreingestellt Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden 256 System benutzen amp beobachten e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Empf ngers zu sortieren oder zu filtern Des Weiteren wird in den Betreff des E Mails der Hinweis SPAM hinzugef gt Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Der Header Es gibt viele Funktionen bei denen der Nachricht ein Header hinzu gef gt wird Der Header soll den Benutzer ber spezielle Eigenschaf ten dieser Nachricht informieren Wenn nun in der entsprechenden Funktion Pass ausgew hlt wird k nnen die Empf nger die Nach richten mit ihrer E Mail Software sortieren oder filtern In der nachfolgenden Liste sind alle m glichen Header enthalten e X Spam Score Dieser Header wird von der Option Spam Pro tection hinzugef gt Er enth lt einen Punktestand der aus einem numerischen Wert und einer Anzahl von Minus und Pluszeichen besteht Je h her dieser Punktestand ausf llt umso wahrschein licher ist es dass es sich bei der Nachric
195. g Protokolle verf gbar Im Men Reporting Accounting k nnen die Protokolle betrachtet werden Astaro Configuration Manager Wenn das Internet Sicherheits system remote ber den Astaro Konfiguration Manager konfiguriert wird werden die entsprechenden Vorg nge in diesen Log Files proto kolliert Astaro User Authentication In diesen Log Dateien werden die Aktivit ten des AUA Deamon protokolliert AUA wird f r diverse Dienste als zentraler Authentifizierungs Deamon eingesetzt Boot messages In diesen Log Dateien werden die Boot Meldungen protokolliert Configuration daemon In diesen Log Dateien werden die Aktivi t ten des Configuration Daemon protokolliert Diese Log Dateien ge h ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt Content Filter In diesen Log Dateien werden die Aktivit ten der Content Filter zu den Proxies HTTP SMTP und POP3 protokolliert DHCP client Falls Schnittstellen auf dem Internet Sicherheitssystem IP Adressen dynamisch zugewiesen werden werden die Aktivit ten in diesen Log Dateien protokolliert DHCP server Falls das Internet Sicherheitssystem als DHCP Server fungiert und den Clients im Netzwerk dynamische IP Adressen zu weist werden die Aktivit ten in diesen Log Dateien protokolliert 340 System benutzen amp beobachten Fallback archive Diese Log Dateien dienen als Sicherheitsarchiv f r protokollierte Prozesse die keinem de
196. gen 1 ffnen Sie im Verzeichnis Definitions das Men Service 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den Dienste Services ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Service aus Protocol W hlen Sie im Drop down Men das Protokoll aus 118 System benutzen amp beobachten Source Destination Ports Tragen Sie in das linke Eingabe men den Source Port d h die Client Seite des Dienstes ein In das rechte Eingabemen tragen Sie den Destination Port d h die Server Seite des Dienstes fest Die weiteren Einstellungen richten sich nun nach dem ausge w hlten Protokoll F r die Protokolle TCP und UDP ben tigen Sie die folgenden zwei Werte Eingabe Optionen Einen einzelnen Port z B 80 oder eine Portrange z B 1024 64000 Source Destination Ports Tragen Sie in das linke Eingabe men den Source Port d h die Client Seite des Dienstes ein In das rechte Eingabemen tragen Sie den Destination Port d h die Server Seite des Dienstes fest Die Protokolle AH und ESP werden f r IPSec VPN Verbin dungen ben tigt Der hier eingetragene W
197. genden Aktionen durchf hren 1 Version 4 Lizenzen zu Version 5 Lizenzen konvertieren 2 gekaufte Version 5 Activation Keys registrieren 3 Optionen zu registrierten Lizenzen hinzuf gen 4 eine kostenlose Home User Lizenz herunterladen 5 eine funktionserweiterte 30 Tage Testversion herunterladen Internet Sicherheitssystem lizenzieren F r die Lizenzierung des Internet Sicherheitssystems ben tigen Sie die g ltige Lizenzdatei License Key auf dem lokalen Host damit Sie diese ber das Konfigurationstool WebAdmin in das Sicherheitssys tem importieren k nnen Bei einer Lizenz mit der Option High Availability HA m ssen Sie den License Key auf beiden Sicherheitssystemen Normal und Hot Standby Modus einspielen Hinweis 55 System benutzen amp beobachten 1 ffnen Sie im Verzeichnis System das Men Licensing 2 Klicken Sie beim Eingabefeld Upload License File auf die Schaltfl che Durchsuchen 3 W hlen Sie ber den Dialog Datei ausw hlen die Lizenzdatei aus und klicken anschlie end auf die Schaltfl che ffnen 4 Klicken Sie auf die Schaltfl che Start Die Installation der Lizenzdatei dauert ca 30 bis 60 Sekunden Nach erfolgreicher Registrierung des Internet Sicherheitssystems erhalten Sie im Fenster License Information Angaben zu Ihrer Lizenz Licensing Information Nach erfolgreicher Registrierung des Internet Sicherheitssystems wer den in in diesem Fenster die Lizenz Informationen angezeigt
198. gesendet Destination unrechable fragmentation needed Zieladresse nicht erreichbar Fragmentierung erforderlich Dies erm glicht die Verwendung von Path MTU Discovery Automatic CRL Fetching Es sind Situationen denkbar in denen ein Zertifikataussteller noch w hrend der G ltigkeitsdauer eines Zertifi kats die darin gegebene Best tigung f r ung ltig erkl ren m chte z B weil zwischenzeitlich bekannt wurde dass das Zertifikat vom Zertifikatnehmer unter Angabe falscher Daten Name usw erschli chen wurde oder weil der zum zertifizierten ffentlichen Schl ssel geh rende geheime Schl ssel einem Angreifer in die H nde gefallen ist Zu diesem Zweck werden sogenannte Zertifikatwiderrufslisten bzw Certificate Revocation Lists CRL verwendet Diese enthal ten blicherweise die Seriennummern derjenigen Zertifikate einer Zertifizierungsinstanz die f r ung ltig erkl rt werden und deren regu l rer G ltigkeitszeitraum noch nicht abgelaufen ist Nach Ablauf dieses Zeitraumes besitzt das Zertifikat in jedem Fall keine G ltigkeit mehr und muss daher auch nicht weiter auf der Zerti fikatswiderrufsliste gef hrt werden Mit der Funktion Automatic CRL Fetching erfolgt die Abfrage der CRL automatisch ber die URL die im Partnerzertifikat festgelegt ist via HTTP Anonymous FTP oder LDAP Version 3 Die CRL wird auf 320 System benutzen amp beobachten Anfrage heruntergeladen abgespeichert und upgedated sobald der G ltigkeitsze
199. gespielt werden kann Bereits nach kurzer Zeit ist auf diese Weise ein Ersatzsystem einsatzbereit Send Backups by E Mail E Mail Addresses In die aktuelle System Version 5 0 kann nur ein Backup aus der I Achtung Version 4 021 oder h her eingespielt werden Tragen Sie im Men Licensing zuerst den License Key ein und spielen anschlie end das Backup ein Vom System werden sonst nur drei Netzwerkkarten hochgefahren und dies kann dazu f hren dass das Konfigurationstool WebAdmin nicht mehr erreichbar ist 66 System benutzen amp beobachten Legen Sie nach jeder nderung der Systemeinstellungen eine neue Backup Datei an Auf diese Weise haben Sie immer die aktuellen Ein stellungen Ihres Systems gespeichert Bewahren Sie dieses Backup an einem sicheren Ort auf da alle Konfigurations Einstellungen z B die Zertifikate und Keys darin enthalten sind Hinweis Pr fen Sie die Backup Datei nach der Generierung immer auf Les barkeit Es ist au erdem ratsam durch ein externes MD5 Programm eine Pr fsumme zu generieren die es Ihnen auch sp ter erm glicht die Funktionsf higkeit der Backup Datei zu pr fen Restore a Backup In diesem Fenster wird das Backup auf dem Internet Sicherheits system installiert Backup einspielen 1 ffnen Sie im Verzeichnis System das Men Backup 2 Klicken Sie im Fenster Restore a Backup neben dem Eing abefeld Upload Backu
200. griffe eine gro e Band breite erforderlich ist verlegen sich immer mehr Angreifer auf soge nannte SYN Flood Attacken die nicht darauf abzielen die Bandbreite auszulasten sondern die Systemressourcen des Servers selbst zu blockieren Dazu verschicken sie sogenannte SYN Pakete an den TCP Port des Dienstes bei einem Web Server also auf Port 80 Durch die Funktion SYN Rate Limiter wird die Anzahl der SYN Pakete die in das lokale Netzwerk gesendet werden begrenzen Per Default ist die Funktion ausgeschaltet Statusampel zeigt Rot Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Protocol Handling Strict TCP Session Hand ling Um einen zuverl ssi gen Datentransport zu ge w hrleisten wird das in der Transportschicht vorhandene Transmis sion Control Protocol TCP verwendet TCP baut dabei eine Rechner zu Rechnerverbindung auf und sendet Daten solange erneut ab bis es vom Zielrechner eine positive Best tigung ber den Erhalt der Daten 223 System benutzen amp beobachten empf ngt Dieser Verbindungsaufbau wird als TCP Handshake be zeichnet und erfolgt in drei Schritten Bevor ein Client z B mit einem Server Daten austauschen kann sendet er zuerst ein TCP Paket in dessen Header unter anderem das sogenannte SYN Bit Sequenznum mer gesetzt ist Dieses ist eine Aufforderung an den Server eine Verbindung herzustellen Au erdem bermittelt der Clien
201. gt wenn bei der Funktion Uplink Failover on Interface die Ein stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzu f hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben I Wichtiger Hinweis Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der 167 System benutzen amp beobach
202. h10m vP lt rdiehl vinet ga gt rdiehl vinet ga E S POP3 3dihiim vP lt rdiehl vinet qa gt rdiehl vinet qa CG 5MTP 3dih20m SP lt rdiehl vinet qa gt rdiehl vinet ga CS SMTP 3d 1h37m E vP lt rdiehl vinet qa gt rdiehl vinet qa mo SMTP 3d h46m E FILE lt rdiehl vinet qa gt rdiehl vinet qa r 8 SMTP 3d2h8m vP lt rdiehl vinet qa gt rdiehl vinet qa r 9 SMTP 3d2h10m vP lt rdiehl vinet qa gt rdiehl vinet qa CG POP3 3d2hiim vP lt rdiehl vinet qa gt rdiehl vinet qa ro SMTP 3d2h i6m E vP lt rdiehl vinet ga gt rdiehl vinet qa CS SMTP 3d2h17m SE vP lt rdiehl vinet qa gt rdiehl vinet ga rm 8 SMTP 3d3h24m D lt gt do not reply fw notify net checked entries ID Jede E Mail in diesem Internet Sicherheitssystem erh lt eine ein deutige ID Diese ID ist im Header einer Mail enthalten und identifi ziert au erdem die E Mail in den Log Files Die ID wird angezeigt wenn Sie mit der Maus den Eintrag im Feld Type ber hren Type Der Proxy Content Manager unterteilt die gefilterten E Mails in die Typen POP3 und SMTP Wenn Sie mit der Maus den Eintrag be r hren wird die Mail ID angezeigt Durch einen Klick auf den Eintrag wird ein Fenster mit dem Inhalt der Nachricht ge ffnet Auf diese 278 System benutzen amp beobachten Weise k nnen Sie wichtige Nachrichten gefahrlos lesen Nachrichten mit einer L nge von bis zu 500 Zeilen werden komplett dargestellt Age In dieser Spalte wird das Alter der E Ma
203. halt fl che ffnen Verwenden Sie zum Importieren der Up2Date Pakete unter r Microsoft Windows keinen UNC Pfad W hlen Sie die Pakete mit Hilfe des Auswahlfeldes Durchsuchen aus Wichtiger Hinweis 4 Klicken Sie im Fenster System Up2Date bei Import from File auf die Schaltfl che Start Neu eingespielte Up2Date Pakete werden anschlie end in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che 60 System benutzen amp beobachten Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt 5 Wiederholen Sie nun die Schritte 2 bis 4 bis Sie alle Up2Date Pakete importiert haben System Up2Date installieren ohne HA System 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 W hlen Sie in der Tabelle Unapplied Up2Dates das Up2Date Paket aus Falls die Tabelle mehr als ein System Up2Date Paket enth lt starten Sie die Installation mit der aktuellsten Version Die l teren Versionen werden dann automatisch installiert Hinweis 3 Klicken Sie nun in der Spalte Actions auf Install Die Installation der Up2Date Pakete wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldung DONE erscheint System Up2Date auf HA L sung instal
204. hat Ping Check requires that the Ping from Firewall option is active in Packet Filter gt ICMP Proxies gt DNS must also be configure 192 System benutzen amp beobachten an den Absender zur ckschicken So k nnen Sie feststellen ob eine Verbindung zu einem anderen Netzwerk Rechner m glich ist Mit Ping Check k nnen Sie die Verbindung zu einem Host auch durch Eingabe des DNS Hostnamens testen Daf r muss im Men Proxies DNS der DNS Proxy eingeschaltet sein Hinweis F r das Tool Ping muss im Men Packet Filter ICMP die Funktion ICMP on Firewall eingeschaltet sein F r die Namensaufl sung Name Resolution muss im Men Proxies DNS der DNS Proxy eingeschaltet und konfiguriert sein Ping starten 1 2 ffnen Sie im Verzeichnis Network das Men Ping Check W hlen Sie im Drop down Men Ping Host die Netzwerkarte aus Falls es sich bei der Schnittstelle um eine in den Men s Inter faces oder Networks konfigurierten Host handelt k nnen Sie diese im Drop down Men direkt ausw hlen Beispiel Internal Address f r die interne Netzwerkkarte auf dem Internet Sicherheitssystem F r einen anderen Host im Netzwerk w hlen Sie im Drop down Men die Einstellung Custom Hostname IP Address aus Tragen Sie in das Eingabefeld Hostname IP Address die IP Adresse oder den Hostnamen ein Starten Sie die Testverbindung durch einen Klick auf die Schaltfl che Start 193 System benutzen amp
205. he Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Username Falls Sie Benutzer nach Benutzernamen filtern m chten tragen Sie den Begriff in das Eingabemen ein Comment Falls Sie Benutzer mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Benutzer in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige Benutzertabelle dargestellt Weitere Funktionen Lokalen Benutzer editieren Durch einen Klick auf die Einstellungen in den Spalten Name Password PPTP Address und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten 125 System benutzen amp beobachten Lokalen Benutzer l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 126 System benutzen amp beobachten 5 9 Netzwerkeinstellungen Network Im Verzeichnis Network konfigurieren Sie die Netzwerkkarten und virtuellen Schnittstellen Interfaces und f hren netzwerkspezi fische Einstellungen durch 5 9 1 Hostname DynDNS Firewall Hostname Firewall Hostname Hostname Tragen Sie in das Eingabenfeld den Host namen f r
206. heitssystem CD ROM den License Key f r das Sicherheitssystem die ausgef llte Adresstabelle mit den IP Adressen und Netz werkmasken sowie die IP Adresse des Default Gateway 3 2 1 Software installieren Den ersten Teil der Installation f hren Sie im Installationsmen durch Zuerst erfolgt ein Hardware Check Anschlie end geben Sie ber den Dialog die Daten ein und danach wird die Software auf Ihrem PC eingespielt 1 PC von der CD ROM booten Schritt 1 Die Navigation im Installationsmen erfolgt ber die nachfolgen den Tasten Beachten Sie w hrend der Installation auch die zu s tzlichen Tastenfunktionen in der gr nen Fu leiste Cursor Tasten Navigation in den Texten z B in den Lizenzbe stimmungen und zur Auswahl des Keyboard Layouts Enter Taste Die Eingabe wird best tigt und zum n chsten Punkt fortgefahren 23 Installation 24 ESC Taste Abbruch der Installation Tab Taste Wechseln zwischen den Text und Eingabefeldern sowie den Schaltfl chen Achtung Bei der Installation der Software werden alle bestehenden Daten auf dem PC gel scht Keyboard Layout Schritt 2 W hlen Sie mit den Cursor Tasten das Keyboard Layout aus und best tigen Sie dies mit der Enter Taste Hardware Test Schritt 3 Die Software pr ft die folgenden Hardware Komponenten Pro zessor Fabrikat und Gr e der Festplatte CD ROM Laufwerk Netzwerkkarten sowie den IDE bzw SCSI Controller Falls die vorhanden
207. henden Proxys bei dem Benutzerauthentifizierung mittels RADIUS erfolgen soll Falls User Authentication noch ausgeschaltet ist Statusampel zeigt Rot aktivieren Sie diese indem Sie auf die Schaltfl che Enable klicken Authentication Methodes W hlen Sie in diesem Auswahlfeld RADIUS aus Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add Die Benutzerauthentifizierung per RADIUS ist nun aktiviert Im Microsoft Windows NT 2000 Event Log protokolliert anschlie end der IAS Server jeden Zugriff auf den Proxyserver Um ein schnelles Volllaufen des Event Logs zu verhindern speichert das Internet Sicherheitssystem die vom RADIUS Server gelieferten Daten f r f nf Minuten Das bedeutet allerdings auch dass sich 80 System benutzen amp beobachten nderungen an der Benutzerdatenbank gegebenenfalls erst nach maximal f nf Minuten bemerkbar machen Achtung Das Internet Sicherheitssystem sendet Anfragen ber den UDP Port 1812 5 1 7 2 SAM NT 2000 XP Bei dieser Authentifizierungsmethode wird zur Bewertung der An fragen ein MS Windows NT 2000 Domain Controller oder ein Stand alone Server verwendet Viele Unternehmen verwenden bereits MS Windows NT 2000 Netzwerke die auf dem MS Windows NT 2000 Active Directory Domain Konzept basieren Der Vorteil von SAM ist dass es sehr einfach zu konfigurieren ist wenn auf dem Netzwerk schon ein Primary Domain Controller PDC oder ein einfacher Server mi
208. ht um eine Spam Mail handelt Wenn Sie bei der Option Spam Protection die Aktion Pass ausw hlen kann der Empf nger die E Mail mit seiner E Mail Software filtern e X Spam Flag Wenn der enthaltene Wert Yes lautet wurde die Nachricht als Spam Mail erkannt e X Spam Report Der Proxy hat die Nachricht als Spam Mail er kannt Der hinzugef gte Multiline Header enth lt einen offen les baren Antispam Bericht Spam Sender Whitelist Diese Kontrollliste kann nur f r die Option Spam Protection definiert werden Tragen Sie in die Liste die E Mail 257 System benutzen amp beobachten Adressen der Absender ein deren Nachrichten nicht gefiltert werden sollen Die E Mail Adressen werden in der Kontrollliste in Form von Perl Compatible Regular Expressions definiert File Extension Filter Die Firewall filtert die Anh nge Attachments mit den Erweiterungen aus der Kontrollliste Expressions Filter Mit dieser Funktion k nnen alle E Mail Texte und angeh ngte Textdateien die durch den POP3 Proxy gehen anhand be stimmter Ausdr cke Expressions gefiltert werden Die Ausdr cke werden in der Kontrollliste in Form von Perl Compatible Regular Expressions definiert 258 System benutzen amp beobachten 5 6 5 Ident wann Das Ident Protokoll wird Status WI Disable u von einigen Servern zur Forward Connections 9 __Enable einfachen Indentit ts ber pr fung der zugreifenden Clients verwendet Obwohl dieses Ident Prot
209. htlist mit vertrauensw rdigen Domain Namen definiert werden N Sicherheitshinweis Diese Funktion sollte allerdings nur mit Vorsicht eingesetzt wer den da Absenderadressen auch leicht gef lscht werden k nnen 265 System benutzen amp beobachten 5 6 6 1 Content Filter Virus Protection Block RCPT Hacks Der Proxy akzeptiert keine E Mails die eine Absenderadresse mit den Zeichen oder einem zus tzlichen enth lt Des Weiteren werden auch E Mails nicht akzeptiert die mit einem Dot beginnen Sender Blacklist Mit dieser Funktion k nnen E Mails von bestimmten Absenderadres sen z B von bekannten Spam Hosts geblockt werden Beide Absen deradressen auf dem Umschlag sowie die From und Reply To Header der eingehenden E Mails werden mit der Kontrollliste verglichen Tragen Sie die E Mail Adressen wie nachfolgend beschrieben in die Kontrollliste Patterns ein e E Mails einer bestimmten Adresse sollen geblockt werden Eingabe user domain com e Alle E Mails einer bestimmten Domain sollen geblockt werden Beispiel domain com e Alle E Mails eines bestimmten Benutzers sollen blockiert werden egal von welcher Domain diese abgesendet werden Beispiel user Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Wenn die Firewall nun eine E Mail von einer Adresse aus der Kontroll liste empf ngt wird diese mit der Fehlermeldung 5x
210. ich dabei auf das Wesentliche Im Verzeichnis Proxies w hlen Sie die gleichnamigen Proxies aus und konfigurieren die Einstellungen Zu Beginn sind alle Proxies ausgeschaltet Die Firewall beinhaltet die Proxydienste HTTP Web DNS Nameserver SOCKS Punkt zu Punkt Verbindung POP3 Ident SMTP E Mail und Proxy Content Manager 228 System benutzen amp beobachten 5 5 1 HTTP Gelenn Im Men HTTP konfigu Status WC _Disable S d rieren Sie die Firewall als Operation Mode Standard ae Se z HTTP Cache Proxy Die Ha o ser Proxy ist neben dem Allowed Networks Selected Available g 8 HI La Imemal adores reinen Weiterleiten von Internal Broadcast WWW Anfragen auch in der Surf Protection Content Filter J Lage diese Seiten zwi schenzuspeichern H ufig aufgerufene Seiten werden Status oe Enable Advanced Caching Disable Block CONNECT Method E Gene dann nicht mehr ber das o Reesen E Internet neu geladen son SC Ee dern nach der ersten ber CSC tragung nur noch aus dem Clear HTTP Proxy Cache Cache des Proxies abge rufen Hinweis WebAdmin kann nicht ber den eigenen Proxy aufgerufen werden Die IP Adresse des Internet Sicherheitssystems muss daher im Browser von der Verwendung des Proxyservers ausgeschlossen werden Netscape Communicator Proxy ausschalten 1 ffnen Sie das Men Bearbeiten Einstellungen E
211. ich oft Engp sse in ihrer Entstehung beobachten und beheben bevor sie zum Problem werden Im Fenster SNMP Access stellen Sie die Berechtigungen f r den Zugriff auf den SNMP Dienst ein Die Benutzer aus den eingestellten Netzwerken k nnen dann mit Read only Berechtigung Abfragen an den SNMP Server auf dem Internet Sicherheitssystem ausf hren N Sicherheitshinweis Der SNMP Datenverkehr Protokoll Version 2 zwischen dem In ternet Sicherheitssystem und dem Netzwerk ist unverschl sselt Zugang auf SNMP Server erlauben 1 Schalten Sie die Funktion SNMP Access durch einen Klick auf die Schaltfl che Enable ein 2 W hlen Sie im Auswahlfeld Allowed Networks die Netzwerke aus von denen auf den SNMP Server zugegriffen werden darf 3 Tragen Sie in das Eingabefeld den Community String ein 4 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save 73 System benutzen amp beobachten 5 1 6 Remote Syslog Server engt eosrs Mit dieser Funktion k n e BE ll nen Sie die Protokolle SCH SEES Logs des Internet Si Logs BEE nn E cherheitssystems an ver S schiedene Hosts weiter leiten Dies ist besonders dann sinnvoll wenn Sie die Log Dateien verschiedener Systeme auf einzelne Hosts zusam menf hren wollen Per Default ist die Funktion ausgeschaltet Auf dem ausgew hlten Host muss ein zum Protokoll Syslog kompa tibler Logging Daemon laufen Host Please select
212. ichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Network aus Address Netmask Tragen Sie in das Eingabefeld die IP Adres se ein und w hlen Sie im Drop down Men die Netzwerkmaske aus Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r das Netzwerk hinzuf gen 4 Speichern Sie das Netzwerk durch einen Klick auf die Schalt fl che Add Definition WebAdmin pr ft nun Ihre Eingaben auf semantische G ltigkeit Nach erfolgreicher Definition wird das neue Netzwerk in die Netz werktabelle eingetragen Sie finden dieses Netzwerk jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 112 System benutzen amp beobachten F r dieses Netzwerk k nnen Sie z B unter Proxies HTTP den Zugriff auf den HTTP Proxy freischalten DNS Server hinzuf gen 1 2 ffnen Sie im Verzeichnis Definitions das Men Networks Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den DNS Server ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men DNS Host
213. ick auf die Schaltfl che delete wird der Eintrag wieder gel scht Kernel Routing Table Die Kernel Routing Tabel le wird in einem separaten Kernel Routing Table ME e v io additional static routes define w O sem Fenster werden alle vom System aktuell verwen GE deten Routen aufgelistet broadcast 192 168 5 0 dev eth0 table local proto kernel scope link src 192 168 5 217 broadcast 127 255 255 255 dev lo table local proto kernel scope link sre 127 0 0 1 a en Das System arbeitet die nu Routen in der dargestellten Reihenfolge ab Die erste zutreffende Route wird verwendet Per Default sind die Routen der Netzwerkkarten bereits eingetragen und nicht editierbar Table ei Durch einen Klick auf die Schaltfl che Show wird das Fenster ge ffnet 171 System benutzen amp beobachten 5 9 4 NAT Masquerading 5 3 4 1 NAT gie masita Bute Die Funktion Network Ad ST dress Translation NAT dient zur Umsetzung der Rule Type DNAT SNAT Packets to match SE SE Se meist privaten IP Adres No match E No match zl No match sen eines Netzwerkes auf en Sc andere meist ffentliche Crane Bestnoten en al IP Adressen eines anderen Netzwerkes NAT erm glicht damit mehreren PCs in einem LAN einerseits die IP Adresse des Internet Access Routers f r den Internet Zugang zu nutzen und andererseits versteckt es das LAN hinter der im Internet registrierten IP Ad
214. ie hier den Namen des PDC ein BDC Address Tragen Sie in dieses Eingabefeld die IP Adresse des Backup Domain Controllers ein Falls Sie keinen BDC ver wenden tragen Sie hier die IP Adresse des PDC ein NT4 Domain Tragen Sie hier den Namen Ihrer MS Windows NT 2000 Domain ein Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 das Minus Zeichen und Unterstrich Hinweis Dies ist keine Internet Domain wie etwa Firma de sondern ein einfacher Bezeichner z B Intranet Falls Sie das Microsoft Domain Konzept nicht benutzen sondern nur einen einfachen Server haben tragen Sie hier den NETBios Namen des Servers ein Dies entspricht dem Eintrag im Eingabefeld PDC Name System benutzen amp beobachten 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save N Sicherheitshinweis F r das Shared Secret werden nur Passw rter bestehend aus alphanumerischen sowie Minus und Punkt Zeichen un terst tzt Sonderzeichen z B _ sind nicht m glich N Sicherheitshinweis Wenn Sie SAM Authentifizierung verwenden sollten Sie den Guest Account Ihrer Windows Domain deaktivieren da sonst alle Benutzer Passwort Kombinationen als g ltig angesehen werden 5 1 7 9 LDAP Server LDAP steht f r Lightweight Directory Access Protocol und ist ein Kommunikationsprotokoll das den Transport und das Format von Nachrichten definiert die von einem Client f r den Zugriff auf einen X 500 konformen Verzeichnisdi
215. ie nachfolgenden Regeln nicht mehr beachtet Die Reihenfolge ist daher sehr wichtig Setzen Sie nie eine Regel mit den Eintr gen Any Source Any Service Any Destination Allow Action an die Spitze Ihres Regelwerks Paketfilterregel setzen 1 ffnen Sie im Verzeichnis Packet Filter das Men Rules 2 Klicken Sie auf die Schaltfl che New Rule Anschlie end wird das Eingabefenster ge ffnet Packet Filter Rules Total 1 entries A New Rule A 7 Filters 7 Position Ire epes Group mon Source maketin zl Service rrr zl Destination bw zl Action nw zl Commet S I Log Add Definition Action Destination Comment none O0 Marketing HTTP j lany Example rule 207 System benutzen amp beobachten 208 F hren Sie die folgenden Einstellungen durch Position Bestimmen Sie in welche Zeile der Tabelle die Paket filterregel eingef gt werden soll Die Reihenfolge der Paketfilter regeln kann auch sp ter ge ndert werden Per Default wird die Regel an das Ende To Bottom der Regeltabelle eingef gt Group Zur einfacheren Administration des Regelwerks k nnen die Paketfilterregeln einer Gruppe zugeteilt werden Die Zugeh rigkeit zu einer Gruppe hat keinen Einfluss auf die Abarbeitung der Regel im Regelwerk Bei der ersten Regel kann in diesem Drop down Men noch keine Gruppe ausgew hlt werden Neue Gruppen werden in der Regel satztabelle definiert Source W hlen Sie im Drop dow
216. ie weitere Behandlung der E Mail h ngt von der Einstellung im Drop down Men Action ab Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen 269 System benutzen amp beobachten e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Expression Filter Es besteht auch die M glichkeit dass neue Viren der Firewall noch nicht bekannt sind Diese Viren k nnen aber auch aufgrund einer bekannten Zeichenkette z B der I love you Virus erkannt werden Die Zeichenketten werden in die Kontrollliste eingegeben Wenn nun eine E Mail diese Zeichenkette en
217. iel Name des Netzwerks 192 168 0 0 255 255 0 0 Destination W hlen Sie hier die Zieladresse aus Beispel Name des Netzwerks pop yoursite com Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add System benutzen amp beobachten Content Filter SIE Virus Protection Diese Option untersucht E Mails EES und Anh nge Attachments an EE Ee Spam Sender Whitest m Viren und Trojanische Pfer ee de Der Scanvorgang wird er mme im E Mail Header vermerkt ee SE Die gefilterten E Mails wer RT den im Men Proxies Proxy Content Manager angezeigt Die Option Virus Protection wird durch einen Klick auf die Schalt fl che Enable eingeschaltet Statusampel zeigt Gr n Spam Protection Diese Option berpr ft die eingehenden E Mails heuristisch auf bestimmte Eigenschaften die Hinweise auf Spam geben Hierzu dienen interne Musterdatenbanken Auf diese Weise ist man unabh ngig von den Absenderinformationen und kann somit die Genauigkeit stark erh hen F r den Spam Score k nnen zwei Grenzwerte Thresholds defi niert werden Auf diese Weise k nnen mutma liche SPAM E Mails von der Firewall unterschiedlich behandelt werden Default Einstellungen Grenzwerte Thresholds Pass when Score exceeds 03 aggressive Quarantine when Score exceeds 05 reasonable Der erste Grenzwert hat zur Folge dass E Mails ab Stufe 3 gefiltert aber durchge
218. ification Mit dieser Funktion werden die Absenderadressen von ankommenden E Mails berpr ft Es wird gepr ft ob die Domain des Absenders exi stiert Falls die Domain nicht existiert wird die E Mail zur ckge wiesen Wenn zus tzlich die Funktion Callout eingeschaltet ist nimmt der Proxy Verbindung zum SMTP Relay des Absenders auf und pr ft durch einen RCPT Befehl ob der Absender von diesem Server akzeptiert wird Sollte dies nicht der Fall sein wird der Proxy keine E Mails von dieser Adresse mehr annehmen Realtime Blackhole Lists RBL Mit der Funktion RBL k nnen externe Datenbanken mit den ihnen bekannten Spam Hosts abgefragt werden Im Internet werden meh rere Dienste dieser Art angeboten Durch diese Funktion kann der Umfang an unerw nschten E Mails stark reduziert werden Einen kommerziellen Dienst finden Sie unter der Internetadresse http www mail abuse org Action In diesem Drop down Men legen Sie fest wie eine gefilterte E Mail behandelt wird die von einer der aufgef hrten Domains abge schickt wurde Folgende Aktionen sind m glich e Warn Wenn eine E Mail von einer Domain abgesendet wurde die in einer der Datenbanken in der Kontrollliste Zone enthalten ist 271 System benutzen amp beobachten wird ihr der Header X RBL Warning hinzugef gt Die verschie denen Header werden in der Beschreibung zur Option Spam Protection erkl rt e Reject Die E Mails die von einer Domain aus der Datenbank in er
219. igstellen des Assistenten in das Eingabefeld einen beliebigen Namen f r die PPTP Verbindung ein Klicken Sie anschlie end auf die Schaltfl che Weiter 8 Mit einem Klick mit der rechten Maustaste auf das neue Symbol im Men Start Einstellungen Netzwerk und DF Verbin dungen k nnen Sie im Dialog Eigenschaften in verschiedenen Registerkarten weitere Einstellungen vornehmen oder ndern Allgemein Hier k nnen Sie den Hostnamen oder die Ziel IP Adresse ndern Falls vor der PPTP Verbindung eine Verbindung zum Internet Service Provider ISP aufgebaut werden muss stellen Sie diese im Fenster Erste Verbindung ein Optionen Hier k nnen Sie die W hl und Wahlwiederholungs optionen definieren Sicherheit W hlen Sie die Option Erweitert Benutzerdefi nierte Einstellungen Klicken Sie anschlie end auf die Schalt fl che Einstellungen Belassen Sie die Standardeinstellungen in diesem Men Netzwerk W hlen Sie im Auswahlmen Typ des anzurufen den VPN Servers die Option Point to Point Tunneling Pro tokoll PPTP aus Gemeinsame Nutzung Hier k nnen Sie die Nutzungsbe dingungen f r die PPTP Verbindung definieren Anschlie end wird die PPTP Verbindung mit einem Klick auf das neue Icon im Men Start Einstellungen Netzwerk und DF Verbin dungen gestartet Weitere Informationen erhalten Sie in der Regel vom Administrator des Netzwerks 190 System benutzen amp beobachten 5 3 7 Accounting Teie oea atia Mit
220. il angezeigt d h der Zeitraum seit dem die Mail auf dem Internet Sicherheitssystem ein getroffen ist Status Die Stati der E Mails im Proxy Content Manager werden durch Symbole angezeigt deferred zur ckgestellt Die E Mail wird an die Emp f ngeradresse versendet Falls eine E Mail mit diesem Status l ngere Zeit auf der Firewall liegen bleibt so deutet dies auf tem por re Probleme auf dem Zielhost hin Die E Mail wird ausgeliefert sobald der Zielhost wieder in der Lage ist sie anzunehmen e quarantined gesperrt KH Die E Mail wurde aufgrund der Ein stellung Quarantine in einer der Content Filter Funktionen in Quarant ne genommen In der E Mail wurden unerw nschte oder f r Ihr System sogar gef hrliche Komponenten z B Viren ent deckt E Mails mit diesem Status verbleiben in der Tabelle bis sie von Ihnen gel scht oder explizit versendet werden Bei den in Quarant ne gehaltenen E Mails wird in der Spalte rechts neben dem Statussymbol angezeigt durch welche Funktion die Nachricht gesperrt wurde SP Spam Protection VP Virus Protection FILE File Extention Filter EXP Expression Filter MIME MIME Error Checking e permanent error andauernder Fehler CH Die E Mail enth lt einen permanenten Fehler Sender In dieser Spalte wird der Absender der E Mail angezeigt Beim Typ SMTP ist dies die Absenderadresse auf dem Umschlag 279 System benutzen amp beobachten Beim Typ POP3 ist es die Adresse aus dem
221. im Feld Available das Netzwerk bzw den Benutzer aus indem Sie den entsprechenden Namen mit der Maus mar kieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die CTRL Taste w hrend der Auswahl gedr ckt halten 2 Klicken Sie auf die Schaltfl che Pfeil nach links Der Name wird nun in das Feld Selected verschoben Netzwerk oder Benutzer entnehmen 1 W hlen Sie im Feld Selected das Netzwerk bzw den Benutzer aus indem Sie den entsprechenden Namen mit der Maus mar kieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die CTRL Taste w hrend dem Markieren gedr ckt halten 2 Klicken Sie auf die Schaltfl che Pfeil nach rechts Der Name wird nun in das Feld Available verschoben Local Users Mit Auswahlfeld B wird den Funktionen und Diensten die ent sprechende Authentifizierungs Select to append E methode oder eine Netzwerk karte Interface zugewiesen Die Authentifizierungsmethode und die Netzwerkkarten m ssen vom Administrator zuerst konfiguriert werden Falls entsprechende Defini tionen zur Verf gung stehen wird die Meldung Select to append angezeigt Falls dem Auswahlfeld keine Definitionen zur Verf gung stehen erscheint die Meldung Empty List 39 WebAdmin Werkzeuge Authentifizierungsmethode oder Netzwerkkarte zuordnen 1 ffnen Sie das Drop down Men 2 W hlen Sie die Authentifizierungsmethode bzw die Netzwerk karte aus indem Sie mit der Maus auf den entsp
222. im Normal Mo dus Master des High Avialability Systems wurde der System Up2Date gestartet System Up2Date New System Up2Dates installed Ein oder mehrer System Up2Date Paket wurden erfolgreich auf dem Internet Sicherheitssystem installiert Weitere Informationen rhalten Si in der Notification E Mail System Up2Date Started System Up2Date Instal lation Die Installation ines oder mehrerer System Up2Date Pakete wurde gestartet Pattern Up2Date Pattern Up2Date started System Up2Date wurde gestartet Weitere Informa tionen zu System Up2Dat rhalten Sie in Kapitel 5 1 3 ab Seite 57 Pattern Up2Date No new pattern available for Virus Protection Es sind keine neuen Pattern Up2Dates des Typs avp f r die Option Virus Protection verf gbar Pattern Up2Date No new pattern available for Intrusion Protection Es sind keine neuen Pattern Up2Dates des Typs ips f r die Option Intrusion Protection ver f gbar Pattern Up2Date Trying another pattern typ Pattern Up2Date succeeded Updated new Intrusion Protection patterns Ein oder mehrer neu Pattern Up2Date Pakete wurden f r die Option Intrusion Protection er 360 361 700 710 850 System benutzen amp beobachten folgreich auf dem Internet Sicherheitssystem in stalliert Weitere Informationen erhalten Sie in der Notification E Mail Weitere Informationen zu System Up2Dat
223. in gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netz werkmaske durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w h len Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus 155 System benutzen amp beobachten 156 VLAN Tag Tragen Sie in das Eingabefeld den Tag f r das virtu elle Netzwerk ein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzu f hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f
224. ind noch nicht installiert Weitere Informationen erhalten Sie wenn Sie mit dem Cursor die blaue Info Schaltfl che ber hren Falls die Info Schaltfl che in rot angezeigt wird wird nach der Installation des System Up2Date Pakets automatisch ein Restart des Sicherheitssystems durchgef hrt Hinweis Beachten Sie beim High Availability HA System die zus tzlichen Hinweise zum Einspielen und Installieren der System Up2Dates Das HA System wird in Kapitel 5 1 10 ab Seite 103 erkl rt Fehlende Up2Date Pakete k nnen Sie unter der Internetadresse http download astaro de ASL up2date auf Ihren lokalen Rech ner herunterladen 58 System benutzen amp beobachten System Up2Date manuell einspielen 1 2 ffnen Sie im Verzeichnis System das Men Up2Date Service Klicken Sie im Fenster System Up2Date auf die Schaltfl che Start bei Prefetch Up2Dates now Das System pr ft nun ob auf dem Update Server neue Up 2Date Pakete vorhanden sind und l dt diese herunter Der Done gesamte Up2Date Vorgang wird im Log Fenster in Echt zeit dargestellt linkes Bild Der Vorgang wurde erfolg reich beendet wenn im Fenster die Meldung DONE erscheint Die in der Tabelle Unapplied Up2Dates aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt System Up2Date ber Internet automatisch einspielen 1 2
225. ine Alt F3 Kernel Ausgabe Alt F4 Sobald Sie dazu aufgefordert werden entnehmen Sie die CD ROM aus dem Laufwerk und verbinden die Netzwerkkarte ethO mit Ihrem lokalen Netzwerk Mit Ausnahme der internen Netzwerkkarte eth0 wird die Reihenfolge der Netzwerkkarten in erster Linie durch die PCI ID und den Kernel Treiber bestimmt Die Reihenfolge der Netzwerkkartenbenennung kann sich auch sp ter durch nderung der Hardwarekonfiguration z B durch das Hinzuf gen oder Entfernen von Netzwerkkarten und der damit verbundenen Neuinstallation ndern Installation 9 Internet Sicherheitssystem neu starten Starten Sie das Internet Sicherheitssystem mit der Tastenkombi nation Strg Alt Entf oder durch Reset neu W hrend des Boot Vorgangs wird die IP Adresse der internen Netzwerkkarte neu gesetzt daher kann auf der Konsole Install Routine Alt F1 f r kurze Zeit die Meldung No IP on ethO angezeigt werden Nachdem das Internet Sicherheitssystem neu gestartet ist je nach Hardware dauert dies bis zu f nf Minuten sollten Sie mittels Ping die IP Adresse der ethO Netzwerkkarte erreichen Falls keine Verbindung zustande kommt pr fen Sie bitte Ihr System auf die nachfolgenden m glichen Fehlerquellen Fehler Sie erreichen das Internet Sicherheitssystem nicht vom lokalen Netzwerk M gliche Fehlerursachen e IP Adresse des Internet Sicherheitssystems ist nicht kor rekt gesetzt e IP Adresse am Client Rechne
226. ine Traffic Daten in die Abrechnung einzubeziehen Im Men Reporting Accounting k nnen Sie nach entsprechender Definition das Accounting beobachten 191 System benutzen amp beobachten F hren Sie das Accounting nicht auf Gigabit Netzwerkkarten aus Durch die hohen Datenmengen kann diese Funktion sonst zu einer Auslastung des Prozessors CPU f hren Wichtiger Hinweis Traffic Accounting einstellen 1 ffnen Sie im Verzeichnis Network das Men Accounting 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet 3 W hlen Sie im Auswahlfeld Interfaces die Netzwerkkarten aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben A W hlen Sie im Auswahlfeld Ignored Networks die Netzwerke aus die vom Traffic Accounting nicht ber cksichtigt werden sollen Die Einstellungen im Men Traffic Accounting werden sofort ber nommen 5 9 8 Ping Check Mit der Aktion Ping k nnen Sie die Verbindung zu einem ae SE entfernten Host auf IP Ebene testen F r die Aktion muss im Men Packet Filter ICMP die Funktion ICMP on Firewall aktiviert sein Das Programm Ping verschickt an einen anderen Rechner ein ICMP Echo Paket Wenn der Rechner das ICMP Echo Paket erh lt muss sein TCP IP Stack ein ICMP Echo Reply Paket Plea If you want to ping DNS hostn Iso bi figured se note t
227. is Set Time Stellen Sie das Datum und die Uhrzeit ein Beachten Sie bei der Eingabe des aktuellen Datums das Aus gabedatum des License Key Falls das Ausgabedatum des Keys nach dem aktuellen Datum liegt wird die Lizenz deaktiviert Es wird nicht automatisch die Evaluation License 30 Tage Testlizenz aktiviert Wichtiger Hinweis 3 Speichern Sie Ihre Einstellungen durch einen Klick auf die Schaltfl che Save Die Uhrzeit des Systems wird nun aktualisiert 49 System benutzen amp beobachten Systemzeit mit NTP Server synchronisieren Bevor die Uhrzeit des Internet Sicherheitssystems mit einem externen System synchronisiert werden kann muss dieses als NTP Server definiert werden Der NTP Server wird dabei als Netzwerk bestehend aus einem Rechner definiert Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 110 beschrieben Wenn der NTP Server bereits definiert ist beginnen Sie mit Schritt 6 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Namen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich 3 Tragen Sie nun die IP Adresse des NTP Servers ein A Im Eingabefeld Subnet Mask geben Sie die Netzwerkmaske 255 255 255 255 ein 5 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add WebAdmin pr ft nun Ihre Eingabe
228. it Hilfe des Open Source Projekts OpenLDAP das unter der Auf sicht der OpenLDAP Foundation realisiert wird kann in einem Netz werk ein Verzeichnisdienst mit unterschiedlichen Stand alone LDAP Servern aufgebaut werden Auf der Open Source Software basiert z B der Stand alone LDAP Server iPlanet Directory Server Benutzerauthentifizierung Bei der Benutzerauthentifizierung ber LDAP wird im Verzeichnis dienst der Distinguished Name DN des Benutzers abgefragt Der abgefragte Name des Benutzers muss innerhalb des Verzeichnisses einmalig sein Bei Microsoft Active Directory AD und Novell eDirectory NDS8 hat jedes Objekt einen definierten DN der die Domain und den Pfad im AD Verzeichnis bzw im NDS Baum identifiziert und in der Gesamtstruktur eindeutig ist Dieser DN setzt sich aus Common Name CN und Domain Component DC zusammen Beispiel CN Administrator CN Users DC example DC com Unter MS Active Directory kann die Benutzerauthentifizierung auch durch den User Principal Name UPN erfolgen Dieser Name 84 System benutzen amp beobachten besteht aus dem Anmeldenamen und dem DNS Namen der Domain Beispiel admin example com Unter OpenLDAP erfolgt eine einfache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem eingetragenen Benutzer ein eindeutiger CN zugeordnet sein muss N Sicherheitshinweis Bei der Benutzerauthentifizierung mittels Stand alone LDAP Server werden ausschlie lich Klartext
229. itraum abgelaufen ist Die Funktion wird durch einen Klick auf die Schaltfl che Enable eingeschaltet Statusampel zeigt Gr n Achten Sie darauf dass die Paketfilterregeln im Men Packet Filter Rules so gesetzt sind dass auf den CRL Disribution Server zuge griffen werden kann Strict CRL Policy Jedes Partnerzertifikat wird abgelehnt das keine entsprechende CRL verf gbar hat Die Funktion wird durch einen Klick auf die Schaltfl che Enable eingeschaltet Statusampel zeigt Gr n IKE debug Flags Mit diesem Auswahlfeld k nnen Sie den Umfang der IKE Debugging Protokolle einstellen Im Men IPSec VPN Con nections muss die Funktion IKE Debugging eingeschaltet sein Die folgenden Flags k nnen protokolliert werden e State Control Kontrollnachrichten zum IKE Status e Encryption Verschl sselungs und Entschl sselungsoperationen e Outgoing IKE Inhalte von ausgehenden IKE Nachrichten e Incoming IKE Inhalte von eingehenden IKE Nachrichten e Raw Packets Nachrichten in unverarbeiteten bytes MTU Tragen Sie in das Eingabefeld den MTU Wert ein Per Default ist bereits ein MTU Wert definiert 1420 Byte 321 System benutzen amp beobachten 5 8 System Management Reporting ber das Reporting k nnen Sie sich im Internet Sicherheitssystem aktuelle Systeminformationen und Systemzust nde anzeigen lassen sowie verschiedene Protokollfunktionen in Echtzeit ffnen Die darge stellten Werte werden alle 5 Minuten aktualisie
230. k auf die Schaltfl che Cancel wird der alte Eintrag beibe halten Virus Protection Mit dieser Funktion werden die eingehenden Daten auf gef hrliche Inhalte wie z B Viren untersucht Durch einen Klick auf das Symbol wird Virus Protection ein WP und ausgeschaltet Surf Protection einschalten Profile hinzuf gen 1 Schalten Sie die Option im Fenster Surf Protection Content Filter durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet Per Default enth lt die Tabelle Profiles ein Blanko Surf Pro tection Profile 2 Um ein neues Blanko Surf Protection Profile in die Tabelle einzuf gen klicken Sie auf die Schaltfl che Add blank Profile Anschlie end k nnen Sie das Surf Protection Profile editieren 242 System benutzen amp beobachten Surf Protection Profile editieren 1 Gehen Sie in der Tabelle Profiles zu dem Surf Protection Profile das Sie editieren m chten Tragen Sie in das Feld Name einen eindeutigen Namen f r das Surf Protection Profile ein F hren Sie die Einstellungen f r die Funktionsgruppe Surf Pro tection Categories in der nachfolgend aufgef hrten Reihenfolge durch Surf Protection Categories W hlen Sie in diesem Feld die Themen der Internetseiten aus die von Ihrem Netzwerk aus nicht ge ffnet werden sollen URL Whitelist Tragen Sie in die Zugriffskontrollliste die Inter netadressen ein auf die d
231. kann nur mit dem Passwort wieder auf dem System eingespielt werden das zum Zeit punkt der Backup Generierung verwendet wurde Wichtiger Hinweis Send Backups by E Mail Damit Sie nicht st ndig daran denken m ssen die Einstellungen Ihres Internet Sicherheitssystems manuell auf einem Datentr ger zu sichern k nnen Sie hier die Backup Datei automatisch erzeugen lassen Im Anschluss wird die Datei an die angegebene E Mail Adresse geschickt Eine E Mail Backup Datei ist ca 100 KB gro E Mail Backup File generieren 1 ffnen Sie im Verzeichnis System das Men Backup 2 Schalten Sie im Fenster Advanced die Funktion Send Backups by E Mail durch einen Klick auf die Schaltfl che Enable ein Die Funktion Backups by E Mails ist eingeschaltet wenn die Statusampel Gr n zeigt Falls die Funktion Encryption eingeschaltet ist wird die d Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwort wieder eingespielt werden Wichtiger Hinweis 3 Definieren Sie mit dem Drop down Men Interval den Zeitab stand nach dem automatisch eine neue Backup Datei erstellt werden soll Die m glichen Zeitintervalle sind T glich daily einmal pro Woche weekly und einmal pro Monat monthly 7i System benutzen amp beobachten Tragen Sie in das Eingabefeld E Mail Addresses die Adresse ein an die die automatisch erstellten Backup Dateien in regel m igen Abst nden gesendet werden soll
232. kat ist ein Datensatz oder ein Text in einem standardisierten Format mit den wichtigsten Daten des Besitzers seinem Namen und seinem ffentlichen Schl ssel unterschrieben mit dem privaten Schl ssel der CA Das Format der Zertifikate ist im X 509 Standard festgelegt In einem Zertifikat unterschreibt die CA dass sie sich von der Echtheit einer Person berzeugt hat und dass der vorliegende ffent liche Schl ssel zu der Person geh rt Da das Zertifikat Werte wie den Namen des Besitzers die G ltigkeitsdauer die ausstellende Beh rde und einen Stempel mit einer Unterschrift der Beh rde enth lt kann es auch als digitaler Pass betrachtet werden 100 System benutzen amp beobachten Certificate Information Mit Hilfe dieses Men s er Country United States D se SC ee zeugen Sie zwei Zertifikate cn Bac Zum einen das CA Zerti Organization Defautcompany fikat welches im Zertifikat a Ge speicher Ihres Browsers in E Mail Address Imyname mydomain com Hostname or IP Addresser Fees stalliert wird und zum an deren ein Server Zertifikat das wiederum das Internet Sicherheitssystem ben tigt um sich bei Ihrem Browser zu authentifizieren Diese zwei Zertifikate pr fen die Firmendaten und den Sicherheitssystem Hostnamen Zertifikat f r WebAdmiin erstellen 1 ffnen Sie im Verzeichnis System das Men WebAdmin Site Certificate 2 Tragen Sie im Fenster Certificate Information die entspr
233. l Anschlie end stehen Ihnen in der Regelsatztabelle zur Bearbeitung der Paketfilterregeln weitere Funktionen zur Verf gung Neue Regeln werden per Default deaktiviert in die Regelsatztabelle eingef gt Die Paketfilterregel wird erst wirksam wenn sie von Ihnen aktiviert wird Sehen Sie dazu Regel aktivieren deaktivieren Hinweis Die Regelsatztabelle Jede Paketfilterregel wird in der Tabelle duch eine separate Zeile dar gestellt Die verschiedenen Einstellungen werden entweder durch al phanumerische Zeichen oder durch Symbole angezeigt W hrend alle Einstellungen mit einer alphanummerischen Anzeige durch einen Klick auf das entsprechende Feld editiert werden k nnen ist dies nicht bei allen Symbol Anzeigen m glich Service Action Destination Comment A Group Source 8 1 none O Marketing HTTP j gt EI Any Example rule In der nachfolgenden Tabelle werden alle Symbole aus der Regelsatz tabelle erkl rt 210 System benutzen amp beobachten Die Symbole ze anzeige Emnstenuns een O T souzeestnaten o IB emn ea Gruppe hinzuf gen editieren Durch einen Klick auf das Feld in der Spalte Group wird ein Eingabefeld ge ffnet Mit einem Klick auf die Schaltfl che Save werden die nderungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Paketfilterregel aktivieren deaktivieren Die Statusampel in der vierten Spalte zeigt den Status der Paketfilt
234. l projektagentur com stellt Wenn Sie mit der Maus die roten Seitenzahlen ber hren werden in einer Info Box die darin enthaltenen Intervalle angezeigt kleines Bild Mit den Pfeilen in der zweiten Zeile kann die Reihen folge der Eintr ge ver ndert werden Die hier durchgef hrten Einstel lungen haben allerdings keinen Einfluss auf die Funktionalit t Mit den Schaltfl chen und in der linken Spalte werden die Ein tr ge in der Tabelle numerisch auf bzw absteigend dargestellt Mit den Schaltfl chen und in der mittleren Spalte werden die Eintr ge alphanumerisch auf bzw absteigend dargestellt Die funktionale Reihenfolge der Eintr ge wird mit den Schaltfl chen in der rechten Spalte ver ndert Durch einen Klick auf die Schaltfl chen oder wird der jeweilige Eintrag um eine Zeile nach vorne bzw nach hinten verschoben Durch einen Klick auf die Schaltfl che oder wird der jeweilige Ein trag in die erste bzw in die letzte Zeile der Tabelle verschoben 41 WebAdmin Werkzeuge Eintrag hinzuf gen Schreiben Sie die neue Adresse in das Eingabe feld und klicken Sie auf die Schaltfl che Add Die neue Adresse wird anschlie end in die letzte Zeile der Tabelle eingef gt Eintrag l schen Durch einen Doppelklick auf die entsprechende Adresse wird diese sofort aus der Tabelle gel scht Eintrag bearbeiten Durch einen Klick auf die entsprechende Adres se wird diese in das Eingabefeld geladen Der Eintr
235. lassen werden Mit Hilfe des hinzugef gten Headers kann die E Mail auf dem Mail Server oder im E Mail Programm des 255 System benutzen amp beobachten Empf ngers sortiert oder gefiltert werden Beim zweiten Grenzwert wird die E Mail angenommen kommt aber in Quarant ne Grunds tzliche gilt dass der Grenzwert Threshold mit der h he ren Stufe eine strengere Behandlung erfahren soll Wichtiger Hinweis Die Option Spam Protection ben tigt auf stark frequentierten Sys temen einen hohen Anteil der Systemressourcen Pass Quarantine when Score exceeds Mit diesen Drop down Men s justieren Sie den H chstwert zur Bewertung der E Mails Der Unterschied zwischen den H chstwerten definiert sich durch die Wahrscheinlichkeit dass ungef hrliche Mails z B HTML Newsletter gefiltert werden Im Drop down Men kann ein Wert zwischen 1 und 15 eingestellt werden Mit der Stufe 1 werden bereits E Mails mit einem kleinen Spam Score behandelt Die folgenden Stufen Level geben einen Anhaltspunkt e Aggressive 03 Diese Strategie filtert die meisten Spam Mails Allerdings werden mit hoher Wahrscheinlichkeit auch ungef hrliche Nachrichten z B HTML Newsletter zur ckgewiesen e Reasonable 05 Diese Strategie liegt zwischen Aggessive und Conservative e Conservative 08 Diese Strategie filtert nur Nachrichten bei denen es sich mit sehr hoher Wahrscheinlichkeit um Spam Mails handelt Ungef hrliche E Mails werden meist nicht ge
236. less LAN erlauben m chten w hlen Sie All stations can get access aus Wenn Sie den positiven Filter konfigurieren m chten w hlen Sie Stations in Allowed MAC addrs can get access aus F r den negativen Filter w hlen Sie Stations in Denied MAC addrs can not get access aus Allowed MAC addrs Wenn Sie zuvor den positiven Filter ausgew hlt haben tragen Sie in die Zugriffskontrollliste die MAC Adressen der Rechner ein die das Wireless LAN betreten d rfen Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Denied MAC addrs Wenn Sie zuvor den negativen Filter aus gew hlt haben tragen Sie in die Zugriffskontrollliste die MAC Adressen der Rechner ein die das Wireless LAN nicht betreten d rfen System benutzen amp beobachten Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Op
237. lieren 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 W hlen Sie in der Tabelle Unapplied Up2Dates Master das Up2Date Paket aus Falls die Tabelle mehr als ein System Up2Date Paket enth lt starten Sie die Installation mit der kleinsten Version Auf dem HA System kann immer nur ein Paket installiert werden Hinweis 61 System benutzen amp beobachten 62 Klicken Sie nun in der Spalte Actions auf Install Die Installation des Up2Date Pakets auf dem System 1 wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolg reich beendet wenn im Fenster die Meldung DONE erscheint Anschlie end wird die Installation automatisch auf dem System 2 gestartet In der Tabelle Unapplied Up2Dates Slave wird w h rend des Vorgangs das Up2Date Paket und die Meldung Polled by slave angezeigt Die Installation auf dem System 2 wurde erfolgreich beendet wenn in der Tabelle wieder die Meldung No locally stored Up2Date packages available erscheint Falls in der Tabelle Unapplied Up2Dates Master noch Up2 Date Pakete angezeigt werden wiederholen Sie die Schritte 2 und 3 solange bis keine Up2Date Pakete mehr verf gbar sind Auf dem HA System wurden alle verf gbaren Up2Date Pakete installiert wenn in der Tabelle Unapplied Up2Dates Master die Meldung No locally stored Up2Date packages available erscheint und die angezeigten Versionen der beiden Systeme bereinstimmen System benutzen amp beobachten Patt
238. lle ein und ausgeschaltet Mit den Funktionen in der Spalte Actions k nnen Sie die Schnittstellen bearbeiten edit oder ent fernen delete Bei diesem Internet Sicherheitssystem weisen Sie jeder virtuellen Schnittstelle einen Namen und eine bestimmte Netzwerkkarte zu F r jede konfigurierte Schnittstelle werden anschlie end automatisch drei logische Netzwerke definiert 131 System benutzen amp beobachten e Eine Schnittstelle NAME Address bestehend aus der von Ihnen definierten IP Adresse und der Netzwerkmaske 255 255 255 255 Host e Ein Netzwerk NAME Network bestehend aus der Netzwerk IP Adresse und der Netzwerkmaske Netzwerk e Broadcast NAME Broadcast bestehend aus der Broadcast IP und der Netzwerkmaske 255 255 255 255 Host Die Netzwerke werden im Men Networks angezeigt Wenn bei einer Netzwerkkarte eine dynamische IP Adressenverteilung z B bei DHCP oder PPPoE verwendet wird werden diese Einstellungen auto matisch aktualisiert Alle Funktionen die sich auf diese Einstellungen beziehen z B Paketfilter oder NAT erhalten automatisch die ge nderte IP Adresse Hardware List Hardware List BE In dieser Tabelle sind alle auf dem Internet Sicher ae heitssystem installierten Netzwerkkarten mit den entsprechenden Hardware Informationen enthalten z B die vom System zugewiesene Bezeichnung Sys ID der Netzwerkarten Typ die MAC Hardware Adresse Name Para meters sowie Angaben zum PCI Bus
239. lt Dieses Netzwerk wird IPSec Pool genannt und kann f r alle anderen Funk tionen des Internet Sicherheitssystems genutzt werden in denen Netzwerkdefinitionen verwendet werden Falls Sie ein anderes Netz werk verwenden wollen k nnen Sie entweder die bestehende IPSec Pool Definition ver ndern oder ein anderes definiertes Netzwerk als IPSec Pool festlegen Falls Sie f r Ihren IPSec Pool private IP Adressen wie z B das vordefinierte Netzwerk verwenden m ssen Sie Masquerading oder NAT Regeln f r den IPSec Pool erstellen wenn ein Zugriff auf das Internet von den IPSec Hosts aus erw nscht ist Hinweis L TP over IPSec Client Parameters a auer In diesem Fenster k nnen en Sie den Hosts w hrend des Client WINS Servers Verbindungsaufbaus zu s tzlich bestimmte Name DNS und WINS Server zuweisen 313 System benutzen amp beobachten 5 7 6 CA Management Certificate Authority CA ist die Ausgabestelle von Zertifikaten f r ffentliche Schl ssel Im Men CA Management k nnen Sie Ihre eigene X 509 Certificate Authority CA erstellen und verwalten Diese werden bei einer IPSec Verbindung zur Authentifizierung der Benutzer an den beiden Gegenstellen verwendet Die daf r verwen deten Informationen sind in den X 509 Zertifikaten gespeichert Sie k nnen aber auch Zertifikate verwenden die von kommerziellen Anbietern z B VeriSign signiert wurden Hinweis Jedes Zertifikat ist in
240. lt Gate way definieren m chten w hlen Sie im Drop down Men None aus Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 140 System benutzen amp beobachten 5 3 2 3 Wireless LAN F r Wireless LAN gelten die Standards der Gruppe IEEE 802 11 Das Internet Sicherheitssystem unterst tzt die Variante IEEE 802 11b Dieser Standard arbeitet auf dem Funkfrequenzband 2 4 GHz und liegt im ISM Frequenzbereich ISM steht f r Industrial Scientific and Medical Diese ISM Frequenzen k nnen von der Industrie der Wissenschaft und der Medizin lizenzfrei genutzt werden d h f r die Nutzung dieser Freque
241. m Fenster Local Log File Archive durchgef hrt Per Default ist die Funktion nach dem Einschalten der Logging Funk tion ebenfalls eingeschaltet Remote Log File Archives Mit dieser Funktion k nnen die generier ten Log Files remote auf einem Host oder Server archiviert werden Die Einstellungen zur Automatisierung der Log File Archivierung auf einem separaten Server werden im Fenster Remote Log File Archive durchgef hrt 331 System benutzen amp beobachten Local Log File Archive bierg In diesem Fenster k nnen Log file partition status 1 full 36 MB used fe em Sie die Auslastung der lo SEE kalen Log File Partition be Deere obachten Das Diagramm When usage reaches 65 zeigt den derzeit belegten Speicherplatz in MB sowie die prozentuale Auslastung dieser Partition an W u do this Send Notification Threshold Two When usage reaches 0 ol Lk do this Delete oldest log files Threshold Three When usage reaches 95 Im unteren Fenster stellen Sie mit Hilfe der Drop down Men s ein wie das System reagieren soll sobald ein bestimmter Anteil der Partition von den Log Files belegt ist Hierbei k nnen drei Stufen mit jeweils unterschiedlichen Aktionen belegt werden Dol u do this Shutdown system save Log Files Level konfigurieren F r jede Stufe k nnen folgende Einstellungen durchgef hrt werden When Usage reach
242. ma zu bearbeiten Schritt 2 Neues Attribute erstellen 1 Klicken Sie mit der rechten Maustaste unter Active Directory Schema auf das Verzeichnis Attribute Klicken Sie mit der linken Maustaste auf die Schaltfl che New Definieren Sie im Fenster Create New Attribute das neue Attribut Common Name Tragen Sie in das Eingabefeld den CN ein LDAP Display Name Vergeben Sie f r das neue Attribut einen eindeutigen Namen Am Besten denselben Namen den Sie f r diesen Dienst Service auch auf dem Internet Sicherheitssystem verwendet haben Beispiel Socks Unique X500 Object ID Tragen Sie in das Eingabefeld die OID Nummer ein Syntax W hlen Sie Boolean aus Minimum Lassen Sie dieses Eingabefeld leer Maximum Lassen Sie dieses Eingabefeld leer Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK 89 System benutzen amp beobachten Schritt 3 Attribut einer Klasse Class zuweisen 1 Klicken Sie mit der linken Maustaste unter Active Directory Schema auf das Verzeichnis Classes Klicken Sie mit der rechten Maustaste auf das Verzeichnis Users Anschlie end ffnet sich das Fenster User Properties Klicken Sie auf das Register Attributes und f hren Sie die fol genden Einstellungen durch Optional W hlen Sie im Auswahlfeld das Attribut aus und ber nehmen Sie dieses durch einen Klick auf die Schaltfl che Add Beispiel Socks Speichern Sie die Eingaben durch einen Klick auf die
243. master address 261 Realtime Blackhole Lists 271 Sender Address Verification EE 271 Sender Blacklist 266 Spam Protection 271 272 Virus Protection 269 Virus Protection Content Filtera a a ea 266 SNMP Access Einf hrung rn 73 Zugang erlauben 73 SOCKS Proxy Benutzerauthentifizierung EE 252 konfigurieren 252 Statisches Routing definieren 170 Einf hrung esscr 170 Strict TCP Session Handling 223 Surf Protection Categories 241 Categories editieren 237 Content Removal 242 Index einschalten Profile hinzuf gen 242 Profile editieren 243 Profile zuweisen 247 Profile Assignment Tabelle EES 245 Profiles Funktionen 239 246 Profiles Tabelle 239 URL Blacklist 2 240 URL Whitelist 240 Whitelist Domains 237 Surf Protection Categories 237 SYN Rate Limiter System Time automatisch synchronisieren manuell einstellen 48 System Up2Date einspielen automatisch 59 einspielen lokal 60 einspielen manuell 59 installieren s es 61 installieren auf HA L sung61 Systemvoraussetzungen Administrations PC 21 Beispielkonfiguration 21 Hardware cnesneneenenenne nn 20 Time SettingS ssssrceerrrern 47 Up2Date Service Einf hrung 57 Pattern Up2Date 63 System Up2Date
244. messages In diesen generischen Log Dateien werden verschiedene Informationen zu Daemon Prozessen auf dem Internet Sicherheitssystem protokolliert In diesen Log Dateien werden unter anderem der Zugriff auf den SNMP Dienst und die Aktivit ten der Funktion Dynamic DNS protokolliert Up2Date Service messages In diesen Log Dateien werden die Ak tivit ten der Option Up2Date Service protokolliert Dies beinhaltet die System und die Pattern Up2Date Prozesse Uplink Failover messages In diesen Log Dateien werden die Akti vit ten der konfigurierten Ausfallsicherungen Auf den Netzwerkkarten protokolliert WebAdmin usage In diesen Log Dateien wird die Nutzung des Konfigurationstools WebAdmin protokolliert Die Protokolle beinhal ten die ber das Konfigurationstool durchgef hrten Einstellungs n derungen sowie die Ein und Auslog Prozesse 344 System benutzen amp beobachten 5 9 3 2 Fehler Codes Hier sind alle Fehler Warnungs und Informations Codes aufgef hrt INFO 000 System was restarted Das System wurde neu gestartet gebootet 010 Backup file Eine Backup Datei wurde vom System automatisch generiert und per E Mail an den Administrator verschickt 105 Astaro User Authenticator AUA not running restarted Das Programm Astaro User Authenticator AUA wird nicht ausgef hrt ein Restart wurde durch gef hrt 106 Cron Task Scheduler not running restarted Das Programm Cron Task Scheduler wird nicht
245. mittel von WebAdmin erl utert Das Konfigurationstool WebAdmin besteht aus f nf Komponenten m 1 Info Box Administrator Ca E Mail Addressed mg 2 Verzeichnis 3 Men Europe Berlin 4 Online Hilfe u 5 Refresh 2004 des 203 152 5 x T use slow adjustment SSH Shell Access Sellings Status Allowed Networks Available Internal Address Internal Broadcast Internal Network 36 WebAdmin Werkzeuge 4 1 Info Box In der linken oberen Ecke Manages the basic firewall fu wird die die Systemzeit und Settings die Zeitzone angezeigt Die Configuration of the hostname g GERT hinterlegte Info Box wird ge ee ffnet wenn Sie mit der am Maus die Zeitangabe ber h ren Folgende Informationen werden angezeigt Uptime Dokumentiert die Verf gbarkeit Ihres Internet Sicherheits systems d h den Zeitraum seit dem das System ohne Unter brechung verf gbar ist User Zeigt an welcher Benutzer von welchem Client aus gerade auf den WebAdmin zugreift Last Login Zeigt an wann und von welchem Client aus das letzte Mal auf den WebAdmin zugegriffen wurde 4 2 Das Verzeichnis ber das Verzeichnis gelangen Sie in die einzelnen Men s um das Internet Sicherheitssystem zu administrieren nn Damit Sie im Handbuch die entspre J chende Funktionsbeschreibung schnell n finden entspricht das Kapitel 5 MEES System benutzen amp
246. muss eingeschaltet werden wenn Sie f r den IPSec Tunnel mit einem Road Warrior die Funktion NAT Traversal verwenden und L2TP Encapsulation ausge schaltet ist Die hier eingetragene IP Adresse darf sonst nir gends verwendet werden und darf nicht Teil eines angeschlos senen Sub Netzwerks sein W hlen Sie im Drop down Men Key Type die IKE Authentifizie rungsart aus Die weiteren Einstellungen richten sich nach dem ausgew hlten Key Type PSK W hrend des Key Exchange wird passend zum verwende ten IKE Main Mode nur IPv4 Address als VPN Identifier der Gegenstelle unterst tzt Tragen Sie in das Eingabefeld Pre shared Key ein Passwort ein Falls Sie mehrere Road Warrior Verbindung konfigurieren m ch ten ben tigen Sie f r alle Verbindungen nur einen PSK N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4 Stellen Sie sicher dass dieses Passwort nicht in unbefugte H nde f llt Der Inhaber dieses Passworts kann damit eine VPN Verbindung in das gesch tzte Netzwerk aufbauen Es ist empfehlens wert das Passwort in regelm igen Abst nden zu wechseln RSA Das Schl sselpaar besteht aus einem Privat Key und einem Public Key Damit Sie mit der Gegenstelle kommuni zieren k nnen m ssen Sie jeweils die Public Keys austauschen Der Austausch der Public Keys kann per E Mail erfolgen System benutzen amp
247. n 219 System benutzen amp beobachten Traceroute Settings WEITERES Traceroute ist ein Werk Firewall is Traceroute visible enable _ ONE Cem Zeug um Fehler beim Rout Traceroute from frewall e ing in Netzwerken zu finden Mit diesem Tool kann der Weg zu einer IP Adresse aufgel st werden Traceroute listet die IP Adressen der Router auf ber die das versendete Paket transportiert wurde Sollte der Pfad der Datenpakete kurzfristig nicht nachweisbar sein wird die Unterbrechung durch Sterne angezeigt Nach einer bestimmten Menge an Unterbrechungen wird der Versuch abgebro chen Die Verbindungsunterbrechung kann viele Gr nde haben z B auch dass ein Paketfilter im Netzwerkpfad kein Traceroute erlaubt In diesem Fenster werden die erweiterten Einstellungen speziell f r ICMP Traceroute vorgenommen Zus tzlich werden die UDP Ports f r UNIX Traceroute Anwendungen ge ffnet Firewall is Traceroute visible Die Firewall antwortet auf Trace route Pakete Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Firewall forwards Traceroute Die Firewall leitet Traceroute Pakete weiter Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Hinweis Die Funktionen Firewall is Traceroute visible und Firewall for wards Traceroute machen nur Sinn wenn beide eingeschaltet sind Traceroute from Firewall Der Trace
248. n 33 Installation 12 13 14 34 Weitere Netzwerke anschlie en Falls noch weitere interne Netzwerke vorhanden sind verbinden Sie diese mit den Netzwerkkarten des Internet Sicherheits systems HTTP Proxy konfigurieren Falls Rechner im internen Netzwerk unter Verwendung des Proxies auf das Internet zugreifen sollen ffnen Sie im Verzeich nis Proxies das Men HTTP und schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Die Konfiguration des HTTP Proxy wird in Kapitel 5 6 1 ab Seite 229 beschrieben Damit die Rechner im internen Netzwerk anschlie end unter Ver wendung des HTTP Proxy auf das Internet zugreifen k nnen m ssen die Browser entsprechend konfiguriert werden Die Paketfilterregeln setzen ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die Paketfilterregeln Neue Regeln werden inaktiv an letzter Stelle angef gt und m ssen dann einsortiert werden Die Regeln werden von oben nach unten abgearbeitet wobei die Verarbeitung durch die erste zutreffende Regel beendet wird Durch einen Klick auf die Statusampel wird die Regel aktiv Statusampel zeigt Gr n Beachten Sie dass aufgrund von Stateful Inspection nur f r den Verbindungsaufbau Paketfilterregeln gesetzt werden m s sen Die Antwort oder R ckpakete werden automatisch erkannt und akzeptiert Das Setzen von Paketfilterregeln Packet Filter wird in Kapitel 5 5 ab Seite 205 beschrieben In
249. n Authentication Methods Zur Auswahl stehen nur Authentifi zierungsmethoden die Sie zuvor im Men System User Authentication konfigurier haben Falls Sie die Methode Local Users eingestellt haben w hlen Sie nun im Auswahlfeld Allowed Users die entsprechenden Benut zer aus Die lokalen Benutzer Users werden im Men Defi nitions Users verwaltet Bestimmen Sie im Drop down Men Log Level den von diesem Proxy generierten Informationsumfang Full Alle Daten werden protokolliert Access Log only Nur die behandelten Daten werden protokol liert z B die verwendeten URLs die Benutzernamen und die IP Adressen der Clients None Es werden keine Daten protokolliert Bestimmen Sie im Drop down Men Anonymity welche Infor mationen aus dem Netzwerk in den HTTP Request Headers ver sendet werden Standard Nur die hier aufgef hrten Header Typen werden blo ckiert Accept Encoding From Referrer Server WWW Authen ticate und Link None Die vom Client versendeten Header werden nicht ge ndert Paranoid Alle Header mit Ausnahme der nachfolgend aufge z hlten Typen werden blockiert Zus tzlich wird der Header User Agent ge ndert so dass keine Client Versionsinformation das Netzwerk verl t Allow Authorization Cache Control Content Encoding Content Length Content Type Date Expires Host If Modified Since Last Modified Location Pragma Accept Accept Language Content Language Mime Version Retry
250. n Netzwerken flie en kann Direktes Resultat daraus ist ein reduzierter Administrationsaufwand Sie stellen lediglich die Integrit t der Stell vertreter sicher und sch tzen damit s mtliche Clients und Server in Ihrem Netzwerk unabh ngig von Marke Programmversion oder Plattform Schutzmechanismen Weitere Mechanismen gew hrleisten zus tzliche Sicherheit Die Verwendung privater IP Adressen in den gesch tzten Netzwerken gepaart mit Network Address Translation NAT in den Auspr gungen e Masquerading e Source NAT SNAT e Destination NAT DNAT erlaubt es ein gesamtes Netzwerk hinter einer oder wenigen offiziel len IP Adressen zu verbergen und die Erkennung Ihrer Netztopologie von au en zu verhindern 14 Internet Anfrage LAN It sah erste Te D Anfrage N Antwo IM E Web Server 10 10 10 99 80 Firewall Einf hrung in die Technologie Bei nach wie vor voll verf g barer Internet Konnektivit t ist nach au en hin keine Identifi kation von Endsystemen mehr m glich Durch Destination NAT ist es allerdings m glich Server in nerhalb des gesch tzten Netz werks oder der DMZ zu platzie ren und f r einen bestimmten Dienst nach au en hin verf g bar zu machen Beispiel Ein Benutzer wie in der linken Grafik dargestellt mit der IP Adresse 5 4 3 2 Port 1111 schickt eine Anfrage an den Web Server in der DMZ Er kennt nur die externe IP Adresse 1 1 1 1
251. n Wenn Sie die Netz werkmaske durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus SSID Tragen Sie in das Eingabefeld den Funkzellennamen ein Wenn Sie die Verbindung zu einem bereits bestehenden Wireless LAN aufbauen m chten m ssen Sie den bestehenden Funkzel lennamen eintragen Use WEP Wenn Sie im Wireless LAN die WEP Verschl sselung verwenden m chten w hlen Sie im Drop down Men Yes aus System benutzen amp beobachten N Sicherheitshinweis Die WEP Verschl sselung sollte immer verwendet werden da ein ungesch tztes Wireless LAN immer ein hohes Sicherheitsrisiko darstellt Wenn Sie die WEP Verschl sselung auf No stellen werden die weiteren Einstellungen in den WEP spezifischen Feldern vom System nicht mehr ber cksichtigt WEP Authentication Falls WEP zur Authentifizierung einge setzt werden soll w hlen Sie im Drop down Men Yes aus Dies hat zur Folge dass dem Rechner im Wireless LAN der aktuelle WEP Key bekannt sein muss Require WEP Wenn Rechner die die WEP Verschl sselung nicht unterst tzen keine V
252. n Men die Quelladresse der Datenpakete aus Die Einstellung Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt Service W hlen Sie im Drop down Men den Dienst aus Im Drop down Men sind sowohl die vordefinierten als auch die von Ihnen selbst festgelegten Dienste enthalten Mit Hilfe dieser Dienste l sst sich der zu bearbeitende Datenverkehr pr zise defi nieren Die Einstellung Any steht hier stellvertretend f r alle Kombinationen aus Protokollen und Quell bzw Zielport Destination W hlen Sie im Drop down Men die Zieladresse der Datenpakete aus Die Einstellung Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt Action W hlen Sie im Drop down Men die Aktion aus die der Paketfilter ergreift wenn ein Datenpaket den Einstellungen Source Service und Destination entspricht In Verbindung mit der Aktion wird hier auch die Priorit t f r die Funktion Quality of Service Qos eingestellt System benutzen amp beobachten Damit die Priorit ten high priority und low priority wirksam werden m ssen Sie im Men Network Interfaces die ent sprechende Schnittstelle f r die Funktion QoS aktivieren und die Werte Uplink Bandwidth kbits und Downlink Bandwidth kbits definieren Wichtiger Hinweis Allow Alle Pakete die diese Bedingung erf llen werden durchgelassen Allo
253. n Sie die Frage auf dem Sicherheitshinweis ob der Vor gang fortgesetzt werden soll mit einem Klick auf die Schaltfl che Ja Authentifizieren Sie sich im WebAdmin User admin Password Passwort des WebAdmin Benutzers Beachten Sie bitte die Gro und Kleinschreibung Klicken Sie auf die Schaltfl che Login Ein anderer Administrator ist schon eingeloggt Sollte bereits ein anderer en ES Administrator im Konfigura a un tOnstool WebAdmin ange meldet sein wird eine ent sprechende Meldung ange zeigt Anhand der IP Adresse k nnen Sie sehen von welchem Rechner auf das Internet Sicherheitssystems zugegriffen wird The WebAdmin is currently occupied by the following user Login Sie k nnen diese Session beenden Geben Sie im Eingabefeld Reason den Grund f r die bernahme an und klicken anschlie end auf die Schaltfl che Login 45 System benutzen amp beobachten Nun sind Sie im Internet Sicherheitssystem eingeloggt und k nnen ber das Konfigurationstool WebAdmin das System bedienen und beobachten 5 1 Grundeinstellungen System Im Verzeichnis System f hren Sie die Grundeinstellungen des Inter net Sicherheitssystems durch 5 1 1 Settings Administrator Contact 4 E Mail Addresses Bei wichti gen Ereignissen z B auftre tenden Portscans Anmeldungen mit falschem Passwort Meldungen des Selfmonitors bei Up2Date Prozessen oder bei einem Neustart werden die Administrat
254. n Sie in den SMTP Authentifizierungseinstellungen des Clients nicht die Funktion SPA Secure Password Authentication Dies ist eine alternative Verschl sselungsmethode die von der Firewall nicht unterst tzt wird Verwenden Sie stattdessen eine unverschl s selte Authentifizierungsmethode und schalten zus tzlich f r ausge hende E Mails das TLS oder SSL Protokoll ein Mit dem Auswahlfeld Authentication Methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men System User Authentication konfigurier haben Die lokalen Benutzer Users werden im Men Definitions Users verwaltet 264 System benutzen amp beobachten Global Whitelist SES Trusted Hosts Networks Trusted Hosts Networks Selected Available u ken In dem Auswahlfeld kann Internal Broadcast eine Global Whitelist mit vertrauensw rdigen Hosts oder Netzwerken definiert werden die in diesem Fall von den folgenden Funktionen ausge schlossen werden e MIME Error Checking Trusted Domains ee i no data in table e Expression Filter e Sender Address Verification e Realtime Blackhole Lists RBL e Spam Protection Dies hat zur Folge dass die ben tigte Rechenleistung f r Scanvor g nge herabgesetzt wird und dass problematische Hosts vom Content Scanning ausgeschlossen werden k nnen Trusted Domains In der Hierarchieliste kann eine Global Wig
255. n Sie zur Sicherheit manuell alte Log Da teien damit vom Internet Sicherheitssystem kei ne weiteren wichtigen Log Files entfernt werden Di gel schten Dateien und oder Verzeichnisse werden im Anhang aufgelistet Remote log file storage failed Das t gliche Log File Archiv kann nicht auf dem konfigurierten Remote Server gespeichert werden Bitte pr fen Sie die Einstellungen im Men Local Logs Settings Remote log file archive Die Archivdatei wird automatisch mit dem n chs ten t glichen Log File Archiv abgeschickt Intrusion Protection Event Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als mittlere Priorit t einge 353 System benutzen amp beobachten EEN CRIT 301 302 305 354 stuft Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Event Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als mittlere Priorit t ein gestuft Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sammlungsperiode abgeschlossen ist Wenn weitere Ereignisse auftreten wird diese Periode ausge dehnt Weitere Informationen erhalten Sie in der Notification E Mail System Up2Da
256. n auf semantische G ltigkeit Nach erfolgreicher Definition wird das neue Netzwerk in die Netz werk Tabelle eingetragen 6 ffnen Sie im Verzeichnis System das Men Settings 7 F hren Sie im Fenster Time Settings folgende Einstellungen in der angegebenen Reihenfolge durch Time Zone W hlen Sie zuerst die Zeitzone aus Use NTP Server W hlen Sie hier den NTP Server aus Die Uhrzeit des Internet Sicherheitssystems wird nun mit dem exter nen System jede volle Stunde synchronisiert 50 System benutzen amp beobachten SSH Shell Access Settings m Status WSL Enable ne textorientierte Schnittstelle SC zum _Internet Sicherheitssys Slowed Networks 2 5 tem die nur f r erfahrene Ad ministratoren geeignet ist Man ben tigt f r den Zugriff per SSH einen SSH Client der in den meisten Linux Distributionen be reits vorhanden ist Unter MS Windows ist das Programm Putty als SSH Client zu empfehlen Der Zugriff per SSH ist verschl sselt und somit f r Fremde nicht mitzulesen SSH Shell Access Settings Die Funktion Shell Access ist per Default eingeschaltet wenn Sie im Fenster Setting System Passwords f r die Konfiguration ber den Astaro Configuration Manager ein Passwort gesetzt haben Wenn Sie ber SSH auf das Internet Sicherheitssystem zugreifen wollen muss der SSH Status eingeschaltet sein Statusampel zeigt Gr n SSH ben tigt f r die Protokollierung des Zugriffs Namens aufl s
257. n der PUT Request die mit der Anforderung gesendeten Daten selbst und nicht die Quelle Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Allowed Target Services W hlen Sie im Auswahlfeld die Dienste Services aus auf die der HTTP Proxy zugreifen kann Per Default sind bereits die Dienste mit Ports enthalten zu denen eine Verbin dung als sicher gilt TCP Port Tragen Sie in das Eingabefeld den TCP IP Port ein Per Default ist hier bereits der TCP IP Port 8080 eingetragen 235 System benutzen amp beobachten Clear HTTP Proxy Cache H ufig aufgerufene Seiten werden nicht mehr ber das Internet neu geladen sondern nach der ersten bertragung nur noch aus dem HTTP Proxy Cache abgerufen Mit dieser Aktion wird der Inhalt des Caches durch einen Klick auf die Schaltfl che Start gel scht 5 6 1 1 Content Filter Surf Protection cree T Mit der Funktion Surf Pro tection Profiles werden EE Profile erstellt um den Zu griff von einem Netzwerk oder nur von einzelnen Be SE d nutzern auf bestimmte In ternetseiten abh ngig von a der Kategorie der URL zu verhindern Die Kategorien basieren auf der URL Datenbank von Cobion Security Technol ogies und k nnen in der Tabelle Surf Protection Categories editiert werden Jedes Surf Protection Profile enth lt zus tzlich einen Content Filter mit Schutzmechanismen Cobion EE
258. name aus Hostname Tragen Sie in das Eingabefeld den Hostnamen ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den DNS Server hinzuf gen Speichern Sie den Host durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird der neue Host in die Netzwerk tabelle eingetragen Sie finden diesen Host jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 113 System benutzen amp beobachten Netzwerkgruppe definieren 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die Netzwerkgruppe ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Network Group aus Initial Members W hlen Sie im Auswahlfeld die Netzwerke aus indem Sie auf der Tastatur die Strg Taste gedr ckt halten und mit der Maus die Namen markieren Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die Netzwerkgruppe hinzuf gen 4 Speichern Sie die Netzwerkgruppe durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird
259. nanennanunnanennanunnununnannnnanennannnnanenn 152 PPPOoE DSL Verbindung uauanananananananununnnnnnn 158 PPTPoE PPPoA DSL Verbindung z z zzuuana0 163 Routing uauauananananananannnunununnnnnnnnanananananananununnn 170 NAT Masquerading zz u u unnanananananananun nn nn nn nnnn 172 NNEN 172 Masquerading uu2u nunannnunununnnnanananananunanunnnnnnnnn 176 Load Balancing uunuu nununununnnnnnananananan an un nn nn nnnn 178 DHCP Server unuuunuunnunuannannannunnunnunnunnunnnannannunnen 180 PPTP VPN Access nuuuunnunnnunnnunnnunnnnunnnunnnnnnnnnnnnn 184 Accounting u zuununununnnnananananananun un un nn RER KREE 191 Ping Check unuauananananunanunununununnnnnnunananananananannnnn 192 Inhalt 5 4 5 4 1 5 4 2 5 4 3 5 5 5 5 1 5 5 2 5 5 3 5 6 5 6 1 5 6 1 1 5 6 2 5 6 3 5 6 4 5 6 5 5 6 6 5 6 6 1 5 6 6 2 5 6 7 5 7 5 7 1 5 7 2 5 7 3 5 7 4 5 7 5 5 7 6 5 7 7 Inhaltsverzeichnis Seite Intrusion Protection ee N ENER KENE E ENEE EN 194 Settings nuauananananananununununnnnananananananunununnnnnnanen 194 Rules unun2uununununnananananananununununnnnnnanananananananannnnn 198 Advanced z4z42uunununununnananananananananunununnnnananananen 202 Paketfilter Packet Filter nuauauanannnunnnnnnnnnnn 205 Rules ununuuununununnnnanananananun un un a T 205 ICMP ae E E 218 Advanced zuz42uuuunununnnnanananananan
260. nd Group X MODP 4096 Wenn Sie PFS ausschalten m chten w hlen Sie No PFS aus Per Default ist bei dieser Funktion bereits Group 5 MODP 1536 eingestellt Wichtiger Hinweis PFS ben tigt durch den Diffie Hellmann Schl sselaustausch zus tzliche Rechenleistung PFS ist au erdem nicht immer 100 ig kompatibel unter den verschiedenen Herstellern Bei Problemen mit der Rechner Performance oder mit dem Verbin dungsaufbau zur Gegenstelle schalten Sie diese Funktion bitte aus Compression Mit Hilfe dieser Algorithmen k nnen Sie die IP Pakete komprimieren bevor sie verschl sselt werden Dieses System unterst tzt den Deflate Algorithmus 6 Falls Sie f r diese IPSec Policy noch keinen Namen definiert haben tragen Sie nun im Eingabefeld Name einen Namen ein 7 Erzeugen Sie die Policy durch einen Klick auf die Schaltfl che Add Die neue Policy wird anschlie end in der Tabelle IPSec Policies angezeigt 305 System benutzen amp beobachten 5 7 9 Local Keys Leieren Im Men Local Keys ver SEET walten Sie das lokale X 509 Zertifikat f r die EE Gegen X 509 Authentifizierung Lee definieren den Local IPSec Identifier und das locale RSA Key Schl ssel Paar f r die RSA Authentifizie rung Local IPSec X 509 Key In diesem Fenster k nnen Sie f r X 509 Zertifikate die Sie zuvor im Men IPSec VPN CA Manage ment erstellt haben die lokalen Schl ssel definieren Das Erstellen der X 509 Zertifikate wi
261. nen in die sem Men auch Spam Pro Bett tection Parameter eingeben Ben SS um unerw nschte E Mails zu filtern Incoming Mail Domain Name SMTP Host by DNS MX record E Outgoing Mail ene Networks sassa AABE D z Em In diesem Men konfigurieren Sie den SMTP Proxy f r E Mails Der SMTP Proxy emp f ngt alle E Mails auf dem Gateway und versendet Sie im zweiten Prozess wieder Damit werden keine Protokollbefehle weitergeleitet sondern nur die Daten selbst Der SMTP Proxy setzt das SMTP Protokoll auf dem TCP IP Port 25 um Use Smarthost oe _Enable Hinweis Um eine einwandfreie Funktion des SMTP Relay zu gew hrleisten muss ein g ltiger Nameserver DNS aktiviert sein Die Firewall Benachrichtigungen an den Administrator werden auch bei abge schaltetem SMTP Proxy verschickt 260 System benutzen amp beobachten SMTP Proxy konfigurieren 1 2 ffnen Sie im Verzeichnis Proxies das Men SMTP Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein F hren Sie im Fenster Global Settings die Grundeinstellungen durch Hostname MX Tragen Sie hier den Hostnamen ein Wichtiger Hinweis Wenn Sie TLS Verschl sselung verwenden m chten muss dieser Hostname identisch sein mit dem in Ihrer DNS Zone an gegebenen MX Record Mail Exchanger Ansonsten werden andere SMTP Server eventuell die Auslieferung von E Mails mit TLS verweigern Postm
262. ng berwacht die Funktion Performance und Sicherheit der relevanten System Parameter und greift bei Abweichungen die ber eine gewisse Toleranz hinausgehen regulierend ein Anschlie end erh lt der zu st ndige Administrator per E Mail einen Bericht Das Selfmonitoring des Internet Sicherheitssystems stellt sicher dass zentrale Dienste z B der Syslog Daemon der HTTP Proxy oder das Network Accounting ordnungsgem funktionieren Zugriffsrechte auf Dateien werden ebenso berwacht wie der Anteil einzelner Prozesse am Verbrauch der Systemresourcen wodurch eine eventuelle berlastung des Systems bereits im Vorfeld verhindert wird Dar ber hinaus erh lt der Systemverwalter rechtzeitig Hinweise auf sich abzeichnende Ressourcen Engp sse wenn z B der verf g bare Festplattenspeicher knapp werden sollte Erforderliche Ma nah men zur Systemerweiterung bzw Entlastung k nnen so rechtzeitig geplant werden 343 System benutzen amp beobachten SMTP proxy In diesen Log Dateien werden die Aktivit ten des SMTP Proxy protokolliert Alle eingehenden E Mails werden darin auf gef hrt Zus tzlich werden alle Unregelm igkeiten z B zugewie sene Bounce Stati Ausf lle oder blockierte E Mails protokolliert SOCKS proxy In diesen Log Dateien werden die Aktivit ten des SOCKS Proxy protokolliert SSH remote login In diesen Log Dateien werden Informationen zu Einlogg Prozessen in die Remote Shell protokolliert System log
263. ng dern geht die Verbindung zum WebAdmin verloren Die Konfiguration der Netzwerkarten und virtuellen Schnittstellen Interfaces wird in Kapitel 5 3 2 ab Seite 129 beschrieben 8 Internes Netzwerk konfigurieren Network Definitions otal 4 entries 7 New Definition 9 2 Filters 2 ffnen Sie im Ver 7 Name ron et est zeichnis Definitions internal Address interface up 192 168 2 ress SF u en e nn Geesse Sege eet das Men Networks Internal Network Interface up 1192 163 2 0 24 Network on interface Internal e A und pr fen Sie die Einstellungen f r das interne Netzwerk W hrend der Installation wurden vom Internet Sicherheitssystem aufgrund Ihrer Defini tion der internen Netzwerkkarte eth0 automatisch drei logische Netzwerke definiert Die Schnittstelle Internal Address bestehend aus der von Ihnen definierten IP Adresse Beispiel 192 168 2 100 und der Netzwerkmaske 255 255 255 255 Host Der Broadcast Internal Broadcast bestehend aus der Broadcast IP Beispiel 192 168 2 255 und der Netzwerkmaske 255 255 255 255 Host Das interne Netzwerk Internal Network bestehend aus der Netzwerk IP Adresse Beispiel 192 168 2 0 und der Netzwerk maske Beispiel 255 255 255 0 Das Definieren neuer Netzwerke Networks wird im Handbuch in Kapitel 5 2 1 ab Seite 110 beschrieben 32 10 11 Installation Externe Netzwerkkarte konfigurieren ffnen Sie im Verzeichnis Network das Men I
264. ng Internet Key Exchange F r die manuelle Schl sselverteilung Manual Keying m ssen beide Seiten des VPN Tunnels von Hand konfiguriert werden Im Detail bedeutet dies dass f r jede der beiden Security Associations SA immer zwei je VPN Tunnel ein Security Parameter Index SPI ausgew hlt je ein Schl ssel f r die Verschl sselung und die Authentifizierung generiert werden muss und diese Schl ssel auf beiden Seiten installiert werden m ssen Diese Schl ssel sollten sp ter in regelm igen Abst nden gegen neue ersetzt werden 290 System benutzen amp beobachten Die manuelle Schl sselverteilung ist sehr aufwendig Des Weiteren birgt dieses Verfahren einige Sicherheitsrisiken da gew hrleistet sein muss dass Unbefugte keinen Zugang zu den Schl sseln haben Bei neuen Installationen wird Manual Keying heute nur noch selten verwendet Mit Hilfe des Internet Key Exchange IKE Protokolls f hrt IPSec die Schl sselverwaltung selbst ndig durch Die Schl ssel werden au tomatisch erzeugt und sicher ausgetauscht Das IKE Protokoll erm glicht das Erzeugen und Verwalten mehrerer VPN Tunnel sowie die Verwendung von dynamischen IP Adressen Au erdem werden vom IKE Protokoll die Security Associations SA automatisch verwaltet Das Internet Sicherheitssystem unterst tzt drei Authentifizierungs arten innerhalb des IKE Protokolls e IKE mit Preshared Keys PSK e IKE mit RSA Keys RSA e IKE mit X 509v3 Zertifikaten
265. ng von einem zentralen Server abfragen kann Router Gateway Ein Router ist ein Vermittlungsrechner der eine intelligente Wegewahl f r die Netzwerkpakete ausw hlt Ein Gateway ist streng genommen etwas anderes als ein Router aber im Zusammenhang mit TCP IP sind beide Begriffe synonym Wenn man Verbindungen ber das eigene Netzwerk hinaus aufbauen m chte muss man dem eigenen Rechner diesen Router Gateway bekannt machen Gew hnlich wird die h chste oder die niedrigste Adresse verwendet z B im Netzwerk 192 168 179 0 24 die Adresse 192 168 179 254 oder 192 168 179 1 Server Ein Server ist ein Rechner im Netz der besondere i d R standardisierte Dienste anbietet z B WWW FTP News usw Um diese Dienste nutzen zu k nnen brauchen Sie als Anwender einen f r den gew nschten Dienst passenden Client 368 Glossar SOCKS SOCKS ist ein Proxyprotokoll das dem Anwender erlaubt eine Punkt zu Punkt Verbindung zwischen einem internem und einem externem Rechner ber das Internet zu erstellen SOCKS oft auch Firewall Transversal Protocol genannt existiert derzeit in der Version 5 und klinkt sich auf Clientseite in die SOCKS Aufrufe der Programme ein Subnet Mask Die Subnet Mask oder Netzwerkmaske gibt an in welche Gruppen die IP Adressen eingeteilt sind Aufgrund dieser Einteilung werden einzelne Rechner einem Netzwerk zugeordnet UNC Pfad Mit Hilfe eines Universal Naming Convention Pfadnamen UNC Pfad z B
266. nger 212 Regelsatztabelle 210 Regelsatz Tabelle sortieren FERNE ERROR EEE 212 Reihenfolge ndern 212 setzen 207 Pattern Up2Date installieren automatisch 64 installieren manuell 63 Ping starten 193 Ping Check 192 POP3 Content Filter 255 Header 257 konfigurieren ssas 253 Spam Protection 255 Virus Protection 255 Portscan Detection 195 PPTP VPN Eipf brung 184 MS Windows 2000 Szenario CHE 187 PPTP Client Parameters 186 PPTP IP Poo0l cn 185 PPTP VPN Access 184 Protokolle AH 118 119 ESP 118 119 IP et 119 RO nase nenne 117 UDP 4 22 40 A 04 ns 117 Proxy DNS En rar 249 Einf hrung sesccerce 228 HTTP 229 Tdent 2 aiia 259 POR3 Ace 253 Proxy Content Manager 278 SMIP u u a 260 SOCKS zn sau Suerg enee deeg 251 Proxy abschalten MS Explorer 230 Netecape A 229 Proxy Content Manager GE ana ren Dead ee 279 deferred zur ckgestellt 279 filtern 282 Re nee 282 Global Actions 281 Mail ID 4 4 5 see 278 permanent error andauernder Fehler EE 279 quarantined gesperrt 279 Reclpientts 280 Gender 279 Stat Sinergia 279 TYDE noriai aan aan 278 Quality of Service QoS 214 Reporting Accounting Netzwerk definieren 328 Accounting ersersereern 327 Administration 322 Content Filter 325 DNS een 326 Executive Report 326 Hardware 3
267. nhaltet eine Zeichenkette aus der Kontroll liste X RBL Warning Die Funktion Realtime Blackhole Lists RBL ist eingeschaltet und die E Mail wurde von einer Domain abge schickt die in der Kontrollliste Zones enthalten ist Dieser Header wird der Nachricht hinzugef gt wenn im Drop down Men Action die Funktion Warn ausgew hlt ist 275 System benutzen amp beobachten In Microsoft Outlook 2000 Regeln erstellen In MS Outlook k nnen die von der Firewall gefilterten und anschlie Bend durchgelassenen E Mails sortiert werden Voraussetzung hierf r ist dass im Drop down Men Action der entsprechenden Option auf der Firewall die Funktion Pass ausgew hlt wurde 1 2 3 4 276 Starten Sie MS Outlook Klicken Sie auf Posteingang ffnen Sie das Men Extras Regel Assistent Klicken Sie auf die Schaltfl che Neu Anschlie end ffnet sich der Assistent zur Erstellung neuer Re geln Dieser Regel Assistent f hrt Sie nun schrittweise durch die Konfiguration Welche Art von Regel m chten Sie erstellen Schritt 1 W hlen Sie die Regel Nachricht bei Ankunft pr fen aus Klicken Sie anschlie end auf die Schaltfl che Weiter Welche Bedingung en m chten Sie berpr fen Schritt 2 W hlen Sie in diesem Fenster die Bedingung mit bestimmten W rtern in der Nachrichtenkopfzeile aus Klicken Sie im Fenster Regelbeschreibung auf den unter strichenen Textabschnitt und tragen Sie in das Eingabefeld Text suchen den N
268. nicator 6 1 oder h her oder Mozilla 1 6 Im Browser muss JavaScript aktiviert sein Im Browser muss die IP Adresse der internen Netzwerkkarte eth0 auf dem Internet Sicherheitssystem von der Verwendung eines Proxyservers ausgeschlossen sein Die Konfiguration des Browsers wird in Kapitel 5 6 1 auf Seite 229 beschrieben Beispielkonfiguration Externes Netzwerk Das Internet Sicherheits TE system sollte wie in der Eee linken Konfiguration dar Internet gestellt die einzige Ver Internes Netzwerk bindung zwischen Ihrem internen LAN und dem externen Netzwerk Inter net herstellen Km E Firewall 1 Netzwerkkarte eth0 Web FTP E Mail 2 Netzwerkkarte eth1 Server Server Server 3 Netzwerkkarte eth2 21 Installation Adresstabelle EEE IP Adresse Netzwerkmaske Default Gateway Mit internem Netzwerk verbundene Netzwerk Mit exter nem Netz werk ver bundene Netzwerk Mit DMZ verbundene Netzwerk Netzwerk karte f r HA System D Die dritte und weitere Netzwerkkarten sind optional 2 Netzwerkkarte f r High Availability HA 22 Installation 3 2 Installationsanleitung Ab hier werden Sie schrittweise durch die Installation gef hrt Bei der Installation der Software werden alle bestehenden Daten auf Achtung der Festplatte gel scht Vorbereitung Bitte legen Sie vor der Installation folgende Unterlagen bereit Internet Sicher
269. nnen Sie optional einen Kommentar f r die IPSec Benutzergruppe hinzuf gen 4 Speichern Sie die IPSec Benutzergruppe durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird die neue IPSec Benutzergruppe in die Netzwerktabelle eingetragen Sie finden diese IPSec Netzwerk gruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 115 System benutzen amp beobachten Filters Network Definitions re Mit der Funktion Filters Ss k nnen Sie aus der Tabelle Netzwerke Networks oder Hosts mit bestimmten Attri ternal Address e up 192 168 5 217 Address of interface Internal Internal Broadcast Interface up 192 168 5 255 Broadcast address on interface Internal b uten h erau ef Ite rn D i ese Internal Network Interface up 192 168 5 0 24 Network on interface Internal Funktion erleichtert das Ma nagen von gro en Netzwerken erheblich da Netzwerke eines be stimmten Typs bersichtlich dargestellt werden k nnen Netzwerke filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Name Falls Sie Netzwerke mit Namen filtern m chten tragen Sie den Begriff in das Eingabemen ein Type Mit diesem Drop down Men filtern Sie Netzwerke eines bestimmten Typs Address Valu
270. nterfaces und konfigurieren Sie die Schnittstelle zum externen Netzwerk Inter net Die Wahl der Schnittstelle und die daf r notwendigen Ein stellungen auf der externen Netzwerkkarte h ngen von der Art des Internetzugangs ab Die Konfiguration der Netzwerkarten und virtuellen Schnittstellen Interfaces wird in Kapitel 5 3 2 ab Seite 129 beschrieben Masquerading Regel f r das interne Netzwerk definieren Falls Sie in Ihrem Netzwerk private IP Adressen verwenden m chten und eine direkte Verbindung ohne Proxy ben tigen set zen Sie unter dem Verzeichnis Network im Men NAT die ent sprechenden Masquerading Regeln Weitere Informationen zu DNAT SNAT und Masquerading erhalten Sie im Kapitel 5 3 4 ab Seite 172 Die IP Routing Eintr ge f r an die Netzwerkkarten angeschlos sene Netzwerke Interface Routes werden automatisch er stellt Bei Bedarf k nnen Sie im Men Routing IP Routing Eintr ge auch manuell definieren Dies ist allerdings nur in kom plexeren Netzwerken notwendig DNS Proxy konfigurieren ffnen Sie im Verzeichnis Proxies das Men DNS und konfigu rieren Sie den DNS Proxy Durch die Konfiguration des DNS Proxy beschleunigen Sie die Namensaufl sung Sie k nnen einen lokalen Nameserver DNS oder den Ihres Internet Service Providers eintragen Andernfalls verwendet Ihr Internet Sicherheitssystem automa tisch die Root Nameserver Die Konfiguration des DNS Proxy wird in Kapitel 5 6 2 ab Seite 249 beschriebe
271. ntifizierung wird die E Mail Adresse verwendet Als Neukunde tragen Sie hier Ihre E Mail Adresse ein Wenn Sie bereits das Registration Portal zu Astaro Security Linux V4 genutzt haben tragen Sie in das Eingabefeld die E Mail Adresse ein die Sie bei der Anmeldung verwendet haben Falls Sie die damals verwendete E Mail Adresse nicht mehr wis sen k nnen Sie diese unter dem Dialog Returning Registra tion Portal users abfragen Sie ben tigen Ihr Username und das Password Do you have a MyAstaro password Falls Sie sich zum ersten Mal in MyAstaro anmelden klicken Sie das Auswahlk stchen bei No I am a new user an Falls Sie bereits Benutzer von MyAstaro sind tragen Sie das Passwort in das Eingabefeld Yes my password is ein Klicken Sie anschlie end auf die Schaltfl che Submit System benutzen amp beobachten 3 Generieren Sie einen MyAstaro Accout E Mail Address In diesem Eingabefeld k nnen Sie Ihre Adresse korrigieren Password Tragen Sie Ihr gew nschtes Passwort ein First Name Tragen Sie Ihren Vornamen ein Last Name Tragen Sie Ihren Nachnamen ein Klicken Sie anschlie end auf die Schaltfl che Register Bei erfolgreicher Registrierung wird nun die Seite mit der Mel dung Congratulations you have created your MyAstaro account Des Weiteren wird Ihnen per E Mail eine Best tigung zugesendet Sie k nnen nun in MyAstaro verschiedene Versionen des Inter net Sicherheitssystems herunterladen und zu Ihrer Lizenz die fol
272. nzen auf privatem Grund und Boden m ssen keine Geb hren bezahlt werden Der Standard IEEE 802 11b erm g licht eine maximale Bandbreite von 11 Mbit s F r die Planung des Wireless LAN muss noch beachtet werden dass die Bandbreite abnimmt je gr er die zu berbr ckende Reichweite ist Wichtiger Hinweis zur Konfiguration einer Schnittstelle zum Wireless LAN ben tigen Sie eine PCMCIA Karte mit kompatiblem Prism2 Prism2 5 oder Prism3 Chipsatz Die vom Internet Sicherheitssystem unterst tzte Hardware ist unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufgelistet Die Schnittstelle zwischen Internet Sicherheitssystem und Wireless LAN kann als Wireless LAN Access Point oder Wireless LAN Station konfiguriert werden Mit Wireless LAN Access Point werden die drahtlos vernetzten Rechner Clients ber diese Schnittstelle miteinander verbunden Die Funktion entspricht einem Hub im verdrahteten Netzwerk ber das Internet Sicherheitssystem kann das drahtlose Netzwerk anschlie end an das kabelbasierte LAN angebunden werden Mit Wireless LAN Station wird das Internet Sicherheitssystem an ein bestehendes drahtloses Netzwerk angemeldet und fungiert als einfacher Endpunkt Nur bei diesem Wireless LAN Schnittstellen Typ 141 System benutzen amp beobachten k nnen Sie die Adressen auch durch einen DHCP Server zuweisen lassen Wireless LAN Security F r die Ve
273. oday i S A SH Re File Query k nnen Sie im E lokalen Archiv nach be lt Content filter stimmten Log Files suchen Das Ergebnis der Suchanfra ge wird in einem separaten Fenster angezeigt Mode Search Term Suchanfrage starten 1 Stellen Sie im Drop down Men Time Span die Zeitspanne ein 2 W hlen Sie im Auswahlfeld Logs die Protokolle aus Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben 3 Stellen Sie im Drop down Men Mode den Modus ein 4 Falls Sie nach Protokollen mit bestimmten Zeichenketten suchen tragen Sie diese in das Eingabefeld Search Term ein 5 Um die Suchanfrage zu starten klicken Sie auf die Schaltfl che Start Die Protokolle werden nun in einem separaten Fenster aufgelistet 335 System benutzen amp beobachten 5 9 9 Browse Im Men Browse sind alle Protokolle enthalten Nach dem ffnen des Men s werden in der bersicht Browse local Log Files alle Proto kollgruppen Logs angezeigt Die Log File bersicht In der bersicht sind alle Protokollgruppen Log File Groups enthal ten Die Gruppen mit den heutigen Protokollen k nnen direkt in dieser bersicht ge ffnet werden Browse local Log Files rs Accounting data 4 files 184 di rg Admin notifications 6 files Today 3064 d i el Boot messages D 6files 3473 di rig Content filter 4 files 254 di r8 DHCP server 4 files 383 amp rg DNS p
274. okoll unverschl sselt ist verwenden es noch viele Dienste Services und setzen es manch mal sogar voraus Default Response men Save Dieses Internet Sicherheitssystem unterst tzt zur Beantwortung Ident Anfragen wenn Sie die Funktion Ident einschalten Das Sys tem wird immer mit dem String antworten den Sie als Default Re sponse definieren unbeachtet dessen von welchem lokalen Dienst diese Verbindung gestartet wurde Forward Connections Die Ident Anfragen werden vom Connection Tracking nicht erkannt Dies kann umgangen werden wenn Sie die Funktion Masquerading verwenden Mit Forward Connections k n nen Sie die Ident Anfragen an einen mit Masquerading verborgenen Host hinter die Firewall weiterleiten Beachten Sie dabei dass die aktuelle IP Verbindung nicht bergeben wird Stattdessen wird die Firewall beim internen Client nach einer Ident Antwort anfragen und diesen String an den externen Server weiterleiten Dieses Vorgehen wird von den meisten Mini Ident Ser vern unterst tzt der meist Bestandteil der heute g ngigen IRC und FTP Clients ist 259 System benutzen amp beobachten 5 5 5 SMTP Eite Mit dem SMTP Proxy sch t Status CIS S e zen Sie den internen Mail Hostname MX Jh domain example Soa Kee Server vor Angriffen Ein Max Message Size unlimited Save und ausgehende E Mails wer DoS Protection CIS Disable den auf sch dliche Inhalte berpr ft Sie k n
275. on 0 bis einschlie lich 65535 und ist ein Proto koll das kein sog ACK Bit ben tigt UDP arbeitet besonders beim Versenden kleinerer Datenmengen schneller als TCP Verlorene Pakete k nnen ber UDP nicht erkannt und neu angefordert werden da es sich um ein verbindungsloses Protokoll handelt Der Erhalt der Datenpakete wird vom Empf nger nicht quittiert TCP Verbindungen benutzen ebenfalls die Ports von 0 bis 65535 Ver lorene Pakete k nnen ber TCP erkannt und neu angefordert werden Bei TCP werden alle Datenpakete vom Empf nger quittiert verbin dungsorientiertes Protokoll Eine TCP Verbindung wird zu Beginn mit 117 System benutzen amp beobachten dem sog Three Way Handshake Verfahren aufgebaut und nach dem Transfer wieder abgebaut Die Protokolle AH und ESP werden f r Virtual Private Network VPN ben tigt Diese Protokolle werden im Kapitel 5 7 ab Seite 283 beschrieben Die definierten Dienste und Gruppen werden in der Dienstetabelle aufgelistet Per Default befinden sich in der Tabelle bereits statisch eingetragene Dienste Services Die Dienste Services lassen sich zu Dienstgruppen Service Groups zusammenfassen Diese Dienstgruppen werden behandelt wie einzelne Dienste und k nnen wieder Teil einer bergeordneten Gruppe sein In der Dienstetabelle sind die Dienstgruppen durch das Gruppensymbol d r gekennzeichnet Die Definition einer Dienstgruppe Service Group wird ab Seite 120 beschrieben Dienst hinzuf
276. onale Passw rter wie z B das Astaro Configuration Manager Pass wort nachtr glich setzen Mit Halt System wird das Internet Sicher heitssystem zus tzlich heruntergefahren Nach dem Neustart wird dann zuerst das Fenster Setting System Passwords angezeigt omplete lues and halt the Mit Factory Reset wird das Internet Sicherheitssystem in den ur spr nglichen Zustand nach der Installation zur ckgesetzt d h alle Daten die nach der Installation auf dem System erzeugt oder einge geben wurden werden gel scht Dies betrifft insbesondere die ge samte Konfiguration den HTTP Proxy Cache die E Mail Queues die Accounting und Reporting Daten alle Passw rter und alle noch nicht installierten Up2Dates Der Versionsstand des Internet Sicherheitssystems bleibt erhalten alle installierten System Up2Dates und Pattern Up2Dates werden nicht ver ndert 52 System benutzen amp beobachten 5 1 2 Licensing Die Lizenzierung des Inter net Sicherheitssystem erfolgt im Registrierungsportal von MyAstaro die Adresse lautet http my astaro com ber MyAstaro k nnen Sie eine 30 Tage Testversion he runterladen und diese sp ter NDR in eine Unternehmensversion E umwandeln P ASTARO Gelee Demo Downloads Main Sign in to MyAstaro What is your e mail address Der Preis f r die Unternehmensversion richtet sich nach der Gr e des zu sch tzenden Netzwerks des Support Umfangs und der zus tz lich zur Ba
277. oren ber die im Hierarchiefeld eingetragenen Adressen benachrichtigt Es sollte mindestens eine E Mail Adresse eingetragen sein Falls keine Adresse im Hierarchiefeld eingetragen ist wird die komplette Funktion Re porting per E Mail ausgeschaltet Neue E Mail Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 41 beschrieben Wichtiger Hinweis An die E Mail Adresse des Administrators k nnen Notification E Mails nur zugestellt werden wenn zuvor der DNS Proxy Kapitel 5 6 2 ab Seite 249 eingeschaltet und konfiguriert wurde oder wenn im Men SMTP Kapitel 5 6 6 ab Seite 260 die Route f r eingehende E Mails definiert wurde 46 System benutzen amp beobachten Use external Indicators Dieser Schalter wird nur angzeigt wenn das Internet Sicherheitssystem auf einer Appliance mit LCD Anzeige l uft Mit diesem Schalter k nnen Sie die LCD Anzeige ein und ausschalten Time Settings EEN ber dieses Men stellen Sie Man SCH das aktuelle Datum und die Set Time EEEE Uhrzeit des Internet Sicher Fr heitssystems ein Sie k nnen die Uhrzeit und das Datum mit Hilfe der Drop down Men s manuell einstellen oder t glich mit einem NTP Server Network Time Protocol synchronisieren Beachten Sie dass gro e Zeitspr nge zu L cken im Reporting und im Logging f hren
278. original Zielport Dienst aus W hlen Sie im Drop down Men Post Balancing Target Group die neue Adresse aus In der Regel ist dies eine Netzwerkgruppe aus einzelnen Hosts Nach erfolgreicher Definition wird die Load Balancing Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung 179 System benutzen amp beobachten Weitere Funktionen Load Balancing editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie Bend k nnen Sie die Eingaben bearbeiten Load Balancing l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 9 5 DHCP Server SEE 39 Das Dynamic Host Con _ figuration Protocol DHCP Range ser foes a weist den angeschlossenen ment CA Rechnern Clients aus einem SE festgelegten Bereich von IP ES Adressen automatisch Adres sms TR sen zu und spart so bei gr EE Beren Netzwerken viel Konfi gurationsarbeit Des Weiteren kann den Clients die Adresse des Default Gateways Rou ters und der zust ndigen Nameserver DNS zugewie sen werden DNS Server 2 IP Static Mappings MAC Address 1P Address Comment Neben der einfacheren Konfiguration der Clients und der M glichkeit mobile Rechner problemlos in unterschiedlichen Netzwerken zu betrei ben lassen sich in einem DHCP Netzwerk Fehler einfacher lokali sieren da
279. otokolle Log Files mit bestimmten Attributen herausfiltern Diese Funktion erleich tert das Managen von gro en Netzwerken da Protokolle eines bestimmten Typs bersichtlich dargestellt werden k nnen Protokolle filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Group Falls Sie Protokolle einer bestimmten Gruppe filtern m chten w hlen Sie diese im Drop down Men aus Month Mit diesem Drop down Men filtern Sie Protokolle aus einem bestimmten Monat Type Mit diesem Drop down Men filtern Sie Protokolle eines bestimmten Typs Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anscchlie end werden nur die gefilterteten Protokolle in der Tabelle angezeigt Nach Verlassen des Men s werden wieder alle Protokolle dargestellt 339 System benutzen amp beobachten 5 9 3 1 Log Files In diesem Kapitel sind alle verf gbaren Protokolle Logs aufgef hrt Im Men Browse werden diese Log Dateien erst angezeigt wenn vom System entsprechende Prozesse protokolliert wurden Die nach folgende Log Datei Accounting data wird z B erst angezeigt nach dem die Funktion Accounting im Men Network Accounting ein geschaltet wurde Accounting data In diesen Log Dateien sind alle vom System archi vierten Accountin
280. own Men After failed Attempts die ma ximale Anzahl der Versuche ein 2 Tragen Sie in das Eingabefeld Block IP for Period die Zeitspan ne f r den Blockierschutz ein 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Der Blockierschutz ist nun eingestellt Im Fenster Never block Net works k nnen Sie Netzwerke oder Hosts vom Blockierschutz aus nehmen 99 System benutzen amp beobachten 5 1 9 WebAdmin Site Certificate Ein wichtiger Bestandteil des Internet Sicherheitssystems sind die Verschl sselungsverfahren Diese kryptographischen Verfahren wer den bei der bertragung vertraulicher Daten ber Virtual Private Networks Kapitel 5 7 ab Seite 283 der Benutzerauthentifi zierung und beim Up2Date Service sowie zur sicheren Admini stration des Internet Sicherheitssystems angewendet Zertifikate und Certificate Authorities CA sind ein wesentlicher Bestandteil moderner kryptografischer Anwendungen und schlie en die Sicherheitsl cken die bei anderen Algorithmen alleine noch offen bleiben Eine sehr elegante Art verschl sselt zu kommunizieren sind die Public Key Algorithmen Sie setzen jedoch voraus dass die ffentlichen Schl ssel aller Partner bekannt sind Hier kommt eine vertrauensw rdige dritte Stelle ins Spiel die f r die Echtheit ffentlicher Schl ssel sorgt Zu diesem Zweck stellt sie Zertifikate aus Diese Stelle wird daher auch Cerficate Authority CA genannt Ein Zertifi
281. oxy erfolgt im Men Proxies DNS Die Funktionalit t des DNS Proxy wird in Kapitel 5 6 2 ab Seite 249 beschrieben F r NetBIOS Netzwerke kann zur Namensaufl sung ein WINS Server eingetragen werden WINS ist die Abk rzung f r Windows Internet Name Service Ein WINS Server ist ein MS Windows NT Server auf dem Microsoft TCP IP und die WINS Serversoftware ausgef hrt wer den Auf WINS Servern wird eine Datenbank verwaltet in der 181 System benutzen amp beobachten Computernamen den IP Adressen so zugeordnet werden dass die Benutzer problemlos mit anderen Computern unter Benutzung der WINDOWS Techniken kommunizieren k nnen und dabei alle Vorteile von TCP IP nutzen k nnen 1 2 182 ffnen Sie im Verzeichnis Network das Men DHCP Server Tragen Sie in die Eingabefelder DNS Server 1 IP und DNS Server 2 IP die IP Adressen der Nameserver ein Tragen Sie in das Eingabefeld Gateway IP die IP Adresse des Default Gateways ein Falls Sie einen WINS Server zuweisen m chten f hren Sie die folgenden zwei Einstellungen durch WINS Server IP Tragen Sie hier die IP Adresse des WINS Servers ein WINS Node Type W hlen Sie im Drop down Men die Metho de aus die der Client zur Namensaufl sung anwenden soll Falls die Einstellung Do not set note type ausgew hlt ist wird das Vorgehen vom Client selbst bestimmt Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten
282. ozessor Performance nur zum tragen wenn sehr viele IPSec VPN Verbindungen ber ein Security Gateway verschl sselt werden 289 System benutzen amp beobachten Das Encapsulated Security Payload Protokoll ESP bietet zus tz lich zur Verschl sselung auch die M glichkeit der Absender Authenti fizierung und der Inhaltsverifizierung Wenn man ESP im Tunnel Modus verwendet wird das komplette IP Paket Header und Payload verschl sselt Zu diesem verschl sselten Paket wird ein neuer unver schl sselter IP und ESP Header hinzugef gt Der neue IP Header be inhaltet Absender und Empf nger IP Adresse Diese IP Adressen ent sprechen denen des VPN Tunnels F r ESP mit Verschl sselung werden blicherweise die folgenden Ver schl sselungs verwendet e Triple Data Encryption Standard 3DES e Advanced Encryption Standard AES Eine hohe Sicherheit erreicht man durch Verwenden von AES Die effektiven Schl ssell ngen von AES sind wahlweise 128 192 oder 256 Bits Die IPSec VPN Funktion dieses Internet Sicherheitssystems un terst tzt mehrere Verschl sselungs Algorithmen F r die Authentifizierung kann wieder der MD5 oder der SHA 1 Algorithmus verwendet werden Schl sselverwaltung Key Management Die sichere Erzeugung Verwaltung und Verteilung der Schl ssel ist ausschlaggebend f r die erfolgreiche Nutzung einer VPN Verbindung IPSec unterst tzt die manuelle Manual Keying sowie die automatische Schl sselverteilu
283. p File auf die Schaltfl che Durchsuchen 3 W hlen Sie im Fenster Datei ausw hlen die Backup Datei aus die Sie importieren m chten und klicken auf die Schaltfl che ffnen Verwenden Sie zum Einspielen des Backups unter Microsoft Windows keinen UNC Pfad W hlen Sie die Backup Datei mit Hilfe des Auswahlmen s Suchen in aus Hinweis 4 Klicken Sie auf die Schaltfl che Start 67 System benutzen amp beobachten Falls w hrend der Generierung der Backup Datei die Funktion Encryption eingeschaltet war wird nun das Fenster Enter Passphrase ge ffnet 5 Tragen Sie in das Eingabefeld Passphrase das Passwort ein 6 Best tigen Sie die Eingabe durch einen Klick auf die Schaltfl che Start Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information 7 berpr fen Sie die Backup Information 8 bernehmen Sie die Backup Datei in das aktive System durch einen Klick auf die Schaltfl che Start Wenn die Meldung Backup has been restored successfully er scheint wurde der Vorgang erfolgreich abgeschlossen Create a Backup In diesem Fenster k nnen Sie von der Konfiguration auf dem Inter net Sicherheitssystem eine Backup Datei erstellen und archivieren Backup manuell generieren 1 ffnen Sie im Verzeichnis System das Men Backup 2 Geben Sie im Fenster Create a Backup in das Eingabefeld Comment einen Kommentar ein
284. passw rter verwendet und w hrend der Anfrage nicht mit SSL verschl sselt Somit ist es in ungeswitchten Umgebungen m glich Passw rter die vom In ternet Sicherheitssystem gesendet werden mitzulesen F r die Benutzerauthentifizerung mittels LDAP Server muss im g Men Proxies DNS der DNS Proxy eingeschaltet und konfiguriert sein Hinweis Microsoft Active Directory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Microsoft Active Directory AD sollte der Abfrage Typ MemberOf verwendet werden da sich ein bereits vollst ndig einge richteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis Directory kann wiederum um selbstdefinierte Attribute erweitert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben 85 System benutzen amp beobachten durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden ECH jFEE e lei Sal BB 2 gg aY Name Type Description Osten conp ters l Devslpenent EForeignsecuri Office Sapport Trainees cette 1s ompi E Domain Contr Or Maragment Or Qualty Assur bultinDemain Container Default container For upar Organization
285. prechen HTTP http L2TP over IPSec I2tp PPTP pptp SOCKS socks SMTP smtp WebAdmin Access webadmin Surf Protection Profilname 2 Bedingung Die Windows Gruppe des zugreifenden Benutzers muss der in Schritt 2 angelegten Benutzergruppe entsprechen Nur wenn vom Benutzer beide Bedingungen erf llt werden wird der Zugriff erlaubt Stellen Sie das Profil so ein dass nur eine verschl sselte Ver bindung erlaubt wird indem Sie im Register Verschl sselung die Funktion Keine Verschl sselung ausschalten Stellen Sie das Profil so ein dass eine unverschl sselte Authenti fizierung PAP erlaubt wird indem Sie im Register Authentifi zierung die Funktion verschl sselte Authentifizierung PAP ausschalten Belassen Sie bei allen anderen Profil Einstellungen die vorein gestellten Werte 79 System benutzen amp beobachten 10 11 12 13 14 15 Starten Sie das Konfigurationstool WebAdmin und ffnen im Verzeichnis System das Men User Authentication Schalten Sie die Funktion im Fenster RADIUS Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein Statusampel zeigt Gr n Address or Hostname Tragen Sie hier die IP Adresse oder den Hostna men des RADIUS Servers ein Shared Secret Tragen Sie hier das Passwort Shared Secret aus Schritt 6 ein Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save ffnen Sie das Men des entsprec
286. property to view den Wert distinguishedName aus Der im Feld Value s angezeigte Wert ist der Attributwert Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten Nun ist jeder Benutzer der als MemberOf der Security Group socks_users definiert wurde berechtigt diesen Dienst zu verwenden 5 1 8 WebAdmin Settings In diesem Men richten Sie den Zugang zum Konfigurationstool WebAdmin ein General Settings General Settings Language In diesem Drop Language 8 e D Ee down Men stellen Sie die ee Sprache ein Timeout seconds Im Eingabefeld geben Sie die Zeitspanne in Se kunden an in der Sie vom WebAdmin automatisch abgemeldet wer den wenn keine Aktionen stattfinden Nach der Installation sind stan dardm ig 300 Sekunden eingestellt Die kleinstm gliche Zeitspanne betr gt 60 Sekunden Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save Wenn sie den Browser mit einer offenen WebAdmin Session schlie Ben ohne den WebAdmin ber Exit zu verlassen bleibt die letzte Session bis zum Ablauf des Time outs aktiv TCP Port Falls Sie den Standard Port 443 f r den HTTPS Dienst anderweitig verwenden wollen z B eine Umleitung mit DNAT m ssen Sie hier einen anderen TCP Port f r das WebAdmin Interface angeben M gliche Werte sind 1024 65535 wobei bestimmte Ports f r andere Dienst
287. r Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4 Network Interface Card W hlen Sie f r die Datentransfer Verbindung eine Netzwerkkarte aus Diese Netzwerkkarte kann sp ter nicht mehr konfiguriert werden Die Netzwerkkarten m ssen auf beiden Systemen die gleiche Sys ID haben z B eth 3 F r die berwachung mittels Heart Beat Anfrage w hlen Sie in diesem Auswahlfeld bei beiden Systemen Normal Modus und Hot Standby Modus eine Netzwerkkarte aus die Link Beat unterst tzt Wichtiger Hinweis Transfer Network Tragen Sie in das Eingabefeld die Netz werk Adresse der Datentransfer Verbindung ein F r die Datentransfer Verbindung kann nur ein Class C Netz werk Netzwerkmaske 255 255 255 0 verwendet werden Die Bit Masken Darstellung kann hier nicht verwendet werden Das f r den Datenaustausch definierte Netzwerk darf nirgends sonst verwendet werden Hinweis Das Eingabefeld enth lt vom Internet Sicherheitssystem ge nerierte Vorschl ge Diese Vorschl ge m ssen von Ihnen nicht bernommen werden Serial Interface optional Zus tzlich zur Datentransfer Ver bindung kann die berwachung des aktiven Systems durch das Hot Standby System ber die serielle Schnittstelle erfolgen ber 106 4 System benutzen amp beobachten diese Verbindung erfolgt kein Datenaustausch W hlen Sie im Drop down Men die entsprechende serielle Schni
288. r Log Dateien zugeordnet wer den k nnen Diese Log Dateien geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt In der Regel sind diese Log Dateien leer High Availability In diesen Log Dateien werden die Aktivit ten des High Availability HA Systems protokolliert HTTP Daemon Die Log Dateien zum HTTP Daemon geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt WebAdmin access In diesen Log Dateien werden die Anfragen an die Benutzerdanbank protokolliert Intrusion Protection In diesen Log Dateien werden die Aktivit ten des Intrusion Protection System IPS protokolliert IPSec VPN In diesen Log Dateien werden umfangreiche Informa tionen zu den Einstellungen der IPSec VPN und L2TP over IPSec Verbindungen protokolliert Dies beinhaltet auch Informationen zum Schl sselaustausch Key Exchange und zur Verschl sselung Encryption Virus Protection In diesen Log Dateien werden die Aktivit ten der Option Virus Protection protokolliert Kernel In den Kernel Logs wird der System Status protokolliert in klusive der Meldungen von den Ger tetreibern der Meldung des Boot Prozesses sowie der vom Paketfilter Packet Filter geblockten Datenpakete Logging In diesen Log Dateien wird die lokale Archivierung der Log Dateien auf dem Internet Sicherheitssystem und die Versendung der Dateien an Remote Log File
289. r Status der VPN Verbindung trap Die Verbindung ist im Leerlauf und wartet bis ein Datenpaket eintrifft Dieser Status leitet die Aushandlung der VPN Verbindung ein bhold Die Aushandlung dauert an Das bedeutet dass alle Da tenpakete gehalten werden bis der VPN Tunnel hochgefahren UP ist 294 System benutzen amp beobachten tun0x133a 233 23 43 1 Diese oder eine hnliche Meldung wird angezeigt sobald der Tunnel hochgefahren ist Ein VPN Tunnel mit der ID 0x133a ist hochgefahren und die IP Adresse des Remote Endpoint ist 233 23 43 1 Beispiel AB gt C gt D 23 192 168 105 0 24 gt 192 168 104 0 24 gt tun0x1234 123 4 5 6 In diesem VPN Tunnel wurden 23 Datenpakete vom Netzwerk 192 168 105 0 24 zum Netzwerk 192 168 104 0 24 geschickt Der Tunnel hat die ID 0x1234 und der Remote Endpunkt hat die IP Adresse 123 4 5 6 IPSec Verbindung konfigurieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Connections 2 Schalten Sie im Fenster Global IPSec Settings die Option durch einen Klick auf die Schaltfl che Enable ein Anschlie end wird das Fenster New IPSec Connection ge ff net 3 Tragen Sie im Eingabefeld Name einen Namen f r die neue IPSec VPN Verbindung ein Name Definieren Sie einen Namen der diesen IPSec VPN Tun nel eindeutig beschreibt Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 und Unterstrich Type W hlen Sie hier den Verbindungs Typ aus Der Typ Standard dient f r
290. r bereits die prim re Netzwerkkarten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden W hlen Sie im Drop down Men Type den Schnittstellen Typ PPP over Ethernet PPPoE DSL Connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wichtiger Hinweis Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Username Tragen Sie hier den Benutzernamen ein den Sie von Ihrem Provider erhalten haben Password Tragen sie hier das Passwort ein das Sie von Ihrem Provider erhalten haben Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assigned by remote oder Static ausgew hlt wurde 159 System benutzen amp beobachten 160 Bei einer Schnittstelle zum Internet k nnen Sie mit Hilfe eines zweiten Internetzugangs und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung einrichten Beachten Sie dabei dass das Int
291. r definieren dann legen Sie z B fest dass der Rechner mit der MAC Adresse 00 04 76 26 65 4C dem Wireless LAN beitreten darf alle anderen Rechner werden ausgeschlossen Sobald nun ein Rechner diesem Wireless LAN beitre ten m chte wird die MAC Adresse der Netzwerkkarte berpr ft Falls diese MAC Adresse in der Zugriffskontrollliste enthalten ist kann die 142 System benutzen amp beobachten Funkverbindung zum Wireless LAN erfolgen andernfalls ist keine funkbasierte Verbindung m glich Bei diesem Internet Sicherheitssystem haben Sie die M glichkeit einen negativen oder einen positiven MAC Adressen Filter zu konfigurieren Beim negativen Filter sind grunds tzlich alle MAC Adressen zugelassen Sie definieren in einer Zugriffskontrollliste nur die Netzwerkkarten die das Wireless LAN nicht betreten d rfen Beim positiven Filter werden zuerst alle MAC Adressen ausge schlossen Sie m ssen in einer Zugriffskontrollliste explizit angeben welche Netzwerkkarten das Wireless LAN betreten d rfen N Sicherheitshinweis Wenn Sie die Wahl haben dann sollten Sie den weitaus sichereren positiven Filter verwenden F r die Konfiguration der Wireless LAN PCMCIA Karte ben tigen Sie die folgenden Daten e SSID Die Abk rzung steht f r Service Set Identifier und ist der Name des Funknetzwerks Ein Wireless LAN kann aus mehreren Funknetzwerken mit unterschiedlichen Funkkan len bestehen Den Namen eines Funknetzwerks kann man relati
292. r dieses Reporting ist dass alle Netzwerkkar ten unter Network Inter vm emm faces korrekt konfiguriert BESSERES wurden Die Konfiguration der Netz GE werkkarten wird in Kapitel 5 3 2 ab Seite 129 beschrie ben 324 System benutzen amp beobachten 5 8 5 Packet Filter EE In diesem Men werden die SE Paketfilterregelverletzungen in Diagrammen grafisch dar gestellt Die Regelverlet ee E zungen werden auch in den RR Packet Filter Logs proto kolliert Die Log Dateien be finden sich im Men Local Logs Browse Packet filter violations Daily 5 8 6 Content Filter In diesem Men werden zu den Proxies HTTP SMTP und POP3 die ausgewerteten Daten und Ereignisse des Content Filter in Form von Tabellen und Diagrammen angezeigt Die Option Spam Protection und der Spam Score werden im Kapitel 5 6 6 2 ab Seite 271 erkl rt Informationen zu den Proxies SMTP und POP3 e Summe der bearbeiteten Nachrichten e Die durchschnittliche Gr e der Nachrichten in Kilobytes e Die durchschnittliche H he des Spam Score Informationen zum Proxy HTTP e Summe der angefragten HTTP Seiten e Summe der durch Surf Protection geblockten HTTP Seiten e Summe der durch Virus Protection geblockten HTTP Seiten 325 System benutzen amp beobachten 5 8 7 PPTP IPSec VPN In diesem Men werden die PPTP und die IPSec VPN Verbindungen grafisch dargestellt 5 8 8 Intrusion Protection In diesem Men werd
293. r ist nicht korrekt gesetzt e Default Gateway am Client Rechner ist nicht korrekt ge setzt e Netzwerkkabel ist mit der falschen Netzwerkkarte ver bunden e Alle Netzwerkkarten des Internet Sicherheitssystems sind an einem Hub angeschlossen 27 Installation Falls Sie f r Ihre Verbindung zum Internet DSL verwenden beachten Hinweis Sie bei der Konfiguration den entsprechenden Leitfaden unter der Internetadresse http docs astaro org 3 2 2 Internet Sicherheitssystem konfigurieren Die Konfiguration des Internet Sicherheitssystems f hren Sie von Ihrem Administrations PC aus mit einem Internet Browser z B MS Internet Explorer und dem Konfigurationstool WebAdmin durch 1 28 Browser starten und WebAdmin ffnen Bevor Sie das Konfigurationstool WebAdmin ffnen k nnen m ssen Sie den Browser entsprechend konfigurieren Weitere Informationen erhalten Sie in Kapitel 5 6 1 ab Seite 229 Wenn der Browser konfiguriert ist geben Sie die IP Adresse des Internet Sicherheitssystems eth0 wie folgt ein https IP Adresse Beispiel aus Install Schritt 6 https 192 168 2 100 Anschlie end erscheint ein Sicherheitshinweis Dieser Hinweis wird sp ter nicht mehr angezeigt wenn Sie f r Ihre WebAdmin Seite ein Zertifikat generieren Ausf hrliche Informationen zum Zertifikat und wie Sie dieses Zertifikat installieren wird in Kapitel 5 1 9 ab Seite 100 beschrieben Best tigen Sie die Frage auf dem Sicherheitshinw
294. rd in Kapitel 5 7 6 ab Seite 314 beschrieben Passphrase Local IPSec RSA Key Please selec ase t a key size and click Save to generate the local RSA key A key size of at least 2048 bits is recommended RSA Key Length lease selec 7 Save Wenn Sie die X 509 Authentifizierung verwenden m chten w hlen Sie im Drop down Men Local Certificate das Zertifikat aus In diesem Drop down Men sind nur die Zertifikate verf gbar bei denen der passende Private Key vorhanden ist Tragen Sie anschlie end in das Eingabefeld Passphrase das Passwort ein mit dem der Private Key gesichert ist Anschlie end wird der Active Key mit seinem Namen im Fenster Local IPSec X 509 Key angezeigt Wenn Sie einen neuen Local Key ausw hlen wird der alte automatisch ersetzt Das Internet Sicherheitssystem verwendet nun die ID und den Public Private Key des aktuellen Local X 509 Key zur Identifizierung Authen tifizierung und zur Verschl sselung des X 509 IPSec Key Exchanges 306 System benutzen amp beobachten RSA Authentication F r die Authentifizierung mit RSA ben tigen Sie einen Local IPSec Identifier und einen Local RSA Key Die Generierung der RSA Keys kann je nach gew hlter Schl ssel I Hinweis l nge und der zur Verf gung stehenden Hardware bis zu mehreren Minuten dauern 1 Definieren Sie im Fenster Local IPSec VPN Identifier einen einzigartigen VPN Identifier IPv4 Address F r sta
295. rechenden Na men klicken Der Name wird sofort in das Feld verschoben Authentifizierungsmethode oder Netzwerkkarte entnehmen 1 Markieren Sie im Auswahlfeld den Namen der aus der Zuord nung gel scht werden soll durch einen Doppelklick Der Name wird sofort in das Drop Down Men verschoben 4 3 3 Das Drop down Men Europe Berlin DI Das Drop down Men wird bei Europa Berlin Funktionen verwendet f r die im Negri mer nur ein bestimmter Wert ein Brussels Bucharest gestellt werden kann Budapest Chisinau Bei den Drop down Men s wer Copenhagen S u Dublin den die ausgew hlten Werte in Gibralt Helsinki der Regel sofort vom System Istanbul bernommen 40 WebAdmin Werkzeuge 4 3 4 Das Hierarchiefeld Das Hierarchiefeld kommt bei Funktionen zum Einsatz bei de nen mehrere E Mail oder IP A Bm not reply fw notify net DZ i S EE E EE meer EE en nen Im Hierarchiefeld werden EENS com b d s ro Seite 10 Eintr ge dargestellt CS kosnigeageneycm HP SE SE Im Men Interfaces wird das ers 5 narineaoens f Hierarchiefeld als Zugriifskon 10 _ bechmann aganey com Schnittstellen Typs Wireless LAN Access Point eingesetzt In der ersten Zeile wird die An JEE zahl der Seiten Page und der es Eintr ge angezeigt Die ak 1 do not reply fw notify net y d tuelle Seitenzahl ist wei darge 3 Page 1 mustermann agency com richard striege
296. reingestellt da mit diesem Vor gehen eine viel h here Sicherheit erreicht werden kann F r den t gli chen Umgang bedeutet dies dass Sie ausdr cklich definieren welche IP Pakete den Filter passieren d rfen Alle brigen Pakete werden 205 System benutzen amp beobachten geblockt und anschlie end im Packet Filter Live Log angezeigt Das Packet Filter Live Log kann in diesem Men durch einen Klick auf die Schaltfl che Live Log oder im Men Packet Filter Advanced ge ffnet werden Die Funktionen im Packet Filter Live Log werden in Kapitel 5 5 3 ab Seite 222 beschrieben Beispiel Netzwerk A ist ein Sub Netzwerk von Netzwerk B In Regel 1 wird der Dienst SMTP f r das Netzwerk A erlaubt Regel 2 verbietet SMTP f r das Netzwerk B Ergebnis Ausschlie lich f r Netzwerk A wird SMTP erlaubt SMTP Pakete von allen anderen IP Adressen aus dem restlichen Netzwerk B d rfen nicht passieren Eine Paketfilterregel setzt sich aus der Quelladresse Source einem Dienst Service einer Zieladresse Destination und einer Ma nahme Action zusammen Als Quell und Zieladresse k nnen die folgenden Werte ausgew hlt werden Die Funktionen werden in den Kapiteln zu den entsprechen den Men s erkl rt e Ein Netzwerk Network die Netzwerke werden im Men Defin itions Networks definiert Eine Netzwerkgruppe Network Group die Netzwerkgruppen werden im Men Definitions Networks definiert e Ein Schnittstellen Netzwerk
297. resse des Routers Wenn ein Client im LAN ein IP Paket an den Router schickt wandelt NAT die Adresse des Absenders in eine g ltige IP Adresse um die ihm etwa der Provider zugeteilt hat bevor es ins Internet weiter gereicht wird Kommt von der entfernten Station eine Antwort auf dieses Paket zur ck wandelt NAT die Empf ngeradresse wieder in die urspr ngliche IP Adresse der lokalen Station um und stellt das Paket ordnungsgem zu Theoretisch kann NAT interne Netzwerke LANs mit beliebig vielen Clients verwalten Durch Destination Network Address Translation DNAT wird die Zieladresse Destination Address der IP Pakete umgeschrieben Dies ist besonders interessant wenn Sie ein privates Netzwerk hinter Ihrem Internet Sicherheitssystem betreiben und Netzwerkdienste im Internet verf gbar machen wollen Wichtiger Hinweis DNAT kann nicht in Verbindung mit PPTP VPN Access verwendet werden 172 System benutzen amp beobachten Beispiel Ihr internes Netzwerk hat den Addressraum 192 168 0 0 255 255 255 0 Sie m chten nun Ihren Webserver der auf dem Server mit der IP Addresse 192 168 0 20 auf Port 80 l uft f r Clients aus dem Internet erreichbar machen Die Clients k nnen dessen Adresse nicht direkt ansprechen da der Adressbereich 192 168 im Internet nicht geroutet wird Es ist jedoch m glich vom Internet aus die externe Addresse Ihres Internet Sicherheitssystems anzusprechen Mit DNAT k nnen Sie
298. ring activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als niedrige Priorit t ein gestuft Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sammlungsperiode abgeschlossen ist Wenn weitere Ereignisse auftreten wird diese Periode ausge dehnt Weitere Informationen erhalten Sie in der Notification E Mail Portscan detected A portscan was detected The originating host was lt IP gt Es wurde ein Portscan entdeckt der von der angegebenen IP Adresse aus gestartet wurde Die Funktion wird im Kapitel 5 4 1 ab Seite 194 erkl rt F r weitere Informationen WebAdmin gt Local Logs Browse Portscan suchen Sie mit whois zum wem die angezeigt IP geh rt T gt RIPE NCC http www ripe net perl whois query HOST gt ARIN http www arin net cgi bin whois pl queryinput HOST 856 999 WARN 001 System benutzen amp beobachten gt APNIC http cgi apnic net apnic bin whois pl search HOST use traceroute from gt UC Berkeley http www net berkeley edu cgi bin traceroute HOST Achtung Quell IP Adressen k nnen f r Attacken leicht gef lscht werden Portscan detected Event buffering activated A portscan was detected The originating host was lt IP gt Der Ereignisp
299. route Befehl kann auf der Fire wall verwendet werden Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n 220 System benutzen amp beobachten Ping Settings Dn Hier werden die erweiter Gene ten Einstellungen speziell Ping from Firewall f r ICMP Ping vorgenom men Weitere Informationen zu Ping erhalten Sie im Kapitel 5 3 8 ab Seite 192 Firewall is Ping visible Die Firewall antwortet auf Ping Pakete Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Firewall forwards Ping Die Firewall leitet Ping Pakete weiter Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Ping from Firewall Der Ping Befehl kann auf der Firewall verwen det werden Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n 221 System benutzen amp beobachten 5 5 39 Advanced Connection Tracking Helpers Connection Tracking Helpers Der Stateful Inspection Supported Protocols Empty ist Packet Filter und die NAT Funktionalit t werden durch das Modul iptables im Sub System Netfilter bereitgestellt Alle Verbindungen die ber den Pa ketfilter betrieben werden werden durch das Modul Conntrack mitver folgt dies bezeichnet man als Connection Tracking Einige Protokolle wie FTP oder IRC ben tigen mehrere Kommuni
300. roxies das Men DNS Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster F hren Sie die nachfolgenden Einstellungen durch Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 38 beschrieben Interfaces to listen on W hlen Sie die Netzwerkkarte aus ber die der DNS Proxy erreichbar sein soll In der Regel ist dies die interne Netzwerkkarte Die Netzwerkkarten werden im Men Network Interfaces kon figuriert Die Konfiguration einer Netzwerkkarte bzw Schnitt stelle wird in Kapitel 5 3 2 ab Seite 129 beschrieben Allowed Networks W hlen Sie die f r diesen Proxy zugelas senen Netzwerke aus N Sicherheitshinweis W hlen Sie im Men Allowed Networks m glichst nicht Any aus Der DNS Proxy kann sonst von allen Internet Teilnehmern genutzt werden System benutzen amp beobachten Forwarding Name Servers Tragen Sie in das Eingabefeld die IP Adresse des Nameservers ein Neue Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 4 ab Seite 41 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten 5 6 3 SOCKS tem SOCKS ist ein universeller Status CR Proxy der von vielen Client Applikationen unterst tzt wird Einige Beispiele daf r oeren L e
301. roxy DI 6 files Today 39kB8 rg HTTP proxy 4 files 5669 rig Intrusion Protection System EI 4 files Dk d i r 8 Kernel messages 6files Today 82kB di rs Local logins DI 6 files 1240 amp FE S Logging subsystem 6 files Today 11462 di ris Packet filter 6 files Now 126kB i rg PPTP daemon 4 files 227 amp r 8 Selfmonitoring 6files sckB dr ra SMTP proxy D 6 files Today 132kB8 di rg SSH daemon 6 files 269 d D S System log messages D 6files Today 27kB di rig User authentication daemon D 6 files Today 1439 i rs WebAdmin 6 files Now f23kB di checked entries Die Funktionen in der bersicht von links nach rechts Auswahlk stchen Diese Einstellung wird in Verbindung mit dem Drop down Men in der Fu zeile der Tabelle ben tigt Markieren Sie hier die Protokollgruppen und w hlen Sie anschlie end die Aktion Delete oder Download as ZIP File im Drop down Men aus Die Aktion wird sofort gestartet 336 System benutzen amp beobachten Durch einen Klick auf das Auswahlk stchen in der Kopfzeile werden alle Protokollgruppen ausgew hlt 8 Durch einen Klick auf das Papierkorb Symbol wird die Gruppe aus der Tabelle gel scht Name In dieser Spalte sind alle Protokolle alphabetisch aufgelistet Date Das Datum wird bei den heutigen Protokollen nicht angezeigt 8 Durch einen Klick auf das Ordner Symbol wird das Unterver zeichnis mit allen Protokollen dieser Gruppe angezeigt Durch einen nochmaligen Kli
302. rschl sselung des Wireless LAN sieht der Standard 802 11 das Verschl sselungsverfahren WEP vor WEP ist die Abk rzung f r Wired Equivalent Privacy Dieses Verschl sselungsverfahren ba siert auf der RC4 Chiffrierung wobei ein Schl ssel f r die Kodierung und Dekodierung verwendet wird Bei Aktivierung der WEP Verschl s selung wird ein geheimer Schl ssel erstellt der auf allen Wireless LAN Schnittstellen die zu diesem Funknetzwerk geh ren gleich kon figuriert sein muss Wenn nun eine Daten bertragung zwischen zwei mobilen Rechnern stattfindet werden die Daten zun chst mit Hilfe des geheimen Schl ssels chiffriert und anschlie end an den Ziel rechner bertragen Dort werden die Daten mit Hilfe des gleichen Schl ssels wieder dekodiert Wer nicht ber den korrekten Schl ssel verf gt kann die Daten nicht dechiffrieren Bei diesem Internet Sicherheitssystem kann WEP auch zur Au thentifizierung genutzt werden Wenn ein Rechner dem Wireless LAN beitreten will aber nicht ber den passenden Schl ssel verf gt wird die Verbindung seitens des Access Points getrennt Beim Schnittstellen Typ Wireless LAN Access Point k nnen Sie f r Stations den Zugang in das Wireless LAN durch Filtern der MAC Adressen kontrollieren Generell l t sich ein Wireless LAN recht flexibel erweitern doch sollte immer noch der Netzwerk Administrator entscheiden d rfen wann und welcher Rechner eingebunden werden soll Wenn Sie nun einen solchen Filte
303. rt Alle Diagramme im Verzeichnis Reporting zeigen im ersten Schritt einen berblick der tagesaktuellen Auslastung Durch einen Klick auf die Schaltfl che Show all ffnen Sie ein Zusatzfenster mit den w chentlichen monatlichen oder j hrlichen Durchschnittswerten 5 8 1 Administration Report Administrative Statistics Da S M en Ad m i n i st ration SE nn enth lt eine bersicht mit aaa ra css ala administrativen Ereignissen Up2Date virus Protection success falled _ der letzten 30 Tage Config changes total System restarts total Uplink failover events total License usage Daily 10 0 an D I 2 0 an 10 00 12 00 14 00 Duser limit current 10 00 M Die folgenden Vorg nge werden angezeigt e WebAdmin Logins e Remote Logins e Local Logins e System Up2Dates e Virus Pattern Up2Dates e Intrusion Protection Pattern Up2Dates 322 System benutzen amp beobachten e Config Changes e Astaro Configuration Manager Uploads e System Restarts e High Availability Takeover 5 8 2 Virus Report Virus Protection Statistics Das Men Vi rus enth lt Today Yesterday Last 7 Days Last 30 Days Ser eine bersicht der gefilter POP3 viruses HTTP viruses ten Viren der letzten 7 Tage Die folgenden Viren werden angezeigt e SMTP Viruses e POP3 Viruses e HTTP Viruses 5 8 3 Hardware Report Hardware Usage Graphe In diesem Men werden die aktu
304. rung in MS Windows unter Start Programme Zubeh r Eingabeaufforderung 3 Pingen Sie den Zielrechner an indem Sie folgenden Befehl eingeben ping IP Adresse z B ping 192 168 2 15 A Dr cken Sie auf die Enter Taste Sofern der Zielrechner erreichbar ist erhalten Sie eine Antwort 5 Geben Sie den folgenden Befehl ein arp g 6 Dr cken Sie auf die Enter Taste 145 System benutzen amp beobachten In Ihrer lokalen ARP Tabelle befindet sich nun in der Spalte Physikalische Adresse die MAC Adresse und die dazugeh rige IP Adresse Wenn Sie eine Netzwerkverbindung zu einem anderen Rechner her stellen m chten erfolgt die Adressierung der Frames ber die MAC Adresse Diese Adresse muss also bekannt sein weshalb der Ziel rechner einen ARP Request erh lt und zur Bekanntgabe der MAC Adresse veranlasst wird Der Quellrechner erh lt daraufhin eine Ant wort und die Informationen werden in der lokalen ARP Tabelle abgelegt Wenn Sie nun die PCMCIA Karte f r das Wireless LAN als Access Point konfigurieren m chten gehen Sie wie nachfolgend beschrieben vor Die Konfiguration der PCMCIA Karte als Station wird ab Seite 149 erkl rt Wireless LAN Access Point einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein A W hlen Sie im Drop down Men H
305. rweitert Proxies 2 Klicken Sie bei Manuelle Proxies Konfiguration auf die Schalt fl che Anschauen 3 Tragen Sie in das Eingabefeld Kein Proxy f r die IP Adresse Ihrer Firewall ein 229 System benutzen amp beobachten 4 Um die Eingaben zu speichern klicken Sie auf die Schaltfl che OK Microsoft Explorer Proxy ausschalten 1 2 3 4 ffnen Sie das Men Extras Internetoptionen W hlen Sie die Registerkarte Verbindungen ffnen Sie das Men LAN Einstellungen Erweitert Tragen Sie in das Eingabefeld unter Ausnahmen die IP Adresse Ihrer Firewall ein Um die Eingaben zu speichern klicken Sie auf die Schaltfl che OK Der HTTP Proxy setzt das HTTP Protokoll im Allgemeinen TCP IP Port 80 zur bertragung von Webseiten um Hierbei sollte beachtet werden dass Teile eines Webservers z B Bilder aus einer Daten bank nicht ber Port 80 abgefragt werden sondern ber einen ande ren TCP Port Da diese Anfragen im Modus Transparent nicht erfasst werden m ssen sie durch eine entsprechende Regel im Men Packet Filter Rules behandelt werden Beispiel Source ein lokales Netzwerk Service Dienst mit Zieladresse Im Men Definitions Ser vices m ssen Sie zuvor diesen Dienst definieren Destination IP Adresse des Webservers oder Any Action Allow HTTPS Anfragen TCP IP Port 443 werden unbearbeitet durch den Proxy weitergeleitet 230 System benutzen amp beobachten Hinweis Um d
306. s System ben tigt kurze Zeit um die neue Schnittstelle zu laden 9 Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 43 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 5 9 2 4 Virtual LAN Add Interface Mit Virtual LAN kann ein Name Man_10 SCH Netzwerk auf Ethernet Ebe lardware eh Realtek RT8139 zs VIAN ehema Tiefe ne Layer 2 in mehrere virtuelle Netzwerksegmente aufgeteilt werden Dies kann z B aus Sicherheitsgr nden von Vorteil sein wenn be Netmask Default Gateway VLAN Tag QOS Status z stimmte Rechner Clients in Dar einem Netzwerk nicht mitei nander kommunizieren d r fen In gr eren Netzwerken kann es wiederum praktisch sein wenn weiter entfernte Rechner Clients im selben Netzwerksegment liegen k nnen Siehe Beispielkonfiguration auf der n chsten Seite 152 System benutzen amp beobachten Auf einem VLAN f higen Switch k nnen die Ports in verschiedene Gruppen getrennt werden Bei einem Switch mit 20 Ports kann z B das VLAN Gruppe 1 die Ports 1 bis 10 und das VLAN Gruppe 2 die Ports 11 bis 20 erhalten Der Rechner an Port 1 kann nun nicht mehr mit dem Rechner an Port 11 kommunizieren Der Switch wurde demnach in zwei kleinere Switches aufgeteilt
307. s das Men Networks Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den Host ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Host aus Address Tragen Sie in das Eingabefeld die IP Adresse ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den Host hinzuf gen Speichern Sie den Host durch einen Klick auf die Schaltfl che Add Definition 111 System benutzen amp beobachten Nach erfolgreicher Definition wird der neue Host in die Netzwerk tabelle eingetragen Sie finden diesen Host jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder Diesen Host k nnten Sie z B unter System Remote Syslog als Remote Syslog Server definieren Netzwerk hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r das Netzwerk ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Ze
308. s diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet und zudem st ndig erreichbar ist Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem System benutzen amp beobachten Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzu f hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschal
309. sa tion an mehreren Standpunkten operiert die ber eine Internet Anbindung verf gen Aufbauend auf dem IPSec Standard wird es hier m glich sichere Verbindungen herzustellen Unabh ngig von der Art der zu bertragenden Daten wird diese ver schl sselte Verbindung automatisch d h ohne die Notwendigkeit zu s tzlicher Konfigurationen oder Passw rter am Endsystem genutzt um den Inhalt w hrend des Transports abzusichern Am anderen Ende der Verbindung ISO OSI TCP IP werden die bermittelten Daten wieder transparent entschl sselt 7 Application Layer Application Level Bu R EE und stehen in ihrer urspr nglichen 6 Presentation Layer Form dem Empf nger zur Verf 5 Session Layer gung Transmission Level Die Firewall dieses Internet 4 T Ob ransport Layer TCP UDP Sicherheitssystems ist ein Hybrid 3 Netwerk Layer Internet Level IP ICMP aus den genannten Schutzmecha 2 Data Link Layer Network Level nismen und vereinigt die Vorteile Ethernet aller Varianten 1 Physical Layer Die Stateful Inspection Packet Filter Funktionalit t bietet plattformunabh ngig die n tige Flexibilit t um alle n tigen Dienste definieren freischalten oder sperren zu k nnen Vorhandene Proxies machen dieses Internet Sicherheitssystem zum Application Gateway der die wichtigsten Endsystemdienste wie HTTP Mail und DNS durch Stellvertreter absichert und zudem durch SOCKS generisches Circuit Level Proxying erm glicht 17
310. se Adresse wird in der Regel vom Provider oder von der Hardware mitgeliefert und kann nicht ge ndert werden Beispiel 10 0 0 138 bei AonSpeed NIC IP Address Tragen Sie hier die IP Adresse f r die Netz werkkarte auf dem Internet Sicherheitssystem ein Die Adresse muss im selben Sub Netzwerk liegen wie die IP Adresse des Modems Beispiel 10 0 0 140 bei AonSpeed NIC Netmask Tragen Sie hier die Netzwerkmaske ein Beispiel 255 255 255 0 bei AonSpeed Address to Ping Geben Sie hier die IP Adresse eines Hosts im Internet ein der auf ICMP Ping Anfragen antwortet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird der Verbindungsaufbau abgebrochen 165 System benutzen amp beobachten 166 Username Tragen Sie hier den Benutzernamen ein den Sie von Ihrem Provider erhalten haben Password Tragen sie hier das Passwort ein das Sie von Ihrem Provider erhalten haben Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assigned by remote oder Static ausgew hlt wurde Bei einer Schnittstelle zum Internet k nnen Sie mit Hilfe eines zweiten Internetzugangs und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung einrichten Beachten Sie dabei dass das Internet Sicherheitssystem nur eine DSL Verbindung unterst tzt Eine Ausfallsicherung f r den Internetzugang kann z B a
311. sislizenz abonnierten Optionen e Intrusion Protection e Surf Protection e Virus Protection f r Mail e Virus Protection f r Web e High Availability HA Zur Lizenzierung einer Unternehmensversion ben tigen Sie zuerst den Activation Key Mit diesem Activation Key aktivieren Sie anschlie Bend im Registrierungsportal von MyAstaro den License Key Nur dieser License Key kann im Sicherheitssystem eingespielt werden Auf diese Weise k nnen Sie selbst den Beginn des Lizenzzeitraums Ihres Sicherheitssystems bestimmen Sie installieren zuerst die Software und registrieren anschlie end Ihre Lizenz erst in diesem Augenblick beginnt die Zeitspanne f r die abonnierte Unternehmensversion und die erworbenen Optionen Weitere Informationen zur Lizenzierung sowie den entsprechenden Activation Key erhalten Sie bei einem zertifizierten Astaro Partner 53 System benutzen amp beobachten oder Sie wenden sich ber die E Mail Adresse sales astaro com direkt an Astaro Der Activation Key kann nicht direkt ber das Konfigurationstool Hinweis WebAdmin auf dem Sicherheitssystem eingespielt werden Der Acti vation Key dient nur zur Aktivierung des License Key Nur dieser License Key kann auf dem Sicherheitssystem eingespielt werden Benutzer Account festlegen 1 54 ffnen Sie mit Ihrem Browser die Internetseite mit der Adresse https my astaro com Melden Sie sich in MyAstaro an What is your e mail address F r die Authe
312. spiel Konfiguration sehen Sie auf der n chsten Seite 10 Einf hrung in die Technologie Externes Netzwerk Internet Internes Netzwerk Le UE LG sun ann d IM Firewall Web FTP E Mail Server Server Server Die Firewall Ein Modul dieses Internet Sicherheitssystems ist die Firewall Die charakteristischen Aufgaben einer Firewall als Schnittstelle zwischen WAN LAN und DMZ sind e Schutz vor unbefugten Zugriffen e Zugangskontrolle wer darf wie und worauf zugreifen e Beweissicherheit gew hrleisten e Protokollauswertung durchf hren e Alarmierung bei sicherheitsrelevanten Ereignissen e Verbergen der internen Netzstruktur e Entkopplung von Servern und Clients durch Proxies 11 Einf hrung in die Technologie e Vertraulichkeit Abh rsicherheit von Daten gew hrleisten Es existieren nun mehrere generische Netzwerkeinrichtungen die unter dem berbegriff Firewall zusammengefasst diese Aufgaben bernehmen Im Folgenden soll kurz auf einige Formen und ihre Ab leger eingegangen werden Netzwerkschicht Firewalls Paketfilter Packet Filter Wie der Name schon sagt werden hier IP Pakete bestehend aus Adressinformation einigen Flags und den Nutzdaten gefiltert Mit einer solchen Firewall k nnen Sie basierend auf verschiedenen Vari ablen Zugang gew hren oder ablehnen Diese Variablen sind u a e die Ursprungsadresse e die Zieladresse e das Protokoll z B TC
313. ssystem Anbieters in Verbindung 354 355 356 357 358 360 361 System benutzen amp beobachten Intrusion Protection Pattern Up2Date failed Could not connect to Up2Date Server Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Virus Pattern Up2Date failed No active bases for Virus Pattern found Intrusion Protection Pattern Up2Date failed No active bases for Intrusion Protection Patterns found Virus Pattern Up2Date failed Internal MD5Sum Error Die korrekte MD5 Pr fsumme kann nicht erstellt werden Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung Intrusion Protection Pattern Up2Date failed Internal MD5Sum Error Die korrekte MD5 Pr fsumme kann nicht erstellt werden Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung Pattern Up2Date failed Licence Check failed Ihre Lizenz kann nicht gepr ft werden Falls das Problem andauert setzen Sie sich mit dem Sup port Ihres Sicherheitssystem Anbieters in Ver bindung Pattern Up2Date failed Restart of Virus Scanner failed 359 System benutzen amp beobachten 362 712 850 851 360 Der Virus Scanner konnte nicht wieder gestartet werden Falls das Problem anda
314. stallation 15 Paketfilter beobachten Debugging 16 Mit der Funktion Packet Filter Live Log im Men Packet Filter Advanced k nnen Sie sehen welche Datenpakete in Ihrem Paketfilter gefiltert werden Wenn nach der Installation des Internet Sicherheitssystems Probleme auftauchen so eignen sich diese Informationen zum Debugging Ihrer Paketfilter regeln Die Funktion Packet Filter Live Log wird in Kapitel 5 5 3 ab Seite 222 beschrieben Sicherheitssystem und Virenscanner aktualisieren ffnen Sie im Verzeichnis System das Men Up2Date Service und f hren Sie das System Up2Date aus Falls Ihre Lizenz auch Virus Protection beinhaltet starten Sie anschlie end manuell die Funktion Pattern Up2Date Die Option Up2Date Service wird in Kapitel 5 1 3 ab Seite 57 beschrieben Wenn Sie diese Schritte erfolgreich durchgef hrt haben ist die Erstkonfiguration des Internet Sicherheitssystems abgeschlossen Schlie en Sie nun das Konfigurationstool WebAdmin durch einen Klick auf die Schaltfl che Exit Probleme Sollten bei der Durchf hrung dieser Schritte Probleme auftauchen so wenden Sie sich bitte an den Support ihres Sicherheitssystem Anbieters oder besuchen Sie das Astaro Bulletin Board unter http www astaro org 35 WebAdmin Werkzeuge 4 WebAdmin Werkzeuge Mit dem Konfigurationstool WebAdmin k nnen Sie alle Einstellungen am Internet Sicherheitssystem durchf hren In diesem Kapitel wer den die Werkzeuge und Hilfs
315. starten klicken Sie auf die Schaltfl che Apply Filters 213 System benutzen amp beobachten Anscchlie end werden nur die gefilterteten Paketfilterregeln in der Ta belle angezeigt Nach Verlassen des Men s wird wieder das voll st ndige Regelwerk dargestellt Quality of Service QoS Internet Die bertragungsleistung eines Leitungs FP ROULET systems wird als Bandbreite bezeichnet und E E wird hier in kBit s angegeben Falls die an fallende Datenmenge die Leistungsgrenze berschreitet kann die Kommunikation ent on Hub weder sehr langsam werden oder sogar 2 MBit s az GESESER g nzlich zusammenbrechen In der linken Grafik ist z B ein Netzwerk mit einem Web Server und einem FTP Server dargestellt Beide Server teilen sich eine 2 MBit Leitung zum Internet Protokoll bedingt nutzen TCP basierende Aplikationen z B FTP immer die volle Bandbreite Dies kann zur Folge haben dass f r den Web Server nicht mehr genug Bandbreite zur Verf gung steht ISS 100 MBit s 100 MBit s FTP Server Firewall Mit der Quality of Service QoS Funktionalit t k nnen Sie den Verbindungen f r den Fall eines ausgelasteten Uplinks verschiedene Priorit ten zuordnen Diese Priorit ten werden in den Paketfilteregeln durch die Aktionen Allow Allow high priority und Allow low priority definiert Wichtiger Hinweis Damit die Priorit ten high priority und low priority wirksam wer den m ssen Sie im Men
316. syslog ng root 7547 0 0 1 0 4148 2672 S 00 00 0 00 _ usr bin perl usr local bin root 7548 0 0 1 0 4144 2672 S 00 00 0 00 _ usr bin perl usr local bin root 7549 0 0 1 1 4756 3064 S 00 00 0 00 _ usr bin perl usr local bin 1 root 7550 0 0 2 1 7156 5416 S 00 00 0 00 _ usr bin perl usr local bin 1 root 7551 0 0 1 3 5200 3508 00 00 0 01 _ usr bin perl usr local bin t root 7552 0 0 1 1 4752 3068 S 00 00 0 00 _ usr bin perl usr local bin 1 root 7553 0 0 1 1 4744 3048 S 00 00 0 00 _ usr bin perl usr local bin root 7554 0 0 1 3 5196 3512 S 00 00 0 01 _ usr bin perl usr local bin 1 root 7555 0 0 1 3 4904 3416 S 00 00 0 00 _ usr bin perl usr local bin 1 root 7556 0 0 2 2 7380 5852 S 00 00 0 00 _ usr bin perl usr local bin r root 484 0 0 0 2 1396 576 Men 0 00 usr sbin cron root 503 0 0 0 3 4040 952 S Aren 0 00 ust sbin sshd 4 f etc ssh ssht root 640 0 0 0 9 5300 2332 S went 0 01 usr sbin httpd f etc httpd hti root 16599 0 0 oi 1236 464 S werte 0 00 _ bin logger t httpd p localt wwwrun 16600 0 0 0 9 5300 2396 S erte 0 00 _ usr sbin fcgi f etc httpd warun 25374 0 2 6 7 23056 17400 gt S 09 46 0 01 _ var ufe index fpl wwwrun 24473 0 0 1 1 5700 2944 gt 09 17 0 00 _ usr sbin httpd etc httpd wenn 25893 0 0 3 2 12724 8240 R 10 00 0 00 _ var wfe syscall pl wwwzun 25894 0 0 0 2 2556 720 R 10 00 0 00 _ bin ps awt wwrun 25623 0 0 1 0 5448 2584 S 09 52 0 0
317. t Benutzerdatenbank l uft Der Nachteil ist dass bei diesem Modell nicht zwischen verschiedenen Benutzergruppen unterschieden werden kann Sie k nnen entweder alle Benutzer einer SAM Datenbank f r einen bestimmten Proxy frei schalten oder keinen SAM NT 2000 XP einstellen a oi Um diese Authentifizierungsme z thode zu verwenden ben tigen Sie einen Microsoft Windows NT oder 2000 Server in Ihrem Netzwerk der die Benutzer Daten enth lt Dies kann ent weder ein Primary Domain Controller PDC oder ein selbst ndiger Server sein EN System benutzen amp beobachten Dieser Server hat einen NETBIOS Namen der NT 2000 Servername und eine IP Adresse 1 82 ffnen Sie im Verzeichnis System das Men User Authenti cation Schalten Sie die Funktion im Fenster SAM NT 2000 XP Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein PDC Name Tragen Sie in dieses Eingabefeld den Namen des Domain Controllers ein Da ab Microsoft Windows 2000 diese Namen auch offizielle DNS Namen sind unterst tzen wir nur Namen bestehend aus alpha numerischen sowie Minus und Punkt Zeichen Sonderzeichen z B _ werden als Fehler gewertet PDC Address Tragen Sie in dieses Eingabefeld die IP Adresse des Domain Controllers ein BDC Name Wenn Sie einen Backup Domain Controller verwen den tragen Sie in dieses Eingabefeld den Namen ein Falls Sie keinen BDC verwenden tragen S
318. t Filter gefiltert wurden Sender Mit diesem Drop down Men filtern Sie E Mails mit einer bestimmten Absenderadresse Recipient s Mit diesem Drop down Men filtern Sie E Mails mit einer bestimmten Empf ngeradresse 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anscchlie end werden nur die gefilterteten E Mails in der Tabelle angezeigt Nach Verlassen des Men s werden wieder alle Protokolle dargestellt 282 System benutzen amp beobachten 5 7 Virtual Private Networks 1PSec VPN Ein Virtuell Private Network VPN ist eine sichere Kommuni kationsverbindung ber ein ungesichertes Netzwerk z B das Inter net Ein VPN ist immer dann n tzlich wenn Informationen ber das Internet gesendet oder empfangen werden und gew hrleistet sein muss dass diese Informationen von keinem Dritten gelesen oder ver ndert werden k nnen Diese Verbindung wird durch die Software gesichert die auf beiden Seiten der Verbindung installiert ist Diese Software erm glicht Authentifizierung Schl sselaustausch und Daten verschl sselung nach dem offenen Standard Internet Protocol Security IPSec Bei einer durch VPN gesch tzten Verbindung k nnen nur au thentifizierte Gegenstellen miteinander kommunizieren Niemand an deres kann Informationen ber diese Verbindung bertragen lesen oder ver ndern Eine VPN Verbindung kann entweder zwei Hosts einen Host und ein Netzwerk LAN oder zwei Netzwerke gesi
319. t die soge nannte Fenstergr e Dieser Wert legt die maximale Anzahl der Byte f r die Nutzdaten im Datenpaket fest damit dieses auf dem Client noch verarbeitet werden kann Im zweiten Schritt antwortet der Ser ver in dem er sein ACK Bit Acknowledge im Header setzt und bermittelt ebenfalls seine Fenstergr e Im letzten Schritt akzeptiert der Client mit dem ACK Bit und beginnt anschlie end mit dem Senden der eigentlichen Daten Die Firewall nimmt PSH Pakete an ohne dass sie einen TCP Hand shake erhalten hat Dies ist z B notwendig wenn nach einem Re start des Internet Sicherheitssystems oder nach einer bernahme des zweiten Firewall Systems bei einem High Availability System die bestehenden Verbindungen nicht verloren gehen soll Wenn die Funktion Strict TCP Session Handling eingeschaltet ist erfolgt der Verbindungsaufbau mittels TCP Handshake Validate Packet Length Der Paketfilter Packet Filter pr ft die Datenpakete auf die minimale L nge wenn das Protokoll icmp tcp oder udp verwendet wird Die minimalen Datenl ngen f r die einzelnen Protokolle sind e icmp 22 bytes e tcp 48 bytes e udp 28 bytes Wenn die Datenpakete k rzer als die Minimalwerte sind werden diese blockiert und in der Log Datei Packet Filter mit dem Vermerk INVALID_PKT protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet 224 System benutzen amp beobachten Logging Options eebe Log Unique DNS Re ee
320. t werden sollen m ssen im Auswahlfeld Allowed Networks eingetragen sein Im Modus Transparent ist es nicht m glich durch etwaige Einstellungen im Browser Zugriff auf den HTTP Proxy zu erhalten Des Weiteren k n nen in diesem Modus keine Daten von einem FTP Server herunter geladen werden Ebenso m ssen HTTPS Verbindungen SSL ber den Paketfilter Packet Filter abgewickelt werden User Authentication Dieser Modus entspricht in der Funktionalit t dem Modus Standard Der Benutzer bekommt zus tzlich nur durch vorherige Authentifizierung Zugriff auf den HTTP Proxy Hinweis Jede nderung in Proxies wird ohne eine weitere Meldung sofort wirksam HTTP Proxy einschalten 1 ffnen Sie im Verzeichnis Proxies das Men HTTP 2 Schalten Sie im Fenster Global Settings den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster 3 W hlen Sie im Drop down Men Operation Mode den Betriebs modus aus Beachten Sie bei den Betriebsmodi die jeweils notwendige Zu satzkonfiguration Die Modi werden unter der berschrift Die Betriebsmodi Operation Mode beschrieben Wenn Sie den Betriebsmodus Standard oder Transparent ein gestellt haben fahren Sie mit Schritt 5 fort A Falls Sie im Drop down Men Operation Mode den Modus User Authentication ausgew hlt haben definieren Sie nun die Me thode zur Benutzerauthentifizierung 232 System benutzen amp beobachte
321. te E Mails protokolliert Portscan Detection Die Funktion Portscan Detection erkennt Portscans und benachrichtigt den Administrator per E Mail Wenn Sie die Log Files in diesem Men analysieren ziehen Sie keine voreiligen Schl sse hinsichtlich der in diesen Protokollen angegebenen Quell adresse SRC IP Source Address und dem Quell Port SPT Source Port Diese Angaben k nnen vom eigentlichen Absender leicht gef lscht werden N tzliche Informationen erh lt man durch die 342 System benutzen amp beobachten Auswertung der Ziel Adresse DST Destination IP Adresses und des Ziel Portes DPT Destination Port PPPoA DSL dial up In diesen Log Dateien werden die Vorg nge bei der Einwahl mit PPP over ATM protokolliert PPPoE DSL dial up In diesen Log Dateien werden die Vorg nge bei der Einwahl mit PPP over Ethernet protokolliert PPTP VPN Access In den PPTP Logs wird der Verlauf beim Zugriff des externen Clients auf das System protokolliert Dies beinhaltet das Einloggen und die Authentifizierung sowie eventuelle Fehler beim Verbindungsaufbau Wenn Sie im Men Network PPTP VPN Access f r die Funktion Logging den Parameter Extensive eingestellt haben werden im PPTP Log auch ausf hrliche Informationen zur PPP Verbindung ange zeigt Selfmonitor Das Selfmonitoring gew hrleistet die Systeminte grit t des Internet Sicherheitssystems und setzt den Administrator ber wichtige Ereignisse in Kenntnis Das Selfmonitori
322. te failed Could not connect to Authentication Server s Der Authentication Server ist nicht erreichbar Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Download of System Up2Date Packages failed Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date Wrong MD5sum for local System Up2Date Package Die MD5 Pr fsumme des lokalen System Up2Date Pakets ist falsch Bitt laden Si in neues Up2Date Paket herunter Die Up2Dates k nnen 306 320 322 323 324 325 System benutzen amp beobachten unter http download astaro com asl up2date he runtergeladen werden Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Wrong MD5sum for down loaded Up2Date Package Die MD5 Pr fsumm des ingespielten System Up2Date Pakets ist falsch Bitte spielen Si in neues Up2Date Paket ein Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Wrong start parameters Der System Up2Date Prozess wurde mit den fal schen Parametern gestartet Wenn sich das Pro blem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System
323. te mit gleicher Sys ID Die Installation des HA Systems wird in Kapitel 5 1 10 ab Seite 103 beschrieben 130 System benutzen amp beobachten In den nachfolgenden Abschnitten wird erkl rt wie die verschiedenen Schnittstellen Typen Interface Types ber die Fenster Current Interface Status und Hardware List verwaltet und konfiguriert werden Current Interface Status Current Interface Status CW In diesem Fenster kon Up Internal Standard ethernet interface Leet WER fig urieren Sie die Netz Set RE werkkarten und virtuel S len Schnittstellen Inter EE eth2 D Link DFE SSOTK rav A Cu faces In der Ta bel le werden alle bereits konfi gurierten Netzwerkkarten angezeigt Das linke Bild zeigt das Men Interfaces nach der Installation der Software mit drei eingebauten Ethernet Netzwerkkarten W hrend der Installation wurde die Schnittstelle mit der Bezeichnung ethO bereits konfiguriert Sie ist die Schnittstelle zwischen dem Internet Sicherheitssystem und dem internen Netzwerk LAN Per Default wird dieser Netzwerkkarte der Namen Internal zugewiesen In der Tabelle sind alle Informationen zu den konfigurierten Schnitt stellen enthalten Schnittstelle ein aus Statusampel zeigt Gr n Rot der aktuelle Funktionszustand Up Down Name Name Bezeich nung Sys ID und Netzwerkkarten Typ eth wlan sowie IP Adresse und Netzwerkmaske Parameters Durch einen Klick auf die Statusampel in der Spalte Admin wird die Schnittste
324. tellen Sie die Verschl sselungsst rke 40 Bit oder 128 Bit dieser VPN Verbindungsart ein Beachten Sie dass bei Microsoft Windows 2000 im Gegensatz zu Windows 98 und Windows 184 System benutzen amp beobachten ME nur die Verschl sselungsst rke 40 Bit installiert ist Sie ben tigen zus tzlich das High Encryption Pack oder Service Pack 2 SP2 kann allerdings sp ter nicht mehr deinstalliert werden N Sicherheitshinweis Stellen Sie im Drop down Men Encryption die Verschl s selungsst rke immer auf Strong 128 Bit ein es sei denn der Endpunkt Host unterst tzt diese Verschl sselungsst rke nicht Authentication In diesem Drop down Men stellen Sie die Authenti fizierungsmethode ein Wenn Sie im Men System User Authenti cation einen RADIUS Server konfiguriert haben k nnen Sie hier auch RADIUS Authentifizierung einsetzen Die Konfiguration des Microsoft IAS RADIUS Servers und die Einstellungen im WebAdmin werden in Kapitel 5 1 7 ab Seite 75 erkl rt Im Fenster PPTP Live Log werden wichtige Vorg nge oder Fehler meldungen dargestellt Den Umfang der Meldungen k nnen Sie mit dem Auswahlmen Logging bestimmen PPTP IP Pool PPTP VPN Access Hier legen Sie fest welche Status m ER RE SC IP Adressen den Hosts bei Encryption Siora 2 B0 z der Einwahl zugewiesen Authentication Local Users hu werden Per Default Einstel lung wird beim ersten Akti vieren der PPTP Funktion ein Netzwerk
325. ten 168 vorgeschalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Downlink Bandbreite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Im Eingabefeld MTU Size muss beim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ein Wert f r die maximale bertragungsrate in Bytes definiert werden B
326. terregeln wird ausf hrlich in Kapitel 5 4 ab Seite 194 beschrieben 1 ffnen Sie im Verzeichnis Network das Men NAT Masquer ading 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Masquerading Regel 3 W hlen Sie im Drop down Men Rule Type die Funktion Masquerading aus Anschlie end ffnet sich ein erweitertes Eingabefenster A W hlen Sie im Drop down Men Network ein Netzwerk aus 5 W hlen Sie im Drop down Men Interface eine Netzwerkkarte aus 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add 177 System benutzen amp beobachten Nach erfolgreicher Definition wird die Masquerading Regel in die Ta belle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung Weitere Funktionen Masquerading editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Masquerading l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 3 4 3 Load Balancing Add New NAT Rule Mit Load Balancing k n e nen Sie auf den Ports an kommende Datenpakete ER z B SMTP oder HTTP auf Service TEE S verschiedene Server hinter dem Internet Sicherheits system verteilen Rule Type Pre Balancing Target Post Balancing Target Group NAT Rules Beispiel Sie ha
327. tet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Downlink verf gbare Band breite in vollen Kilobits ein Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Downlink Bandbreite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei 137 System benutzen amp beobachten Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig
328. th lt wird sie blockiert Neben einfachen Zeichenketten k nnen auch Ausdr cke in Form von Perl Compatible Regular Expressions definiert werden Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden e Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern 270 System benutzen amp beobachten Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 276 beschrieben Expressions Tragen Sie in die Kontrollliste die Zeichenketten ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 4 ab Seite 41 beschrieben 5 6 6 2 Spam Protection Sender Address Ver
329. tionen um den Betrieb mit der Benutzerauthentifizierung des Internet Sicherheitssystems zu erm g lichen Die Authentifizierungsanfrage enth lt drei gesetzte Felder e Benutzername e Passwort in Klartext PAP e Proxyart String http smtp oder socks im Feld NAS Identifier Der RADIUS Server muss anhand dieser Informationen entscheiden ob der Zugriff auf den Proxy bewilligt wird und eine entsprechende Antwort zur ckliefern Microsofts IAS RADIUS Server einstellen IAS wird mit allen Microsoft Windows 2000 Server Versionen aus geliefert ist aber standardm ig meist nicht installiert F r Microsoft Windows NT4 ist IAS Bestandteil von NT4 Option Pack und ist ohne Aufpreis erh ltlich Die MS Windows NT4 IAS Version hat weniger Features als die 2000er Version jedoch reicht diese f r die gebr uch lichen Authentifizierungs Einstellungen dieses Internet Sicherheits systems vollkommen aus 1 Installieren Sie den IAS Dienst falls er nicht bereits installiert ist 2 Legen Sie f r jeden Proxy der verwendet werden soll eine Benutzergruppe an 77 System benutzen amp beobachten 78 Tipp Benennen Sie die Gruppe entsprechend des zugeordneten Proxydienstes Die Gruppe f r den HTTP Proxy k nnte z B HTTP Proxybenutzer lauten Nun ordnen Sie dieser Gruppe alle Benutzer zu die in der Lage sein sollen den entsprechenden Proxy zu benutzen Stellen Sie sicher dass bei allen Benutzern in diesen Gruppen das Benu
330. tische IP Adressen Hostname F r VPN Security Gateways mit dynamischen IP Adressen E Mail Address F r mobile Road Warrior Verbindungen Speichern Sie anschlie end die Einstellung durch einen Klick auf die Schaltfl che Save Generieren Sie im Fenster Local RSA Key einen neuen RSA Key indem Sie im Drop down Men RSA Key length die Schl ssel st rke ausw hlen Durch einen Klick auf die Schaltfl che Save wird nun die Schl s sel Key Generierung gestartet Anschlie end wird der aktive Local RSA Key mit seinem Namen angezeigt Wenn Sie einen neuen Local RSA Key generieren wird der alte automatisch ersetzt 307 System benutzen amp beobachten PSK Authentication F r die Authentifizierung mit Preshared Keys PSK werden keine zus tzlichen Einstellungen f r den lokalen IPSec Key ben tigt W hrend des Schl sselaustauschs Key Exchange wird passend zum verwendeten IKE Main Mode nur IPv4 Address als IPSec Identifier unterst tzt Die IPSec Identifier werden im IKE Main Mode auto matisch durch PSK verschl sselt die Authentifizierung mit PSK kann daher nicht verwendet werden Die IP Adressen der IKE Ver bindung werden automatisch als IPSec Identifier verwendet Den PSK Key tragen Sie im Men IPSec Policies Remote Keys ein Er wird dann automatisch als Local PSK Key eingesetzt 308 System benutzen amp beobachten 5 7 4 Remote Keys New Remote IPSec Key Im Men Remote Keys Name w e e
331. ttstelle aus Hinweis Wenn Sie nun die Eingaben wie nachfolgend beschrieben speichern wird das System im Anschluss heruntergefahren und sofort wieder gestartet Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Das System 1 wird nun neu gebootet Falls eine Tastatur ange schlossen ist blinkt auf dem Keyboard die LED Anzeige Num Sobald das System den Hot Standby Modus erreicht ert nen kurz hintereinander zwei Beeps und die LED Anzeige h rt auf zu blinken Da das System 2 noch ausgeschaltet ist bootet das System 1 weiter in den Normal Modus und die LED Anzeige Num blinkt wieder Nachdem das System 1 den Bootvorgang abgeschlossen hat h rt die LED Anzeige Num auf zu blinken und es ert nen im Sekundentakt f nf Beeps Die MiddleWare hat nun alle Services Regeln und Prozesse initialisiert Hinweis Falls die Signalt ne nicht ert nen und die LED Anzeige noch blinkt konnte die MiddleWare nicht alle Dienste Regeln und Prozesse initialisieren Wenden Sie sich in diesem Fall an den Support Ihres Sicherheitssystem Anbieters 107 System benutzen amp beobachten Firewall System 2 Hot Standby Modus konfigurieren 1 Starten Sie das System 2 2 F hren Sie auch hier die Schritte 3 bis 6 durch und klicken Sie anschlie end zur Best tigung auf die Schaltfl che Save Das System 2 wird nun neu gebootet Falls eine Tastatur ange schlossen ist blinkt auf dem Keyboard die LED Anzeige Num Sobal
332. tzerflag Einwahlzugriff auf das Netzwerk erlauben aktiviert ist Diese Einstellung finden Sie in den Benutzereigenschaften MS Windows NT 2000 ben tigt dieses Flag um RADIUS Anfragen positiv zu beantworten ffnen Sie das Verwaltungsprogramm f r den IAS Dienst F gen Sie einen Client hinzu Dazu m ssen Sie folgende Anga ben machen Beliebiger Client Namen Tragen Sie hier den DNS Namen Ihres Internet Sicherheitssystems ein Protokoll W hlen Sie hier RADIUS aus IP Adresse des Clients Dies ist die interne IP Adresse Ihres Internet Sicherheitssystems Client Vendor Tragen Sie hier RADIUS Standard ein Shared Secret Tragen Sie ein beliebiges Passwort ein Dieses Passwort ben tigen Sie sp ter zur Konfiguration des RADIUS Servers im Konfigurationstool WebAdmin N Sicherheitshinweis F r das Shared Secret werden nur Passw rter bestehend aus alphanumerischen sowie Minus und Punkt Zeichen un terst tzt Sonderzeichen z B _ sind nicht m glich System benutzen amp beobachten Wechseln Sie zum Men RAS Richtlinien Hier ist eine Standardrichtlinie eingetragen Wenn Sie IAS nur f r das Internet Sicherheitssystem verwenden wollen k nnen Sie diese l schen Tragen Sie nun f r jeden Proxy eine Richtlinie ein Auf diese Weise k nnen Sie den Namen entsprechend w hlen z B HTTP Zugriff F gen Sie zwei Bedingungen hinzu 1 Bedingung Das Feld NAS Identifier muss einem String laut folgender Tabelle ents
333. uert setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Pattern Up2Date failed MD5Sum Error occurred Ein Fehler in der MD5 Pr fsumme ist aufgetreten Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System shut down due to full log file partition Di derzeit rreicht Auslastung der Partition wird in der Notification angezeigt Um vorzubeu gen dass Log Dateien verloren gehen ist das Internet Sicherheitssystem automatisch herunter gefahren Pr fen Sie die Einstellungen im WebAdmin und l schen Sie zur Sicherheit manuell alte Log Dateien Intrusion Protection Event Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge stuft Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Event Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge stuft Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die System benutzen amp beobachten Sammlungsperiode abgeschlossen ist Wenn weitere Ereignisse auftreten wird diese Periode ausge dehnt Weitere Informationen
334. uffer wurde aktiviert Weitere Intrusion Protection Ereignisse werden gesammelt und an Sie abgesendet sobald die Sammlungs periode abgeschlossen ist Wenn weitere Ereig nisse auftreten wird diese Periode ausgedehnt Weitere Informationen erhalten Si in der Noti fication E Mail File transfer request Dies ist die Datei die Sie angefragt haben A feature will expire The featur is time limited and will expire in Die angegebene Option ist zeitlich begrenzt und wird zu einem bestimmten Datum auslaufen Bitte kontaktieren Sie den Astaro Partner oder einen Astaro Vertriebsmitarbeiter in Ihrer N he E Mail Adressen Europa Asien Afrika sales astaro com Nord S damerika salesus astaro com 351 System benutzen amp beobachten 005 080 081 352 Bei technischen Fragen wenden Sie sich bitte an unser Bulletin Board http www astaro org oder laden die aktuelle Dokumentation unter der Adresse http docs astaro org herunter Failed login attempt from IP at time with username Ein Versuch sich in das Internet Sicherheitssys tem einzuloggen ist fehlgeschlagen In der Notification wird die IP Adresse di Uhrzeit und der Benutzernamen des betreffenden Benutzers angezeigt HA check no link beat on interface retrying Die berwachung des Firewall Systems im Normal Modus mittels Link Beat ist fehlgeschlagen Der
335. ules 80 pr misc Miscellaneous rules DO p gt multimedia Recognition of multimedia streaming software EF 7 Group Hits Info O p P local D Locally generated rules el De local o B example ID 10000 5 4 3 Advanced Peine In diesem Men k nnen an En Ge VEEST Sie f r die Option Intru sion Protection System EE IPS zus tzliche Einstel HTTP Servers Selected matge lungen durchf hren Diese zZ Kama En sollten aber nur von er BR a Zn fahrenen Benutzern durch m Vd des gef hrt werden Internal Broadcast Internal Network PTP Pool SMTP Servers Selected Available Empty list Internal Address Internal Broadcast Internal Network PPTP Pool Policy and Exclusions Policy Stellen Sie in diesem Drop down Men ein welche Sicher heitspolitik das Intrusion Protection System anwenden soll wenn eine Blockierungsregel eine IPS Angriffssignatur erkennt e Drop silently Das Datenpaket wird nur blockiert e Terminate connection An beide Kommunikationspartner wird ein TCP Reset bzw ein ICMP Port Unreachable f r UDP abge schickt und die Verbindung wird daraufhin beendet 202 System benutzen amp beobachten IPS Network Exclusions In diesem Auswahlmen k nnen be stimmte Verbindungen zwischen den Netzwerken vom Intrusion Pro tection System IPS ausgeschlossen werden Die Verbindungen werden in einer Tabelle unter dem A
336. ules for backdoor software DO s P bad traffic 0 Recognizes traffic that should never occur Cl J D chat 0 Recognition of messaging and chat traffic DO p DB ddos D Rules for Distributed Denial of Service BC p P dns D Rules for DNS protocol BO 9e M dos D Denial of Service attacks DI 1 pz P exploit 0 Well known exploits of specific software DO p P finger D Rules for finger protocol Cl pe P fo D Rules for FTP protocol BO p 8 icmp D Rules for ICMP protocol DO p gt P icmp info D Recognition of assumingly harmless ICMP traffic Die Funktionen in der bersicht von links nach rechts 00 0 Durch einen Klick auf die Statusampel wird die IPS Regelgruppe ein und ausgeschaltet er H 9 Die IPS Regel kann als Alarmierungsregel Intrusion Detection oder als Blockierungsregel Intrusion Prevention eingstellt werden Durch einen Klick auf das Symbol werden alle IPS Regeln in dieser Gruppe umgeschaltet 198 System benutzen amp beobachten Durch einen Klick auf das Ordner Symbol wird das Unterver zeichnis mit allen Protokollen dieser Gruppe angezeigt Durch einen nochmaligen Klick auf das Symbol gelangen Sie wieder in die bersicht Die zus tzlichen Funktionen im Unterverzeichnis wer den im Abschnitt Das IPS Regel Unterverzeichnis beschrieben Group In dieser Spalte wird der Name der IPS Regelgruppe ange zeigt Die Gruppen sind anhand dieses Namens alphabetisch sortiert Durch einen Klick in die
337. ung g ltige Nameserver anderenfalls gibt es bei der SSH Anmeldung einen Time out Dieser Time out dauert etwa eine Minute an In dieser Zeit sieht es so aus als w re die Verbindung eingefroren oder w rde nicht zustande kommen Danach geht es ohne Verz gerung weiter Zus tzlich m ssen Sie im Auswahlfeld Allowed Networks die Netz werke hinzuf gen von denen aus per SSH auf das Internet Sicher heitssystem zugegriffen werden soll Per Default Einstellung ist im Auswahlfeld Allowed Networks f r eine reibungslose Installation die Option Any eingetragen d h jeder ist berechtigt auf den SSH Dienst zuzugreifen Netzwerke definieren Sie im Men Definitions Networks 51 System benutzen amp beobachten N Sicherheitshinweis Per Default Einstellung ist jeder berechtigt auf den SSH Dienst zuzugreifen Im Auswahlfeld Allowed Networks ist die Option Any eingetragen Aus Sicherheitsgr nden empfehlen wir den Zugriff auf den SSH Dienst zu beschr nken Alle anderen Netz werke sollten sie l schen Schalten Sie aus Sicherheitsgr nden den SSH Zugang nach Abschluss der Arbeiten wieder ab Password and Factory Reset a u a Mit Password Reset k nnen z S Sie die Passw rter f r das In sswore wil bring up the ternet Sicherheitssystem neu setzen Wenn Sie sich nach dieser Aktion das n chste mal im Konfigurationstool WebAdmin anmelden wird das Fenster Set ting System Passwords angezeigt Auf diese Weise k nnen Sie op ti
338. ungen ber dieses Dual Homed Gateway weitergeleitet werden Firewall Eine Firewall dient der Abschirmung und damit dem Schutz eines Teil Netzwerks z B Astaro von einem anderen Netzwerk z B dem Internet Der gesamte Netzwerkverkehr geht ber die Firewall wo er reguliert und reglementiert werden kann Header Im Allgemeinen ein Bereich am Anfang bzw am Kopf von Dateien in dem grunds tzliche Informationen ber diese Datei gespeichert sind Im Speziellen ist es der Teil einer E Mail oder einer Usenet Nachricht die Informationen ber Inhalt Absender und Datum gibt 364 Glossar Host In Client Server Architekturen bezeichnet man als Host den Rechner auf dem die Server Software l uft Dabei k nnen auf einem Host mehrere Server laufen zum Beispiel ein FTP und ein E Mail Server Auf einen Host kann man mit Hilfe von Clients zugreifen zum Beispiel mit einem Browser oder einem E Mail Programm Da der Ausdruck Server au er f r das entsprechende Programm also die Software auch f r den Rechner verwendet wird auf dem das Programm l uft also die Hardware wird in der Praxis nicht klar zwischen Server und Host unterschieden In der Datenfern bertragung bezeichnet man denjenigen Rechner als Host von dem Daten wie FTP Dateien News WWW Seiten abgerufen werden Ein Host wird im Internet auch als Node Knoten bezeichnet Auf einem Internet Host im Unterschied zum Localhost kann man zum Beispiel ber Telnet
339. unktion in der Spalte Status durch einen Klick auf die Schaltfl che Enable ein Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Hostname Tragen Sie in das Eingabenfeld den Hostnamen ein Username Tragen Sie in das Eingabenfeld den Benutzernamen ein Password Tragen Sie in das Eingabefeld das Passwort ein 4 Speichern Sie Ihre Eingabe durch einen Klick auf die Schaltfl che Save 128 System benutzen amp beobachten 5 9 2 Interfaces Externes Netzwerk Um ein internes Netzwerk FE a LAN vor einem externen E E Netzwerk Internet zu sich netz ern ben tigt eine Firewall UnfernzeiNeIzwerk mindestens zwei Netz DE Les sa eth1 werkkarten In unseren N gt rF ee Beispielen ist die Netz werkkarte ethO immer die Schnittstelle zum internen an Netzwerk Die Netzwerk 1 Netzwerkkarte ethO S Web FTP E Mail 2 Netzwerkkarte eth1 karte eth1 ist die Schnitt Server Server Server 3 Netzwerkkarte eth2 stelle zum externen Netz werk Internet Diese beiden Seiten werden auch Trusted und Untrusted genannt W hrend der Installation werden die Netzwerkkarten automatisch erkannt Falls sp ter weitere Netzwerkkarten hinzugef gt werden ist eine Neu Installation des Internet Sicherheitssystems notwendig Verwenden Sie die Backup Funktion um nach der Neu Installation Ihre alte System Konfiguration wieder einzuspielen 129 System
340. uration ben Address to Ping tigen Sie auf dem Internet Username Password Uplink Failover on Sicherheitssystem eine Ether net Netzwerkkarte und ein Interface QoS Status externes ADSL Modem mit MTU Size DSL Modem PPPoA Modem IP Address PPTPoE Internes Netzwerk Firewall Address eth0 192 168 2 100 Bsp Address eth1 NIC IP Address Ethernet Anschluss Die Ver bindung zum Internet erfolgt ber zwei Teilstrecken Zwischen dem Internet Sicherheitssystem und dem ADSL Modem erfolgt die Verbindung mit dem Protokoll PPTP over Ethernet Die Verbindung vom ADSL Modem zum Internet Service Provider ISP erfolgt mit dem ADSL Einwahlprotokoll PPP over ATM siehe Grafik F r die Konfiguration ben tigen Sie die DSL Zugangsdaten inklusive Passwort Die Daten erhalten Sie von Ihrem Provider 163 System benutzen amp beobachten Die Installation und die n tigen Einstellungen am Internet Sicher heitssystem speziell f r den DSL Zugang mit AonSpeed Telekom Austria wird im Leitfaden Netzwerk mit AonSpeed erkl rt Nach dem die Schnittstelle geladen wurde ist das System 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach einem zeitun abh ngigen Tarif erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http docs astaro org Hinweis PP
341. urch eine CA signiert die sicherstellt dass der Key auch tats chlich zu den angegebenen Informationen passt Dieses g ltige Zertifikat wird zur Authentifizierung eines Remote IPSec Hosts Benutzers verwendet Mit Hilfe des Drop down Men s in der Fu zeile der Tabellen k nnen Sie die Zertifikate in verschiede nen Dateiformaten auf Ihren lokalen Client herun terladen oder Zertifikate auf dem System l schen PEM Ein ASCII codiertes Format Das Zertifikat bzw die Anfrage und der Private Key werden in separaten Dateien gespeichert DER Ein bin rcodiertes Format Das Zertifikat bzw die Anfrage und der Private Key werden in separaten Dateien gespeichert PKCS 12 Ein Container File Diese Datei kann das Zertifikat den Private Key und den Authentication CA beinhalten Delete Die ausgew hlten Zertifikate werden aus der Tabelle gel scht Issue CERT from CSR Mit dieser Funktion wird aus dem CSR das Zertifikat generiert 315 System benutzen amp beobachten Client Host Zertifikat erstellen Schritt 1 Das Signing CA erstellen 1 ffnen Sie im Verzeichnis IPSec VPN das Men CA Manage ment Klicken Sie in der Tabelle Certificate Authorities auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Certificate Authority W hlen Sie die Option Generate aus Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r das Zertifikat Erlaubte Zeichen sind Das Alphabet die Zahlen O bis
342. us einer Standleitung und einem DSL Zugang bestehen Bei einem Ausfall der prim ren Verbindung erfolgt dann automa tisch der Uplink ber den zweiten Internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetzwerkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erfolgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte Wichtiger Hinweis F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge System benutzen amp beobachten Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Falls diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezei
343. uswahlmen aufgelistet Durch einen Klick auf das Papierkorp Symbol 8 wird die definierte Verbindung wieder aus der Tabelle gel scht Performance Tuning Mit den Einstellungen in diesem Fenster kann die Leistung des Intru sion Prevention System IPS verbessert werden indem die Server und Ports definiert werden Die entsprechenden IPS Regeln werden dann nur bei den eingestellten Servern und Ports angewendet Die Server m ssen zuvor als Host im Men Definitions Networks hinzugef gt werden Das Hinzuf gen von Hosts wird in Kapitel 5 2 1 ab Seite 110 beschrieben Hinweis Wenn Sie in diesem Fenster keine Server einstellen wird vom Intru sion Protection System IPS der gesamte Datenverkehr im gesamten Netzwerke gem den Einstellungen im Fenster Global Settings berwacht HTTP Service Stellen Sie in diesem Drop down Men den Zielport f r den HTTP Datenverkehr ein indem Sie einen Dienst Service ausw hlen Im Men Definitions Services k nnen Sie falls erfoder lich den Dienst ndern oder einen neuen hinzuf gen Vom hinzuge f gten Dienst wird nur die Zielportnummer verwendet Bei einer Portrange wird nur der erste und der letzte Port verwendet Beispiel Bei der Portrange 80 8080 wird die HTTP Regel bei den Ziel ports 80 und 8080 angewendet HTTP Servers Stellen Sie hier die HTTP Server ein DNS Servers Stellen Sie hier die DNS Server ein SMTP Servers Stellen Sie hier die SMTP Server ein 203 System benut
344. utzer die im Verzeichnis dienst einen eindeutigen DN und ein g ltiges Passwort ha ben die Proxies HTTP SMTP und SOCKS verwenden sowie auf das Konfigurationstool WebAdmin zugreifen 95 System benutzen amp beobachten LDAP erweiterte Authentifizierung 1 5 96 Schalten Sie die Funktion LDAP Authentication by Attribute durch einem Klick auf die Schaltfl che Enable bei Status ein W hlen Sie im Drop down Men Service den Dienst aus Die m glichen Dienste sind HTTP SMTP SOCKS und Web Admin Tragen Sie in das Eingabefeld Attribute Name den Attribut namen ein Falls Sie einen Microsoft Active Directory Server verwenden und den Abfrage Typ MemberOf konfiguriert haben ist dies der Name der entsprechenden Security Group Beispiel socks_users Tragen Sie in das Eingabefeld Attribute Value den Attributwert ein Der Attributwert ist der DN EEE SEN Bei Microsoft Active Direc l tory wird der DN des Attri buts ber die Management o Console im Verzeichnis ec ADSI Edit angezeigt Edi Atrbae Vae Eek won eaae Ee Select a propety to view W hlen Sie ber den Base i DN Beispiel dc example dc com den Attributnamen E Beispiel socks _users aus und klicken darauf mit der rechten Maustaste Das Fenster CN socks_users Properties wird ge ffnet W hlen Sie nun im Drop down Men Select which properties to view den Wert Both und im Drop down Men Select a
345. v frei w hlen Bei diesem System ist es eine beliebige Zeichenkette ohne Leer zeichen Falls Sie den Schnittstellen Typ Wireless LAN Station konfi gurieren um den Zugang zu einem bereits vorhanden Funk netzwerk zu erhalten ben tigen Sie den bestehenden Namen Der Namen kann eine maximale L nge von 32 Zeichen haben e Channel Bei diesem System geben Sie den Funkkanal des Funk netzwerks manuell ein Sollten noch weitere Funknetzwerke vor handen sein vergewissern Sie sich welche Kan le von diesen belegt werden 143 System benutzen amp beobachten Beachten Sie au erdem dass in verschiedenen L ndern nur be stimmte Kan le verwendet werden d rfen USA amp Kanada 1 bis 11 Spanien Europa ETSI 1 bis 14 Frankreich Japan 1 bis 14 e WEP F r die WEP Verschl sselung ben tigen Sie mindestens einen WEP Schl ssel Maximal vier Schl ssel sind m glich Sie k nnen eine Schl ssell nge von 40 Bit oder 104 Bit definieren Je nachdem f r welche Schl ssell nge Sie sich entscheiden m ssen Sie eine Zeichenfolge von 5 oder 13 Zeichenpaaren in hexadezi maler Schreibweise eingegeben Sie d rfen also nur die Zahlen O bis 9 und die Buchstaben A bis F verwenden Beispiel f r einen 40 Bit Schl ssel 17 A5 6B 45 23 e Access Mode nur Wireless LAN Access Point F r den MAC Adressen Filter m ssen Sie zuerst die MAC Adressen der Netz werkkarten zusammenstellen die entweder das Wireless LAN nicht betreten d rfen neg
346. ven Systems sofort deren Funktion bernehmen kann Externes Netzwerk Se Zea En E switch Internes Netzwerk LAN externe IP E Internet Datentransfer DMZ IP ne i LAN IP Firewall 1 Firewall 2 Normal Hot Standby Modus Switch Modus E switch Web FTP E Mail Server Server Server 103 System benutzen amp beobachten Hardware und Software Voraussetzungen Eine Lizenz mit der Option High Availability Die Lizenzdatei License Key muss auf beiden Sicherheitssystemen Normal und Hot Standby Modus eingespielt werden Weitere Informationen zur Lizenzierung erhalten Sie in Kapitel 5 1 2 ab Seite 53 Zwei Internet Sicherheitssysteme mit identischer Hardware Zwei zus tzliche Ethernet Netzwerkkarten f r die Datentransfer Leitung F r die berwachung mittels Heart Beat Anfragen werden zwei Ethernet Netzwerkkarten ben tigt die diese Funktion unter st tzen Ein Ethernet Crossover Kabel Ein serielles Schnittstellenkabel optional Wichtiger Hinweis Die vom Internet Sicherheitssystem unterst tzten Hardware Kompo nenten z B f r die berwachung mittels Heart Beat Anfragen sind unter der Internetadresse http docs astaro org im Verzeichnis Hardware Compatibility List for Astaro Security Linux aufge listet 104 System benutzen amp beobachten High Availability System installieren Vorbereitung 1 Installieren
347. w high priority Alle Pakete die diese Bedingung erf l len werden durchgelassen Zus tzlich erh lt dieser Datenver kehr bei ausgelastetem Uplink eine h here Priorit t Allow low priority Alle Pakete die diese Bedingung erf l len werden durchgelassen Zus tzlich erh lt dieser Datenver kehr bei ausgelastetem Uplink eine niedrigere Priorit t Drop Alle Pakete die diese Bedingung erf llen werden blockiert Reject Alle Pakete die diese Bedingung erf llen werden ab gewiesen Der Absender erh lt eine entsprechende ICMP Nachricht Log Die Regelverletzung wird im Packet Filter Live Log proto kolliert Die Aktion wird durch einen Klick auf das Kontrollk st chen eingeschaltet Bei Filterverletzungen die dauernd stattfinden sicherheitstech nisch nicht relevant sind und nur die bersichtlichkeit des Packet Filter Live Log beeintr chtigen z B Netbios Broad casts von MS Windows Rechnern ist es empfehlenswert die Funktion Log nicht zu aktivieren Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die Regel hinzuf gen 209 System benutzen amp beobachten 4 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition Nach erfolgreicher Definition wird die neue Paketfilterregel immer deaktiviert in die Regelsatztabelle eingetragen Status ampel zeigt Rot Comment Example rule 5 Aktivieren Sie die Paketfilterregel durch einen Klick auf die Statusampe
348. warding 219 ICMP on Firewall 219 Log ICMP Redirects 219 Ping on firewall 221 Ping Settings 221 Traceroute from Firewall 220 Traceroute Settings 220 Ident Eipf brung 259 Forward Connections 259 Installation Anleitung 23 Einf hrung He 19 Konfiguration seese 28 Software nuenenanennennnenn 23 Version 4 0x auf 5 0 aktualisieren 19 Vorbereitung sesser 23 Interfaces Eipf brung 129 MTU Size137 156 162 168 Intrusion Protection Advanced 202 Eipf brung 194 Global Settings 194 Rules aaa an 198 IPSec VPN AH Protokoll 22222220 289 CA Management 314 Client Host Zertifikat erstellen 316 Copnpnechions 293 Eipf brung 283 Global IPSec Settings 293 IR EE 287 IPSec Connections 294 IPSec Modi zcssssener 288 Index IPSec System Information EEN 294 IPSec Protokolle 289 konfigurieren 295 L2TP over IPSec 312 Local IPSec X 509 Key 306 Local Keys 306 Manual Keying 290 Policies ann 301 Policy konfigurieren 302 PSK Authentication 308 Remote Key definieren 309 Remote Keys scce 309 RSA Authentication 307 Schl sselverwaltung 290 Transport Modus 288 Tunnel Modus 288 VPN Routes ssec 294 VPN Status s 294 IPSec Benutzergruppe definieren 114 IPS Regel SETZEN u
349. wendiger Hinweis Um eine derartige Erweiterung unter MS Active Directory durch zuf hren ben tigen Sie f r jedes Attribut eine Objekt ID OID Die OID Nummer ist im gesamten Internet einzigartig und wird an Unter nehmen von der Internet Assigned Numbers Authority IANA ausgestellt Die OID der Astaro AG ist z B 1 3 6 1 4 1 9789 Falls Sie noch keine OID Nummer haben k nnen Sie diese direkt bei der IANA unter der Internetadresse www iana org beantragen berlegen Sie im ersten Schritt wie Sie diese OID Nummer am besten Ihrer Netzwerkstruktur anpassen und erweitern Beachten Sie dass f r jedes Benutzerattribut eine eigene OID ben tigt wird F r die Erstellung weiterer Attribute muss die Microsoft Manage ment Console zuvor um das Active Directory Schema erg nzt werden Des Weiteren m ssen Sie gew hrleisten dass Sie dieses Schema bearbeiten bzw erweitern und ver ndern d rfen Schritt 1 Active Directory Schema freigeben 1 Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema 2 Klicken Sie mit der linken Maustaste auf die Schaltfl che Operations Master 88 System benutzen amp beobachten Anschlie end ffnet sich das Fenster Change Schema Master Markieren Sie das Optionsfeld The Schema may be modified on this Domain Controller Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che OK Sie sind nun berechtigt das Active Directory Sche
350. werkkarte aus die in Richtung des anderen Endpunktes zeigt Remote Endpoint W hlen Sie im Drop down Men die IP Adresse des entfernten Endpunktes aus Bei den Verbindungs Typen Road Warrior oder MS Windows L2TP over IPSec hat der entfernte Endpunkt immer eine dynamische IP Adresse Im Fenster Subnet Definition optional k nnen Sie f r beide Endpunkte optional ein Sub Netzwerk ausw hlen Local Subnet W hlen Sie hier das lokale Sub Netzwerk aus 297 System benutzen amp beobachten 298 Remote Subnet W hlen Sie hier das entfernte Sub Netzwerk aus Bei einer Road Warrior Verbindung kann nur das lokale Sub Netzwerk eingestellt werden Diese M glichkeit entf llt wenn Sie f r die Road Warrior Verbindung in Schritt 7 die Funktion L2TP Encapsulation einschalten Hinweis Beim Verbindungs Typ MS Windows L2TP IPSec wird das Fenster nicht angzeigt Der IPSec VPN Zugang wird durch den Paketfilter Packet Filter geregelt W hlen Sie nun im Fenster Authentication of Remote Station s den passenden Key aus Die IPSec Remote Keys werden im Men IPSec VPN Remote Key definiert Die Einstellungen in diesem Fenster h ngen vom Verbindungs Typ ab 7 1 Standard Key W hlen Sie im Drop down Men den Remote Key aus 7 2 Road Warrior L2TP Encapsulation In diesem Drop down Men k nnen Sie zu tzlich L2TP over IPSec einschalten On Keys W hlen Sie im Auswahlfeld die Remote Keys f r die Road Warrior Verbindungen
351. x und dem Kom mentar Your address envelope or header is blacklisted at this site zur ckgesendet 266 System benutzen amp beobachten MIME Error Checking Die Funktion MIME Error Checking kann Fehler in Nachrichten er kennen die mit MIME verschl sselt wurden MIME steht f r Multi purpose Internet Mail Extensions MIME legt die Struktur und den Aufbau von E Mails und anderer Internetnachrichten fest Es ist eine Kodierungsvorschrift die den Versand von Nicht Text Dokumenten wie Bilder Audio und Video in textbasierten bertragungssystemen erm glicht Die Nicht Text Elemente werden beim Versender ver schl sselt und beim Empf nger wieder entschl sselt Die Funktion MIME Error Checking kann dabei helfen Angriffe bei denen die Fehler Toleranzabweichung in der MIME Entschl sselungs Software ausgenutzt werden zu erkennen Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlernummer 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absenderadresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Cont
352. ystem benutzen amp beobachten ICMP Forwarding Alle ICMP Pakete werden hinter die Firewall wei tergeleitet Dies bedeutet dass alle IPs im lokalen Netzwerk und in allen angeschlossenen DMZs angepingt werden k nnen Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Wichtiger Hinweis Falls Sie ICMP Forwarding ausschalten m chten darf im Men Packet Filter Rules keine Regel mit den Eintr gen Any Source Any Service Any Destination Allow Action definiert sein Das ICMP Forwarding bleibt sonst aktiv ICMP on Firewall Die Firewall empf ngt und sendet direkt alle ICMP Pakete Per Default ist diese Funktion eingeschaltet Status ampel zeigt Gr n Mit einem Klick auf die Schaltfl che Disable schalten Sie die Funktion aus Statusampel zeigt Rot Hinweis F r die Aktion Ping muss hier die Funktion ICMP on Firewall eingeschaltet sein Die Aktion befindet sich im Men Network Ping Check und wird in Kapitel 5 3 8 ab Seite 192 beschrieben Log ICMP Redirects Die ICMP Redirects werden von Routern ge genseitig verschickt um eine bessere Route zu einem Ziel zu finden Router ndern daraufhin ihre Routing Tabellen und leiten die folgen den Pakete zum gleichen Ziel auf der vermeintlich besseren Route weiter Mit dieser Funktion werden die ICMP Redirects protokolliert Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr
353. z de Hiermit wird ein Rechner namens kises bezeichnet der in der Sub Domain rz der Sub Domain uni konstanz der Domain de steht Wie bei IP Adressen werden die einzelnen Namensteile durch einen Punkt voneinander getrennt Anders als bei IP Adressen jedoch sind IP Namen nicht auf vier Stellen beschr nkt Au erdem k nnen einer IP Adresse mehrere IP Namen zugeordnet sein man spricht dann von Aliasen Masquerading Dynamisches Masquerading bezeichnet das Verbergen interner Netzwerkinformationen LAN nach au en Beispiel Der Rechner eines Mitarbeiters mit der IP Adresse 212 6 145 100 steht in einem maskierten Netzwerk Allen Rechnern in seinem Netzwerk wird eine einzige offizielle IP Adresse zugeordnet d h wenn er nun eine HTTP Anfrage in das Internet startet wird 366 Glossar seine IP Adresse durch die IP Adresse der externen Netzwerkkarte ersetzt Damit enth lt das ins externe Netzwerk Internet gehende Da tenpaket keine internen Informationen Die Antwort auf die Anfrage wird von der Firewall erkannt und auf den anfragenden Rechner weitergeleitet nslookup Ein Unix Programm zur Abfrage von Nameservern Die Haupt anwendung ist die Anzeige von IP Namen bei gegebener IP Nummer bzw umgekehrt Dar ber hinaus k nnen aber auch noch andere Informationen wie z B Aliase angezeigt werden Port W hrend auf IP Ebene nur die Absender und Zieladressen zur bertragung verwendet werden m ssen f r TCP und UDP weitere
354. zeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Local Logs werden im Kapitel 5 9 ab Seite 331 beschrieben Ei L Remote Subnet None Wichtiger Hinweis Die Funktion IKE Debugging ben tigt einen gro en Teil der Sys temresourcen und kann daher den IPSec VPN Verbindungsaufbau erheblich verlangsamen Schalten Sie daher die Funktion nur f r den eigentlichen Debugging Vorgang ein 293 System benutzen amp beobachten IPSec Connections In der Tabelle IPSec Connections werden alle aktuellen IPSec VPN Verbindungen angezeigt IPSec System Information TEE VPN Status Im Fenster Kyle VPN Status wird der Sta tus der aktiven Verschl s selungs Algorithmen alle aktiven IPSec Verbindungen und detaillierte Informationen zu jeder Security Association SA angezeigt VPN Routes VPN Routes Im Fenster VPN Routes werden alle aktiven IPSec SA Verbindungen angezeigt Solange hier keine Eintr ge vorhanden sind existieren keine IPSec Verbindungen Routing Eintr ge werden nach folgendem Schema angezeigt AB gt C gt D 3 192 168 105 0 24 gt 192 168 104 0 24 gt hold 8 192 168 105 0 24 gt 192 168 110 0 24 gt trap 0 192 168 105 0 24 gt 192 168 130 0 24 gt tun0x133a 233 23 43 1 Spalte A Anzahl der Pakete in dieser VPN Verbindung Spalte B Das lokale Sub Netzwerk oder den Host Spalte C Das entfernte Sub Netzwerk oder den Host Spalte D De
355. zen amp beobachten SQL Servers Stellen Sie hier die SQL Server ein Telnet Servers Stellen Sie hier die Telnet Server ein 204 System benutzen amp beobachten 5 5 Paketfilter Packet Filter Der Paketfilter Packet Filter ist der zentrale Teil der Firewall Im Men Rules bestimmen Sie durch Setzen der Paketfilterregeln welcher Datenverkehr zwischen den Netzwerken Hosts erlaubt ist Sie k nnen au erdem festlegen dass spezielle Pakete explizit gefiltert werden und die Firewall nicht passieren d rfen Das Paketfilterma nagement erfolgt ber die Regelsatztabelle Mit den Werkzeugen im Men ICMP k nnen die Netzwerkverbin dungen und die Funktionalit t des Internet Sicherheitssystems getes tet werden und im Men Advanced befinden sich die Zusatz und Reporting Funktionen 5 5 1 Rules Im Men Rules verwalten SE Sie das Paketfilterregelwerk z Action Atom Die Regeln werden mit Hilfe der definierten Netzwerke Networks und Dienste Add Definition Services gesetzt Beim Einsatz von Paketfiltern unterscheidet man zwei grundlegende Arten der Security Policy e Alle Pakete passieren dem Regelwerk muss ausdr cklich mitge teilt werden was verboten ist e Alle Pakete werden geblockt das Regelwerk braucht Informatio nen welche Pakete passieren d rfen Die Firewall dieses Internet Sicherheitssystems ist fest auf die Varian te Alle Pakete werden geblockt vo
356. zen amp beobachten Verbindung mit MS Windows 2000 Hier wird in einem Beispiel Szenario beschrieben wie eine Verbindung mit PPTP VPN Access konfiguriert wird wenn auf dem Host Microsoft Windows 2000 installiert ist 1 2 ffnen Sie im Verzeichnis Network das Men PPTP VPN Schalten Sie im Fenster PPTP VPN Access die Funktion durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet F hren Sie im Fenster PPTP VPN Access die Einstellungen f r den Netzwerkzugang durch Logging Behalten Sie die Einstellung Normal bei Encryption Bestimmen Sie im Drop down Men die Verschl s selungsst rke Sie k nnen zwischen weak 40 Bit und strong 128 Bit w hlen Beachten Sie dass bei Microsoft Windows 2000 im Gegensatz zu MS Windows 98 und Windows ME nur die Verschl sselungsst rke 40 Bit standardm ig installiert ist F r eine 128 Bit Verschl sselungsst rke ben tigen Sie zus tzlich das High Encryption Pack oder Service Pack 2 SP2 kann aber sp ter nicht mehr deinstalliert werden Die ausgew hlte Verschl sselungsst rke wird sofort bernommen Wichtiger Hinweis Damit die Verbindung zustande kommt muss auf beiden Seiten die gleiche Verschl sselungsst rke eingestellt sein Wenn im WebAdmin die Verschl sselungsst rke 40 Bit eingestellt ist und Sie auf der Gegenstelle in MS Windows 2000 die Verschl s selungsst rke 128 Bit ausw hlen
357. zweiten Grenzwert wird Die E Mail angenommen kommt aber in Quarant ne Grunds tzliche gilt dass der Grenzwert Threshold mit der h he ren Stufe eine strengere Behandlung do this erfahren soll Wichtiger Hinweis Die Option Spam Protection ben tigt auf stark frequentierten Sys temen einen hohen Anteil der Systemressourcen When Spam Level exceeds Mit diesem Drop down Men justieren Sie den H chstwert zur Bewertung der E Mails Der Unterschied zwi schen den H chstwerten definiert sich durch die Wahrscheinlichkeit dass ungef hrliche Mails z B HTML Newsletter gefiltert werden Im Drop down Men kann ein Wert zwischen 1 und 15 eingestellt wer den Mit der Stufe 1 werden bereits E Mails mit einem kleinen Spam Score behandelt Die folgenden Stufen Level geben einen Anhalts punkt e Aggressive 03 Diese Strategie filtert die meisten Spam Mails Allerdings werden mit hoher Wahrscheinlichkeit auch ungef hrliche Nachrichten z B HTML Newsletter zur ckgewiesen e Reasonable 05 Diese Strategie liegt zwischen Aggessive und Conservative e Conservative 08 Diese Strategie filtert nur Nachrichten bei denen es sich mit sehr hoher Wahrscheinlichkeit um Spam Mails handelt Ungef hrliche E Mails werden meist nicht gefiltert do this In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich 273 System benutzen amp beobachten e Rej

Download Pdf Manuals

image

Related Search

Related Contents

  "取扱説明書"  P-HAC-14 Cierre financiero  Samsung SP-A800B Brugervejledning  LA FRUITÉE  Infrarot-Thermometer Non-Contact Infrared  MP3 Player - RobotShop  

Copyright © All rights reserved.
Failed to retrieve file